你召唤卦卜
抽签卦卜
在线算命
星座运势
姓名姻缘
周公解梦

实用工具
日 历
黄 历

八字推算
每日号外
风向标


·爱生活
·爱他人
·爱自己
·爱卦卜
   

 

欢迎你进入神秘的卦卜网站

号外号外~ 看看每天推荐啥~

本站每天都会找一个好玩的推荐给大家,如果你实在在网络里没啥好玩的话,点这里看网剧

最近更新:2008-9-2 17:48:17
来源网址:http://tech.techweb.com.cn/thread-254995-1-1.html 推荐人:guabu
1、缘起    30号,群里一网友发送一个URL链接,说是其最近开通的个人空间,让我去看看。安全其间,我在虚拟机中打开了该网站链接。大概3秒钟,感觉虚拟机速度明显变慢。作为一名安全爱好者,直觉告诉我,可能是中招了。于是在命令下(cmd.exe)下,输入命令netstat -ano 发现了两个可疑连接,端口号分别为4778、2407同时连接到*.30.66.*,连接状态为“ESTABLISHED”。
'J*G;Q)\$Q8g%`&~7J*\tech.techweb.com.cn
3\*u*L)^0S7?1F,R*s    2、追踪
6v5l6i:P-s&S程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛 程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛4x.K%^9a:{/\'_:z"J0Y'x9A
    难道中了网页木马?查看该网页的源代码没有发现可疑代码。于是重启一个虚拟机,该虚拟机笔者打上了最新的系统补丁,杀毒软件为瑞星并且病毒库升级到最新。笔者重新打开该链接,结果和第一个虚拟机一样在命令行下发现了可疑的网络连接。
'S-A)F8_&?tech.techweb.com.cn    由于补丁包为最新,这说明虚拟机不是通过系统漏洞中招的;瑞星没有反应,这说明该木马可能是通过一种未知的新漏洞下载运行的,而且做了过瑞星的免杀处理。1L"d"O0W4]3t1^%I1k
    于是笔者重新查看源代码,查看代码的过程中一个URL链接的mm.swf引起了笔者的注意。这应该是链接到一个flash文件。但是笔者注意到打开该网页并没有看到什么flash动画。笔者查看IE临时文件夹,在其中发现了这个mm.swf文件,其大小为1KB。很显然,这个swf文件就非常可疑,难道这就是笔者前几天在某安全 站点看到的flash0day?8e3V$Z$N,Z0A,x7r:u8y
&w!i/X!}(e5Q;w)O*z
    3、分析TechWeb-技术社区!x&E4F6N!e!K3A7{
    笔者上网查看,在5.29号发布了一个flash漏洞,该flash0day属于高危漏洞,允许任意代码执行。笔者决定用记事本打开看看,说不定能够发现放马者的相关信息。结果用记事本打开发现全部是乱码,应该是加密了。
W*[-I'C9N
"C4|8q3j*gTechWeb-技术社区    由于是flash文件其解密不同于一般的文件。运行Imperator FLA,这时一个可以把flash(swf文件)还原成fla文件(flash源文件)的工具。经过转换得到一个mm_.fla文件。然后用记事本打开,经过分析发现了一个可疑连接http://syxh*.*.53dns.com/520/mm.exe,很明显这应该是放马者的木马地址。TechWeb-技术社区 G }-Y#M&v*a

*~&|#U!K'B    笔者下载该木马,然后在虚拟机中运行,果然在命令行下发现了和上面一样的可疑连接。以上测试证明,笔者最开始就是通过这个最新的flash0day中的招。
/M/f3H%Z(g0L    4、利用程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛)])T3E"T1p9\)J(q&@+},m8|
    为了进一步测试,笔者修改mm_.fla中的http://syxh*.*.53dns.com/520/mm.exe为http://127.0.0.1/notepad.exe。然后用flash 8.0打开该mm_.fla文件重新生成mm.swf文件。接下来笔者在一部署了IIS的server 2003的虚拟机中拷贝notepad.exe到站点根目录,然后双击打开mm.swf文件结果打开了记事本程序。6S9^*G0S0t8n h5}
    至此,我们不但揭开了该Flash网马的运行机制,同时也获得了一个flash0day,在安全测试中只需更改URL连接即可。
*}'I)h.j2E1V'U$J7|7r    5、提示
)i4i#j.B;r程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    由于该flash0day为最新发布或者还没有发布,经过笔者测试在打齐最新补丁的系统中,无论是IE还是火狐等浏览器都无一幸免受该漏洞的影响,而且主流的杀毒软件都不报毒。同时笔者试着下载了最新版本的新版本的flash播放器,经测试也受该漏洞的影响。5t"X$T:E4n
    事后笔者询问QQ群中的该网友,他说该flash0day是从某牛人那里买的,没有生成器,是它告诉木马链接由卖家生成的。)R |+_6y0@/i$C
    因此,该flash0day目前还没有有效的防范措施,一个折中的方法是近期最好关闭浏览器的flash的播放。另外,不要轻易打开别人给的URL连接或者flash游戏、flash短片等。
随机一次号外 | 一周号外榜

首页 | QQ吉凶测试 | QQ号码价值评估 | 姓氏姻缘 | 生日测试 | 手机号码价格评估| 快来测试下你在全球的贫富等级

收集整理最新好玩的给大家. 复制本帖链接

也许推荐的东东或者很无聊

小心有善意的恶作剧哈,比如别在本页双击鼠标

提示:结果纯属娱乐,仅供消遣