发现利用日期:2010-1-20

预计利用率提升几率 : 高▁▂▃▄▅▆

被挂马网站: wwaa4.7766.org
挂马页: hxxp://wwaa4.7766.org:2988/log/ie.html
漏洞名:  Vulnerability in Internet Explorer could allow remote code execution
(先前称为:The "Aurora" IE Exploit (CVE-2010-0249))
CLSID: -
软件:  Microsoft Internet Explorer
版本: 6/6 SP1/7/8 (2K SP4/XP SP2,SP3/2K3 SP2/VISTA GOLD,SP1,SP2/2K8 GOLD,SP2,R2/WIN 7)
New exploit? Yes (published earlier than 2010.1.7)
*(相关信息:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249)
*(相关信息:http://support.microsoft.com/kb/979352)

在这儿的趋势大概是:
2010/1/15: 卡饭有帖子提及 (原帖:http://bbs.kafan.cn/thread-629666-1-1.html
2010/1/19: 出现挂马(挂马不成功,漏掉了关键URL部分)当时挂马地址是:hxxp://66cc.7766.org:2988/dz/ie.html (已失效,网友提供)

2010/1/20: 出现利用页。

-----------------------------------------

关于:hxxp://wwaa4.7766.org:2988/log/ie.html解密的日志(全体输出 -  3):

Level  0>hxxp://wwaa4.7766.org:2988/log/ie.html
Level  1>hxxp://wwaa4.7766.org:2988/log/what.jpg
Level  2>hxxp://teepsnp.3322.org:8277/log.css

日志由 Redoce2.0第86次修正版于 2010-1-20 22:28:23 生成。

-----------------------------------------
“漏洞调用一个已删除对象的指针触发漏洞,执行之前填充到内存空间中的代码。”
“此漏洞利用了mshtml.dll中一处访问堆中已释放内存的行为,从而执行任意代码。”
-----------------------------------------
测试:IE7 XP SP2未成功。程序试图访问0c0d0c0d(看样子是这个)不过出了点偏差。
 
测试代码组合自毒网,失败:
 
测试代码来自生成器,失败:
-----------------------------------------