论文部分内容阅读
在很久很久以前病毒通过软盘进行传播,后来病毒通过U盘从一个地方移动到另外一个地方,熊猫烧香则通过局域网密码猜解获得更大的感染面。随着互联网的发展,可以“膜拜”的网站也越来越多,越来越多的网虫趴在互联网上享受生活。辛勤的“黑客”们发现一个网页也许面对的就是上万用户,通过网页传播病毒将是一件多么让人“欢欣鼓舞”的事情。他们是怎样利用网页传播木马的呢?我们又当怎样防范呢?现在带你体验一把!
找出木马帮凶
导致当今网页挂马的重要原因是传说中的一个东西—ActiveX控件,几乎所有的浏览器,例如Internet Explorer、网景浏览器等都不同程度上支持ActiveX控件,使用ActiveX的好处是网页可以产生更加丰富的效果。日常冲浪可以说无处不用“ActiveX”,比如要看视频需要Adobe flash控件,在线试听音乐需要微软的“wmp.dll”控件,想看PPStream、PPlive、下载文件、或者想网上交易都需要相应的控件。大多数基于IE的第三方ActiveX开发商可不会像微软那样对于安全投入足够的关注,第三方软件的ActiveX控件通常都没有经过严格的安全测试,于是在“黑客”们的辛勤努力下,大量漏洞被挖掘出来,当然不乏严重的漏洞,例如,我们熟悉的QQ,迅雷,PPStream等都曾出现过严重的漏洞。
揭秘挂马流程
“黑客”们首先挑选一个合适的网站并入侵获取管理员权限,然后通过修改源代码添加自己的恶意代码;当我们可亲可敬的“小白鼠”们热情地欣赏挂马网站的丰富资源时,殊不知“黑客”添加的恶意代码正在后台悄悄地执行着……这个过程我们可以形象地理解成这样子:挂马网页凭借着介绍信CLSID(clisid ActiveX部件或控件的全局唯一标示符,它相当于ActiveX的身份证,具有唯一性),找到相应的ActiveX控件加载,加载的ActiveX控件则负责执行网页中一段恶意构造的代码或者特别的文件,触发相应的异常并开始执行不正常的代码,最终导致ActiveX在正确的地方执行了错误的代码(这就是大家所熟知的shellcode),shellcode下载相应的病毒到你的电脑并执行,经统计,90%的网马下载的病毒都是木马下载器,一旦中了这个木马下载器,你的电脑就成了中小型毒窟(见图1)。
图1
用实战体验木马的可怕
正所谓没有实践就没有真理,不久前某地方电视台网站首页就被不法分子恶意挂马,经过分析将感染原因定位到一个网页挂马(NCTAudioFile2缓冲区溢出漏洞),这个控件似乎不是很流行,利用比较简单,于是乎为了方便大家从感官的角度了解网马的可怕,这里咱们就用这个漏洞作为实验品。
1首先下载exploit.rar(下载地址:http://work.newhua.com/cfan/200820/exploit.rar,快车代码:CF0820DRYJ01),解压以后运行“exploit.bat”。
2运行以后会弹出一个对话框,我们选择“1”,然后按“回车”,注册测试必须的组件,一会按任意键“确认”以后批处理退出。
3双击“NCTAudioFile.htm”进行测试,正常的情况下你会看到这个提示(见图2),让你安装ActiveX控件,单击选择“允许阻止的内容”,很短的时间内(和你网速成正比)你会惊奇地发现弹出一个窗口,提示测试成功(见图3)。这个过程实际是在从网站下载文件,如果安装了金山清理专家,会有如图4所示的提示。如果这是一个病毒下载器的话,后果就严重了。
图2
图3
图4
小提示:
试验完了记得重新执行“exploit.bat”,选择“2”卸载相应的组件。免得到时候中招!细心的你也许会发现C盘下有个可疑的V文件,改名为exe运行看看是什么?
这个漏洞产生的原因是SetFormatLikeSample在将接收到的字符串参数拷贝到栈变量时没有做长度检查,成功利用此漏洞可以远程执行任意代码。原理是:通过PEB结构的LDR数据结构获取kernel32.dll的baseAddress,获取LoadlibraryA的地址,通过LoadlibraryA加载Urlmon.dll,通过GetProcAddess获取URLDownloadToFileA函数的地址,然后调用URLDownloadToFileA函数下载http://bbs.duba.net/attachment.php?aid=16216017。下载到本地以后就变成了那个V文件,它将调用系统WinExec执行。
六招严防木马
1打补丁,升级相应的软件
微软每月都会定期发布补丁文件,大多数传闻有漏洞的软件也会在最新版本中修正,因此升级系统补丁,升级软件到最新版本能够很好地防御病毒的入侵。
2卸载相应的软件
由于某些软件死活也不处理漏洞,对于这种软件建议直接打入“冷宫”,但是有时查找文献需要超星图书阅览器,你可以进行折中的处理—聪明的你也许在“exploit.bat”中发现了那个神奇的命令:regsvr32,对于超星图书我们也可以这么做:
注册超星阅览器的相应组件:
regsvr32 /s pdg2.dll PDGViewer.ocx sebocx.ocx ssapi.dll ssreaderplug.ocx SSReaderPlug.dll
用完以后卸载超星阅读器的组件:
regsvr32 /u /s pdg2.dll PDGViewer.ocx sebocx.ocx ssapi.dll ssreaderplug.ocx SSReaderPlug.dll
3安装网页漏洞防御软件
随着网页挂马的流行,一批好用的网页防挂马工具不断涌现,比如超级巡警的畅游巡警,(http://www.sucop.com/download/secplugin.html),知道创宇365门神(http://www.365menshen.com/365menshen1.3.zip),金山清理专家(http://www.duba.net/qing/),可以一定程度上防止网马的入侵。
4使用相对更安全的浏览器
网络世界没有绝对的安全,只有相对的安全,一些第三方的浏览器比如世界之窗浏览器、傲游浏览器 Firefox浏览器一定程度上可以防御网马的入侵。
5使用杀毒软件,并升级到最新的病毒库
较新的病毒库可以识别出大部分恶意脚本,并阻断恶意代码在本地运行,可大大降低感染木马的可能性。
6养成良好的上网习惯,不要随便浏览信用度不高的网站
千万别在没有杀毒软件,没有防火墙的情况下访问不熟悉的网站。网络上的各种网站鱼目混杂,有许许多多的陷阱等着浏览者上钩。一些教育网站,政府网站小企业的网站最容易被挂马。
找出木马帮凶
导致当今网页挂马的重要原因是传说中的一个东西—ActiveX控件,几乎所有的浏览器,例如Internet Explorer、网景浏览器等都不同程度上支持ActiveX控件,使用ActiveX的好处是网页可以产生更加丰富的效果。日常冲浪可以说无处不用“ActiveX”,比如要看视频需要Adobe flash控件,在线试听音乐需要微软的“wmp.dll”控件,想看PPStream、PPlive、下载文件、或者想网上交易都需要相应的控件。大多数基于IE的第三方ActiveX开发商可不会像微软那样对于安全投入足够的关注,第三方软件的ActiveX控件通常都没有经过严格的安全测试,于是在“黑客”们的辛勤努力下,大量漏洞被挖掘出来,当然不乏严重的漏洞,例如,我们熟悉的QQ,迅雷,PPStream等都曾出现过严重的漏洞。
揭秘挂马流程
“黑客”们首先挑选一个合适的网站并入侵获取管理员权限,然后通过修改源代码添加自己的恶意代码;当我们可亲可敬的“小白鼠”们热情地欣赏挂马网站的丰富资源时,殊不知“黑客”添加的恶意代码正在后台悄悄地执行着……这个过程我们可以形象地理解成这样子:挂马网页凭借着介绍信CLSID(clisid ActiveX部件或控件的全局唯一标示符,它相当于ActiveX的身份证,具有唯一性),找到相应的ActiveX控件加载,加载的ActiveX控件则负责执行网页中一段恶意构造的代码或者特别的文件,触发相应的异常并开始执行不正常的代码,最终导致ActiveX在正确的地方执行了错误的代码(这就是大家所熟知的shellcode),shellcode下载相应的病毒到你的电脑并执行,经统计,90%的网马下载的病毒都是木马下载器,一旦中了这个木马下载器,你的电脑就成了中小型毒窟(见图1)。
图1
用实战体验木马的可怕
正所谓没有实践就没有真理,不久前某地方电视台网站首页就被不法分子恶意挂马,经过分析将感染原因定位到一个网页挂马(NCTAudioFile2缓冲区溢出漏洞),这个控件似乎不是很流行,利用比较简单,于是乎为了方便大家从感官的角度了解网马的可怕,这里咱们就用这个漏洞作为实验品。
1首先下载exploit.rar(下载地址:http://work.newhua.com/cfan/200820/exploit.rar,快车代码:CF0820DRYJ01),解压以后运行“exploit.bat”。
2运行以后会弹出一个对话框,我们选择“1”,然后按“回车”,注册测试必须的组件,一会按任意键“确认”以后批处理退出。
3双击“NCTAudioFile.htm”进行测试,正常的情况下你会看到这个提示(见图2),让你安装ActiveX控件,单击选择“允许阻止的内容”,很短的时间内(和你网速成正比)你会惊奇地发现弹出一个窗口,提示测试成功(见图3)。这个过程实际是在从网站下载文件,如果安装了金山清理专家,会有如图4所示的提示。如果这是一个病毒下载器的话,后果就严重了。
图2
图3
图4
小提示:
试验完了记得重新执行“exploit.bat”,选择“2”卸载相应的组件。免得到时候中招!细心的你也许会发现C盘下有个可疑的V文件,改名为exe运行看看是什么?
这个漏洞产生的原因是SetFormatLikeSample在将接收到的字符串参数拷贝到栈变量时没有做长度检查,成功利用此漏洞可以远程执行任意代码。原理是:通过PEB结构的LDR数据结构获取kernel32.dll的baseAddress,获取LoadlibraryA的地址,通过LoadlibraryA加载Urlmon.dll,通过GetProcAddess获取URLDownloadToFileA函数的地址,然后调用URLDownloadToFileA函数下载http://bbs.duba.net/attachment.php?aid=16216017。下载到本地以后就变成了那个V文件,它将调用系统WinExec执行。
六招严防木马
1打补丁,升级相应的软件
微软每月都会定期发布补丁文件,大多数传闻有漏洞的软件也会在最新版本中修正,因此升级系统补丁,升级软件到最新版本能够很好地防御病毒的入侵。
2卸载相应的软件
由于某些软件死活也不处理漏洞,对于这种软件建议直接打入“冷宫”,但是有时查找文献需要超星图书阅览器,你可以进行折中的处理—聪明的你也许在“exploit.bat”中发现了那个神奇的命令:regsvr32,对于超星图书我们也可以这么做:
注册超星阅览器的相应组件:
regsvr32 /s pdg2.dll PDGViewer.ocx sebocx.ocx ssapi.dll ssreaderplug.ocx SSReaderPlug.dll
用完以后卸载超星阅读器的组件:
regsvr32 /u /s pdg2.dll PDGViewer.ocx sebocx.ocx ssapi.dll ssreaderplug.ocx SSReaderPlug.dll
3安装网页漏洞防御软件
随着网页挂马的流行,一批好用的网页防挂马工具不断涌现,比如超级巡警的畅游巡警,(http://www.sucop.com/download/secplugin.html),知道创宇365门神(http://www.365menshen.com/365menshen1.3.zip),金山清理专家(http://www.duba.net/qing/),可以一定程度上防止网马的入侵。
4使用相对更安全的浏览器
网络世界没有绝对的安全,只有相对的安全,一些第三方的浏览器比如世界之窗浏览器、傲游浏览器 Firefox浏览器一定程度上可以防御网马的入侵。
5使用杀毒软件,并升级到最新的病毒库
较新的病毒库可以识别出大部分恶意脚本,并阻断恶意代码在本地运行,可大大降低感染木马的可能性。
6养成良好的上网习惯,不要随便浏览信用度不高的网站
千万别在没有杀毒软件,没有防火墙的情况下访问不熟悉的网站。网络上的各种网站鱼目混杂,有许许多多的陷阱等着浏览者上钩。一些教育网站,政府网站小企业的网站最容易被挂马。