通晓网页木马原理,积极应对!关于最近论坛里木马贴的防范方法
最近发现论坛正在闹木马,就随便看了下论坛上发的几个带木马网页的源代码,弄清原理才能想出对策
先简单说下论坛上这些网页木马的原理
网马地址:http://www.zy125.yzz.cn/taobao.htm 地址有很多,其实都一样的
木马下载地址:http://www.木马.yzz.cn/1/xx.exe (有兴趣的可以下下。。。)
此网页木马利用了Microsoft MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞,即ms06-014漏洞,有此漏洞的计算机浏览写有恶意代码的网页时会自动下载木马程序并运行,达到传播木马的目的。
其实这个ms06-014网马很早就出现了,就是一段网页JavaScript脚本,从最初的简单伪装(插在正常网页的代码中),到frame跳转,再到现在的JS脚本加密,通过这些方法来逃过防火墙的网页恶意代码检查。最新的多层JS加密+字符串套接已经能有效防止一般防火墙检查了,再加上 现在个人木马都可以自己加壳逃避多数病毒防火墙的检测(只有中了后,病毒防火墙才可能报警),可以说这种网马除了堵系统漏洞,没其它比较好的方法。
解决方法:
下载微软的MS06-014安全更新
补丁地址:请注意这里包含一个外部链接网址:http://www.microsoft.yzz.cn/china/technet/security/bulletin/ms06-014.mspx
请选择对应的操作系统进行补正下载更新,操作系统可以通过右键桌面"我的电脑"→属性,查看。
不知道自己是否打过补丁的人,可以进控制面板里的添加/删除程序查看WINDOWS补丁更新情况(有必要时点击"显示更新"),找到"KB911562"的话,说明已打补丁。
装了补丁后重启系统,即对这类网页木马免疫了,可随意点击学习。。。
另外也可以采取临时的解决办法:
开始→运行→输入“regsvr32.exe shell32.dll /u/s”(不带引号),回车。禁止漏洞控件的功能。
要恢复时,可输入“regsvr32.exe shell32.dll /i/s”。
最后解释下有些朋友的疑问,有人没点木马网页的链接怎么也中了。
嗯,这个呢,应该说也许不是中了直接发网页链接的人的木马,而是中了其它更懂一点儿的人发的木马吧。BBS论坛的功能越多,带来的漏洞就可能更多,是有办法让你不点就中的!,所以最好的办法还是时常更新WIDOWS补丁和防火墙升级,以及学习些必要的电脑安全知识。
连接地址:http://bbs.yezizhu.yzz.cn/dispbbs.asp?boardID=6&ID=766897&page=1
已有人对此文章评分
