我欲封天耳根小说,古风君子以泽

主頁 > 知識庫 > 惡意代碼與網(wǎng)絡(luò)安全

惡意代碼與網(wǎng)絡(luò)安全

瀏覽網(wǎng)頁會感染“病毒”，瀏覽網(wǎng)頁會感染木馬，你相信嗎？大約半年前就有人使用這種技術(shù)來進(jìn)行攻擊了！惡意代碼具有比較大的隱蔽性，到目前為止，還沒有什么病毒防火墻能很好地阻止惡意代碼的攻擊，大多數(shù)甚至根本就不能發(fā)現(xiàn)。
《電腦報》今年25期D4版曾介紹了一個叫Gohip的網(wǎng)站，可以修改瀏覽器的默認(rèn)網(wǎng)址，使其指向Gohip網(wǎng)站。其實這還算客氣的了，如果你去瀏覽了一個叫“萬花谷”的網(wǎng)站，你就會感覺到Gohip算“仁慈”了。

一、切身體驗

在打開多種病毒防火墻的情況下進(jìn)入該網(wǎng)站后都沒有報警，可鼠標(biāo)馬上變慢，當(dāng)離開該網(wǎng)站時，突然彈開了無數(shù)個IE新窗口，馬上用“Alt+F4”關(guān)掉所有窗口，可緊接著Win 98報錯，按任何鍵都沒有反應(yīng)，按動“Ctrl+Alt+Del”關(guān)閉沒有反應(yīng)的程序，但是馬上出現(xiàn)藍(lán)屏、死機(jī)。重啟機(jī)器，出現(xiàn)：“歡迎你來萬花谷，你中了‘萬花病毒'請與QQ：4040465聯(lián)系”的提示，按“確定”按鈕，可以進(jìn)入Win 98，不過桌面上已空空蕩蕩，點擊“開始”菜單，發(fā)現(xiàn)“關(guān)機(jī)”、“運行”兩項都消失了，再次重啟機(jī)器依然如此。

二、解決辦法

如果你不小心中招，可以用下面三個辦法來解決：

方法一：

1.A盤啟動，在DOS環(huán)境下找到C:目錄(注意：sysbckup目錄是隱藏屬性，應(yīng)先用attrib命令去掉其隱藏屬性)，可以找rb000.cab～rb004.cab這五個文件，這是最近的五個注冊表備份文件，選rb004.cab拷貝出來。

2.在另外的機(jī)子上用ZIP解壓rb004.cab得到四個文件，把該四個文件復(fù)制到C:下覆蓋原文件。

3.安全模式下啟動電腦，運行Msconfig，在“啟動”標(biāo)簽中找到HA.hta，把多選框前面的“√”去掉。

4.重啟動機(jī)器一切OK。

方法二：在DOS下用scanreg/restore注冊表，然后再刪除啟動組中的HA.hta即可。

方法三：利用“超級兔子”系統(tǒng)軟件或者“Windows優(yōu)化大師”恢復(fù)。

“超級兔子”可以恢復(fù)對Windows系統(tǒng)的權(quán)限設(shè)置。打開快捷欄上的IE圖標(biāo)(因為系統(tǒng)鎖死了“資源管理器”，也可運行“查找”功能)。

在IE地址欄輸入需要進(jìn)入的目標(biāo)盤，如“E:u8221，找到超級兔子，打開“ms98.exe”。首先在工具選項里，點擊“高級隱藏”，在隱藏磁盤欄里去掉“C:”前面的鉤；然后點擊“桌面與圖標(biāo)”，在“顯示圖標(biāo)在桌面上”選項前加鉤。保存后，再點擊“安全與多用戶”，去掉在“啟動時要顯示的標(biāo)題”和“啟動時要顯示的信息”欄里的文字。在工具選項里點擊“IE 4/5”，“在IE標(biāo)題”欄里去掉文字，保存后OK！

特別要說明的是，當(dāng)打開該頁面時，它自動更改了瀏覽器的默認(rèn)頁，所以改回Windows設(shè)置后一定要修改瀏覽器的默認(rèn)頁，不然下次上網(wǎng)又會進(jìn)入萬花頁面。

三、預(yù)防辦法：

1.不要輕易去一些自己并不了解的站點。

2.在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止。方法是：在IE窗口中點擊“工具→Internet選項”，在彈出的對話框中選擇“安全”標(biāo)簽，再點擊“自定義級別”按鈕，就會彈出“安全設(shè)置”對話框，把其中所有ActiveX插件和控件以及Java相關(guān)全部選擇“禁用”即可。在Win 2000下把服務(wù)里面的遠(yuǎn)程注冊表操作服務(wù)“Remote Registry Service”禁用就可以了。方法是點擊“管理工具→服務(wù)→Remote Registry Service(允許遠(yuǎn)程注冊表操作)”，將這一項禁用。

3. 既然“萬花谷”是通過修改注冊表來破壞我們的系統(tǒng)，那么我們可以把注冊表加鎖，禁止修改注冊表，這樣就可以達(dá)到預(yù)防的目的。

加鎖方法如下：

(1)運行注冊表編輯器regedit.exe；

(2)到“HKEY＿CURRENT＿USER”下，新建一個名為“DisableRegistryTools”的DWORD值，并將其值改為“1”，即可禁止使用注冊表編輯器regedit.exe。

解鎖方法如下：

用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內(nèi)容如下：

REGEDIT4

[HKEY＿CURRENT＿USER] “DisableRegistryTools”=dword:00000000

存盤退出。如果要使用注冊表編輯器，則雙擊“unlock.reg”即可。要注意的是，在“REGEDIT4”后面一定要空一行，并且“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則將前功盡棄！

4. 對于所有用戶，可以通過升級到最新的KVW3000病毒庫，上網(wǎng)時打開KVW3000病毒防火墻來預(yù)防該類惡意網(wǎng)頁的侵害(注意：必須是6月28日以后的病毒庫方可)。

編者按：上期我們介紹的是“萬花谷”病毒攻防戰(zhàn)，其實互聯(lián)網(wǎng)上類似的網(wǎng)站還很多，只要有帶新的病毒的網(wǎng)站出現(xiàn)，我們就有義務(wù)告知大家。如果大家有網(wǎng)絡(luò)安全方面的稿件，請發(fā)xiongjie@cpcw．com信箱，我們將以最快速度把實用性強(qiáng)的文章刊登出來。

一、切身體驗

在進(jìn)入木馬網(wǎng)頁的過程中，鼠標(biāo)奇怪地變成沙漏形狀，看來的確是有程序在運行。打開計算機(jī)的任務(wù)管理器，可以看到多了一個wincfg．exe的進(jìn)程。進(jìn)程對應(yīng)的文件在Win2000下是c＼winnt＼wincfg．exe，在Win98下是c＼windows＼wincfg．exe。

運行注冊表編輯器regedit，在“HKEY＿LOCAL＿M(jìn)ACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVerion＼Run”下發(fā)現(xiàn)wincfg．exe，原來它將自己登記在注冊表開機(jī)啟動項中，這樣每次開機(jī)都會自動運行wincfg．exe。(如圖)

注：給你下套的人可以自己設(shè)定這個木馬的啟動鍵名和注冊文件名，注冊文件名也就是運行時進(jìn)程里的名稱，因此大家看到的結(jié)果可能不相同。

運行金山毒霸，報告發(fā)現(xiàn)“backdoor bnlite”，哦，原來是木馬bnlite服務(wù)端改名為wincfg．exe。別看這個木馬服務(wù)端程序不大(僅有6．5K)，但它的功能可不少：具有ICQ通報功能、遠(yuǎn)程刪除服務(wù)端功能、設(shè)定端口和運行名稱、上傳下載……如果你中了該木馬，那么木馬控制端完全可以通過這個木馬在你的電腦上建立一個隱藏的FTP服務(wù)器，別人就有最大權(quán)限進(jìn)入你的電腦了！這樣控制你的電腦將非常容易！

木馬是如何下載到瀏覽了該主頁的計算機(jī)中、并運行起來的呢？在IE中點擊“工具”→“Internet選項”→“安全”→“自定義安全級別”，將ActiveX相關(guān)選項全部都禁用，再瀏覽該網(wǎng)頁，wincfg．exe還是下載并運行了！看來這和ActiveX無關(guān)。在“自定義安全級別”中有關(guān)文件下載的選項都禁止，再瀏覽該網(wǎng)頁，這回wincfg．exe不再下載了。

二、問題揭示

我們來看看wincfg．exe是如何下載到瀏覽者計算機(jī)上的，在該網(wǎng)頁上點擊鼠標(biāo)右鍵，選擇其中的“查看源代碼”，在網(wǎng)頁代碼最后面發(fā)現(xiàn)了可疑的語句：

＜iframe src=wincfg．eml width=1 height=1＞

注意到其中的“wincfg．eml”了嗎？大家都知道eml為郵件格式，網(wǎng)頁中要eml文件干什么呢？非?？梢桑≡贗E瀏覽器中輸入：http//shirf．51．net/wincfg．eml，再看看任務(wù)管理器，wincfg．exe進(jìn)程又回來了，原來問題就在這個文件上！既然問題在這文件上，當(dāng)然得想辦法得到這個文件看看了。用螞蟻把文件下載下來，鼠標(biāo)剛點上去，wincfg．exe又被執(zhí)行了，真是陰魂不散?。?nbsp;

打開wincfg．eml，發(fā)現(xiàn)其關(guān)鍵內(nèi)容如下：

Content-Type audio/x-wav name=“wincfg．exe” ★這一句定義了文件名稱，在此為wincfg．exe

Content-Transfer-Encoding base64 ★定義了代碼格式為base64

Content-ID ＜THE-CID＞ ★從這里開始才是代碼的起步

TVqQAAMAAAAEAAAA//8AAL……以下刪掉一大節(jié) ★這些是wincfg．exe經(jīng)過base64編碼的內(nèi)容

上面加了“★”的部分為注釋內(nèi)容。這個以base64方式編碼的文件，會在你瀏覽網(wǎng)頁時編譯成wincfg．exe文件并運行，這就是瀏覽該網(wǎng)頁會中木馬的原因！至此我就明白了，其實，所謂的瀏覽網(wǎng)頁會中木馬，只是網(wǎng)頁制作者利用了微軟IE瀏覽器中存在的漏洞進(jìn)行攻擊的一個案例而已，說白了就是利用了錯誤的MIMEMultipurpose Internet Mail Extentions，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議頭進(jìn)行攻擊。

三、真相大白

現(xiàn)在，再回過頭來看看我所中的木馬是怎么回事。其實，wincfg．exe這個文件在這里相當(dāng)于郵件的附件，從我們所列的代碼中可以看到，攻擊者把wincfg．exe的類型定義為audio/x-wav，由于郵件的類型為audio/x-wav時，IE存在的這個錯誤的MIME頭漏洞會將附件認(rèn)為是音頻文件，并自動嘗試打開，結(jié)果導(dǎo)致郵件文件wincfg．eml中的附件wincfg．exe(木馬)被執(zhí)行。在Win2000下，即使是用鼠標(biāo)點擊下載下來的wincfg．eml，或是拷貝粘貼該文件，都會導(dǎo)致wincfg．eml中的附件被運行，微軟的這個漏洞可真是害人不淺啊?，F(xiàn)在看來，原先那些攻擊者想方設(shè)法欺騙被攻擊目標(biāo)執(zhí)行修改過的木馬等后門程序，是多么落后的手段??！如今，利用微軟“創(chuàng)造”的這個大漏洞來進(jìn)行攻擊，是多么簡單、多么容易啊！唯一的條件就是被攻擊目標(biāo)使用IE5．0及以上版本中的一種，使用IE瀏覽器的用戶到底有多少呢？看看你身邊的朋友就知道答案了！

四、解決辦法

1點擊“開始”→“運行”，在彈出的對話框中輸入“regedit”，回車。然后展開注冊表到“HKEY＿LOCAL＿M(jìn)ACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”下刪除wincfg．exe；

2到你的計算機(jī)的系統(tǒng)目錄下，刪除其中的wincfg．exe文件；

3重新啟動機(jī)器，就一切OK了！

五、預(yù)防方法

1．IE和Outlook的用戶。

1在IE的“工具→Internet選項→安全→Internet區(qū)域的安全級別”，把安全極別由“中”改為“高”。

2點擊“自定義級別”按鈕，在彈出的窗口中，禁用“對標(biāo)記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本”、“活動腳本”和“文件下載”功能。

3禁用所有的ActiveX控制和插件。

4將資源管理器設(shè)置成“始終顯示擴(kuò)展名”。

5禁止以WEB方式使用資源管理器。

6取消“下載后確認(rèn)打開”這種擴(kuò)展名屬性設(shè)置。

2．不要受陌生人的誘惑打開別人給你的URL，如果確實想看，可以通過一些下載工具把頁面下載下來，然后用記事本等一些文本編輯工具打開查看代碼。

3．微軟公司為該漏洞提供了一個補(bǔ)丁，趕快到下面所列出的URL去看看吧!

標(biāo)簽：沈陽河源哈密紅河忻州無錫青海阜陽

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《惡意代碼與網(wǎng)絡(luò)安全》，本文關(guān)鍵詞惡意,代碼,與,網(wǎng)絡(luò)安全,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請?zhí)峁┫嚓P(guān)信息告之我們，我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。

濮阳杆衣贸易有限公司

惡意代碼與網(wǎng)絡(luò)安全