恶意代码与网络安全

浏览网页会感染“病毒”,浏览网页会感染木马,你相信吗?大约半年前就有人使用这种技术来进行攻击了!恶意代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止恶意代码的攻击,大多数甚至根本就不能发现。 
《电脑报》今年25期D4版曾介绍了一个叫Gohip的网站,可以修改浏览器的默认网址,使其指向Gohip网站。其实这还算客气的了,如果你去浏览了一个叫“万花谷”的网站,你就会感觉到Gohip算“仁慈”了。

一、切身体验

在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开了无数个IE新窗口,马上用“Alt+F4”关掉所有窗口,可紧接着Win 98报错,按任何键都没有反应,按动“Ctrl+Alt+Del”关闭没有反应的程序,但是马上出现蓝屏、死机。重启机器,出现:“欢迎你来万花谷,你中了‘万花病毒'请与QQ:4040465联系”的提示,按“确定”按钮,可以进入Win 98,不过桌面上已空空荡荡,点击“开始”菜单,发现“关机”、“运行”两项都消失了,再次重启机器依然如此。

二、解决办法

如果你不小心中招,可以用下面三个办法来解决:

方法一:

1.A盘启动,在DOS环境下找到C:目录(注意:sysbckup目录是隐藏属性,应先用attrib命令去掉其隐藏属性),可以找rb000.cab~rb004.cab这五个文件,这是最近的五个注册表备份文件,选rb004.cab拷贝出来。

2.在另外的机子上用ZIP解压rb004.cab得到四个文件,把该四个文件复制到C:下覆盖原文件。

3.安全模式下启动电脑,运行Msconfig,在“启动”标签中找到HA.hta,把多选框前面的“√”去掉。

4.重启动机器一切OK。

方法二:在DOS下用scanreg/restore注册表,然后再删除启动组中的HA.hta即可。

方法三:利用“超级兔子”系统软件或者“Windows优化大师”恢复。

“超级兔子”可以恢复对Windows系统的权限设置。打开快捷栏上的IE图标(因为系统锁死了“资源管理器”,也可运行“查找”功能)。

在IE地址栏输入需要进入的目标盘,如“E:u8221,找到超级兔子,打开“ms98.exe”。首先在工具选项里,点击“高级隐藏”,在隐藏磁盘栏里去掉“C:”前面的钩;然后点击“桌面与图标”,在“显示图标在桌面上”选项前加钩。保存后,再点击“安全与多用户”,去掉在“启动时要显示的标题”和“启动时要显示的信息”栏里的文字。在工具选项里点击“IE 4/5”,“在IE标题”栏里去掉文字,保存后OK!

特别要说明的是,当打开该页面时,它自动更改了浏览器的默认页,所以改回Windows设置后一定要修改浏览器的默认页,不然下次上网又会进入万花页面。

三、预防办法:

1.不要轻易去一些自己并不了解的站点。

2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用。

3. 既然“万花谷”是通过修改注册表来破坏我们的系统,那么我们可以把注册表加锁,禁止修改注册表,这样就可以达到预防的目的。

加锁方法如下:

(1)运行注册表编辑器regedit.exe;

(2)到“HKEY_CURRENT_USER”下,新建一个名为“DisableRegistryTools”的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。

解锁方法如下:

用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:

REGEDIT4

[HKEY_CURRENT_USER] “DisableRegistryTools”=dword:00000000

存盘退出。如果要使用注册表编辑器,则双击“unlock.reg”即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!

4. 对于所有用户,可以通过升级到最新的KVW3000病毒库,上网时打开KVW3000病毒防火墙来预防该类恶意网页的侵害(注意:必须是6月28日以后的病毒库方可)。

编者按:上期我们介绍的是“万花谷”病毒攻防战,其实互联网上类似的网站还很多,只要有带新的病毒的网站出现,我们就有义务告知大家。如果大家有网络安全方面的稿件,请发xiongjie@cpcw.com信箱,我们将以最快速度把实用性强的文章刊登出来。

一、切身体验

在进入木马网页的过程中,鼠标奇怪地变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在Win2000下是c\winnt\wincfg.exe,在Win98下是c\windows\wincfg.exe。

运行注册表编辑器regedit,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下发现wincfg.exe,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe。(如图)

注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。

运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(仅有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马,那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器,别人就有最大权限进入你的电脑了!这样控制你的电脑将非常容易!

木马是如何下载到浏览了该主页的计算机中、并运行起来的呢?在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,这回wincfg.exe不再下载了。

二、问题揭示

我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的语句:

<iframe src=wincfg.eml width=1 height=1>

注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!在IE浏览器中输入:http//shirf.51.net/wincfg.eml,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然得想办法得到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!

打开wincfg.eml,发现其关键内容如下:

Content-Type audio/x-wav name=“wincfg.exe” ★这一句定义了文件名称,在此为wincfg.exe

Content-Transfer-Encoding base64 ★定义了代码格式为base64

Content-ID <THE-CID> ★从这里开始才是代码的起步

TVqQAAMAAAAEAAAA//8AAL……以下删掉一大节 ★这些是wincfg.exe经过base64编码的内容

上面加了“★”的部分为注释内容。这个以base64方式编码的文件,会在你浏览网页时编译成wincfg.exe文件并运行,这就是浏览该网页会中木马的原因!至此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIMEMultipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头进行攻击。

三、真相大白

现在,再回过头来看看我所中的木马是怎么回事。其实,wincfg.exe这个文件在这里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的类型定义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞会将附件认为是音频文件,并自动尝试打开,结果导致邮件文件wincfg.eml中的附件wincfg.exe(木马)被执行。在Win2000下,即使是用鼠标点击下载下来的wincfg.eml,或是拷贝粘贴该文件,都会导致wincfg.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如今,利用微软“创造”的这个大漏洞来进行攻击,是多么简单、多么容易啊!唯一的条件就是被攻击目标使用IE5.0及以上版本中的一种,使用IE浏览器的用户到底有多少呢?看看你身边的朋友就知道答案了!

四、解决办法

1点击“开始”→“运行”,在弹出的对话框中输入“regedit”,回车。然后展开注册表到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下删除wincfg.exe;

2到你的计算机的系统目录下,删除其中的wincfg.exe文件;

3重新启动机器,就一切OK了!

五、预防方法

1.IE和Outlook的用户。

1在IE的“工具→Internet选项→安全→Internet区域的安全级别”,把安全极别由“中”改为“高”。

2点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”、“活动脚本”和“文件下载”功能。

3禁用所有的ActiveX控制和插件。

4将资源管理器设置成“始终显示扩展名”。

5禁止以WEB方式使用资源管理器。

6取消“下载后确认打开”这种扩展名属性设置。

2.不要受陌生人的诱惑打开别人给你的URL,如果确实想看,可以通过一些下载工具把页面下载下来,然后用记事本等一些文本编辑工具打开查看代码。

3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧!

(0)

相关推荐

  • 恶意代码与网络安全

    浏览网页会感染"病毒",浏览网页会感染木马,你相信吗?大约半年前就有人使用这种技术来进行攻击了!恶意代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止恶意代码的攻击,大多数甚至根本就不能发现.  <电脑报>今年25期D4版曾介绍了一个叫Gohip的网站,可以修改浏览器的默认网址,使其指向Gohip网站.其实这还算客气的了,如果你去浏览了一个叫"万花谷"的网站,你就会感觉到Gohip算"仁慈"了. 一.切身体验

  • 轻松设置让系统不受恶意代码攻击

    所谓恶意代码,是指网页中使用了利用WSH漏洞来修改系统的一段代码(但是由于它并不具备传染性和自我复制这两个病毒的基本特征,因此不能称作病毒).WSH是"Windows Scripting Host"的缩写,是微软提供的一种脚本解释机制,它使得脚本文件(扩展名为.js..vbs等)能够直接在Windows桌面或命令提示符下运行(您可以搜索一下您windows安装目录下的 *.js或者*.vbs文件,然后双击运行看看效果). 也就是说,我们可以从卸载WSH.阻止恶意代码运行.实时保护的任意

  • 网页恶意代码的预防

    1.要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入 ,否则往往不经易间就会误入网页代码的圈套. 2.当运行IE时,点击"工具→Internet选项→安全→ Internet区域的安全级别",把安全级别由"中"改为"高" . 3 .因为这一类网页主要是含有恶意代码的ActiveX或Applet. JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件.

  • ntiIframe.vbs用于批量清除被添加到文件中的恶意代码

    AntiIframe.vbs #该脚本是批量挂马程序的逆向,用于批量清除被添加到文件中的恶意代码.记事本打开文件可以修改Pattern参数指定要处理的文件名,文件名之间用|隔开(也支持vbs正则表达式).由于要修改文件,请谨慎的使用(最好先备份文件) #用法: CScript AntiIframe.vbs [处理的路径] [包含清除内容的文件] #例子: CScript AntiIframe.vbs d:\Web d:\lake2.txt 复制代码 代码如下: '----------------

  • php快速查找数据库中恶意代码的方法

    本文实例讲述了php快速查找数据库中恶意代码的方法.分享给大家供大家参考.具体如下: 数据库被输入恶意代码,为了保证你的数据库的安全,你必须得小心去清理.有了下面一个超级方便的功能,即可快速清除数据库恶意代码. function cleanInput($input) { $search = array( '@]*?>.*?@si', // Strip out javascript '@<[\/\!]*?[^<>]*?>@si', // Strip out HTML tags

  • 网站被黑后处理方法及删除批量恶意代码的方法步骤

    如果发现网站出现异常情况,如页面被修改.管理账号不能登录,则说明网站已经被入侵.这时就需要尽快进行处理,以防止黑客种植的网页病毒扩散. 暂时关闭网站 网站被黑客入侵后,最常见的情况就是被植入木马程序,为了保证浏览者的安全,必须先关闭网站,待处理完毕后再开放.关闭时可以暂时将域名转向其它地址,如建立一个网站的帖吧,或者放置一个说明页面. 使用备份恢复 如果网站文件被黑客破坏或删除,假如事先进行过网站数据备份的话,可以直接使用备份文件恢复.万一没有对备份进行备份,而数据又非常重要的话,建议先不要进行

  • 网站被黑后的处理方法及批量删除恶意代码

    如果发现网站出现异常情况,如页面被修改.管理账号不能登录,则说明网站已经被入侵.这时就需要尽快进行处理,以防止黑客种植的网页病毒扩散. 暂时关闭网站 网站被黑客入侵后,最常见的情况就是被植入木马程序,为了保证浏览者的安全,必须先关闭网站,待处理完毕后再开放.关闭时可以暂时将域名转向其它地址,如建立一个网站的帖吧,或者放置一个说明页面. 使用备份恢复 如果网站文件被黑客破坏或删除,假如事先进行过网站数据备份的话,可以直接使用备份文件恢复.万一没有对备份进行备份,而数据又非常重要的话,建议先不要进行

  • PHP实现清除wordpress里恶意代码

    公司一些wordpress网站由于下载的插件存在恶意代码,导致整个服务器所有网站PHP文件都存在恶意代码,就写了个简单的脚本清除. 恶意代码示例 复制代码 代码如下: <?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((

  • C/C++恶意代码盘点之文件自动删除

    目录 前言 1.MoveFileEx重启删除 源代码实现 2.利用批处理命令删除 具体流程 源代码实现 前言 恶意代码的分类包括计算机病毒.蠕虫.木马.后门.Rootkit.流氓软件.间谍软件.广告软件.僵尸(bot) .Exploit等等,有些技术经常用到,有的也是必然用到. 上次咱们分享了一部分,那么今天我们就分享一下文件自动删除. 自删除功能对病毒木马来说同样至关重要,它通常在完成目标任务之后删除自身,不留下任何蛛丝马迹,自删除的方法有很多种,常见的有利用MoveFileEx重启删除和利用

  • 检查上传图片是否合法的函数,木马改后缀名、图片加恶意代码均逃不过

    今天试了下AspJpeg组件,发现用AspJpeg组件去处理不正常的图片文件的时候就会出错,呵呵,这个正好可以让我们用来检查图片的合法性,偶给封装成函数了- 复制代码 代码如下: '------------------------------------------- '函数名:chkimg '作 用:检查图片文件是否合法 '参 数:img,图片路径 '返回值:布尔类型 '条 件:服务器必须支持AspJpeg '------------------------------------------

随机推荐