chm文件执行任意代码
2014-11-19 Nie.Meining Debug
从网上下载了一个chm的样本,该样本运行后会自动打开计算器calc.exe。上传分析平台可以清楚看到样本行为:
(详细结果链接:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=58)
奇怪的是该样本没有引起我的杀毒软件报警,上传virustotal后发现检出率为0(virustotal检测链接)。本以为是个过时的老漏洞,顺手在win 8上测试了一下,发现该漏洞竟依然存在!
这就勾起了我的强烈兴趣,于是找了个反编译工具对这个chm进行分析,发现其中有个控件很有意思:
这就是说,能执行任意代码了吗?让人感到非常不安
……立刻实验,通过修改value值制造一个添加管理员用户的样本和一个downloader样本,发现确实可以攻击成功(这两个样本的攻击过程详见:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=57),而且目前没有杀毒软件能够查杀(虽然恶意行为的执行过程可能会受到主动防御的干扰)……以后还敢不敢愉快地下载阅读chm电子书了?
评论:
-
个人档案
Nie.Meining meiningnie@gmail.com
tech_support@tca.iscas.ac.cn
编程、内核、调试、逆向、搬砖 -
日历
-
搜索
链接
分类
最新日志
最新评论
- Billyscado
Valuable write ups. ... - Lowellmiz
Nicely put, Many tha... - Billyscado
Really all kinds of ... - Lowellmiz
Beneficial knowledge... - Billyscado
Reliable forum posts... - Billyscado
Many thanks. A lot o... - Lowellmiz
Kudos! Wonderful inf... - Lowellmiz
Amazing many of awes... - Billyscado
Seriously tons of su... - Billyscado
You actually reveale...
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)
2014-12-15 16:40