2011-9-13 18:20:08 捕获两个最新网马样本 IE + Flash 0day,2011-9-13 18:20:08 捕获两个最新网马样本,IE Peers Objects 漏洞 + Adobe Flash Player 漏洞。
这两个网马,我五、六月打的系统补丁都中,而且无报错、无卡死。
第一个网马,我测试用 IE 6.0 直接中,火狐 5.01 无视,升级系统补丁至最新解决。第二个网马是最新的 Adobe Flash Player 漏洞。
由于原始网马源码过于杂乱,以下公布的代码都经过格式化整理,看起来更顺眼,不影响使用。
同时提供原始网马,下载地址:http://115.com/file/e6vnqa7j。
解决方案:
1、打系统补丁至最新,网马 A 失效。
2、升级 Adobe Flash Player 至当前最新版“Adobe Flash Player 10.3.183.7 (2.98 MB)”,网马 B 失效。
写生成器:
1、极其简单,简单的异或算法,就不多说了。
------------------------------------- ↓ 网马 A ↓ -------------------------------------
|
网马样本1index.htm:
|
|
网马样本1ap.js: function ac2() { |
利用漏洞:
IE Peers Objects 漏洞
挂马地址:
网马分析:
http://w1.bnherw.com:81/index.htm
http://w1.bnherw.com:81/ap.js
http://w1.bnherw.com:81/wow.exe
木马行为:
c:n.scr 创建了
c:DOCUME~1netbarLOCALS~1Temp1315909184.dat 创建了
c:WINDOWSsystem32ksuser.dll 创建了
c:WINDOWSsystem32dllcacheksuser.dll 创建了
c:WINDOWSsystem32TEM1E7.tmp 创建了
c:WINDOWSsystem32midimap.dll 创建了
c:WINDOWSsystem32dllcachemidimap.dll 创建了
360 日志:
时间 拦截内容
18:18:15 已清除 IE浏览器 试图执行恶意脚本 IE Peers Objects 漏洞
18:17:52 已拦截 IE浏览器 访问 http://w1.bnherw.com:81/index.htm [恶意网址]
------------------------------------- ↓ 网马 B ↓ -------------------------------------
|
网马样本2flash.html:
|
利用漏洞:
最新的 Adobe Flash Player 漏洞,漏洞名字不太清楚,没具体去查。
挂马地址:
网马分析:
http://w1.bnherw.com:81/flash.html
http://w1.bnherw.com:81/wow.exe
木马行为:
c:Documents and SettingsnetbarApplication Dataf.exe 创建了
c:DOCUME~1netbarLOCALS~1Temp1315909199.dat 创建了
c:WINDOWSsystem32ksuser.dll 创建了
c:WINDOWSsystem32dllcacheksuser.dll 创建了
c:WINDOWSsystem32TEM1E8.tmp 创建了
c:WINDOWSsystem32midimap.dll 创建了
c:WINDOWSsystem32dllcachemidimap.dll 创建了
文章来源于lcx.cc:2011-9-13 18:20:08 捕获两个最新网马样本 IE + Flash 0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论