关于插入的时候添加allowNetworking 参数,可以查看详细的 安全引用Flash视频,allownetworking=”internal” 参数的应用 介绍。
打开include\discuzcode.fun.php
大概在383行,179行,316行
添加以下参数
\’allowNetworking\’,\’internal\’
到
383行
if($flv) {
return
和
316行
case ’swf’:
return ‘
中。
然后添加
‘allowNetworking’,'internal’
到
179行
if($allowmediacode && strpos($msglower, ‘[/flash]‘) !== FALSE) {
$message = preg_replace(
中。
注意参数的对应关系
今天在天涯来吧瞅搞笑视频,是优酷的,发现暂停后点视频框框并没有进入到优酷的视频页面!点右下角的“优酷LOGO”,也是没有一点反应!!
翻开看看Flash网页嵌入代码:
<object height=”400″ width=”480″><param name=”movie” value=”{1}”><param name=”wmode” value=”transparent”><param name=”AllowNetworking” value=”internal”><param name=”AllScriptAccess” value=”none”><embed src=”{1}” wmode=”transparent” allownetworking=”internal” allowscriptaccess=”none” type=”application/x-shockwave-flash” height=”400″ width=”480″></object>
类似这样子的(上边这是在DZ里用的带参数的格式!)。
于是我把论坛里编辑器的Flash调用代码也替换啦。
看看这两个关键参数的说明
allowNetworking 参数
allowNetworking 的可能的值为:
“all”(默认值)— 在 SWF 中允许所有的网络 API。
“internal”— SWF 文件可能不调用浏览器导航或浏览器交互 API(在本节后面部分中列出),但是它会调用任何其它网络 API。
“none”— SWF 文件可能不调用浏览器导航或浏览器交互 API(在本节后面部分中列出),并且它无法使用任何 SWF 到 SWF 通信 API(也在本节后面部分中列出)。
allowNetworking 参数主要在 SWF 文件及所在的 HTML 页来自不同的域时使用。当要加载的 SWF 文件与其所在的 HTML 页来自同一个域时,不建议使用 “internal” 或 “none” 值,原因是您不能保证始终同时加载 SWF 文件和想要的 HTML 页。不受信任方可以从您的域中加载未包含在 HTML 中的 SWF 文件,这种情况下,allowNetworking 限制不会按预期发挥作用。
PS:当取值为“none”的时候是播放不了被引用的优酷视频的。
AllowScriptAccess 参数
AllowScriptAccess 参数可以有 “always”、”sameDomain” 和 “never” 这三个可能值中的一个。
当 AllowScriptAccess 为 “always” 时,SWF 文件可以与其嵌入到的 HTML 页进行通信,即使该 SWF 文件来自不同于 HTML 页的域也可以。
当 AllowScriptAccess 为 “sameDomain” 时,仅当 SWF 文件与其嵌入到的 HTML 页来自相同的域时,该 SWF 文件才能与该 HTML 页进行通信。此值是 AllowScriptAccess 的默认值。使用此设置,或者不设置 AllowScriptAccess 的值,可以防止一个域中的 SWF 文件访问另一个域的 HTML 页内的脚本。
当 AllowScriptAccess 为 “never” 时,SWF 文件将无法与任何 HTML 页进行通信。在 Adobe Flash CS4 Professional 中,不建议使用该值。如果没有在自己的域中提供不受信任的 SWF 文件,则不建议也不应使用该值。如果确实需要使用不受信任的 SWF 文件,则 Adobe 建议您创建一个不同的子域,并将所有不受信任的内容置于其中。
AllowScriptAccess 参数主要作用于不在本地运行的 SWF 文件,可以决定API(可实现外出脚本访问和外出 URL 访问)与嵌入这些 API 的网页通信。
allowNetworking 与 AllowScriptAccess
AllowScriptAccess 侧重 SWF 与嵌入网页的通信 完成和网页的交互(传递参数请求等),也就是allowScriptAccess 参数控制 SWF 是否可以调用 HTML 页中的 JavaScript。(这个对于版本 8 及其以上的 SWF 有效,不影响版本 7 或更低版本的 SWF。)
allowNetworking 侧重 SWF 是否能够访问网络完成自身完整内容(元件或其他 SWF )的加载。
这里注意到 AllowScriptAccess 的取值为 “none” ,这个很迷糊,Google好多遍也没有找到更多的说明材料。
从这个字面意思看, AllowScriptAccess =”none” 表示没有设置,也就是和 AllowScriptAccess = “sameDomain” 雷同。至于为什么不用
Access file system and network
This level is the highest level of permission. A local SWF file that has these permissions is a trusted local SWF file. Trusted local SWF files can read from other local SWF files, interact with any server, and write ActionScript for other SWF files or HTML files that have not explicitly forbidden the file permission (for example, with allowScriptAccess=”none”). This level of permission can be granted by the user or Flash developer in the following ways:
* Using the Global Security Settings panel in the Settings Manager.
* Using a global configuration file.A configuration file can be installed with the SWF file, created by a Flash developer, or added by an administrator (for all users or the current user) or any Flash developer (for the current user).
若发现理解的不正确的地方还望指正出来。。
参考文档:
flash.system包
这个漏洞跟ms06014的危害有一拼,刚查看Google Analytics的统计数据显示访问这个blog的用户有22.53%还在使用存在安全隐患的Adobe Flash Player 9 .0.115版本,而使用最新Adobe Flash Player 9 .0.124版本只有46.49%,这是恶意放毒者还很在乎的比例,如果你看到这篇文章,请检查你的flash控件版本升级吧。
最新的flash控件官方下载地址是:http://www.adobe.com/shockwave/download/flash/trigger/en/1/index.html
也可以使用360的第三方软件漏洞检查修补这个flash补丁。
如果你是站长或者网络内容提供者可以(强制你的浏览者升级到最新的flash控件版本):
1.请在网页Object标签中的codebase修改需要version=9,0,124,0
2.在js引入方式中修改requiredMajorVersion和requiredRevision为相应版本,swfobject也是一样修改。
漏洞危害:
最近一个月时间好几次遇到利用这个漏洞的病毒arp攻击,dns欺骗攻击,利用成功后会下载一堆游戏盗号木马,运行后自动删除自己,然后隔段时间(十几分钟到几分钟)再次下载,在所有用户启动目录可能有explorer.exe启动项(经过几次更新啦不一定是这样啦,当发现有这个启动项说明你已经中奖啦),局域网的用户如果可以的话建议查处木马下载地址然后把这些恶意链接地址和ip统统封掉(ip最好封一段!!不得以啊)
参考文档:
http://bbs.duba.net/thread-21930883-1-1.html
得到样本,打开虚拟机,先到http://www.virustotal.com/分析一下情况:
| 文件 explorer.exe 接收于 2008.05.29 16:26:52 (CET) | |||
| 反病毒引擎 | 版本 | 最后更新 | 扫描结果</td |
| AhnLab-V3 | 2008.5.29.0 | 2008.05.29 | -</td |
| AntiVir | 7.8.0.19 | 2008.05.29 | TR/Downloader.Gen</td |
| Authentium | 5.1.0.4 | 2008.05.28 | W32/Agent.L.gen!Eldorado</td |
| Avast | 4.8.1195.0 | 2008.05.29 | Win32:Agent-XEY</td |
| AVG | 7.5.0.516 | 2008.05.29 | KillAV.JR</td |
| BitDefender | 7.2 | 2008.05.29 | Generic.Malware.Bdld.2B3CEAD5</td |
| CAT-QuickHeal | 9.50 | 2008.05.28 | TrojanDownloader.Zlob.ww</td |
| ClamAV | 0.92.1 | 2008.05.29 | PUA.Packed.UPack-2</td |
| DrWeb | 4.44.0.09170 | 2008.05.29 | DLOADER.Trojan</td |
| eSafe | 7.0.15.0 | 2008.05.29 | Suspicious File</td |
| eTrust-Vet | 31.4.5832 | 2008.05.29 | Win32/Vraja.A</td |
| Ewido | 4.0 | 2008.05.29 | -</td |
| F-Prot | 4.4.4.56 | 2008.05.28 | W32/Agent.L.gen!Eldorado</td |
| F-Secure | 6.70.13260.0 | 2008.05.29 | W32/Suspicious_U.gen</td |
| Fortinet | 3.14.0.0 | 2008.05.29 | -</td |
| GData | 2.0.7306.1023 | 2008.05.29 | Trojan.Win32.Agent.ksq</td |
| Ikarus | T3.1.1.26.0 | 2008.05.29 | Trojan-Downloader.Win32.Zlob.and</td |
| Kaspersky | 7.0.0.125 | 2008.05.29 | Trojan.Win32.Agent.ksq</td |
| McAfee | 5305 | 2008.05.28 | New Malware.aj</td |
| Microsoft | None | 2008.05.29 | -</td |
| NOD32v2 | 3144 | 2008.05.29 | -</td |
| Norman | 5.80.02 | 2008.05.28 | W32/Smalldrp.VJT</td |
| Panda | 9.0.0.4 | 2008.05.28 | Suspicious file</td |
| Prevx1 | V2 | 2008.05.29 | -</td |
| Rising | 20.46.32.00 | 2008.05.29 | Trojan.DL.Win32.Undef.mz</td |
| Sophos | 4.29.0 | 2008.05.29 | Mal/Heuri-E</td |
| Sunbelt | 3.0.1123.1 | 2008.05.17 | VIPRE.Suspicious</td |
| Symantec | 10 | 2008.05.29 | -</td |
| TheHacker | 6.2.92.322 | 2008.05.28 | W32/Behav-Heuristic-060</td |
| VBA32 | 3.12.6.6 | 2008.05.29 | Trojan.Win32.Agent.ksq</td |
| VirusBuster | 4.3.26:9 | 2008.05.28 | Packed/Upack</td |
| Webwasher-Gateway | 6.6.2 | 2008.05.29 | Trojan.Downloader.Gen</td |
| 附加信息 | |||
| File size: 10920 bytes | |||
| MD5…: adf37694614161a5c513069f6a4353a0 | |||
| SHA1..: d8c88000dbbd4d09487afa8e82a0af1be35e6fba | |||
| SHA256: f798ccb117c4751b52b3745020a3856a204e6e44d3af6e04606cbdcc21cd5d18 | |||
| SHA512: 945496614f4d3a408aaf5950e952b49424866c948fa088b2f6a427b1d0467ad3 c1ed82c73f500cdf7f53c7870ed8a34c70042c96f4f8595b60c9014dd3a87cc2 |
|||
| PEiD..: - | |||
| PEInfo: PE Structure information
( base data ) ( 3 sections ) ( 0 imports ) ( 0 exports ) |
|||
| packers (Authentium): UPack | |||
| packers (Kaspersky): PE_Patch, UPack | |||
| packers (F-Prot): UPack | |||
分析报告只是为我们进一步分析提供个参照或者说心理准备!
下面开始追踪这个“下载者引擎”(各大杀毒厂商对这个explorer.exe的定义各有不同,个人认为叫做下载者和病毒引擎比较合适)的行为。
工具:
Tiny Personal Firewall 2005(跟踪程序各种行为)
WSockExpert.exe(对网络请求进行抓包)
。。
首先安装Tiny Personal Firewall 2005,然后打开WSockExpert.exe并设置为trust(信任程序,免得把他的行为扑捉到),然后执行你的病毒样本,一步步的按照提示进行分析,因为要了解这个程序的行为所以可以选择”run with default security”,看到allow最好选择allow(ps:如果你已经了解这个程序的行为,可以根据自己需要进行allow和deny),总的来说这个explorer.exe运行后,先启动两个cmd.exe程序然后扫描局域网的主机,找机会传播病毒体,扫一定数量主机或者cmd.exe没有正常执行的话就开始连接http://sds.687230xsds.cn/pao.txt获取木马列表(PS:很恐怖,一串的游戏盗号木马),然后使用cmd和conime.exe进行游戏盗号木马的下载活动,每下载一个就会运行然后删除,下载的目录是system32下(多以数字命名),由于后边下载的活动都很雷同,我就直接deny掉cmd.exe和conime.exe的行为,这样就挨个下载完那些游戏木马了(为啦省事后边的游戏木马也是deny的)。如果想更深入详细的了解这个东东都做啦什么以及为什么这么做,就去看反汇编吧。可以到看雪那里找找工具。pediy
总结:
1:这个explorer.exe的老窝(explorer.exe会到http://sds.687230xsds.cn/pao.txt寻找游戏盗号木马列表)是sds.687230xsds.cn现在对应的ip是218.61.17.135
2:游戏盗号木马的地址是ts.6323fds.cn现在对应的ip是218.61.17.135(PS:游戏盗号木马列表会在截图后面补充)
解决建议:
1:如果你是局域网的,可以直接在路由器里过滤这个ip就可以“暂时”解决这个困扰啦。
2:这个木马貌似伴随着flash.exe的漏洞来的(现在还不确定怎么传播的),所以建议及时用上Adobe Flash Player 9.0.124。
FLASH插件更新地址:http://www.adobe.com/shockwave/download/flash/trigger/en/1/index.html
利用flash控件漏洞的实例展示,见:http://bbs.duba.net/thread-21930883-1-1.html
也可以禁用这个插件。 IE浏览器中禁用flash插件的方法:internet选项——>程序——>管理加载项——找到“shockwave flash object”——设置禁用即可(可以参考插图)。
firefox浏览器可以用adblock plus插件将swf文件全部拦截
3:给系统打上全补丁
4:使用360顽固木马大全先杀下,然后用360更新过病毒库后查杀,一般就干净啦
5:值得庆幸的是这个还不会感染exe类可执行文件,不过还原系统后还是最好全盘查下之毒
行为分析:
感染现象,并不是说explorer.exe有这么大能耐,只是中山他后,将会有一堆光顾你的电脑。在会局域网中不停扫描主机,下载游戏盗号木马(是循环的呢,下完一圈还会再来一圈!),连带第三代机器狗病毒木马攻破还原系统(重启后不会被还原没有),arp攻击,dns欺骗。
下边是追踪过程中的截图(有些是后来补上的!!)
http://sds.687230xsds.cn/pao.txt
2008-5-27=http://ts.6323fds.cn/wow.exe
2008-5-27=http://ts.6323fds.cn/mh.exe
2008-5-27=http://ts.6323fds.cn/jh.exe
2008-5-27=http://ts.6323fds.cn/qst.exe
2008-5-27=http://ts.6323fds.cn/qj.exe
2008-5-27=http://ts.6323fds.cn/my.exe
2008-5-27=http://ts.6323fds.cn/zx.exe
2008-5-27=http://ts.6323fds.cn/wd.exe
2008-5-27=http://ts.6323fds.cn/wl.exe
2008-5-27=http://ts.6323fds.cn/dh.exe
2008-5-27=http://ts.6323fds.cn/dh3.exe
2008-5-27=http://ts.6323fds.cn/dj.exe
2008-5-27=http://ts.6323fds.cn/tl.exe
2008-5-27=http://ts.6323fds.cn/zt.exe
2008-5-27=http://ts.6323fds.cn/hx.exe
2008-5-27=http://ts.6323fds.cn/qqhx.exe
2008-5-27=http://ts.6323fds.cn/qqhux.exe
2008-5-27=http://ts.6323fds.cn/zyhx.exe
2008-5-27=http://ts.6323fds.cn/mir.exe
2008-5-27=http://ts.6323fds.cn/mir2.exe
2008-5-27=http://ts.6323fds.cn/fh.exe
2008-5-27=http://ts.6323fds.cn/sq.exe
2008-5-27=http://ts.6323fds.cn/sh.exe
2008-5-27=http://ts.6323fds.cn/wmgj.exe
2008-5-27=http://ts.6323fds.cn/wmsj.exe
2008-5-27=http://ts.6323fds.cn/sg.exe
2008-5-27=http://ts.6323fds.cn/fy.exe
2008-5-27=http://ts.6323fds.cn/jz.exe
2008-5-27=http://ts.6323fds.cn/zy.exe
2008-5-27=http://ts.6323fds.cn/cb.exe
2008-5-27=http://ts.6323fds.cn/sq.exe
2008-5-27=http://ts.6323fds.cn/ar.exe
2008-5-27=http://ts.6323fds.cn/yt2.exe
2008-5-27=http://ts.6323fds.cn/jxqy.exe
2008-5-27=http://ts.6323fds.cn/chd.exe
2008-5-27=http://ts.6323fds.cn/mxd.exe
2008-5-27=http://ts.6323fds.cn/pt.exe
2008-5-27=http://ts.6323fds.cn/jtdd.exe
2008-5-27=http://ts.6323fds.cn/jr.exe
2008-5-27=http://ts.6323fds.cn/wl2.exe
2008-5-27=http://ts.6323fds.cn/qn3.exe
2008-5-27=http://ts.6323fds.cn/fs2.exe
2008-5-27=http://ts.6323fds.cn/tm1.exe
2008-5-27=http://ts.6323fds.cn/tm2.exe
2008-5-27=http://ts.6323fds.cn/tm3.exe
2008-5-27=http://ts.6323fds.cn/tm4.exe
2008-5-27=http://ts.6323fds.cn/tm5.exe
2008-5-27=http://ts.6323fds.cn/tm6.exe
2008-5-27=http://ts.6323fds.cn/xw.exe
2008-5-27=http://ts.6323fds.cn/wl2.exe
2008-5-27=http://ts.6323fds.cn/r2.exe
最新消息:
Adobe最近发布的Flash Player .0.124 0.0版本也发现新的漏洞,该漏洞同样会引起严重后果。
新闻链接:
http://soft.yesky.com/securityw/aqzxx/359/8140859.shtml
http://www.securityfocus.com/bid/29386
看看下边这个转向到哪里啦http://doc.go.sohu.com/200712/6e97cd2fea9a0f8ac95439405c4ca95a.php?url=http://clin003.com
以下为查到的包含漏洞的页面(仅仅通过搜索引擎的索引结果)
这些链接在sohu都是在flash文件广告中的,所以baidu是搜不出来的,因为google的蜘蛛已经可以读flash文件中的部分文本啦,使用这个关键字搜索google就可以:site:sohu.com [doc.go.sohu.com*url=]
![sohu.com 上约有 15 项符合[doc.go.sohu.com*url=]的查询结果,以下是第 1 - 10 项 (搜索用时 0.24 秒)](http://clin003.com/wp-content/uploads/2008/02/sohu-com-doc-go-sohu-com.jpg)
显然在club中出现的是已经利用的链接,下面的flash和专题新闻中的才是sohu真正使用的链接形式。
百度中找 doc.go.sohu.com url你将发现已经有很多利用的“恶意链接”啦,百度一下,找到相关网页约905篇,用时0.001秒
google中找[doc.go.sohu.com*url=],约有1,390项符合[doc.go.sohu.com*url=]的查询结果,以下是第1-10项 ,不过google中部分标有“该网站可能含有恶意软件,有可能会危害您的电脑。”。
漏洞的成因很可能就是设计广告跳转记录代码的工作人员为啦以后方便使用就这样写啦个“通用代码”而没想到被发现会造成多少信任搜狐的网民受伤!!
以下是通过搜索引擎得到的部分可以利用的链接(请学习为目的,不要拿去害人)
http://doc.go.sohu.com/200801/5cb05572fda7c20a914842413d61ae7d.php?url=
http://doc.go.sohu.com/200712/d82c5aba39716d4eb8152d976a2da482.php?url=
http://doc.go.sohu.com/200712/e49df42d95615e85312aa0d030a2e552.php?url=
http://doc.go.sohu.com/200710/91e2420557be06fc6b4db18e6c7e43b8.php?url=
http://doc.go.sohu.com/200709/fd89d3a23c26c83163939a489fac349b.php?url=
http://doc.go.sohu.com/200708/adf56d76ba663e3db61b83e84384a141.php?url=
http://doc.go.sohu.com/200707/9b5c09c5c3cb8d856393a150683a5d92.php?
url= http://doc.go.sohu.com/200706/fa9cda8c2a8455dc7e69465a16d48565.php?url=
http://doc.go.sohu.com/200706/1a22b9706f5ee9794ee29582de28d8a7.php?url=
http://doc.go.sohu.com/200705/df7fe00bc4bdb3ab1891dd6be56aa73a.php?url=
http://doc.go.sohu.com/200704/92d82b0a5606d9025e44b161597c0180.php?url=
http://doc.go.sohu.com/200704/cb19f7e8aa1d533134eea9c1197c423b.php?url=
http://doc.go.sohu.com/200703/e463ac8934207e079c5500ebddf964e1.php?url=
http://doc.go.sohu.com/200702/4788bbdf19b48e08a119cea260a63aaf.php?url=
新鲜评论