利用QQ“无底洞”捉肉鸡
网络安全
因为地震的原因使很多朋友的杀毒软件没有升级成功。导致病毒木马在网络中横行。但是最让人想不通的是,没有访问陌生网页,只是上了会儿QQ就中了木马,难道造成木马入侵的原因是QQ?不错!就是QQ。最近QQ爆出高危漏洞,成为黑客入侵的渠道。
黑客姓名:马剑锋
黑客特长:远程漏洞的研究
使用工具:灰鸽子木马、QQ远程溢出漏洞生成器
黑客自白:我是一名网络程序员,可是很多人都愿意把我当作黑客,可能是因为我常常利用自己的所学研究发现系统和应用程序之中存在的漏洞。最近就有人发现了QQ的几个高危漏洞,漏洞的类型包括远程溢出漏洞和拒绝服务漏洞。这其中最危险的就是那个远程溢出漏洞,黑客成功利用该漏洞后将可以远程控制用户的计算机系统电脑。
QQ漏洞的形成原因
QQ这次出现的几个漏洞均是由于ActiveX Control造成的,和漏洞相关的DLL文件分别是:VQQsdl.dll、VQQPLAYER.ocx、V2MailActiveX.ocx。因为是ActiveX的,所以只需要用户安装过QQ,甚至不需要登录,就可以成功利用。
造成远程溢出漏洞的主要原因是由于腾讯程序自身的问题, QQ目录中的VQQPLAYER.ocx文件存在一个栈溢出漏洞。由于该文件中的第一个参数没有进行长度检查,当出现超长字符串时就会造成一个栈溢出,在函数返回时可以控制漏洞的入口。
该远程溢出漏洞影响的版本包括QQ2006正式版及之前的所有版本。目前腾讯QQ有着2亿的用户数量,使得该漏洞有着极大的攻击范围,有可能被利用来制造僵尸网络。如果被恶意利用,可以使得用户在浏览植入恶意代码的网页时,打开本地系统端口,远程植入木马到用户系统中。黑客利用此漏洞可以远程控制用户电脑,进行文件拷贝、浏览、删除等恶意操作。
轻易成为黑客的俘虏
运行灰鸽子木马的客户端程序,点击工具栏中的“配置服务程序”按钮。然后在弹出的“服务端配置”窗口,根据自己的需要进行配置(图1)。
将生成的服务端程序上传到自己的网络空间中。点击“工具”菜单下的“Web服务器”,设置Web服务目录和端口,点击“开启服务”按钮即可(图2)。
运行QQ远程溢出漏洞生成器。我们只要在“下载文件地址”选项中输入服务端程序的网络地址即可,接着点击“生成”按钮就可以创建漏洞利用文件(图3)。
通过QQ、电子邮件、网络群发等功能,将漏洞利用网页的链接发送出去(图4)。只要有用户点击这个链接,无论是否登录自己的QQ,都会被种植木马程序。
如何避免漏洞降临
QQ已经不是第一次出现漏洞了,但是以前的漏洞很多是由于Windows系统造成的,这次出现这个高危的远程溢出漏洞还是第一次。
甚至腾讯已经发布的QQ2006正式版都已经被官方默默的升级,就比可以看出这个漏洞的影响面是非常巨大的。QQ公司已经于近日通过升级来修补这些高危漏洞,并且QQ安全中心已经就此漏洞发布了一个补丁检查升级公告:http://security.qq.com/affiche/2007/20070104.shtml。
强烈建议广大用户注意QQ的升级信息(QQ的升级信息会在大家使用QQ时弹出),抵御病毒入侵,预防此漏洞危害系统。临时解决方案:①删除VQQPlayer.ocx注册的注册表键:HKEY_CLASSES_ROOT\QQPLAYER.QQPlayerCtrl.1;②禁止IE执行ActiveX 控件。
注明:为保证广大QQ用户的权益,我们本期提前公布防御方法。
巧设置,防穿透
系统自带的防火墙操作简单,但是防火墙本身存在很多的不足之处。再加上微软给了管理员账户极大的权限,所以很容易就被黑客进行入侵破坏。
攻击:攻击者通过压缩文件捆绑木马和注册表文件来达到修改注册表和穿透防火墙的目的。
防御:针对此种传播木马手段,我们可以在接收别人传来的文件时,要先用最新版本的杀毒软件进行杀毒,将被感染的几率降到最低。同时在系统中安装注册表监控软件,如果注册表有改动,我们可以第一时间发现。
如果已经被修改了注册表,我们则应该对Windows防火墙窗口列表中的例外项目进行检查,发现可疑的项目应该立即删除。一般说来,如果没有特别设置,在例外项目里面不会有任何项目。
最后,还是建议大家安装一个第三方的网络防火墙,因为对于现在网络安全的形势,系统防火墙还是不怎么靠得住的。