避免常见网页木马的方法
来自:MACD论坛(bbs.macd.cn)
作者:淡淡体味
浏览:1884
回复:4
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
网页木马是指病毒作者精心构造的包含恶意代码的网页,将其放到一些网站、论坛、博客等网页上,当用户浏览过这些网页的时候,就会感染病毒,这些病毒可以是任意的病毒、木马、后面、蠕虫等,所以危害很大。目前网页木马已经成为了病毒传播最主要的方式。
网页木马能够下载到客户机上并且执行,需要一个条件:漏洞。病毒作者一般浏览一些漏洞代码公布的网站,然后编写出Shellcode,利用缓冲区溢出的原理,使网页里面的病毒最终下载到客户机执行。目前网页木马利用的最多的漏洞就是两个:MS06-014和MS07-017(光标漏洞)。可以说将近90%以上的网页木马都是利用这两个漏洞传播的。
MS06-014漏洞:Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码 (911562),含有漏洞的组件为msadco.dll ,CLSID为:BD96C556-65A3-11D0-983A-00C04FC29E36 ,为微软06年4月11号公布的漏洞,该漏洞号称挂马王,在光标漏洞出现之前,绝大部分网页木马都使用该漏洞。
MS07-017漏洞:GDI 中的漏洞可能允许远程执行代码 (925902),也叫做光标漏洞,是07年4月3号微软新公布的一个严重漏洞,就连最新的Vista系统也未能幸免,现在用此漏洞的网页木马越来越多,呈泛滥之势。
现在的网页木马一般采用双挂马法,病毒作者通过编写恶意网页,当用户浏览后,该恶意网页回先判断当前操作系统是否还有MS06-014漏洞,如果有的话就进行下载木马执行,如果没有的话就判断是否含有MS07-017漏洞,由于该漏洞较新,一般用户并没有打过该补丁,所以中毒几率较高。
此外还有一个漏洞病毒作者使用的也较多,就是MS07-004:矢量标记语言漏洞,也有一部分的病毒作者喜欢使用该漏洞进行挂马。
那么知道网页木马使用的漏洞就好办了,采取的免疫方法很明显-打补丁。
MS06-014 中文版系统补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址:
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx
MS07-004 中文版系统补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS07-004.mspx
MS07-004 英文版系统补丁下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS07-004.mspx
今年网页木马还有一个明显的特点是:除了系统漏洞之外,应用软件漏洞成为了病毒作者们热衷的目标,迅雷下载工具、百度搜霸、暴风影音、PPStream网络电视等知名软件的漏洞都已经被网页木马所使用。由于应用软件使用更加广泛,因此比系统漏洞也更加隐蔽,难防。对付这些应用软件漏洞,禁止使用并非是最好的办法,关键还是要注意软件的版本,一定要使用从官方网站下载的最新版本的软件,这点十分重要,不要使用老版本,因为老版本还有很多漏洞。 | 
发表于 2007-11-22 07:54
|
发表于 2007-11-22 11:26
|
陕ICP19026207号—2 陕ICP备20004035号
