病毒名称(中文):
狐狸洞69712
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
69712
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个利用Firefox浏览器漏洞进行攻击的病毒。安装了Firefox的机器,在调用特定的协议处理器时存在命令注入漏洞,此病毒通过这一漏洞运行起来,帮助远程攻击者在用户机器上执行任意命令。
1.释放病毒文件
%TemporaryInternetFiles%\Content.IE5\C4DGV5NI\17PHolmes[1].cmt
%WINDOWS%\mrofinu2000352.exe
文件名都是随机生成的
2.创建服务并开启来加载文件,使其随系统启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
runner1
"%WINDOWS%\mrofinu2000352.exe61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
另外
HKEY_CLASSES_ROOT\WR
HKEY_CLASSES_ROOT\WRcmd"61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_CLASSES_ROOT\WRversion"83"
HKEY_CLASSES_ROOT\WRnextupdatedword:48438d27
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WRcmd"61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WRversion"83"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WRnextupdatedword:48438d27
3.病毒会用cmd命令删除自身
4.在Windows系统上,假如安装了Firefox的话,Firefox会安装一些Mozilla专用协议(如FirefoxURL和FirefoxHTML)的协议处理器.
假如Windows碰到了无法处理的URL协议,就会在Windows注册表中搜索适当的协议处理器,找到了正确的处理器后就会向其传送URL字
符串,但没有执行任何过滤。假设在Windows系统上安装了Firefox且注册了FirefoxURL协议处理器,通常这个协议处理器的的shell
open命令如下:
[HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command\@]
C:\\PROGRA~1\\MOZILL~2\\FIREFOX.EXE-url“%1″-requestPending
当InternetExplorer碰到了对FirefoxURLURL方案中内容的引用时,会以EXE镜像路径调用ShellExecute,并未经任何输入验证便
传送了整个请求URI。比方有以下请求:
FirefoxURL://Phol"–argument"my_value会导致使用以下命令行启动Firefox:
“C:\PROGRA~1\MOZILL~2\FIREFOX.EXE”-url“firefoxurl://Phol"–argument"my_value/”–requestPending
因此可以对firefox.exe进程指定任意参数,这就等于获得了-chrome命令行参数,因为攻击者可以指定任意Javascript代码,然后以
可信任Chrome内容的权限执行。