Win32.TrojDownloader.Small.69712

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

狐狸洞69712

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

69712

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个利用Firefox浏览器漏洞进行攻击的病毒。安装了Firefox的机器,在调用特定的协议处理器时存在命令注入漏洞,此病毒通过这一漏洞运行起来,帮助远程攻击者在用户机器上执行任意命令。

1.释放病毒文件

%TemporaryInternetFiles%\Content.IE5\C4DGV5NI\17PHolmes[1].cmt

%WINDOWS%\mrofinu2000352.exe

文件名都是随机生成的

2.创建服务并开启来加载文件,使其随系统启动

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

runner1

"%WINDOWS%\mrofinu2000352.exe61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"

另外

HKEY_CLASSES_ROOT\WR

HKEY_CLASSES_ROOT\WRcmd"61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"

HKEY_CLASSES_ROOT\WRversion"83"

HKEY_CLASSES_ROOT\WRnextupdatedword:48438d27

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WRcmd"61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WRversion"83"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WRnextupdatedword:48438d27

3.病毒会用cmd命令删除自身

4.在Windows系统上,假如安装了Firefox的话,Firefox会安装一些Mozilla专用协议(如FirefoxURL和FirefoxHTML)的协议处理器.

假如Windows碰到了无法处理的URL协议,就会在Windows注册表中搜索适当的协议处理器,找到了正确的处理器后就会向其传送URL字

符串,但没有执行任何过滤。假设在Windows系统上安装了Firefox且注册了FirefoxURL协议处理器,通常这个协议处理器的的shell

open命令如下:

[HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command\@]

C:\\PROGRA~1\\MOZILL~2\\FIREFOX.EXE-url“%1″-requestPending

当InternetExplorer碰到了对FirefoxURLURL方案中内容的引用时,会以EXE镜像路径调用ShellExecute,并未经任何输入验证便

传送了整个请求URI。比方有以下请求:

FirefoxURL://Phol"–argument"my_value会导致使用以下命令行启动Firefox:

“C:\PROGRA~1\MOZILL~2\FIREFOX.EXE”-url“firefoxurl://Phol"–argument"my_value/”–requestPending

因此可以对firefox.exe进程指定任意参数,这就等于获得了-chrome命令行参数,因为攻击者可以指定任意Javascript代码,然后以

可信任Chrome内容的权限执行。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航