祸不单行 迅雷5又曝高危漏洞
网络安全
“我的迅雷版本10月已经是更新过了啊,怎么还会有问题呢?”妹妹听到我告诉她最近使用迅雷5不安全时惊讶道。诚然迅雷5最近推出了新版本,但计划没有变化快,黑客们很快就分析出其中蕴藏的新漏洞,网页木马等恶意文件又可以秘密下载到使用迅雷的用户电脑上,从而控制用户了。
FlvPlayerUrl函数导致溢出
最新迅雷5漏洞与前段时间爆发的漏洞危害程度相同,黑客利用此漏洞,就能把网页木马下载到用户电脑中,达到完全控制用户电脑的目的。
这次漏洞出在迅雷看看组件里的pplayer.dll,该文件版本号为1.2.3.49,涉及的ClassID 为F3E70CEA-956E-49CC-B444-73AFE593AD7F。据分析,该组件的一个内部函数FlvPlayerUrl在处理边界检查时存在不严格的问题,当向它传递的参数过长时,会致使程序溢出。
于是某些居心不良的人利用此缺陷编写出了漏洞利用代码Shellcode,这样就可以攻击所有使用迅雷5(5.7.4.401及以前版本)的用户了。
揭示漏洞代码生成器利用方法
第一步:将木马上传Web空间
首先将木马参数等配置好(不同木马的配置方法不一样,具体操作参考木马使用说明),然后将木马上传到申请的Web空间,这样就得到了木马的下载地址,下面我们以木马下载地址http://www.kavcn.com/mm.exe 为例继续介绍。
第二步:使用漏洞代码生成器生成代码
为了提高效率,不直接使用代码,而是下载针对本次迅雷漏洞特制的《迅雷看看漏洞代码生成器》。首先打开漏洞代码生成工具,点击“加密地址”按钮,在弹出的窗口中,将木马下载地址复制入第一个文本框内,点击“字符加密”按钮(图1),在第二个文本框内就生成了加密后的密文。
将生成的密文,复制到漏洞代码生成工具界面的“加密后的地址”文本框内,然后点“生成”按钮,这样左边的文本框就生成了漏洞攻击代码(图2)。接下来就可以利用获得的代码制作网页木马。
第三步:传播木马控制用户
现在要把刚才生成好的漏洞代码网页传播出去,可以通过QQ、E-mail、论坛等群发,当有迅雷用户轻信点击链接后,随着网页的打开,木马也下载到电脑上了。
小提示:随着广大用户的安全意识提高,已经有很少人愿意去理会QQ、E-mail上莫名其妙的链接了。这时黑客会想尽办法入侵一些大网站,然后把漏洞利用代码插入到网页中,这时一天访问量上百万的网站就成为病毒传播源,后果将不堪设想。很多用户认为大网站就值得信赖,但黑客往往最希望往这些网站挂上自己的代码,因此需要时刻提高安全意识。
漏洞防范技巧
在漏洞出现后,迅雷公司立即进行了处理,推出了5.7.4.404版,可以解决这个漏洞。
当然,我们也可以自己手动封堵漏洞点,避免被黑。新建一个记事本并打开,写入以下文本:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F}]
“Compatibility Flags”=dword:00000400
将它保存为 .reg 文件,双击选择“是”导入注册表即可。
总结
迅雷是国内用户使用率较高的下载工具,拥有大量的用户群,近期不断曝出重大漏洞,这既与软件设计不严谨有关,又与今年黑客重点钻研常用软件漏洞的大趋势有关。预计迅雷5今后还会爆出新漏洞,请大家注意安全升级。