ITPub博客

首页 > 应用开发 > IT综合 > 一种危险的木马植入方法 (转)

一种危险的木马植入方法 (转)

原创 IT综合 作者:worldblog 时间:2007-12-12 13:18:02 0 删除 编辑
一种危险的木马植入方法 (转)[@more@]

一种危险的木马植入方法 backlighting scning@263.NET 今天在www.xfocus.net安全论坛上看见有帖子说www.maylu.com登录这个网站后会自动下载一个start.exe的程序并自动运行。于是上到这个网站上看了一下, 打开IE浏览器:在地址栏中输入:http://www.maylu.com/index.ASP 在网页打开的过程中鼠标奇怪的变成沙漏的状态,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个start.exe的进程。进程对应的文件是winntsystem32start.exe(在我的win2000上是这样)并且start.exe已经将自己登记在注册表开机启动项中。这样每次开机都会运行start.exe。 start.exe运行后占有系统资源,不断的向外发送数据,用sniffer看了一下,还好,发送的都是HTTP请求,仔细检查系统也没发现什么其他损害的地方。看来木马并不是恶意的。 让我感兴趣的是木马是如何下载到浏览主页的用户的计算机上并运行起来的。于是和teawater一块研究了一下。定制了一下IE的安全级别,将ActiveX支持等都全部关掉,再浏览网页,还是下载并运行了。看来和ActiveX无关。把IE的安全级别中文件下载禁止了,再上去,这回不让再下载了。 看来还是看看这程序是如何下载到自己计算机上的,打开问题网页的源代码看了看,网页代码最后面有这么一句话。 --2-- --1 Content-Type: audio/x-wav; name="start.exe" Content-Transfer-Encoding: base64 Content-ID: TVqqAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUACAAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQAAAAEAAAAAAAAAIAAAAAABAAABAAAAAAEAAAEAAAAAAAABAAAAAAAAAAAAAAAHDGAACcAAAAAMAAAHAGAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA......(删掉一大节) --1 后面的不管它,那就是start.exe经过base64编码的内容。 关键是前面这一段 Content-Type: audio/x-wav; name="start.exe" 把start.exe的的类型定义为audio/x-wav,这下清楚了,这是利用客户端支持的 MIME(多部分网际邮件扩展,Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型为audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果导致邮件文件t.eml中的附件start.exe被执行。在win2000上,即使是用鼠标点击下载下来的t.eml,或是拷贝粘贴,都会导致t.eml中的附件被运行,微软的这个漏洞可害人不浅啊。 还好这个start.exe没有什么恶意,只是想利用用户帮自己赚点广告费而已。虽然这做法有点卑鄙,不过还是可以原谅。话又说回来,要是这里面运行的是一个木马或者是一个恶意程序的话有如何......。 赶快打补丁吧 http://www.microsoft.com/windows/ie/DOWNLOAD/critical/Q290108/default.asp


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752043/viewspace-992020/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    6241
  • 访问量
    2406126