昨天我到妹妹家玩,看到她在用迅雷5下載電影,不由得驚出一身冷汗。因為迅雷5最近爆出了一個高危漏洞,黑客利用它可以實現遠程溢出,控制受害者的電腦,使其成為黑客的“肉雞”。什麼?你沒有聽說過這個漏洞?那就快看看本文,早點做好安全防護。
迅雷5 ActiveX控件可實現遠程溢出
Web迅雷的高危漏洞才爆出沒有多久,最近Web迅雷的老大哥,迅雷5也出現了一個高危的漏洞。經過測試發現,迅雷 5.6.9.344版本的ActiveX控件上存在多個緩沖區溢出漏洞,遠程攻擊者可以利用此漏洞控制用戶系統。
經過我的試驗,迅雷5中的DPClient.Vod.1 ActiveX控件文件,在處理傳送給DownURL2()的參數的時候會造成數據溢出。這樣如果用戶受騙訪問了惡意網頁的話,就可能觸發軟件緩沖區溢出,會讓遠程攻擊者執行任意指令。
惡意代碼“攻陷” 迅雷5
第一步:首先配置一個木馬的服務端程序,然後將它上傳到自己的網絡空間中,這樣就得到了木馬地址。現在我們對這個木馬地址進行加密處理。在搜索引擎裡面搜索“網頁加密”,接著在搜索到的加密網站裡面,比如http://www.cha88.cn/safe/shellcode.Php,輸入木馬地址後點擊“Ascii→Unicode”即可。
第二步:現在配置迅雷漏洞的利用網頁。tW.WInGwiT.cOM由於沒有現成的漏洞生成工具,因此只有修改網絡中現成的漏洞代碼。在源代碼中有如下的一句信息:“%u6946%u656c%u0041%u7468%u7074此處為需要下載病毒的網址%u0000”,現在只需要將加密後的網頁木馬地址,復制到代碼裡面指定的位置就可以了。
稍微對網頁木馬了解的朋友一定注意到了,這段代碼的風格和前段時間的《暴風影音Ⅱ》ActiveX棧溢出漏洞利用代碼頗為相似,尾部都是為%u7468%u7074+此處為需要下載病毒的網址+%u0000,唯一的差別就是迅雷漏洞中ActiveX控件的CLSID為:EEDD6FF9-13DE-496B-9A1C-D78B3215E266。
第三步:漏洞利用的網頁木馬創建完成後,同樣將它上傳到網絡空間中,然後利用即時通訊工具、電子郵件等方式將它傳播出去。這樣只要遠程用戶安裝了迅雷5的話,只需要點擊進入該木馬鏈接,網頁腳本就會自動激活迅雷的ActiveX漏洞,然後下載運行設定的木馬程序。當成功連接遠程木馬後,就可以通過客戶端執行相應的控制命令了。
防范技巧
目前迅雷公司已經推出了全新的迅雷5.7.3.389版,用戶只需要及時更新到軟件的最新版本,就可以避免成為黑客控制的肉雞。
安裝最新版本的《IE衛士》程序(軟件下載地址:http://www.cpcw.com/bzsoft),通過防范網頁木馬的方式來保護系統。以後當訪問含有迅雷漏洞的網頁後,《IE衛士》就會彈出一個提示窗口(圖3),告知用戶有網頁木馬並且讓用戶進行適當的選擇。
黑客猛挖應用軟件漏洞
在黑客玩膩了系統漏洞以後,又將眼光瞄向了應用軟件的漏洞,因此在今年一大批軟件漏洞被黑客不斷地挖掘出來。比如今天介紹的迅雷5漏洞,由於迅雷的使用面較廣,再加上漏洞的利用形式是網頁木馬,因此會給用戶造成巨大危害。用戶平時除了關注系統漏洞以外,還需要進一步關注常用應用軟件的漏洞,那些喜歡使用老版本軟件的用戶尤其要注意。
From:http://tw.wingwit.com/Article/Network/201309/393.html