前一篇文章提到发现一个可疑WORD 0Day的***程序,还同时从网警手里搞到个在DOC文档上捆绑这个***代码的程序。
研发应急分析了这个漏洞。结果如下:
该漏洞的表象为一个危害严重的 Word 文档格式漏洞,一个有漏洞的文件在被鼠标点击或移动时就会触发。目前拿到的试验文件的情况是:
该漏洞的表象为一个危害严重的 Word 文档格式漏洞,一个有漏洞的文件在被鼠标点击或移动时就会触发。目前拿到的试验文件的情况是:
1
.
构造的文档能够发生错误,造成
Explorer.exe
崩溃
2 . 还未添加 ShellCode ,没有进行文件释放或下载动作,现无其它危害
3 . 漏洞是读取一个错误的结构数据,造成程序执行顺序错误调转 ( 这就有可能跳到 ShellCode 的首部,从而运行 ShellCode) 。
2 . 还未添加 ShellCode ,没有进行文件释放或下载动作,现无其它危害
3 . 漏洞是读取一个错误的结构数据,造成程序执行顺序错误调转 ( 这就有可能跳到 ShellCode 的首部,从而运行 ShellCode) 。
结论:
如果出现利用此漏洞的病毒,将可能引发大面积感染。光光说,以前也收到过类似的文档漏洞样本,但并未出现大面积感染的情况。猜测此类***代码可能用于专门用途(比如商业间谍),而不是一般的病毒传播。
如果出现利用此漏洞的病毒,将可能引发大面积感染。光光说,以前也收到过类似的文档漏洞样本,但并未出现大面积感染的情况。猜测此类***代码可能用于专门用途(比如商业间谍),而不是一般的病毒传播。
这次发现的这个漏洞***文件可能是一种广告性质——将***演示程序抛给一些有此需求的人,真正的病毒可能通过私下交易后完成定点***,估计不会出现大面积的病毒传播。毒霸研发部会密切关注有关此漏洞的更多信息。再次感谢提供样本给我的兄弟们!