Word竟成入侵帮凶
网络安全
黑客姓名:王斌
黑客特长:计算机编程
使用工具:PcShare木马、Word 0day漏洞利用程序
黑客自白:我是一名编程爱好者,常常写一些小程序发布到网上,最近一位网友传给我一段源代码让我帮他编译一下。编程成功后进行测试,发现它居然是一个和Word相关的捆绑程序,通过它可以将EXE文件隐藏到Word文档之中。据了解已经有人利用该漏洞进行攻击了,可以使木马下载器成功地骗得用户的信任。
Word也漏洞百出
Word是微软推出的一款非常流行的文字处理软件,可是最近一段时间竟然接二连三地出现各种漏洞。最近微软的Word 2003被发现一个新的0day漏洞,微软已经发布了一个安全公告确认了该消息,该漏洞会影响到Word 2007以前的所有版本。
小知识:什么是0day?
“0day”其实就是一种传播形式,它不是说那些破解专家不到1天就“搞定”某个软件,而是说它能在最短的时间内迅速地“解锁”并在网上发布。现在那些还没有被官方公布的漏洞,也可以称之为0day漏洞。0day的真正意思是“即时发布的漏洞”。
黑客这样对它下手
首先运行木马程序PcShare的客户端,点击工具栏的“生成客户”按钮,在弹出的“生成被控制端执行程序”的窗口中设置连接地址、线程插入进程、键盘监控、自动删除、驱动隐藏等选项(图1)。最后点击“生成”按钮,就能生成服务端程序了。
运行漏洞的应用程序“Word 0day漏洞利用程序”。首先点击“Normal DOC to bind”选项后的按钮,任意选择一个正规的DOC文件;再点击“Trojan to bind”选项后的按钮,选择我们刚刚生成的服务端程序(图2)。接着点击“Bind”按钮就可以成功地将木马程序植入到该DOC文件中。
现在我们要做的是将该Word文档发布出去。Word文档的发布并不需要多少伪装,因为普通用户只对EXE文件比较提防,其他格式的文件都不太注意。我这里制作一个BT文件的种子,然后随其他文件一起发布出去(图3)。下面就等待中招的电脑自动连接了。
打好ADSL账号保卫战
修改默认端口
根据文章中的介绍,“黑客”的第一步是使用SuperScan软件工具来进行特定IP段的扫描,尤其针对80端口,它是几乎所有ADSL设备登录后台管理所使用的默认端口,因此要修改为不常见的端口才行。
必须注意的是,一定要牢记刚才修改后的端口数值,当下次需要后台登录时,应该采用“http://192.168.1.1:修改的端口”进行登录,否则也会被拒之门外。
修改默认登录用户名和密码
继续阅读该文章,发现“黑客”扫描到打开的80端口以后,使用Web方式进行了登录,而使用的用户名和密码就是网上随便“Google”一下就能找到一大把的出厂默认值!上面我只修改了默认端口,但要是“黑客”扫描所有端口,仍然会找到我,当然也会使用默认的用户名和密码侵入。
从“管理”标签页中切换到“用户设置”页面,点击“操作”下的笔形图标进入编辑状态进行修改,最后点击“提交”按钮后到“保存&重启”标签页点击“保存”按钮确认。
提示:以上两种方法都修改了ADSL设备的默认值,以后万一将更新的数据忘记而无法后台管理设备,可参照说明书使用恢复出厂默认的“重设”功能就行了。