请各位测试一下CHM漏洞是否又再生效了

dikex

后记：
突然有了这样的一个想法：那个chm文件就像可执行文件一样，人家给你了，你双击打开当然会中招了！
那么微软的补丁到底修复了些什么呢？
我想应该就是防止在IE里面加载这些有问题的文件，使得相关的网马失效。
测试了一下，果然利用IE加载那些文件的话，打开相关的网页是不会中招的，但下载下来后直接双击那个文件则会中招。
或许这个就是答案了，白忙了一个晚上，哭……
好了，以后继续直接跑到毒网上面抓毒了，不用开其他东西那么麻烦……

-----------------------------------------------------------------------------------------------------------------------

发现ms06-046貌似也是相关的补丁，但重新打后还是一样，尝试一下弄个新的系统，重新打所有补丁，之后看看

今天遇到怪问题了，一个利用CHM漏洞（ms05-026）的样本在我这里生效了，小G和我的测试结果一致（winxp sp2）；
而微软那里显示我的重要补丁已经打全了，重新打了这个补丁也如此！

记得以前曾经也测试过相关样本，在打了补丁后是可以防住的，但现在漏洞又再生效了，不知是否个别问题，所以想请各位测试一下附件中的样本

测试系统请打上微软的所有终于补丁，包括最新的

附件有两个相关的chm文件，各位测试一下吧

[ 本帖最后由 dikex 于 2007-12-28 01:55 编辑 ]

Nerazzurri

C:\Documents and Settings\Nerazzurri\桌面\chm.rar » RAR » 3131.chm » CHM » /mm.exe - Win32/Drowor.NAD virus

dikex

原帖由 Nerazzurri 于 2007-12-27 22:19 发表
C:\Documents and Settings\Nerazzurri\桌面\chm.rar » RAR » 3131.chm » CHM » /mm.exe - Win32/Drowor.NAD virus

麻烦楼上的看一下内容，那两个文件肯定是有毒的，而我是想找人测试……

挪威的冬天

沙盘跑了下...当然先关闭了监控

应该算成功感染了吧...这是随后打开监控后的监控查杀日志 一堆东西被感染






查了一下 MS05-26 对应的就是 KB896358 我打了

以下是监控日志 蛮多东西被感染 应该可以认定为漏洞生效了吧 期间 IE 被后台调用


病毒 2007-12-27  22:26:26 病毒在文件C:\Sandbox\Norways_Winter\__Delete_VirusTest_01C84894768B27D0\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 处理成功（操作：删除）
病毒 2007-12-27  22:26:25 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\World in Conflict\wic_online.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:25 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\World in Conflict\wic_ds.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:24 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\World in Conflict\wic.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:24 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\W3GMaster\W3GMaster.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:23 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\W3GMaster\msetup_Replays.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:23 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\worldedit.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:23 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\World Editor.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:23 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\Warcraft III.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:22 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\UNWISE.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:22 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\TToR.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:22 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\RegSetup.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:21 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\mpqadd.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:21 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\Frozen Throne.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:21 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\WC3\BNUpdate.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:20 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Warcraft III\worldedit.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:19 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Warcraft III\World Editor.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:19 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Warcraft III\Warcraft III.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:19 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Warcraft III\Frozen Throne.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:19 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Warcraft III\BNUpdate.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:17 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Tank Race\uninst.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:17 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Tank Race\starcraft.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:17 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Tank Race\cleanup.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:16 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Homeworld II\Bin\Release\Homeworld2.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:16 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Homeworld II\UNWISE.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:15 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\附加资源包\LOGO制作工具\QLUMPY.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:15 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\附加资源包\LOGO制作工具\HLC.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:15 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\附加资源包\SKdemoplayer.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:15 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\附加资源包\CDKey生成器.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:14 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\cstrike\maps\ripent.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:14 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\voice_tweak.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:14 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\unins000.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:13 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\hltv.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:13 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\hlds.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:13 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\HL.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:13 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\E\Game\Counter Strike\cstrike.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:12 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\Ultra Video Splitter\uninst.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:12 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\Ultra Video Splitter\Ultra Video Splitter.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:12 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:11 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\Ultra Video Splitter\soft2cn．com汉化说明.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:11 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:11 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:11 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\Okoker All Video Splitter\unins000.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:11 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:10 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\Okoker All Video Splitter\Okoker All Video Splitter.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:10 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\SETUP\OSE.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\PFILES\MSOFFICE\OFFICE11\OFFCLN.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DWTRIG20.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:08 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:07 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\FlashGet Incoming\IceSword122en\IceSword122en\IceSword.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:07 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:03 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\F\FlashGet Incoming\WindowsXP-KB885835-x86-CHS.exe中 Win32.Troj.LwyLoad.a.546 处理成功（操作：清除）
病毒 2007-12-27  22:26:03 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:02 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:02 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:01 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:26:00 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）
病毒 2007-12-27  22:25:58 病毒在文件C:\Sandbox\Norways_Winter\VirusTest\drive\C\WINDOWS\system\internat.exe中 Win32.DroworT.a.126976 拦截成功（文件被禁止访问）

leonfg

难道这个漏洞打上了吗？昨天还有个样本 我虚拟机里运行起作用了

ldh603

没有虚拟机只能看看了

dikex

发现ms06-046貌似也是相关的补丁，但重新打后还是一样，尝试一下弄个新的系统，重新打所有补丁，之后看看

雪落的瞬间

恩昨天我发的那个 也很郁闷 我也是全补丁 ..

还好 对方 意图太明显 我的小红伞 也报警了 ..

不然 那个 东西 运行后有的搞了  ...

dikex

花了N多时间重新搞了个winxp sp2（非修改版本的），然后到微软那里打了所有的补丁，但结果令人失望：有问题的CHM文件仍然成功感染了系统，那个漏洞重新生效了，不知微软在搞什么，各位自己小心了……

看来我最近还是不要直接实际到毒网上面抓毒了，起码要开个沙盘……

dikex

突然有了这样的一个想法：那个chm文件就像可执行文件一样，人家给你了，你双击打开当然会中招了！

那么微软的补丁到底修复了些什么呢？

我想应该就是防止在IE里面加载这些有问题的文件，使得相关的网马失效。

测试了一下，果然利用IE加载那些文件的话，打开相关的网页是不会中招的，但下载下来后直接双击那个文件则会中招。

或许这个就是答案了，白忙了一个晚上，哭……

好了，以后继续直接跑到毒网上面抓毒了，不用开其他东西那么麻烦……