迅雷是目前常用的下載軟件,分為Web迅雷和普通迅雷兩種,其中的Web迅雷用的人非常多。最近Web迅雷被曝存在一個巨大的0DAY漏洞。利用該漏洞,病毒木馬就可以在用戶毫無察覺的情況下“破門而入”,破壞系統或盜取各類賬戶和密碼。
一、迅雷漏洞怎麼形成的
這次出現漏洞的Web迅雷,是一款基於ActiveX控件的下載工具,因為它在進行文件下載的時候使用了ThunderServer.webThunder.1 ActiveX這個控件,所以被命名為“Web迅雷ThunderServer.webThunder.1控件任意文件下載漏洞”。
該控件存在巨大的安全漏洞,因為控件對調用其網頁沒有進行確認,因此如果用戶受騙浏覽了惡意站點的話,該控件中的SetBrowserWindowData、SetConfig、HideBrowserWindow、AddTask、SearchTask和OpenFile函數就會在用戶不知情的情況下,被調用來下載惡意文件。如果下載的是病毒木馬的話,後果就嚴重了。
二、漏洞危害有多嚴重
Web迅雷漏洞是一個典型的利用網頁木馬傳播的漏洞,它是因為驗證力度不夠造成的,由於Web迅雷在用戶中的使用面較廣,因此危害性巨大。當網頁木馬激活Web迅雷漏洞後,就可以下載運行黑客設置的病毒木馬程序,當病毒木馬運行成功以後就可以接收黑客的遠程控制操作,這樣就能輕松獲取用戶的網絡銀行、網絡游戲的賬號密碼,給用戶造成巨大的經濟損失。TW.WInGWIT.cOm 小提示:Web迅雷漏洞的危害程度判斷是參考了標准的高危害漏洞(騰訊QQ漏洞)和標准的中等危害漏洞(卡巴斯基漏洞)。
三、漏洞是如何被利用的
第一步:由於該漏洞最終的目的是下載設置的木馬程序,因此我們先來配置一個Spirit木馬的服務端程序。運行Spirit木馬客戶端後點擊“文件”中的“生成服務端”命令,接著在彈出的窗口中配置連接地址、端口、注冊鍵值、文件名稱等相關信息,完成後點擊“生成”按鈕即可生成服務端程序。
第二步:現在運行Web迅雷漏洞的利用工具“Web迅雷最新版網馬生成器”,先將木馬服務端程序改名為vip.exe,再上傳到網頁空間中的Web目錄裡面。接著點擊生成器的“生成調用文件”按鈕,從而生成網頁木馬所需的vips.htm文件。然後輸入網頁空間本身的域名,點擊“生成訪問文件”按鈕,生成網頁木馬所需的vip.js和vip.htm文件(圖1)。
第三步:浏覽器訪問網頁空間中的vip.htm文件,該文件就會主動調用腳本文件vip.js。接著腳本文件會成功激活Web迅雷中的漏洞,在本地系統中的啟動目錄中生成一個microsofts.hta文件。
由於microsofts.hta文件包含了vips.htm文件的內容,因此當操作重新啟動後該文件會自動運行,並且利用IE浏覽器打開vips.htm文件來獲取木馬下載地址,最後調用Web迅雷來自動下載執行程序的代碼,這樣黑客就可以利用木馬程序進行控制操作(圖2)。
四、防范方案
目前新版的Web迅雷已經修補了這個漏洞,因此只需要登錄到Web迅雷的官方網頁(http://my.xunlei.com/setup.htm),下載最新的Web迅雷版本進行安裝即可(Web迅雷1.8.4.130版之前的版本均受影響)。
除此以外,由於Web迅雷漏洞是由ActiveX控件造成的,因此用戶只要把浏覽器安全等級設為較高的級別,就能禁止浏覽器執行ActiveX控件從而避免漏洞的激活。點擊IE浏覽器中的“Internet 選項”選項,接著選擇其中的“安全”標簽並將其中所有與腳本選項有關的項目禁用(圖3),這樣就能達到禁止ActiveX控件下載的目的。五、預防方案
由於Web迅雷漏洞的安全隱患源於非法網頁對這些控件的惡意調用,所以最簡單的預防方法就是對調用控件的網頁進行身份驗證,這就需要程序員在編寫程序的時候加強這方面的認知程度。另外就個人用戶本身而言,除了使用殺毒軟件防范網頁木馬以外,還可以利用一款名為《IE衛士》的小插件。
插件安裝完成後當我們通過IE浏覽器訪問Web迅雷漏洞的網頁木馬後,很快《IE衛士》就彈出一個提示窗口(圖4),告知用戶“浏覽器試圖創建進程,這是網頁木馬的典型行為,如果你感到意外,敬請攔截!”同時會在程序路徑選項中顯示可疑程序的路徑。
現在點擊“攔截(推薦)”按鈕,就可以成功阻止該網頁木馬的進一步操作。瑞星卡卡也有類似的功能,大家可以根據自己的實際情況加以選擇。
攻防博弈
攻 黑客:雖然Web迅雷漏洞現在可以被防范防了,但這並不表示我們的網頁木馬就無用武之地了。不知道大家有沒有注意到,文中所用的網頁木馬會首先創建一個microsofts.hta文件,我們只要想辦法將該文件滲透到網民的電腦內,就可以讓遠程系統自動下載木馬程序,有無漏洞都無所謂。
滲透方法有很多種,例如用現在流行的移動設備進行病毒木馬傳播,只要把移動設備插到系統主機上,就可以利用系統的自動播放功能運行該文件。
防 編輯:Web迅雷漏洞雖然已經被補上了,但黑客對它的“關愛”不會減少,我們一定要禁止浏覽器下載ActiveX控件,預防後續漏洞出現。
另外,針對其他黑客利用移動設備來傳播網頁木馬,我們只需要通過策略組或其他工具關閉自動播放功能,例如運行USBKill後選中“禁止所有存儲設備自動播放”選項即可。這樣當移動設備插入系統後就不會讀取裡面的網頁木馬內容,從而有效地防止網頁木馬的運行操作。
From:http://tw.wingwit.com/Article/Network/201309/415.html