木馬是網上安全的一大隱患,說是上網者心中永遠的痛也不為過。對于木馬采用敬而遠之的態度并不是最好的方法,我們必須更多地了解其“習性”和特點,只有這樣才能做到“知己知彼,百戰不殆”。隨著時間的推移,木馬的植入方式也悄悄地發生了一定的變化,較之以往更加隱蔽,對大家的威脅也更大,以下是筆者總結的五種最新的木馬植入方式,以便及時防范。
1.方法一,利用共享和Autorun文件
為了學習和工作方便,有許多學校或公司的局域網中會將硬盤共享。更有甚者,竟將某些硬盤共享設為可寫!這樣非常危險。別人可以借此給其植入木馬再利用木馬程序結合 Automn.inf文件就可以進行破壞。方法是把Autorun.inf和配置好的木馬服務端一起復制到對方D盤的根目錄下,這樣不需對方運行木馬服務端程序,只需他雙擊共享的磁盤圖標就會使木馬運行。這樣做對下木馬的人來說的好處顯而易見,那就是大大增加了木馬運行的主動性。許多人在別人給他發來可執行文件時會非常警惕,不熟悉的文件他們輕易不會運行,而這種方法就很難防范了。
下面我們簡單說一下原理。大家知道,將光盤插入光驅會自動運行,這是因為在光盤根目錄下有個Automn.inf文件,該文件可以決定是否自動運行其中的程序。同樣,如果硬盤的根目錄下存在該文件,硬盤也就具有了AutoRun功能,即自動運行Autorun.inf文件中的內容。把木馬文件.exe文件以及Autorun.inf放在磁盤根目錄(這里假設對方的D盤共享出來且可寫),對于下木馬的人來說,他還會修改Autorun.inf文件的屬性,將該文件隱藏起來。這樣,當有人雙擊這個盤符,程序就運行了。這一招對于經常雙擊盤符進入“我的電腦”的人威脅最大。
更進一步,利用一個.REG文件和Automn.inf結合,還可以讓用戶所有的硬盤都共享出去!
2.方法二,把木馬文件轉換為BMP格式
這是一種相對比較新穎的方式,把EXE轉化成為BMP來欺騙大家。其原理是:BMP文件的文件頭有54個字節,包括長度、位數、文件大小、數據區長度。只要在EXE的文件頭上加上這54個字節,IE就會把該EXE文件當成BMP圖片下載。由于這樣做出的圖片是花的,為防止我們看出來,下木馬者會在其網頁中加入如下代碼:<img scr=“xxx.bmp”higth=“0”width=“0”>,把這樣的標簽加到網頁里,就看不見圖片了,因此我們就無法發現這個“圖片”不對勁。
在用IE瀏覽后,IE會把圖片自動下載到IE臨時目錄中,而下木馬者只需用一個JavaScfipt文件在我們的硬盤中寫一個VBS文件,并在注冊表添加啟動項,利用那個VBS找到BMP,調用debug來還原EXE,最后,運行程序完成木馬植入,無聲無息非常隱蔽。
3.方法三,利用錯誤的MIME頭漏洞
其實,這一招并不神秘,危害卻很大。錯誤的MIME頭漏洞是個老漏洞了,但對于沒有打補丁的用戶威脅非常大!去年流行的許多病毒都是利用了該漏洞,如尼姆達病毒和笑哈哈病毒都是如此。這類病毒一旦和錯誤MIME頭漏洞結合起來,根本不需要執行,只要收到含有病毒的郵件并預覽了它,就會中招。同樣的道理,攻擊者通過創建一封HTML格式的 E-mail也可以使未打補丁的用戶中木馬!Internet Explorer 5.0、5.01和5.5均存在該漏洞,我們常用的微軟郵件客戶端軟件Outlook Express 5.5 SPl以下版本也存在此漏洞。
下木馬的人,會制作一封特定格式的E-mail,其附件為可執行文件(就是木馬服務端程序),通過修改MIME頭,使IE不能正確處理這個MIME所指定的可執行文件附件。由于IE和OE存在的這個漏洞,當攻擊者更改MIME類型后,IE會不提示用戶而直接運行該附件,從而導致木馬程序直接被執行。
對于這種植入方式,只要給系統打上補丁就可以進行防范。微軟公司為該漏洞提供了一個補丁,下載地址為:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp。
4.方法四,在Word文檔中加入木馬文件
這是最近才流行起來的一種方法,比較奇特。這種植入木馬的方法就是新建一個DOC文件,然后利用VBA寫一段特定的代碼,把文檔保存為newdoc.doc,然后把木馬程序與這個DOC文件放在同一個目錄下,運行如下命令:copy/b xxxx.doc+xxxxx.exe newdoc.doc把這兩個文件合并在一起(在Word文檔末尾加入木馬文件),只要別人點擊這個所謂的Word文件就會中木馬。
不過,以上方法能得以實現的前提是用戶的Word 2000安全度為最低的時候才行,即 HKEY CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值必須是1或者0。大家知道,當Level值為3的時候(代表安全度為高),Word不會運行任何宏;Level值為2時(安全度中),Word會詢問是否運行宏;Level值為1的時候(安全度低),Word就會自動運行所有的宏。而如果這個值為0的時候Word雖然會顯示安全度為高,但能夠自動運行任何宏!
要想把Word的安全度在注冊表中的值改為0,方法非常多,利用網頁惡意代碼修改瀏覽者的注冊表就可以。在這方面大家都有很多經驗,就不多說了。對于這種欺騙方式,最重要的是小心防范,陌生人的附件千萬不要查看。網上的鏈接也不要隨意點擊,如要點擊應確認是否為.DOC文件,如是則一定不要直接點擊查看。
5.方法五,通過Seripl、AetiveX及ASP、CGI交互腳本的方式植入
由于微軟的瀏覽器在執行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者電腦進行文件操作等控制,前不久就出現一個利用微軟Scripts腳本漏洞對瀏覽者硬盤進行格式化的HTML頁面。如果攻擊者有辦法把木馬執行文件上載到攻擊主機的一個可執行WWW目錄夾里面,他便可以通過編制CGI程序在攻擊主機上執行木馬。木馬防范的方法如下所述。
(1)給系統打上各種補丁,微軟的補丁是很有用的。
(2)安裝網絡防火墻和病毒防火墻,并注意更新。
(3)使用代理上網。在QQ中也使用代理,這樣可以防范有人通過查看用戶的IP地址后進行攻擊。
(4)不要輕易相信別人,不要下載不了解的軟件運行,在運行前用殺毒軟件和木馬檢測軟件進行檢查。對于陌生人發來的郵件附件最好不要看。
(5)將IE和OE的安全級別設置為“高”。
(6)注意用進程管理軟件檢查進程,發現異常情況趕緊殺之。
(7)盡量不要將硬盤共享出去,資源共享完成之后馬上關閉共享。如果必須用共享而又對安全重視的話,建議不要使用“共享級的訪問控制”而用“用戶級的訪問控制”(在本機的“控制面板”→“網絡”→“訪問控制”下設置)。
(8)將系統設置為顯示所有文件,同時注意硬盤中Autorun.inf文件的內容。
(9)對于外來的Word文檔,先用Windows自帶的寫字板打開,將其轉換為寫字板格式的文件保存后,再用Word調用。因為寫字板不調用、不記錄、不保存任何宏,文檔經此轉換,所有附帶的宏都將丟失,這條經驗特別有用。另外,建議在查看Word文檔時,先禁止所有的以Auto開頭的宏的執行。這樣能保證用戶在安全啟動Word文檔后,再使用殺毒軟件對其進行必要的檢查。并將Word的安全度設為高。
(10)對于個人用戶,建議在發現異常情況時,立刻斷線,然后進行認真檢查。
