金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.释放病毒文件 %Temporary Internet Files%Content.IE5C4DGV5NI17PHolmes[1].cmt %WINDOWS%mrofinu2000352.exe 文件名都是随机生成的
行为分析:
这是一个利用 Firefox 浏览器漏洞进行攻击的病毒。安装了Firefox的机器,在调用特定的协议处理器时存在命令注入漏洞,此病毒通过这一漏洞运行起来,帮助远程攻击者在用户机器上执行任意命令。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.释放病毒文件 %Temporary Internet Files%Content.IE5C4DGV5NI17PHolmes[1].cmt %WINDOWS%mrofinu2000352.exe 文件名都是随机生成的
行为分析:
这是一个利用 Firefox 浏览器漏洞进行攻击的病毒。安装了Firefox的机器,在调用特定的协议处理器时存在命令注入漏洞,此病毒通过这一漏洞运行起来,帮助远程攻击者在用户机器上执行任意命令。
描述:
1.释放病毒文件
%Temporary Internet Files%Content.IE5C4DGV5NI17PHolmes[1].cmt
%WINDOWS%mrofinu2000352.exe
文件名都是随机生成的
2.创建服务并开启来加载文件,使其随系统启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
runner1
"%WINDOWS%mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
另外
HKEY_CLASSES_ROOTWR
HKEY_CLASSES_ROOTWR cmd "61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_CLASSES_ROOTWR version "83"
HKEY_CLASSES_ROOTWR nextupdate dword:48438d27
HKEY_LOCAL_MACHINESOFTWAREClassesWR
HKEY_LOCAL_MACHINESOFTWAREClassesWR cmd "61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_LOCAL_MACHINESOFTWAREClassesWR version "83"
HKEY_LOCAL_MACHINESOFTWAREClassesWR nextupdate dword:48438d27
3.病毒会用cmd命令删除自身
4.在Windows系统上,如果安装了Firefox的话,Firefox会安装一些Mozilla专用协议(如FirefoxURL和FirefoxHTML)的协议处理器.
如果Windows遇到了无法处理的URL协议,就会在Windows注册表中搜索适当的协议处理器,找到了正确的处理器后就会向其传送URL字
符串,但没有执行任何过滤。假设在Windows系统上安装了Firefox且注册了FirefoxURL协议处理器,通常这个协议处理器的的shell
open命令如下:
[HKEY_CLASSES_ROOTFirefoxURLshellopencommand@]
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE -url “%1″ -requestPending
当Internet Explorer遇到了对FirefoxURL URL方案中内容的引用时,会以EXE镜像路径调用ShellExecute,并未经任何输入验证便
传送了整个请求URI。比方有以下请求:
FirefoxURL://Phol" –argument "my_value 会导致使用以下命令行启动Firefox:
“C:PROGRA~1MOZILL~2FIREFOX.EXE” -url “firefoxurl://Phol" –argument "my_value/” –requestPending
因此可以对firefox.exe进程指定任意参数,这就等于获得了-chrome命令行参数,因为攻击者可以指定任意Javascript代码,然后以
可信任Chrome内容的权限执行。
1.释放病毒文件
%Temporary Internet Files%Content.IE5C4DGV5NI17PHolmes[1].cmt
%WINDOWS%mrofinu2000352.exe
文件名都是随机生成的
2.创建服务并开启来加载文件,使其随系统启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
runner1
"%WINDOWS%mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
另外
HKEY_CLASSES_ROOTWR
HKEY_CLASSES_ROOTWR cmd "61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_CLASSES_ROOTWR version "83"
HKEY_CLASSES_ROOTWR nextupdate dword:48438d27
HKEY_LOCAL_MACHINESOFTWAREClassesWR
HKEY_LOCAL_MACHINESOFTWAREClassesWR cmd "61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_LOCAL_MACHINESOFTWAREClassesWR version "83"
HKEY_LOCAL_MACHINESOFTWAREClassesWR nextupdate dword:48438d27
3.病毒会用cmd命令删除自身
4.在Windows系统上,如果安装了Firefox的话,Firefox会安装一些Mozilla专用协议(如FirefoxURL和FirefoxHTML)的协议处理器.
如果Windows遇到了无法处理的URL协议,就会在Windows注册表中搜索适当的协议处理器,找到了正确的处理器后就会向其传送URL字
符串,但没有执行任何过滤。假设在Windows系统上安装了Firefox且注册了FirefoxURL协议处理器,通常这个协议处理器的的shell
open命令如下:
[HKEY_CLASSES_ROOTFirefoxURLshellopencommand@]
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE -url “%1″ -requestPending
当Internet Explorer遇到了对FirefoxURL URL方案中内容的引用时,会以EXE镜像路径调用ShellExecute,并未经任何输入验证便
传送了整个请求URI。比方有以下请求:
FirefoxURL://Phol" –argument "my_value 会导致使用以下命令行启动Firefox:
“C:PROGRA~1MOZILL~2FIREFOX.EXE” -url “firefoxurl://Phol" –argument "my_value/” –requestPending
因此可以对firefox.exe进程指定任意参数,这就等于获得了-chrome命令行参数,因为攻击者可以指定任意Javascript代码,然后以
可信任Chrome内容的权限执行。
回复
评论病毒
