chm文件执行任意代码

2014-11-19 Nie.Meining Debug

从网上下载了一个chm的样本,该样本运行后会自动打开计算器calc.exe。上传分析平台可以清楚看到样本行为:

 0.png

(详细结果链接:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=58

奇怪的是该样本没有引起我的杀毒软件报警,上传virustotal后发现检出率为0(virustotal检测链接)。本以为是个过时的老漏洞,顺手在win 8上测试了一下,发现该漏洞竟依然存在!

3.png

这就勾起了我的强烈兴趣,于是找了个反编译工具对这个chm进行分析,发现其中有个控件很有意思:

2.png 

这就是说,能执行任意代码了吗?让人感到非常不安……立刻实验,通过修改value值制造一个添加管理员用户的样本和一个downloader样本,发现确实可以攻击成功(这两个样本的攻击过程详见:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=57),而且目前没有杀毒软件能够查杀(虽然恶意行为的执行过程可能会受到主动防御的干扰)……以后还敢不敢愉快地下载阅读chm电子书了?

评论:

kk
2014-12-15 16:40
chm一直都不太安全~~~
shadow
2014-11-20 22:10
能给发一份那个chm样本吗?我的邮箱是919404180@qq.com
Nie.Meining
2014-11-21 21:29
@shadow:我是从这里下载的:http://www.exploit-db.com/sploits/33750.zip,是个公开的老漏洞

发表评论:

Powered by emlog