木馬最新植入五種方法揭密
木馬是大家網上安全的一大隱患,說是大家心中永遠的痛也不為過。對于木馬采用敬而遠之的態度并不是最好的方法,我們必須更多地了解其“習性”和特點,只有這樣才能做到“知己知彼,百戰不殆”!隨著時間的推移,木馬的植入方式也悄悄地發生了一定的變化,較之以往更加的隱蔽,對大家的威脅也更大,以下是筆者總結的五種最新的木馬植入方式,以便大家及時防范。
方法一:利用共享和Autorun文件
為了學習和工作方便,有許多學校或公司的局域網中會將硬盤共享出來。更有甚者,竟將某些硬盤共享設為可寫!這樣非常危險,別人可以借此給您下木馬!利用木馬程序結合Autorun.inf文件就可以了。方法是把Autorun.inf和配置好的木馬服務端一起復制到對方D盤的根目錄下,這樣不需對方運行木馬服務端程序,只需他雙擊共享的磁盤圖標就會使木馬運行!這樣作對下木馬的人來說的好處顯而易見,那就是大大增加了木馬運行的主動性!許多人在別人給他發來可執行文件時會非常警惕,不熟悉的文件他們輕易不會運行,而這種方法就很難防范了。
下面我們簡單說一下原理。大家知道,將光盤插入光驅會自動運行,這是因為在光盤根目錄下有個Autorun.inf文件,該文件可以決定是否自動運行其中的程序。同樣,如果硬盤的根目錄下存在該文件,硬盤也就具有了AutoRun功能,即自動運行Autorun.inf文件中的內容。
把木馬文件.exe文件以及Autorun.inf放在磁盤根目錄(這里假設對方的D盤共享出來且可寫),對于給您下木馬的人來說,他還會修改Autorun.inf文件的屬性,將該文件隱藏起來。這樣,當有人雙擊這個盤符,程序就運行了。這一招對于經常雙擊盤符進入“我的電腦”的人威脅最大。
更進一步,利用一個.REG文件和Autorun.inf結合,還可以讓你所有的硬盤都共享出去!
方法二:把木馬文件轉換為BMP格式
這是一種相對比較新穎的方式,把EXE轉化成為BMP來欺騙大家。其原理是:BMP文件的文件頭有54個字節,包括長度、位數、文件大小、數據區長度。只要在EXE的文件頭上加上這54個字節,IE就會把該EXE文件當成BMP圖片下載下來。由于這樣做出的圖片是花的,
為防止我們看出來,下木馬者會在其網頁中加入如下代碼:<IMG width=“0” scr="“xxx.bmp”" higth="“0”">,把這樣的標簽加到網頁里,就看不見圖片了,因此我們就無法發現這個“圖片”不對勁。
在用IE瀏覽后,IE會把圖片自動下載到IE臨時目錄中,而下木馬者只需用一個JavaScript文件在我們的硬盤中寫一個VBS文件,并在注冊表添加啟動項,利用那個VBS找到BMP,調用debug來還原EXE,最后,運行程序完成木馬植入,無聲無息非常隱蔽。
方法三:利用錯誤的MIME頭漏洞
其實,這一招并不神秘,危害卻很大。錯誤的MIME頭漏洞是個老漏洞了,但對于沒有打補丁的用戶威脅非常大!去年流行的許多病毒都是利用了該漏洞,如尼姆達病毒和笑哈哈病毒都是如此。這類病毒一旦和錯誤MIME頭漏洞結合起來,根本不需要您執行,只要您收了含有病毒的郵件并預覽了它,就會中招。同樣的道理,攻擊者通過創建一封HTML格式的E-mail也可以使未打補丁的用戶中木馬!Internet Explorer 5.0、5.01、5.5均存在該漏洞,我們常用的微軟郵件客戶端軟件Outlook Express 5.5 SP1以下版本也存在此漏洞。
給您下木馬的人,會制作一封特定格式的E-mail,其附件為可執行文件(就是木馬服務端程序),通過修改MIME頭,使IE不能正確處理這個MIME所指定的可執行文件附件。由于IE和OE存在的這個漏洞,當攻擊者更改MIME類型后,IE會不提示用戶而直接運行該附件!從而導致木馬程序直接被執行!
對于這種植入方式,只要給系統打上補丁就可以防范有人利用這種方式來攻擊。微軟公司為該漏洞提供了一個補丁,下載地址:www.microsoft/windows/ie/download/critical/Q290108/default.asp。
方法四:在Word文檔中加入木馬文件
這是最近才流行起來的一種方法,比較奇特。這種植入木馬的方法就是新建一個DOC文件,然后利用VBA寫一段特定的代碼,把文檔保存為newdoc.doc,然后把木馬程序與這個DOC文件放在同一個目錄下,運行如下命令:copy/b xxxx. newdoc.doc把這兩個文件合并在一起(在Word文檔末尾加入木馬文件),只要別人點擊這個所謂的Word文件就會中木馬!
不過,以上方法能得以實現的前提是你的Word 2000安全度為最低的時候才行,即HKEY_CURRENT_USER SoftwareMicrosoftOffice9.0WordSecurity中的Level值必須是1或者0。大家知道,當Level值為3的時候(代表安全度為高),Word不會運行任何宏;Level值為2時(安全度中),Word會詢問是否運行宏;Level值為1的時候(安全度低),Word就會自動運行所有的宏!聰明的您一定想到如果這個值為0的時候會怎么樣?哈,如果設為0的話,Word就會顯示安全度為高,但卻能自動運行任何的宏!是不是很恐怖啊?
要想把Word的安全度在注冊表中的值改為0,方法非常多,利用網頁惡意代碼修改瀏覽者的注冊表就可以。我想這方面大家都有很多經驗,就不多說了。對于這種欺騙方式,最重要的是小心防范,陌生人的附件千萬不要收看!網上的鏈接也不要隨意點擊,如要點擊請確認是否為.DOC文件,如是則一定不要直接點擊查看!
方法五:通過Script、ActiveX及ASP、CGI交互腳本的方式植入
由于微軟的瀏覽器在執行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者電腦進行文件操作等控制,前不久就出現一個利用微軟Scripts腳本漏洞對瀏覽者硬盤進行格式化的HTML頁面。如果攻擊者有辦法把木馬執行文件上載到
攻擊主機的一個可執行WWW目錄夾里面,他可以通過編制CGI程序在攻擊主機上執行木馬。
木馬防范方法
1.給系統打上各種補丁,微軟的補丁是很有用的。
2.安裝網絡防火墻和病毒防火墻,并注意更新。
3.使用代理上網。在QQ中也使用代理,這樣可以防范有人通過查看您的IP地址后對您進行攻擊。
4.不要輕易相信別人,不要下載不了解的軟件運行,在運行前用殺毒軟件和木馬檢測軟件進行檢查。對于陌生人發來的郵件附件中的東東最好不要看。
5.將IE和OE的安全級別設置為“高”。
6.注意用進程管理軟件檢查進程,發現不對勁趕緊殺之。
7.盡量不要將硬盤共享出去,資源共享完成之后馬上關閉共享。如果您必須用共享而又對安全重視的話,建議不要使用“共享級的訪問控制”而用“用戶級的訪問控制”(在本機的“控制面板”→“網絡”→“訪問控制”下設置)
8.將系統設置為顯示所有文件,同時注意硬盤中Autorun.inf文件的內容。
9.對于外來的Word文檔,先用Windows自帶的寫字板打開,將其轉換為寫字板格式的文件保存后,再用Word調用。因為寫字板不調用、不記錄、不保存任何宏,文檔經此轉換,所有附帶的宏都將丟失,這條經驗特別有用。另外,建議您在查看Word文檔時,先禁止所有的以Auto開頭的宏的執行。這樣能保證用戶在安全啟動Word文檔后,再使用殺毒軟件對其進行必要的檢查。并將Word的安全度設為高。
10.對于個人用戶,建議您發現不對勁時,立刻斷線,然后進行認真的檢查。
