前一篇文章提到发现一个可疑WORD 0Day的攻击程序,还同时从网警手里搞到个在DOC文档上捆绑这个攻击代码的程序。
研发应急分析了这个漏洞。结果如下:
该漏洞的表象为一个危害严重的Word文档格式漏洞,一个有漏洞的文件在被鼠标点击或移动时就会触发。目前拿到的试验文件的情况是:
该漏洞的表象为一个危害严重的Word文档格式漏洞,一个有漏洞的文件在被鼠标点击或移动时就会触发。目前拿到的试验文件的情况是:
1.构造的文档能够发生错误,造成Explorer.exe崩溃
2.还未添加ShellCode,没有进行文件释放或下载动作,现无其它危害
3.漏洞是读取一个错误的结构数据,造成程序执行顺序错误调转(这就有可能跳到ShellCode的首部,从而运行ShellCode)。
2.还未添加ShellCode,没有进行文件释放或下载动作,现无其它危害
3.漏洞是读取一个错误的结构数据,造成程序执行顺序错误调转(这就有可能跳到ShellCode的首部,从而运行ShellCode)。
结论:
如果出现利用此漏洞的病毒,将可能引发大面积感染。光光说,以前也收到过类似的文档漏洞样本,但并未出现大面积感染的情况。猜测此类攻击代码可能用于专门用途(比如商业间谍),而不是一般的病毒传播。
如果出现利用此漏洞的病毒,将可能引发大面积感染。光光说,以前也收到过类似的文档漏洞样本,但并未出现大面积感染的情况。猜测此类攻击代码可能用于专门用途(比如商业间谍),而不是一般的病毒传播。
这次发现的这个漏洞攻击文件可能是一种广告性质——将攻击演示程序抛给一些有此需求的人,真正的病毒可能通过私下交易后完成定点攻击,估计不会出现大面积的病毒传播。毒霸研发部会密切关注有关此漏洞的更多信息。再次感谢提供样本给我的兄弟们!
