昨天我到妹妹家玩,看到她在用迅雷5下载电影,不由得惊出一身冷汗。因为迅雷5最近爆出了一个高危漏洞,黑客利用它可以实现远程溢出,控制受害者的电脑,使其成为黑客的“肉鸡”。什么?你没有听说过这个漏洞?那就快看看本文,早点做好安全防护。
迅雷5 ActiveX控件可实现远程溢出Web迅雷的高危漏洞才爆出没有多久,最近Web迅雷的老大哥,迅雷5也出现了一个高危的漏洞。经过测试发现,迅雷 5.6.9.344版本的ActiveX控件上存在多个缓沖区溢出漏洞,远程攻击者可以利用此漏洞控制用户系统。经过我的试验,迅雷5中的DPClient.Vod.1 ActiveX控件文件,在处理传送给DownURL2()的参数的时候会造成数据溢出。这样如果用户受骗访问了恶意网页的话,就可能触发软件缓沖区溢出,会让远程攻击者执行任意指令。恶意代码“攻陷” 迅雷5第一步:首先配置一个木马的服务端程序,然后将它上传到自己的网络空间中,这样就得到了木马地址。现在我们对这个木马地址进行加密处理。在搜索引擎里面搜索“网页加密”,接着在搜索到的加密网站里面,比如http://www.cha88.cn/safe/shellcode.Php,输入木马地址后点击“Ascii→Unicode”即可。第二步:现在配置迅雷漏洞的利用网页。tW.WInGwiT.cOM由于没有现成的漏洞生成工具,因此只有修改网络中现成的漏洞代码。在源代码中有如下的一句信息:“%u6946%u656c%u0041%u7468%u7074此处为需要下载病毒的网址%u0000”,现在只需要将加密后的网页木马地址,复制到代码里面指定的位置就可以了。
稍微对网页木马了解的朋友一定注意到了,这段代码的风格和前段时间的《暴风影音Ⅱ》ActiveX栈溢出漏洞利用代码颇为相似,尾部都是为%u7468%u7074+此处为需要下载病毒的网址+%u0000,唯一的差别就是迅雷漏洞中ActiveX控件的CLSID为:EEDD6FF9-13DE-496B-9A1C-D78B3215E266。第三步:漏洞利用的网页木马创建完成后,同样将它上传到网络空间中,然后利用即时通讯工具、电子邮件等方式将它传播出去。这样只要远程用户安装了迅雷5的话,只需要点击进入该木马链接,网页脚本就会自动激活迅雷的ActiveX漏洞,然后下载运行设定的木马程序。当成功连接远程木马后,就可以通过客户端执行相应的控制命令了。防范技巧目前迅雷公司已经推出了全新的迅雷5.7.3.389版,用户只需要及时更新到软件的最新版本,就可以避免成为黑客控制的肉鸡。安装最新版本的《IE卫士》程序(软件下载地址:http://www.cpcw.com/bzsoft),通过防范网页木马的方式来保护系统。以后当访问含有迅雷漏洞的网页后,《IE卫士》就会弹出一个提示窗口(图3),告知用户有网页木马并且让用户进行适当的选择。黑客猛挖应用软件漏洞在黑客玩腻了系统漏洞以后,又将眼光瞄向了应用软件的漏洞,因此在今年一大批软件漏洞被黑客不断地挖掘出来。比如今天介绍的迅雷5漏洞,由于迅雷的使用面较广,再加上漏洞的利用形式是网页木马,因此会给用户造成巨大危害。用户平时除了关注系统漏洞以外,还需要进一步关注常用应用软件的漏洞,那些喜欢使用老版本软件的用户尤其要注意。
