|
网页木马深度剖析以及手工清除(2)(1) 的类型为audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上,即使是用鼠标点击下载下来的x.eml,或是拷贝粘贴,都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding:base64Content-ID:从这我们可以看出,由于定义后字符格式为base64,那么一下的代码全部为加密过的代码,里面可以是任何执行的命令:
〈scriptlanguage=VBs〉
OnErrorResumeNext. 容错语句,避免程序崩溃
setaa=CreateObject("Wscript.Shell")。建立Wscript对象
Setfs=CreateObject("scripting.FileSystemObject")。建立文件系统对象
Setdir1=fs.GetSpecialFolder(0)。得到Windows路径
Setdir2=fs.GetSpecialFolder(1)。得到System路径
……省略……
下面代码该做什么各位都该清楚吧。这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因,也是很多杀毒软件的一个通病。病毒监控只杀当时查到的,新建的却置之不理。
Ⅲ。iframe漏洞的利用
㈠
多方便的办法,浏览者的COOKIES就这样轻松的被取走。
㈡
〈iframesrc=run.emlwidth=0height=0〉〈/iframe〉
常见的木马运用格式,高度和宽度为0的一个框架网页,我想你根本看不到它。除非你的浏览器不支持框架!
㈢
又是一个框架引用的新方式,对type="text/x-scriptlet"的调整后,就可以实现和eml格式文件同样的效果,更是防不胜防。
Ⅳ。MicrosoftInternetEXPlorer浏览器弹出窗口Object类型验证漏洞漏洞的利用
精华代码:
-----codecutstartforrun.ASP-----
-----codecutendforrun.asp-----
[作者注]我想,这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说:IE6.0+SP1也不是万能的。呵呵,是不是想改用mozilla了?
总结:
几乎所有类型的网页病毒都有一个特性,就是再生,如何再生,让我们从注册表中的启动项开始分析:注册表中管理启动的主键键值分别为:
[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunServices]
[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/Run]
[HKEY_CURRENT_USER/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunServices]
确认主键下没有加载任何分键值。另外,在启动配置器里的autoexec.bat,win.ini,system.ini以及在WIN9X下的winstart.ini文件,其中的存在LOAD=键的,它的值是空,不是空格,只有=号。Autoexec.bat没有加载任何程序,在「开始」菜单/程序/启动文件夹下不存在任何程序,那样才能有效的去掉一个病毒的再生功能。不叫它开机运行,或者不在运行,那我们就可以把它从计算机上请出去。
第三节 网页病毒、网页木马的运行效果分析
第一、电脑中的默认主页会被无故更改,并且IE工具栏内的修改功能被屏蔽掉;
第二、在电脑桌面上无故出现陌生网站的链接,无论怎么删除,每次开机都依旧会出现,如果单击鼠标右键,出现的工具栏中有也会有大量陌生网站的链接;
第三、开机后,无法进入DOS实模式;仅对WIN9X系统
第四、电脑桌面及桌面上的图标被隐藏;
第五、注册表编辑器被告知“已锁定”,从而无法修改注册表;
第六、上网之前,系统一切正常,下网之后系统就会出现异常情况,如系统盘丢失、硬盘遭到格式化等,查杀病毒后仍无济于事;
第七、上陌生网站后,出现提示框“您已经被XX病毒攻击”,之后系统出现异常;
第八、登陆站点后,发现一个窗口迅速打开后又消失,自己的计算机系统文件夹内多了几个未知的好象是系统文件的新文件。
第九、发现系统的进程中多了几个未知进程,而且杀不掉,重起后又会出现。
第十、自己的计算机CPU利用率一直是高居100%,好象是在运行什么占用内存的东西。
第十一、登陆某站点后,杀毒监控软件报警,并删除病毒文件,位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八,第九,第十中的现象。
第十二、发现中毒后,反复杀毒,病毒反复复发,根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕,但重新启动后又出现问题。
第十三、会不定时的弹出广告。
第十四、自己的私有帐号无故丢失。
第三章 网页病毒、网页木马的基本预防手段
要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入,否则往往不经易间就会误入网页代码的圈套。
由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
对于Windows98用户,请打开C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP,把其中的"ActiveXComponent.class"删掉。请放心,删除这个组件不会影响到你正常浏览网页的。
对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务"RemoteRegistryService"禁用,来对付该类网页。具体方法是:点击"管理工具→服务→RemoteRegistryService(允许远程注册表操作)",将这一项禁用即可。
升级你的IE为6.0版本并装上所有的SP以及追加的几个小补丁,可以有效防范上面这些症状。
下载微软最新的MicrosoftWindowsscript5.6
l安装病毒防火墙,一般的杀毒软件都自带。打开网页监控和脚本监控。
| 
