木马是大家网上安全的一大隐患,说是大家心中永远的痛也不为过。对于木马采用敬而远之的态度并不是最好的方法,我们必须更多地了解其“习性”和特点,只有这样才能做到“知己知彼,百战不殆”!随着时间的推移,木马的植入方式也悄悄地发生了一定的变化,较之以往更加的隐蔽,对大家的威胁也更大,以下是笔者总结的五种最新的木马植入方式,以便大家及时防范。
方法一:利用共享和Autorun文件
为了学习和工作方便,有许多学校或公司的局域网中会将硬盘共享出来。更有甚者,竟将某些硬盘共享设为可写!这样非常危险,别人可以借此给您下木马!利用木马程序结合Autorun.inf文件就可以了。方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,只需他双击共享的磁盘图标就会使木马运行!这样作对下木马的人来说的好处显而易见,那就是大大增加了木马运行的主动性!许多人在别人给他发来可执行文件时会非常警惕,不熟悉的文件他们轻易不会运行,而这种方法就很难防范了。
下面我们简单说一下原理。大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录
下有个Autorun.inf文件,该文件可以决定是否自动运行其中的程序。同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。
把木马文件.exe文件以及Autorun.inf放在磁盘根目录(这里假设对方的D盘共享出来且可写),对于给您下木马的人来说,他还会修改Autorun.inf文件的属性,将该文件隐藏起来。这样,当有人双击这个盘符,程序就运行了。这一招对于经常双击盘符进入“我的电脑”的人威胁最大。
更进一步,利用一个.REG文件和Autorun.inf结合,还可以让你所有的硬盘都共享出去!
方法二:把木马文件转换为BMP格式
这是一种相对比较新颖的方式,把EXE转化成为BMP来欺骗大家。其原理是:BMP文件的文件头有54个字节,包括长度、位数、文件大小、数据区长度。只要在EXE的文件头上加上这54个字节,IE就会把该EXE文件当成BMP图片下载下来。由于这样做出的图片是花的,为防止我们看出来,下木马者会在其网页中加入如下代码:,把这样的标签加到网页里,就看不见图片了,因此我们就无法发现这个“图片”不对劲。
在用IE浏览后,IE会把图片自动下载到IE临时目录中,而下木马者只需用一个JavaScript文件在我们的硬盘中写一个VBS文件,并在注册表添加启动项,利用那个VBS到BMP,调用debug来还原EXE,最后,运行程序完成木马植入,无声无息非常隐蔽。
方法三:利用错误的MIME头漏洞
其实,这一招并不神秘,危害却很大。错误的MIME头漏洞是个老漏洞了,但对于没有打补丁的用户威胁非常大!去年流行的许多病毒都是利用了该漏洞,如尼姆达病毒和笑哈哈病毒都是如此。这类病毒一旦和错误MIME头漏洞结合起来,根本不需要您执行,只要您收了含有病毒的邮件并预览了它,就会中招。同样的道理,攻击者通过创建一封HTML格式的E-mail也可以使未打补丁的用户中木马!Internet Explorer 5.0、5.01、5.5均存在该漏洞,我们常用的微软邮件客户端软件Outlook Express 5.5 SP1以下版本也存在此漏洞。
给您下木马的人,会制作一封特定格式的E-mail,其附件为可执行文件(就是木马服务端程序),通过修改MIME头,使IE不能正确处理这个MIME所指定的可执行文件附件。由于IE和OE存在的这个漏洞,当攻击者更改MIME类型后,IE会不提示用户而直接运行该附件!从而导致木马程序直接被执行!
对于这种植入方式,只要给系统打上补丁就可以防范有人利用这种方式来攻击。微软公司为该漏洞提供了一个补丁,下载地址:
www.microsoft/windows/ie/download/critical/Q290108/default.asp。
方法四:在Word文档中加入木马文件
这是最近才流行起来的一种方法,比较奇特。这种植入木马的方法就是新建一个DOC文件,然后利用VBA写一段特定的代码,把文档保存为newdoc.doc,然后把木马程序与这个DOC文件放在同一个目录下,运行如下命令:copy/b xxxx. newdoc.doc把这两个文件合并在一起(在Word文档末尾加入木马文件),只要别人点击这个所谓的Word文件就会中木马!
不过,以上方法能得以实现的前提是你的Word 2000安全度为最低的时候才行,即HKEY_CURRENT_USER SoftwareMicrosoftOffice9.0WordSecurity中的Level值必须是1或者0。大家知道,当Level值为3的时候(代表安全度为高),Word不会运行任何宏;Level值为2时(安全度中),Word会询问是否运行宏;Level值为1的时候(安全度低),Word就会自
动运行所有的宏!聪明的您一定想到如果这个值为0的时候会怎么样?哈,如果设为0的话,Word就会显示安全度为高,但却能自动运行任何的宏!是不是很恐怖啊?
要想把Word的安全度在注册表中的值改为0,方法非常多,利用网页恶意代码修改浏览者的注册表就可以。我想这方面大家都有很多经验,就不多说了。对于这种欺骗方式,最重要的是小心防范,陌生人的附件千万不要收看!网上的链接也不要随意点击,如要点击请确认是否为.DOC文件,如是则一定不要直接点击查看!
方法五:通过Script、ActiveX及ASP、CGI交互脚本的方式植入
由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制,前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马。
木马防范方法
怎么制作网页图片1.给系统打上各种补丁,微软的补丁是很有用的。
2.安装网络防火墙和病毒防火墙,并注意更新。
3.使用代理上网。在QQ中也使用代理,这样可以防范有人通过查看您的IP地址后对您进行攻击。
4.不要轻易相信别人,不要下载不了解的软件运行,在运行前用杀毒软件和木马检测软件进行检查。对于陌生人发来的邮件附件中的东东最好不要看。
5.将IE和OE的安全级别设置为“高”。
6.注意用进程管理软件检查进程,发现不对劲赶紧杀之。
7.尽量不要将硬盘共享出去,资源共享完成之后马上关闭共享。如果您必须用共享而又对安全重视的话,建议不要使用“共享级的访问控制”而用“用户级的访问控制”(在本机的“控制面板”→“网络”→“访问控制”下设置)
8.将系统设置为显示所有文件,同时注意硬盘中Autorun.inf文件的内容。
9.对于外来的Word文档,先用Windows自带的写字板打开,将其转换为写字板格式的文件保存后,再用Word调用。因为写字板不调用、不记录、不保存任何宏,文档经此转换,所有附带的宏都将丢失,这条经验特别有用。另外,建议您在查看Word文档时,先禁止所有的以Auto开头的宏的执行。这样能保证用户在安全启动Word文档后,再使用杀毒软件对其进行必要的检查。并将Word的安全度设为高。
10.对于个人用户,建议您发现不对劲时,立刻断线,然后进行认真的检查。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论