2007年度网马漏洞不完全总结
来源:网络巡警的博客
2007年度,网页木马层数不穷(其实从来也没少过),与以往稍微不同的是,在“黑客”玩烂经典网马漏洞了MS0-014和MS07-017之后,在使用了各种加密,跳转,框架包含之后,随着用户安全意识的提高(稍微高了那么一点点,知道打补丁了),系统漏洞的已经被最大限度地使用了,今年随着WEB讯雷惊暴漏洞之后,雅虎通漏洞,百度搜霸漏洞,PPStream ,暴风影音II,QQ场景,新浪UC ,MSN Messenger 视频漏洞,联众世界游戏大厅,各主流应用软件仿佛赶集似的出现0-Day漏洞,而且都以迅雷不及掩耳盗铃之势被病毒作者利用,往日为我们工资、学习和娱乐带来便捷和快乐的软件,仿佛一夜之间变得青面獠牙,成为病毒传播的快速通道!
百度搜霸ActiveX控件远程代码执行漏洞:08 月02被漏洞分析大牛cocoruder发现,漏洞存在于由ActiveX控件"BaiduBar.dll"导出的"DloadDS()"函数中,其控件对应的CLSID:A7F05EE4-0426-454F-8013-C41E3596E9E9 。近期的aaa.369678.cn,851733.cn 等恶意网址就使用了该漏洞进行木马传播。
百度搜霸漏洞CVE漏洞数据库信息:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4105
PPStream 堆栈溢出:我是在09月3号发现利用该漏洞传播的网页木马的,但实际情况可能会更早些。
,其控件对应的CLSID:5EC7C511-CD0F-42E6-830C-1BD9882F3458 。
近期的www.851733.cn,www.121161.com,xxx.745970.com,www.souxse.cn 等恶意网址就使用了该漏洞进行木马传播。
PPStream 漏洞CVE漏洞数据库信息:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4748
暴风影音2 mps.dll组件多个缓冲区溢出漏洞:近期很热门的漏洞,其控件对应的
CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB 。
如果向MPS.StormPlayer.1 ActiveX控件(mps.dll)中的rawParse()和advancedOpen()方式和URL属性发送了超长字节的话,或诱骗用户打开的. SMPL文件包含有超长path字符串的话,就可以触发栈溢出,导致执行任意指令。
近期的 955922.cn,debae.cn,745970.com 等恶意网址就使用了该漏洞进行木马传播。
暴风影音2漏洞CVE漏洞数据库信息:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4816
解决这些软件漏洞带来的隐患最好办法当然还是升级管方补丁了,临时解决办法是在注册表中设置相应的
killbit 。
如暴风影音的:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
"Compatibility Flags"=dword:00000400
病毒作者在用腻了系统漏洞后,霍然间发现了应用程序漏洞这篇广阔的天空,
不知道从此以后还有多少应用程序在为我们提供服务的同时,也会沦落为病毒作者手中的病毒下载快速通道。
这些厂商在依靠其广泛用户群获取丰厚的利润的同时,也承担着很大的责任,因为其产品一旦出现严重漏洞,则立即会成为病毒传播的“快速通道”。在此我也真诚的希望这些应用软件厂商或者流行软件作者,在编写代码的时候做好安全检查,
隐隐的担忧!
————————————————————————————————————–
2007.11.15 更新:
jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit
该漏洞在2007年的9月19日由 h07安全组织的Krystian Kloskowski ([email protected]) 发布,我于2007-09-24 日截获,其漏洞攻击代码发布在milw0rm.com 上,文章为
jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit
今天就发现了一个利用该漏洞进行挂马的病毒,代码如下:
详细代码请看我以前写的文章《紧急警报!网马漏洞又出新0-Day!汗!》
该漏洞可以将病毒文件*.exe 下载并替换成Program Files\\JetAudio\\JetAudio.exe应用软件,其实这可以替换成任意文件,也可以添加到开机自启动目录中,等待下次开机执行病毒,阴险啊~~~
该漏洞的CVE数据库信息:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4983
*************************************************************************************************
迅雷5出现0-Day漏洞?
截获日期:2007-09-25
大家看好标题哦,这次是迅雷5,而不是WEB迅雷~
根据恶意网址检测的线报,发现一恶意网址使用未公开的迅雷50-Day漏洞进行挂马,其EXP代码如下:
详细代码可以看我以前写的文章《惊暴:迅雷5出现0-Day漏洞?》
该代码风格颇相前段时间的《暴风影音II ActiveX栈溢出漏洞》,尾部为%u7468%u7074+此处为需要下载病毒的网址+%u0000"),但其CLSID为:EEDD6FF9-13DE-496B-9A1C-D78B3215E266
经验证,该ActiveX控件文件为:C:\Program Files\Thunder Network\Thunder\Components\DownAndPlay\DownAndPlay\DapPlayer1.0.0.41.dll
我已经将该信息提交给迅雷官方,相信迅雷官方会尽快更新软件,
在此,网络巡警提醒大家,使用迅雷软件请尽量使用最新版本的,最新版本下载地址为:
http://pstatic.xunlei.com/about/product/down_xl5.htm
我会进一步关注此漏洞。
最近情况:
从一些信息来看,含有此漏洞的迅雷版本号为Xunlei Web Thunder 5.6.9.344
最新版的迅雷5.7.2.371 应该无此漏洞,请大家更新~
另外,该漏洞是一个叫做 7jdg 的人挖掘发现的(高手啊)。
——————————–
更新:
该漏洞的CVE数据库信息:CVE-2007-5064
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5064
*******************************************************************************************************************
利用Yahoo! Messenger 8.1.0.421 CYFT ft60.dll ActiveX控件GetFile方式任意文件上传漏洞挂马的病毒已经出现!
截获日期:2007-09-26
从恶意网址检测的消息,发现了一个恶意网址使用“雅虎通CYFT ft60.dll ActiveX控件GetFile方式任意文件上传漏洞”进行挂马,再次提醒广大用户警惕,请将Yahoo! Messenger 升级到最新版本,目前该软件最新版本为雅虎通8.3正式版。
该恶意网址的EXP代码如下:
详细代码可以看我写的文章《紧急预警:利用Yahoo! Messenger 8.1.0 ActiveX控件漏洞挂马的病毒已经出现!》
雅虎通的CYFT ActiveX控件实现上存在漏洞,远程攻击者可能利用此漏洞向用户系统上传任意文件。CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤,远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件,但是相关的控件默认情况下不能远程调用。
该漏洞是由shinnai ([email protected])发现的。
该漏洞的CVE数据库信息CVE-2007-5017:http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5017
该漏洞在milw0rm上的Shellcode代码:Yahoo! Messenger 8.1.0.421 CYFT Object Arbitrary File Download
解决方案:
请下载最新版本的Yahoo! Messenger ,官方下载地址:http://cn.messenger.yahoo.com/
***********************************************************************************************************************************
联众游戏、超星阅读器0-Day
截获日期:2007-10-19
这两个网马漏洞是虽着ARP病毒传播开来的,相WEB页面中注入恶意网址链接。
其中:
联众游戏有漏洞的组件为:C:\Program Files\GlobalLink\Game\Share\GLChat.ocx, GlobalLink
其 CLSID:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
超星阅读器有漏洞的组件为:C:\WINDOWS\system32\pdg2.dll
其 CLSID:7F5E27CE-4A5C-11D3-9232-0000B48A05B2
联众游戏GLChat.ocx 2.5.1.32 组件漏洞CVE数据库信息:CVE-2007-5722
超星阅读器SSReader Pdg2 组件漏洞CVE数据库信息:CVE-2007-5892
该恶意网址的EXP代码如下:
详细代码可以看我写的文章《ARP病毒携新应用软件漏洞(联众游戏、超星阅读器 0-Day)大肆传播》
*********************************************************************************************************************************
迅雷5-迅雷看看(Thunder KanKan)组件漏洞
截获日期:2007-11-14
pplayer.dll 组件版本号:1.2.3.49,CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F.
该组件内的一个函数FlvPlayerUrl上,存在边界检查不严格的问题,当向其传递过长参数时,会导致程序溢出。病毒作者可以利用这个缺陷,精心编写Shellcode,溢出,然后可以下载任意恶意病毒文件。
CVE数据库信息:CVE-2007-6144
该恶意网址的EXP代码如下:
详细代码可以看我写的文章《迅雷5又(这次怎么多了一个又字)出现0-Day漏洞?!》
***********************************************************************************************************
RealPlayer 漏洞
截获日期:2007-11-23
这个于今年10月18日批露的漏洞,源于RealPlayer 播放器中的MPAMedia.dll 提供的数据库组件,在处理播放列表名时存在栈溢出漏洞,可以使用ierpplug.dll提供的IERPCtl ActiveX 控件导入一个特殊的播放列表让RealPlayer读取,病毒作者可以通过构造包含此漏洞触发代码的恶意网页,当用户不小心浏览过该网页时,如果电脑中安装的RealPlayer 播放器版本包含此漏洞,就可以触发这个溢出,导致执行任意代码。
影响版本:RealPlayer 11 Beta
RealPlayer 10.5
该漏洞CVE数据库信息:CVE-2007-5601
该恶意网址的EXP代码如下:《预警:RealPlayer 漏洞挂马已现身江湖》
*******************************************************************************************************
McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞网马
截获日期:2007-12-17
McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞
(McAfee Security Center集中配置GUI远程溢出漏洞)
一个利用McAfee McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞编写的网页木马,含有漏洞溢出的控件名称为 MCSUBMGR.DLL, (McAfee Subscription manager module 6.0.0.13),特征的clsid:9BE8D7B2-329C-442A-A4AC-ABA9D7572602
该恶意网址的EXP代码可参考文章:《杀软也疯狂!利用McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞网马已出现》