2007年度网马漏洞不完全总结

2007年度，网页木马层数不穷（其实从来也没少过），与以往稍微不同的是，在“黑客”玩烂经典网马漏洞了MS0-014和MS07-017之后，在使用了各种加密，跳转，框架包含之后，随着用户安全意识的提高（稍微高了那么一点点，知道打补丁了），系统漏洞的已经被最大限度地使用了，今年随着WEB讯雷惊暴漏洞之后，雅虎通漏洞，百度搜霸漏洞，PPStream ，暴风影音II，QQ场景，新浪UC ，MSN Messenger 视频漏洞，联众世界游戏大厅，各主流应用软件仿佛赶集似的出现0-Day漏洞，而且都以迅雷不及掩耳盗铃之势被病毒作者利用，往日为我们工资、学习和娱乐带来便捷和快乐的软件，仿佛一夜之间变得青面獠牙，成为病毒传播的快速通道！

百度搜霸ActiveX控件远程代码执行漏洞：08 月02被漏洞分析大牛cocoruder发现，漏洞存在于由ActiveX控件"BaiduBar.dll"导出的"DloadDS()"函数中，其控件对应的CLSID:A7F05EE4-0426-454F-8013-C41E3596E9E9 。近期的aaa.369678.cn，851733.cn 等恶意网址就使用了该漏洞进行木马传播。
百度搜霸漏洞CVE漏洞数据库信息：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4105

PPStream 堆栈溢出：我是在09月3号发现利用该漏洞传播的网页木马的，但实际情况可能会更早些。
，其控件对应的CLSID:5EC7C511-CD0F-42E6-830C-1BD9882F3458 。
近期的www.851733.cn，www.121161.com，xxx.745970.com，www.souxse.cn 等恶意网址就使用了该漏洞进行木马传播。
PPStream 漏洞CVE漏洞数据库信息：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4748

暴风影音2 mps.dll组件多个缓冲区溢出漏洞：近期很热门的漏洞，其控件对应的
CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB 。
如果向MPS.StormPlayer.1 ActiveX控件(mps.dll)中的rawParse()和advancedOpen()方式和URL属性发送了超长字节的话，或诱骗用户打开的. SMPL文件包含有超长path字符串的话，就可以触发栈溢出，导致执行任意指令。
近期的 955922.cn，debae.cn，745970.com 等恶意网址就使用了该漏洞进行木马传播。
暴风影音2漏洞CVE漏洞数据库信息：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4816

解决这些软件漏洞带来的隐患最好办法当然还是升级管方补丁了，临时解决办法是在注册表中设置相应的
killbit 。
如暴风影音的：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
"Compatibility Flags"=dword:00000400

病毒作者在用腻了系统漏洞后，霍然间发现了应用程序漏洞这篇广阔的天空，
不知道从此以后还有多少应用程序在为我们提供服务的同时，也会沦落为病毒作者手中的病毒下载快速通道。
这些厂商在依靠其广泛用户群获取丰厚的利润的同时，也承担着很大的责任，因为其产品一旦出现严重漏洞，则立即会成为病毒传播的“快速通道”。在此我也真诚的希望这些应用软件厂商或者流行软件作者，在编写代码的时候做好安全检查，
隐隐的担忧!
--------------------------------------------------------------------------------------------------------------
2007.11.15 更新：
jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit
该漏洞在2007年的9月19日由 h07安全组织的Krystian Kloskowski (h07@interia.pl) 发布，我于2007-09-24 日截获，其漏洞攻击代码发布在milw0rm.com 上，文章为
jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit
今天就发现了一个利用该漏洞进行挂马的病毒，代码如下：
详细代码请看我以前写的文章《紧急警报！网马漏洞又出新0-Day！汗！》
该漏洞可以将病毒文件*.exe 下载并替换成Program Files\\JetAudio\\JetAudio.exe应用软件，其实这可以替换成任意文件，也可以添加到开机自启动目录中，等待下次开机执行病毒，阴险啊～～～
该漏洞的CVE数据库信息：
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4983

[1] [2] 下一页