近日,Symantec曝光了一个迅雷漏洞,详情请见:http://www.symantec.com/~~/potential_new_xunlei_0day_expl.html。同时我们在国内发现多个漏洞利用生成器开始流传,并在最近的挂马网站监测中发现有多个网站利用迅雷的漏洞进行挂马,其中昨日的海尔网站挂马页面的其中一个连接即使用了WEB迅雷的漏洞来进行挂马。
该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户的权限运行。
受影响的Web迅雷版本为1.8.4.130。
该漏洞产生的原因如下:
WEB迅雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活迅雷的组件。由于其函数没有进行过滤,导致可以构造代码来在C:Documents and SettingsAll Users「开始」菜单程序启动处生成一个*****.hta。重启后*****.hta自动运行。*****.hta 通过调用 C:Progra~1Intern~1IEXPLORE.EXE来打开 *****.hta 所包含的木马下载文件*****.htm 从而得到木马下载地址,然后下载木马并运行。
解决方案:
1、请将Web迅雷升级到最新版。
下载地址:http://my.xunlei.com/setup.htm
2、推荐安装超级巡警防范恶意木马。
关于Web迅雷:
Web迅雷是迅雷公司最新推出的一款基于多资源超线程技术的下载工具,和迅雷5作为专业下载工具的定位不同, web迅雷在设计上更多的考虑了初级用户的使用需求,使用了全网页化的操作界面,更符合互联网用户的操作习惯,带给用户全新的互联网下载体验!
标签: 病毒