阿碼外傳-阿碼科技非官方中文 Blog: 2009年7月6日

2009年7月6日

3b3.org 在 0 Day 的大復活日記

3b3.org 是啥!可以問問 google 大神,這是今年初惡意網頁掛碼所使用的惡意網域,最近復活了。透過 DirectShow MPEG2TuneRequest Stack Overflow 的 0 Day 大復活了...

一般惡意網域在惡意利用後,大多會丟棄不用,會再利用新的惡意網域,但 3b3.org 並沒有,在沉潛一段時日之後復活了。很重要的原因是:有太多網站被植入此惡意連結後,一直沒有移除。換句話說,很多網頁還留有舊的攻擊連結。

先前兩篇文章,你看了嗎?
網站多久沒健檢,是不是該關心一下了
深思網站淪陷背後的意義

先看看 3b3.org/c.js 在做啥...





再看看 HackAlert 發現的一個掛馬網址:


詳細追下去:




是不是發現都是一樣的攻擊碼了。這是 Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit,這可是 0 day 的漏洞,可以參考鬼仔's Blog:
Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit
DirectShow 0DAY第二波警告

繼續閱讀全文...