穿破 comodo v5.10 (.hta 文件)

岁月遐想

只要将浏览器缓存文件里的所有文件直接应用隔离的文件规则然后禁止所有应用程序运行缓存文件夹里的文件就什么事都没了，里面的东东还有什么可以运行的起来

a256886572008

悲劇，沙盤漏了。

细细的票根

sanhu35 发表于 2012-6-3 20:16
重要的是mshta.exe被利用  标记为安全

你换了个头像,还有点不习惯...

Couphine

a256886572008 发表于 2012-6-3 20:39
悲劇，沙盤漏了。

看这个代码，貌似没啥危害啊～ 貌似是检测sl，但是在代码中，貌似sl地址弄错了
c:\Program Files\Microsoft Silvrelight 应该是c:\Program Files\Microsoft Silverlight

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>SilverLightPlayer</title>
<Script Language="VBScript">
sub checkSilverLight(mv)
        dim fso, dirSilverLight, fs
        fs = 2
        Set fso = CreateObject("Scripting.FileSystemObject")
        dirSilverLight = "c:\Program Files\Microsoft Silvrelight"
        if fs = 0 then
                Location.Href = "/movie/CompWinMov.php?_mv=" & mv & "&slv=yes"
        else
                Location.Href = "/movie/CompWinMov.php?_mv=" & mv
        end if
end sub
on error resume next
winwidth = 600
winheight = 400
'リサイズ
window.resizeTo winwidth,winheight
positionX = -2 * winwidth
positionY = -2 * winheight
window.moveTo positionX, positionY

sub window_onLoad()
checkSilverLight "g25211"
end sub
</Script>

</head>
<body>
<HTA:APPLICATION
    APPLICATIONNAME="SilverLightChecker"
    ID="SilverLightChecker"
    VERSION="1.0"
    SINGLEINSTANCE="yes"
    SHOWINTASKBAR="no"
    NAVIGABLE="yes"
    WINDOWSTATE="normal"
    BORDER="none"
    INNERBORDER="no"
    BORDERSTYLE="normal"
    CONTEXTMENU="no"
    SELECTION="no"
    SCROLL="no"
    SCROLLFLAT="no"
    CAPTION="no"
    ICON=""
    SYSMENU="no"
    MAXIMIZEBUTTON="no"
    MINIMIZEBUTTON="no"
/>
STEP1 - g25211
</body>
</html>

sanhu35

细细的票根 发表于 2012-6-3 20:57
你换了个头像,还有点不习惯...

我会经常换的，说不定还要换回去

细细的票根

sanhu35 发表于 2012-6-3 21:05
我会经常换的，说不定还要换回去

好啊,,可以看更多萌妹纸.

柯林

a256886572008 发表于 2012-6-3 20:39
悲劇，沙盤漏了。

是否沙盘漏了，还真不好说，分别在CPS和CIS测试过——如果直接下样本hta到本地运行，确实被沙盘隔离；如果是在浏览器中点击运行，则无反应，直接调用了mshta.exe——看日志，有一条IE访问Svchost.exe的com接口，猜想是IE在处理该文件时，直接报告有这样一个文件，然后系统根据文件打开方式，调用mshta.exe来处理。

第二个用记事本打开是：
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=euc-jp">
<meta http-equiv="refresh" content="1;URL=http://www.hornet-wasp.com/regist1.php?s=3&d=31&f=01&p=51823169">
<title>AC</title>
<Script Language="VBScript">

window.resizeTo 600,400
xxx = ( screen.availWidth - 600) / 2 + 75
yyy = ( screen.availHeight - 400 ) / 2 + 50
window.moveTo xxx, yyy

</Script>
</head>
<body>
<HTA:APPLICATION
    APPLICATIONNAME="adultcollection"
    ID="lhaplus"
    VERSION="1.0"
    SINGLEINSTANCE="yes"
    SHOWINTASKBAR="no"
    NAVIGABLE="yes"
    WINDOWSTATE="normal"
    BORDER="none"
    INNERBORDER="no"
    BORDERSTYLE="normal"
    CONTEXTMENU="no"
    SELECTION="no"
    SCROLL="no"
    SCROLLFLAT="no"
    CAPTION="no"
    ICON=""
    SYSMENU="no"
/>
<script type="text/VBScript.Encode">

</script>
</body>
</html>

看到脚本的com接口VBScript，禁止浏览器访问这接口，不知道效果如何。

这类东东，已知的有效防御方法有：mshta.exe丢拦截区，或者最直接的改hta文件的打开方式为记事本。毛豆默认规则确实瞎了，只有防火墙还起个用。

老虎猫

moguimax 发表于 2012-6-3 16:25
为什么老虎猫的规则。不能看这A片啊！网站进去了，点运行就被关掉了

这么喜欢看毛片啊？下个快播。网站一收一大堆！

老虎猫

tgcn 发表于 2012-6-3 17:19
第一，我开的是疯狂模式，我想打磨规则的都会开疯狂吧;
第二，你说的hta文件在这里
第三，建立注册表启 ...

都svchost.exe 创建mshta.exe    感觉有点晚了。

zilch

我的MD+ESS4.2防火墙交互模式没有任何反应。居然能够直接看。