加糖苦咖啡

WMF 0-day漏洞进一步研究

关键词： WMF    0day    漏洞    SetAbortProc                                          

      今早来到公司的第一件事情就是升级病毒库，支持检测利用WMF 0-day漏洞的恶意WMF文件，并命名为Exploit.WMF.a。
      接下来对该漏洞进行了研究，发现它不像想象中那样制造溢出，而是利用了WMF格式原本就支持的代码执行功能。
      WMF文件由文件头和若干记录构成，每条记录描述一个操作，通常和GDI函数对应。有一个GDI函数SetAbortProc()，可以允许程序员自行定义打印取消回调。SetAbortProc()这个操作是可以存入WMF文件的，回调函数代码也会被一同写进文件当中。IE、Windows图片传真查看程序或者资源管理器在显示WMF文件的时候，回调函数里面的代码都可能被调用。今天拿到的WMF 0-day样本，它的回调函数做了下载安装木马这么一件事情，仅此而已。
      可能正因为如此，Kaspersky的病毒名才叫做TrojanDownloader.xxxx，而不是Exploit.xxxx。病毒名字是小事，不想了。为此写了一个模块，可以把WMF里面的回调函数代码单独提取出来处理，已经入库，今天升级上去。看情况吧，如果变种很多的话，也许可以把包含回调代码的WMF全算成病毒。
      总得说来，这个漏洞还是挺严重的，而且利用起来容易，相信利用漏洞的木马下载器生成机很快就会出现了。有潜力成为未来国内种植网马的主要技术之一。

【作者: daishuo】【访问统计:】【2005年12月29日 星期四 17:02】【注册】【打印】