最近WINRAR漏洞,防不勝防.
主原理是
https://research.checkpoint.com/extracting-code-execution-…/
如何打造此惡意ACE壓縮檔 (通常合成完惡意程式後 要把副檔名改成RAR)
https://bbs.pediy.com/thread-249720.htm
前面0x34 header固定一樣 後面緊接著
頭部crc校驗碼 2字節
頭部長度 2字節
文件類型 1字節
flags 2字節
文件內容的長度 4字節(兩次寫入)
時間信息 4字節
文件屬性 4字節
文件內容的CRC校驗碼 4字節
compqual 2字節
params 2字節
TE 2字節
文件名長度 2字節
以上看看就好 注入任意目錄 上面連結已經有人包好程式了
"在本目錄下放入需要進行穿越的文件如 calc.exe
在程序編輯框內輸入需要穿越的目錄和穿越後的文件名字
啟動項示例 :"C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe"
根目錄示例 :“D:D:\hi.exe”"
這為眾多惡意程式搭配範例
https://ti.360.net/…/upgrades-in-winrar-exploit-with-socia…/
一.OfficeUpdateService.exe是一個用C#編寫的遠程控制後門,包含計算機管理(重啟/關閉),文件管理(上傳/下載/遍歷),遠程shell,木馬管理(安裝/卸載),屏幕截圖,錄製等功能等
觸發漏洞後,OfficeUpdateService.exe將發佈到“%AppData%\ Microsoft \ Windows \ Start Menu \ Programs \ Startup”目錄,然後在用戶重新登錄或重新啟動計算機時執行
C&C Server在台灣(台灣人做的?還是台灣Server多,容易被攻擊)
二.Wipolicy.vbe提取到啟動文件夾。
它是一個加密的VBS腳本,解密後,VBS腳本將執行PowerShell腳本,從hxxp://local-update.com/banana.png下載的PNG圖像包含隱藏數據,將用於構成第2階段PowerShell腳本,第2階段PowerShell腳本從hxxps://manage-shope.com:443下載其他二進製文件,並通過AES解密第3階段PowerShell腳本.該腳本是一個後門程,並連接到hxxps://manage-shope.com:443以獲取遠程命令。通過使用後門,攻擊者可以創建遠程shell,上傳/下載文件,加載其他模塊,執行其他PowerShell腳本等
簡單看了一下這漏洞,為APT超好用漏洞....
#OSSLab
#資料救援
#以前解壓縮沒啥好怕現在要怕了
以前解壓縮沒啥好怕現在要怕了 在 [問題] 有關於Winzip的問題- 看板Windows - 批踢踢實業坊 的推薦與評價
作業系統: Windows 7 家庭進階
剛買的新電腦, 屬於第一次開機完全預設狀態
不知道是不是自己按到什麼, 還是使用過程中碰到什麼
忽然本來那些WinRAR的壓縮檔通通變成黃色的WinZip檔的圖示
然後滑鼠右鍵也多出一個WinZip的選項
想要請問的是..
因為我不是很想要有這個東西
能不能夠在程式集移除安裝選項把WinZip移除掉呢?
是不是移除掉滑鼠右鍵就不會有winzip了呢?
因為我怕它會不會是 Windows 7 自己本身系統的程式
(只是不知道我做了什麼才會忽然跑出來)
所以我不敢亂移除, 深怕一移除會造成一些系統錯誤
想知道能不能夠移除它
還有一個疑問就是
以前在XP安裝WinRAR跟7-zip都會在滑鼠右鍵有其選項方便壓縮跟解壓縮的動作
但是在Windows7 滑鼠右鍵卻都沒有
請問一下是為什麼呢? 是要做什麼設定之類的嗎?
謝謝 ^ ^
------------------------------------------------------------------------------
聽了R大說的後, 就把winzip刪除了, 目前是沒什麼問題產生
至於Winrar也像1樓說的改安裝64bit版後就會出現在滑鼠右鍵的選單裡了
但是7-zip(官網抓的9.20 64x)明明是繁中版,安裝完也的確是中文介面
但不知道為何滑鼠右鍵的選單卻是英文的..?
總之目前就保持這樣就好了, 感謝各位推文的幫助~~ 謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.228.123.182
... <看更多>