绝对强悍U盘传播0day漏洞曝光-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

绝对强悍U盘传播0day漏洞曝光

发表于: 2012-12-12 17:11 29560

绝对强悍U盘传播0day漏洞曝光

blackwhite 活跃值

2012-12-12 17:11

29560

昨天在公司食堂捡到一个4g大的u盘.还比较新,偷偷拿回家看看里面有没有
x照.结果x照什么的没有发现,到是好象可能捡到一个宝.
u盘拿回家后.插入xpsp2系统(未全补丁但确定关闭autorun),我没打10-046lnk漏洞的补丁,直接cmd
cd c:\windows\system32\然后
dir x:\*.lnk /a
没有发现有lnk文件在根目录.
然后在explorer中进入u盘.这时杀毒软件提示system32目录发现病毒....很幸运我中招了.
完全没搞清楚状况.记忆中我什么都没有点!!!
病毒到是很容易清掉就是个加了adobe数字签名的dll,启动项也很容易找到.
为了弄明白咋个中招的,换了台计算机(xpsp3全补丁确定关闭autorun)再试,这次更奇特,我只是插入u盘什么都没做也中招.
检查u盘中的文件除了发现有一个隐藏的dll文件什么都没看到.

我现在想知道这是种什么技术,好象很牛b.嘿嘿.

dll.rar
PS:我把DLL文件放在这里了，仙果留

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・19

免费・6

支持

最新回复 (118) 1 2 3 4 5 ▶
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 2 楼应该是内核级的，对磁盘解析出错了~~~ 2012-12-12 17:15 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 3 楼你将整个磁盘数据DUMP下来。 2012-12-12 17:16 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 4 楼我在想知道是我操作有错误还是有啥虽然很小儿科但是我不知道的技巧在里面. 对了确定u盘里面根目录没有autorun.inf文件,我在explorer中打开u盘也是直接在地址拦敲的路径比如x:\(习惯就是这样的),我也确定没有点击u盘中的任何文件. 另外我看了下u盘中只有些jpeg文件和一些普通程序除了那个dll都提交到virscan 没有发现一个报毒的. 很神奇啊. 2012-12-12 17:20 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 5 楼作者自己生产了一批病毒U盘,在大马路上到处撒.. 不投入哪能有回报?投入10万..估计能搞回几百万... 你如果是高富帅就好了...人傻.钱多 2012-12-12 17:29 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 6 楼 u盘我已经格过一次了,通过试验发现只要在u盘中有那个dll和一个exe,插入win就会中招.那个exe应该是个正常程序,应该有个路径漏洞才加载的那个dll. 2012-12-12 17:31 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 7 楼哇。。好帅啊，，，都啥版本的win中招了？ 2012-12-12 17:33 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 8 楼我也不知道,感觉这事很神奇,搞了一两天没搞明白.要说一个u盘少说也值三五十块吧. 再说我们公司又不是游戏公司啥的. 2012-12-12 17:35 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 9 楼目前测过xp sp2/sp3,win7.其它找不到机器试了,也不敢随便试.同样的机器到是成功率100%. 2012-12-12 17:37 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 10 楼有可能是 link 快捷方式的漏洞。。。楼主可以确认下 2012-12-12 17:39 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 11 楼回楼上我搞洞也搞了十多年了.....这个肯定不是10-046,再说我都格盘来试过了,格盘后再插入其它电脑已经不会中招了.但这时只要盘中放入那个exe和dll再到别的机器上插就能中. 2012-12-12 17:42 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 12 楼上传文件，看看啊 2012-12-12 17:51 0
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 13 楼本机中毒感染人家U盘了 2012-12-12 18:07 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 14 楼不是本机中毒,100%排除.杀软要杀的,为啥插入才会杀哩?!!! 2012-12-12 18:10 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 15 楼请上文件，大家娱乐一下，。 2012-12-12 18:18 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 16 楼文件没有漏洞...根本不用看就能中啊..... 2012-12-12 18:19 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 17 楼把两个文件传上来吧，大家一起围观下 2012-12-12 18:48 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 18 楼难道是这个U盘。。。硬件漏洞！ 2012-12-12 18:48 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 19 楼好,上传上传. 2012-12-12 19:00 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 20 楼我刷新坐等 2012-12-12 19:05 0
tiany 雪币： 253 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 21 楼你就不知道U 盘量产工具吗？可以量产隐藏分区的。 2012-12-12 19:06 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 22 楼有这等强悍的木马? 2012-12-12 19:11 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 23 楼求上传，一起围歼它 2012-12-12 19:12 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 24 楼我去，这什么水平，捡都能捡到一个0day 坐等真相 2012-12-12 19:37 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 25 楼上样本啊，不上，什么都么说法 2012-12-12 19:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

blackwhite

发帖

247

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (118) 1 2 3 4 5 ▶
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 2 楼应该是内核级的，对磁盘解析出错了~~~ 2012-12-12 17:15 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 3 楼你将整个磁盘数据DUMP下来。 2012-12-12 17:16 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 4 楼我在想知道是我操作有错误还是有啥虽然很小儿科但是我不知道的技巧在里面. 对了确定u盘里面根目录没有autorun.inf文件,我在explorer中打开u盘也是直接在地址拦敲的路径比如x:\(习惯就是这样的),我也确定没有点击u盘中的任何文件. 另外我看了下u盘中只有些jpeg文件和一些普通程序除了那个dll都提交到virscan 没有发现一个报毒的. 很神奇啊. 2012-12-12 17:20 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 5 楼作者自己生产了一批病毒U盘,在大马路上到处撒.. 不投入哪能有回报?投入10万..估计能搞回几百万... 你如果是高富帅就好了...人傻.钱多 2012-12-12 17:29 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 6 楼 u盘我已经格过一次了,通过试验发现只要在u盘中有那个dll和一个exe,插入win就会中招.那个exe应该是个正常程序,应该有个路径漏洞才加载的那个dll. 2012-12-12 17:31 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 7 楼哇。。好帅啊，，，都啥版本的win中招了？ 2012-12-12 17:33 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 8 楼我也不知道,感觉这事很神奇,搞了一两天没搞明白.要说一个u盘少说也值三五十块吧. 再说我们公司又不是游戏公司啥的. 2012-12-12 17:35 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 9 楼目前测过xp sp2/sp3,win7.其它找不到机器试了,也不敢随便试.同样的机器到是成功率100%. 2012-12-12 17:37 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 10 楼有可能是 link 快捷方式的漏洞。。。楼主可以确认下 2012-12-12 17:39 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 11 楼回楼上我搞洞也搞了十多年了.....这个肯定不是10-046,再说我都格盘来试过了,格盘后再插入其它电脑已经不会中招了.但这时只要盘中放入那个exe和dll再到别的机器上插就能中. 2012-12-12 17:42 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 12 楼上传文件，看看啊 2012-12-12 17:51 0
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 13 楼本机中毒感染人家U盘了 2012-12-12 18:07 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 14 楼不是本机中毒,100%排除.杀软要杀的,为啥插入才会杀哩?!!! 2012-12-12 18:10 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 15 楼请上文件，大家娱乐一下，。 2012-12-12 18:18 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 16 楼文件没有漏洞...根本不用看就能中啊..... 2012-12-12 18:19 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 17 楼把两个文件传上来吧，大家一起围观下 2012-12-12 18:48 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 18 楼难道是这个U盘。。。硬件漏洞！ 2012-12-12 18:48 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 19 楼好,上传上传. 2012-12-12 19:00 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 20 楼我刷新坐等 2012-12-12 19:05 0
tiany 雪币： 253 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 21 楼你就不知道U 盘量产工具吗？可以量产隐藏分区的。 2012-12-12 19:06 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 22 楼有这等强悍的木马? 2012-12-12 19:11 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 23 楼求上传，一起围歼它 2012-12-12 19:12 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 24 楼我去，这什么水平，捡都能捡到一个0day 坐等真相 2012-12-12 19:37 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 25 楼上样本啊，不上，什么都么说法 2012-12-12 19:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复