Cách thức virus lây lan thông qua lỗi bảo mật IE7 0-day
Author: Toan ThangOrigin Link: http://toanthang.spaces.live.com/blog/cns!A4E5440D42A2F4F4!518.entry
Ngày nay virus thường nhiễm vào máy tính khi người dùng truy cập vào website, chúng lợi dụng những lỗi bảo mật của trình duyệt, sau đây là là 1 trang web có virus :
Từ đoạn code html trên ta để ý tới đường dẫn link tới 3 website 14.htm, flash.htm, ie7.htm.
View code trang 14.htm :
toàn bộ nội dung trang web được mã hoá cả, không đọc được gì cả, và code sau khi được giải mã như sau :
oh nó khai thác lỗi bảo mật MS06-014 của trình duyệt IE6, nếu ai đó dùng IE6 truy cập vào website trên, nó sẽ tự động download vào máy và thực thi, nạn nhân sẽ không hề hay viết gì cả. Lý do tác giả mã hoá cái đoạn javascript là vì khi mã hoá nó sẽ qua mặt được các soft Antivirus. Cập nhật lỗi MS06-014 tại đây Microsoft Data Access Components (MDAC) Function Could Allow Code Execution.
Tiếp trang flash.htm
từ đoạn code trang ta thấy đoạn script kiểm tra UserAgent cũa ngưởi dùng, nếu UserAgent là “msie”>0 thì nó sẽ trỏ tới trang ihhh.htm hoặc trang fhhh.htm. Nội dung 2 trang (ihhh.htm và fhhh.htm) như sau :
2 trang trên khai thác tiếp lỗi cũa Flash Player (.swf)
Tiếp trang ie7.htm
Đây là trang khai thác lỗi bảo mật IE7 0-day, sau khi giải mã ta thấy đoạn javascript nó check version cũa IE, và nếu là IE7 thì …
ngoài các khai thác lỗi 0-day ta còn có thể khai thác các lỗi các như sau :
Microsoft Access Snapshot Viewer ActiveX Control Exploit
NCTAudioFile2.AudioFile ActiveX Remote Stack Overfl0w
Real Player rmoc3260.dll ActiveX Control Remote Code Execution Exploit
và còn rất nhiều cách …
Qua bài viết trên các bạn sẽ hình dung được cách lây nhiễm cũa virus vào máy tính như thế nào,và cách phòng chống là thường xuyên cập nhật và vá lỗi bảo mật cũa trình duyệt.