近期网马漏洞不完全总结

network

近期网马漏洞不完全总结
2007-09-17 09:05

近期网页木马层数不穷（其实从来也没少过），与以往稍微不同的是，在“黑客”玩烂经典网马漏洞了MS0-014和MS07-017之后，在使用了各种加密，跳转，框架包含之后，随着用户安全意识的提高（稍微高了那么一点点，知道打补丁了），系统漏洞的已经被最大限度地使用了，今年随着WEB讯雷惊暴漏洞之后，雅虎通漏洞，百度搜霸漏洞，PPStream ，暴风影音II，QQ场景，新浪UC ，MSN Messenger 视频漏洞，联众世界游戏大厅，各主流应用软件仿佛赶集似的出现0-Day漏洞，而且都以迅雷不及掩耳盗铃之势被病毒作者利用，往日为我们工资、学习和娱乐带来便捷和快乐的软件，仿佛一夜之间变得青面獠牙，成为病毒传播的快速通道！ ActiveX控件远程代码执行漏洞 百度搜霸ActiveX控件远程代码执行漏洞：08月02被漏洞分析大牛cocoruder发现，漏洞存在于由ActiveX控件"BaiduBar.dll"导出的"DloadDS()"函数中，其控件对应的CLSID:A7F05EE4-0426-454F-8013-C41E3596E9E9 。近期的aaa.369678.cn，851733.cn 等恶意网址就使用了该漏洞进行木马传播。 百度搜霸漏洞CVE漏洞数据库信息：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4105 PPStream 堆栈溢出：我是在09月3号发现利用该漏洞传播的网页木马的，但实际情况可能会更早些。 ，其控件对应的CLSID:5EC7C511-CD0F-42E6-830C-1BD9882F3458 。 近期的www.851733.cn，www.121161.com，xxx.745970.com，www.souxse.cn 等恶意网址就使用了该漏洞进行木马传播。 PPStream 漏洞CVE漏洞数据库信息：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4748 暴风影音2 mps.dll组件多个缓冲区溢出漏洞：近期很热门的漏洞，其控件对应的 CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB 。 如果向MPS.StormPlayer.1 ActiveX控件(mps.dll)中的rawParse()和advancedOpen()方式和URL属性发送了超长字节的话，或诱骗用户打开的.SMPL文件包含有超长path字符串的话，就可以触发栈溢出，导致执行任意指令。 近期的 955922.cn，debae.cn，745970.com 等恶意网址就使用了该漏洞进行木马传播。 暴风影音2漏洞CVE漏洞数据库信息：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4816 解决这些软件漏洞带来的隐患最好办法当然还是升级管方补丁了，临时解决办法是在注册表中设置相应的 killbit 。 如暴风影音的： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}] "Compatibility Flags"=dword:00000400 病毒作者在用腻了系统漏洞后，霍然间发现了应用程序漏洞这篇广阔的天空， 不知道从此以后还有多少应用程序在为我们提供服务的同时，也会沦落为病毒作者手中的病毒下载快速通道。 这些厂商在依靠其广泛用户群获取丰厚的利润的同时，也承担着很大的责任，因为其产品一旦出现严重漏洞，则立即会成为病毒传播的“快速通道”。在此我也真诚的希望这些应用软件厂商或者流行软件作者，在编写代码的时候做好安全检查，