浏览网页会感染“病毒”,浏览网页会感染木马,你相信吗?大约半年前就有人使用这种技术来进行攻击了!恶意代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止恶意代码的攻击,大多数甚至根本就不能发现。
《电脑报》今年25期D4版曾介绍了一个叫Gohip的网站,可以修改浏览器的默认网址,使其指向Gohip网站。其实这还算客气的了,如果你去浏览了一个叫“万花谷”的网站,你就会感觉到Gohip算“仁慈”了。
一、切身体验
在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开了无数个IE新窗口,马上用“Alt+F4”关掉所有窗口,可紧接着Win 98报错,按任何键都没有反应,按动“Ctrl+Alt+Del”关闭没有反应的程序,但是马上出现蓝屏、死机。重启机器,出现:“欢迎你来万花谷,你中了‘万花病毒'请与QQ:4040465联系”的提示,按“确定”按钮,可以进入Win 98,不过桌面上已空空荡荡,点击“开始”菜单,发现“关机”、“运行”两项都消失了,再次重启机器依然如此。
二、解决办法
如果你不小心中招,可以用下面三个办法来解决:
方法一:
1.A盘启动,在DOS环境下找到C:目录(注意:sysbckup目录是隐藏属性,应先用attrib命令去掉其隐藏属性),可以找rb000.cab~rb004.cab这五个文件,这是最近的五个注册表备份文件,选rb004.cab拷贝出来。
2.在另外的机子上用ZIP解压rb004.cab得到四个文件,把该四个文件复制到C:下覆盖原文件。
3.安全模式下启动电脑,运行Msconfig,在“启动”标签中找到HA.hta,把多选框前面的“√”去掉。
4.重启动机器一切OK。
方法二:在DOS下用scanreg/restore注册表,然后再删除启动组中的HA.hta即可。
方法三:利用“超级兔子”系统软件或者“Windows优化大师”恢复。
“超级兔子”可以恢复对Windows系统的权限设置。打开快捷栏上的IE图标(因为系统锁死了“资源管理器”,也可运行“查找”功能)。
在IE地址栏输入需要进入的目标盘,如“E:u8221,找到超级兔子,打开“ms98.exe”。首先在工具选项里,点击“高级隐藏”,在隐藏磁盘栏里去掉“C:”前面的钩;然后点击“桌面与图标”,在“显示图标在桌面上”选项前加钩。保存后,再点击“安全与多用户”,去掉在“启动时要显示的标题”和“启动时要显示的信息”栏里的文字。在工具选项里点击“IE 4/5”,“在IE标题”栏里去掉文字,保存后OK!
特别要说明的是,当打开该页面时,它自动更改了浏览器的默认页,所以改回Windows设置后一定要修改浏览器的默认页,不然下次上网又会进入万花页面。
三、预防办法:
1.不要轻易去一些自己并不了解的站点。
2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用。
3. 既然“万花谷”是通过修改注册表来破坏我们的系统,那么我们可以把注册表加锁,禁止修改注册表,这样就可以达到预防的目的。
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)到“HKEY_CURRENT_USER”下,新建一个名为“DisableRegistryTools”的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER] “DisableRegistryTools”=dword:00000000
存盘退出。如果要使用注册表编辑器,则双击“unlock.reg”即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!
4. 对于所有用户,可以通过升级到最新的KVW3000病毒库,上网时打开KVW3000病毒防火墙来预防该类恶意网页的侵害(注意:必须是6月28日以后的病毒库方可)。
编者按:上期我们介绍的是“万花谷”病毒攻防战,其实互联网上类似的网站还很多,只要有带新的病毒的网站出现,我们就有义务告知大家。如果大家有网络安全方面的稿件,请发xiongjie@cpcw.com信箱,我们将以最快速度把实用性强的文章刊登出来。
一、切身体验
在进入木马网页的过程中,鼠标奇怪地变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在Win2000下是c\winnt\wincfg.exe,在Win98下是c\windows\wincfg.exe。
运行注册表编辑器regedit,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下发现wincfg.exe,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe。(如图)
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(仅有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马,那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器,别人就有最大权限进入你的电脑了!这样控制你的电脑将非常容易!
木马是如何下载到浏览了该主页的计算机中、并运行起来的呢?在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,这回wincfg.exe不再下载了。
二、问题揭示
我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的语句:
<iframe src=wincfg.eml width=1 height=1>
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!在IE浏览器中输入:http//shirf.51.net/wincfg.eml,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然得想办法得到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
打开wincfg.eml,发现其关键内容如下:
Content-Type audio/x-wav name=“wincfg.exe” ★这一句定义了文件名称,在此为wincfg.exe
Content-Transfer-Encoding base64 ★定义了代码格式为base64
Content-ID <THE-CID> ★从这里开始才是代码的起步
TVqQAAMAAAAEAAAA//8AAL……以下删掉一大节 ★这些是wincfg.exe经过base64编码的内容
上面加了“★”的部分为注释内容。这个以base64方式编码的文件,会在你浏览网页时编译成wincfg.exe文件并运行,这就是浏览该网页会中木马的原因!至此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIMEMultipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头进行攻击。
三、真相大白
现在,再回过头来看看我所中的木马是怎么回事。其实,wincfg.exe这个文件在这里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的类型定义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞会将附件认为是音频文件,并自动尝试打开,结果导致邮件文件wincfg.eml中的附件wincfg.exe(木马)被执行。在Win2000下,即使是用鼠标点击下载下来的wincfg.eml,或是拷贝粘贴该文件,都会导致wincfg.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如今,利用微软“创造”的这个大漏洞来进行攻击,是多么简单、多么容易啊!唯一的条件就是被攻击目标使用IE5.0及以上版本中的一种,使用IE浏览器的用户到底有多少呢?看看你身边的朋友就知道答案了!
四、解决办法
1点击“开始”→“运行”,在弹出的对话框中输入“regedit”,回车。然后展开注册表到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下删除wincfg.exe;
2到你的计算机的系统目录下,删除其中的wincfg.exe文件;
3重新启动机器,就一切OK了!
五、预防方法
1.IE和Outlook的用户。
1在IE的“工具→Internet选项→安全→Internet区域的安全级别”,把安全极别由“中”改为“高”。
2点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”、“活动脚本”和“文件下载”功能。
3禁用所有的ActiveX控制和插件。
4将资源管理器设置成“始终显示扩展名”。
5禁止以WEB方式使用资源管理器。
6取消“下载后确认打开”这种扩展名属性设置。
2.不要受陌生人的诱惑打开别人给你的URL,如果确实想看,可以通过一些下载工具把页面下载下来,然后用记事本等一些文本编辑工具打开查看代码。
3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧!
《电脑报》今年25期D4版曾介绍了一个叫Gohip的网站,可以修改浏览器的默认网址,使其指向Gohip网站。其实这还算客气的了,如果你去浏览了一个叫“万花谷”的网站,你就会感觉到Gohip算“仁慈”了。
一、切身体验
在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开了无数个IE新窗口,马上用“Alt+F4”关掉所有窗口,可紧接着Win 98报错,按任何键都没有反应,按动“Ctrl+Alt+Del”关闭没有反应的程序,但是马上出现蓝屏、死机。重启机器,出现:“欢迎你来万花谷,你中了‘万花病毒'请与QQ:4040465联系”的提示,按“确定”按钮,可以进入Win 98,不过桌面上已空空荡荡,点击“开始”菜单,发现“关机”、“运行”两项都消失了,再次重启机器依然如此。
二、解决办法
如果你不小心中招,可以用下面三个办法来解决:
方法一:
1.A盘启动,在DOS环境下找到C:目录(注意:sysbckup目录是隐藏属性,应先用attrib命令去掉其隐藏属性),可以找rb000.cab~rb004.cab这五个文件,这是最近的五个注册表备份文件,选rb004.cab拷贝出来。
2.在另外的机子上用ZIP解压rb004.cab得到四个文件,把该四个文件复制到C:下覆盖原文件。
3.安全模式下启动电脑,运行Msconfig,在“启动”标签中找到HA.hta,把多选框前面的“√”去掉。
4.重启动机器一切OK。
方法二:在DOS下用scanreg/restore注册表,然后再删除启动组中的HA.hta即可。
方法三:利用“超级兔子”系统软件或者“Windows优化大师”恢复。
“超级兔子”可以恢复对Windows系统的权限设置。打开快捷栏上的IE图标(因为系统锁死了“资源管理器”,也可运行“查找”功能)。
在IE地址栏输入需要进入的目标盘,如“E:u8221,找到超级兔子,打开“ms98.exe”。首先在工具选项里,点击“高级隐藏”,在隐藏磁盘栏里去掉“C:”前面的钩;然后点击“桌面与图标”,在“显示图标在桌面上”选项前加钩。保存后,再点击“安全与多用户”,去掉在“启动时要显示的标题”和“启动时要显示的信息”栏里的文字。在工具选项里点击“IE 4/5”,“在IE标题”栏里去掉文字,保存后OK!
特别要说明的是,当打开该页面时,它自动更改了浏览器的默认页,所以改回Windows设置后一定要修改浏览器的默认页,不然下次上网又会进入万花页面。
三、预防办法:
1.不要轻易去一些自己并不了解的站点。
2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用。
3. 既然“万花谷”是通过修改注册表来破坏我们的系统,那么我们可以把注册表加锁,禁止修改注册表,这样就可以达到预防的目的。
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)到“HKEY_CURRENT_USER”下,新建一个名为“DisableRegistryTools”的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER] “DisableRegistryTools”=dword:00000000
存盘退出。如果要使用注册表编辑器,则双击“unlock.reg”即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!
4. 对于所有用户,可以通过升级到最新的KVW3000病毒库,上网时打开KVW3000病毒防火墙来预防该类恶意网页的侵害(注意:必须是6月28日以后的病毒库方可)。
编者按:上期我们介绍的是“万花谷”病毒攻防战,其实互联网上类似的网站还很多,只要有带新的病毒的网站出现,我们就有义务告知大家。如果大家有网络安全方面的稿件,请发xiongjie@cpcw.com信箱,我们将以最快速度把实用性强的文章刊登出来。
一、切身体验
在进入木马网页的过程中,鼠标奇怪地变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在Win2000下是c\winnt\wincfg.exe,在Win98下是c\windows\wincfg.exe。
运行注册表编辑器regedit,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下发现wincfg.exe,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe。(如图)
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(仅有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马,那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器,别人就有最大权限进入你的电脑了!这样控制你的电脑将非常容易!
木马是如何下载到浏览了该主页的计算机中、并运行起来的呢?在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,这回wincfg.exe不再下载了。
二、问题揭示
我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的语句:
<iframe src=wincfg.eml width=1 height=1>
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!在IE浏览器中输入:http//shirf.51.net/wincfg.eml,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然得想办法得到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
打开wincfg.eml,发现其关键内容如下:
Content-Type audio/x-wav name=“wincfg.exe” ★这一句定义了文件名称,在此为wincfg.exe
Content-Transfer-Encoding base64 ★定义了代码格式为base64
Content-ID <THE-CID> ★从这里开始才是代码的起步
TVqQAAMAAAAEAAAA//8AAL……以下删掉一大节 ★这些是wincfg.exe经过base64编码的内容
上面加了“★”的部分为注释内容。这个以base64方式编码的文件,会在你浏览网页时编译成wincfg.exe文件并运行,这就是浏览该网页会中木马的原因!至此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIMEMultipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头进行攻击。
三、真相大白
现在,再回过头来看看我所中的木马是怎么回事。其实,wincfg.exe这个文件在这里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的类型定义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞会将附件认为是音频文件,并自动尝试打开,结果导致邮件文件wincfg.eml中的附件wincfg.exe(木马)被执行。在Win2000下,即使是用鼠标点击下载下来的wincfg.eml,或是拷贝粘贴该文件,都会导致wincfg.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如今,利用微软“创造”的这个大漏洞来进行攻击,是多么简单、多么容易啊!唯一的条件就是被攻击目标使用IE5.0及以上版本中的一种,使用IE浏览器的用户到底有多少呢?看看你身边的朋友就知道答案了!
四、解决办法
1点击“开始”→“运行”,在弹出的对话框中输入“regedit”,回车。然后展开注册表到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下删除wincfg.exe;
2到你的计算机的系统目录下,删除其中的wincfg.exe文件;
3重新启动机器,就一切OK了!
五、预防方法
1.IE和Outlook的用户。
1在IE的“工具→Internet选项→安全→Internet区域的安全级别”,把安全极别由“中”改为“高”。
2点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”、“活动脚本”和“文件下载”功能。
3禁用所有的ActiveX控制和插件。
4将资源管理器设置成“始终显示扩展名”。
5禁止以WEB方式使用资源管理器。
6取消“下载后确认打开”这种扩展名属性设置。
2.不要受陌生人的诱惑打开别人给你的URL,如果确实想看,可以通过一些下载工具把页面下载下来,然后用记事本等一些文本编辑工具打开查看代码。
3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧!