绝对强悍U盘传播0day漏洞曝光-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

绝对强悍U盘传播0day漏洞曝光

2012-12-12 17:11 28742

绝对强悍U盘传播0day漏洞曝光

blackwhite 活跃值

2012-12-12 17:11

28742

昨天在公司食堂捡到一个4g大的u盘.还比较新,偷偷拿回家看看里面有没有
x照.结果x照什么的没有发现,到是好象可能捡到一个宝.
u盘拿回家后.插入xpsp2系统(未全补丁但确定关闭autorun),我没打10-046lnk漏洞的补丁,直接cmd
cd c:\windows\system32\然后
dir x:\*.lnk /a
没有发现有lnk文件在根目录.
然后在explorer中进入u盘.这时杀毒软件提示system32目录发现病毒....很幸运我中招了.
完全没搞清楚状况.记忆中我什么都没有点!!!
病毒到是很容易清掉就是个加了adobe数字签名的dll,启动项也很容易找到.
为了弄明白咋个中招的,换了台计算机(xpsp3全补丁确定关闭autorun)再试,这次更奇特,我只是插入u盘什么都没做也中招.
检查u盘中的文件除了发现有一个隐藏的dll文件什么都没看到.

我现在想知道这是种什么技术,好象很牛b.嘿嘿.

dll.rar
PS:我把DLL文件放在这里了，仙果留

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・19

点赞・3

打赏

最新回复 (118) 1 2 3 4 5 ▶
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 212 粉丝 0 关注私信	liuganchao 2012-12-12 17:15 2 楼 0 应该是内核级的，对磁盘解析出错了~~~
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 212 粉丝 0 关注私信	liuganchao 2012-12-12 17:16 3 楼 0 你将整个磁盘数据DUMP下来。
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:20 4 楼 0 我在想知道是我操作有错误还是有啥虽然很小儿科但是我不知道的技巧在里面. 对了确定u盘里面根目录没有autorun.inf文件,我在explorer中打开u盘也是直接在地址拦敲的路径比如x:\(习惯就是这样的),我也确定没有点击u盘中的任何文件. 另外我看了下u盘中只有些jpeg文件和一些普通程序除了那个dll都提交到virscan 没有发现一个报毒的. 很神奇啊.
Fido 雪币： 107 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1024 粉丝 1 关注私信	Fido 2012-12-12 17:29 5 楼 0 作者自己生产了一批病毒U盘,在大马路上到处撒.. 不投入哪能有回报?投入10万..估计能搞回几百万... 你如果是高富帅就好了...人傻.钱多
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:31 6 楼 0 u盘我已经格过一次了,通过试验发现只要在u盘中有那个dll和一个exe,插入win就会中招.那个exe应该是个正常程序,应该有个路径漏洞才加载的那个dll.
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-12-12 17:33 7 楼 0 哇。。好帅啊，，，都啥版本的win中招了？
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:35 8 楼 0 我也不知道,感觉这事很神奇,搞了一两天没搞明白.要说一个u盘少说也值三五十块吧. 再说我们公司又不是游戏公司啥的.
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:37 9 楼 0 目前测过xp sp2/sp3,win7.其它找不到机器试了,也不敢随便试.同样的机器到是成功率100%.
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2012-12-12 17:39 10 楼 0 有可能是 link 快捷方式的漏洞。。。楼主可以确认下
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:42 11 楼 0 回楼上我搞洞也搞了十多年了.....这个肯定不是10-046,再说我都格盘来试过了,格盘后再插入其它电脑已经不会中招了.但这时只要盘中放入那个exe和dll再到别的机器上插就能中.
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 213 粉丝 0 关注私信	vvking 2012-12-12 17:51 12 楼 0 上传文件，看看啊
asd 雪币： 6561 活跃值： (2994) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 157 粉丝 1 关注私信	asd 2012-12-12 18:07 13 楼 0 本机中毒感染人家U盘了
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 18:10 14 楼 0 不是本机中毒,100%排除.杀软要杀的,为啥插入才会杀哩?!!!
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1335 粉丝 0 关注私信	达文西 2012-12-12 18:18 15 楼 0 请上文件，大家娱乐一下，。
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 18:19 16 楼 0 文件没有漏洞...根本不用看就能中啊.....
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2012-12-12 18:48 17 楼 0 把两个文件传上来吧，大家一起围观下
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-12-12 18:48 18 楼 0 难道是这个U盘。。。硬件漏洞！
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 19:00 19 楼 0 好,上传上传.
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-12-12 19:05 20 楼 0 我刷新坐等
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 2012-12-12 19:06 21 楼 0 你就不知道U 盘量产工具吗？可以量产隐藏分区的。
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 151 粉丝 0 关注私信	蓝色妖女 2012-12-12 19:11 22 楼 0 有这等强悍的木马?
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 481 粉丝 0 关注私信	kxzjchen 2012-12-12 19:12 23 楼 0 求上传，一起围歼它
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-12-12 19:37 24 楼 0 我去，这什么水平，捡都能捡到一个0day 坐等真相
dayang 雪币： 220 活跃值： (626) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2012-12-12 19:51 25 楼 0 上样本啊，不上，什么都么说法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

blackwhite

发帖

249

回帖

RANK

关注

私信

他的文章

[原创]IE6/7 EXP通用不死技巧

[原创]再读堆风水MS06-067调试笔记

VEH函数入口的快速定位

[原创]永信至诚e春秋平台CTF比赛放大镜后门分析

[讨论]2014中国黑客榜(beta版)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (118) 1 2 3 4 5 ▶
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 212 粉丝 0 关注私信	liuganchao 2012-12-12 17:15 2 楼 0 应该是内核级的，对磁盘解析出错了~~~
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 212 粉丝 0 关注私信	liuganchao 2012-12-12 17:16 3 楼 0 你将整个磁盘数据DUMP下来。
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:20 4 楼 0 我在想知道是我操作有错误还是有啥虽然很小儿科但是我不知道的技巧在里面. 对了确定u盘里面根目录没有autorun.inf文件,我在explorer中打开u盘也是直接在地址拦敲的路径比如x:\(习惯就是这样的),我也确定没有点击u盘中的任何文件. 另外我看了下u盘中只有些jpeg文件和一些普通程序除了那个dll都提交到virscan 没有发现一个报毒的. 很神奇啊.
Fido 雪币： 107 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1024 粉丝 1 关注私信	Fido 2012-12-12 17:29 5 楼 0 作者自己生产了一批病毒U盘,在大马路上到处撒.. 不投入哪能有回报?投入10万..估计能搞回几百万... 你如果是高富帅就好了...人傻.钱多
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:31 6 楼 0 u盘我已经格过一次了,通过试验发现只要在u盘中有那个dll和一个exe,插入win就会中招.那个exe应该是个正常程序,应该有个路径漏洞才加载的那个dll.
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-12-12 17:33 7 楼 0 哇。。好帅啊，，，都啥版本的win中招了？
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:35 8 楼 0 我也不知道,感觉这事很神奇,搞了一两天没搞明白.要说一个u盘少说也值三五十块吧. 再说我们公司又不是游戏公司啥的.
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:37 9 楼 0 目前测过xp sp2/sp3,win7.其它找不到机器试了,也不敢随便试.同样的机器到是成功率100%.
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2012-12-12 17:39 10 楼 0 有可能是 link 快捷方式的漏洞。。。楼主可以确认下
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 17:42 11 楼 0 回楼上我搞洞也搞了十多年了.....这个肯定不是10-046,再说我都格盘来试过了,格盘后再插入其它电脑已经不会中招了.但这时只要盘中放入那个exe和dll再到别的机器上插就能中.
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 213 粉丝 0 关注私信	vvking 2012-12-12 17:51 12 楼 0 上传文件，看看啊
asd 雪币： 6561 活跃值： (2994) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 157 粉丝 1 关注私信	asd 2012-12-12 18:07 13 楼 0 本机中毒感染人家U盘了
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 18:10 14 楼 0 不是本机中毒,100%排除.杀软要杀的,为啥插入才会杀哩?!!!
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1335 粉丝 0 关注私信	达文西 2012-12-12 18:18 15 楼 0 请上文件，大家娱乐一下，。
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 18:19 16 楼 0 文件没有漏洞...根本不用看就能中啊.....
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2012-12-12 18:48 17 楼 0 把两个文件传上来吧，大家一起围观下
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-12-12 18:48 18 楼 0 难道是这个U盘。。。硬件漏洞！
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-12 19:00 19 楼 0 好,上传上传.
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-12-12 19:05 20 楼 0 我刷新坐等
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 2012-12-12 19:06 21 楼 0 你就不知道U 盘量产工具吗？可以量产隐藏分区的。
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 151 粉丝 0 关注私信	蓝色妖女 2012-12-12 19:11 22 楼 0 有这等强悍的木马?
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 481 粉丝 0 关注私信	kxzjchen 2012-12-12 19:12 23 楼 0 求上传，一起围歼它
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-12-12 19:37 24 楼 0 我去，这什么水平，捡都能捡到一个0day 坐等真相
dayang 雪币： 220 活跃值： (626) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2012-12-12 19:51 25 楼 0 上样本啊，不上，什么都么说法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复