该漏洞提供了一个补丁,下载地址:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp。
1.2.4 在Word文档中加入木马文件
这是最近才流行起来的一种方法,比较奇特。这种植入木马的方法就是新建一个DOC文件,然后利用VBA写一段特定的代码,把文档保存为newdoc.doc,然后把木马程序与这个DOC文件放在同一个目录下,运行如下命令:copy/b xxxx.doc+xxxxx.exe newdoc.doc把这两个文件合并在一起(在Word文档末尾加入木马文件),只要别人点击这个所谓的Word文件就会中木马!
不过,以上方法能得以实现的前提是你的Word 2000安全度为最低的时候才行,即HKEY_CURRENT_USER SoftwareMicrosoftOffice9.0WordSecurity中的Level值必须是1或者0。大家知道,当Level值为3的时候(代表安全度为高),Word不会运行任何宏;Level值为2时(安全度中),Word会询问是否运行宏;Level值为1的时候(安全度低),Word就会自动运行所有的宏!聪明的您一定想到如果这个值为0的时候会怎么样?哈,如果设为0的话,Word就会显示安全度为高,但却能自动运行任何的宏!是不是很恐怖啊? 要想把Word的安全度在注册表中的值改为0,方法非常多,利用网页恶意代码修改浏览者的注册表就可以。我想这方面大家都有很多经验,就不多说了。对于这种欺骗方式,最重要的是小心防范,陌生人的附件千万不要收看!网上的链接也不要随意点击,如要点击请确认是否为.DOC文件,如是则一定不要直接点击查看!
1.2.5通过Script、ActiveX及ASP、CGI交互脚本的方式植入
由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制,前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马。
1.3木马的常见四大伪装欺骗行为
1.3.1 以Z-file 伪装加密程序
Z-file 伪装加密软件经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使
6
用者会将木马程序和小游戏合并,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑),只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。 1.3.2 将木马包装为图像文件
首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。
只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称 ,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe,而木马程序的扩展名基本上又必定是 exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了! 还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即用IconForge等图标文件修改文件图标,这样木马就被包装成jpg 或其他图片格式的木马了,很多人会不经意间执行了它。 1.3.3 合并程序欺骗
通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵
7
者一不做二不休,干脆将木马程序说成是应用程序:反正都是以exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。 如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合并程序。合并程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后一旦执行这个合并文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合并,由于执行合并文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。
以往有不少可以把两个程序合并的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:合并后的文件体积过大,只能合并两个执行文件。
正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner,这个软件可以把图像文件、音频文件与可执行文件合并,还能减小合并后文件体积,而且可以待使用者执行后立即收到信息,告诉你对方已中招及对方的IP 。大家应该提高警惕。 1.3.4 伪装成应用程序扩展组件
这一类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,让人不去怀疑安装文件的安全性,更不会有人检查它的文件多是否多了。而当受害者打开软件时,这个有问题的文件即会同时执行。 这种方式相比起用合并程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开软件时木马程序都会同步运行 。
当您遇到以上四种情况时请小心为妙,说不定无意之中您已经中招了!!
第二章 利用office系列挂马工具全套在word中插入木马
2.1 office系列挂马工具全套的工作原理
该系统挂马工具,实质上是利用了Office软件的溢出漏洞,在制作工具包中
8
的“DocExp.03SP.v1.03++.exe”针对的是Microsoft Word 2003/SP1/SP2系列“DocExp.XPSP.v1.02++.exe”针对Microsoft Word2002/SP1/SP2/SP3,制作木马的方法都一样。 该DOC木马文档与普通得DOC文档没有两样,当文档被打开时,会在后台自动隐藏运行其中的木马文件,根本看不出有什么异样。 二、功能更强大的DOC木马 工具包中的“DocExp.All.v2.04.exe”程序,提供了更为强大的DOC木马制作功能,可以使用两种方式生成DOC木马:制作的方法都是大同小异的,大家根据软件的提示应该很容易能够生成DOC木马 三、数据库木马的制作 运行软件包中的“MdbExp.All.v1.04.exe”,生成的方式和上边的差不多。
原理:这种转换并不是文件格式上的变化,只不过是把一个EXE文件接在一个DOC文件的末尾而已,这个DOC文件当然就不是不同WORD的文档啦,该文档中包含了宏语句,能在运行的时候把接在自己文件末尾的EXE文件数据读取出来并运行,就造成一种假象,好象文档打开时就运行了EXE文件似。(和文件捆绑器的原理很象啊)
2.2 在word中插入木马的过程
下面是在word中插入木马的详细过程
(1) 首先下载并解压“office系列挂马工具全套”,如下图:
(2)运行office系列挂马工具内存补丁。
9
(3)运行“DocExp.03SP.v1.03++”木马生成工具。这个木马生成工具是要注册的返回注册窗口,即可正常使用木马生成器了。该补丁适用于破解木马生成器的,压缩包中的其他几个木马生成器也能通过该补丁破解。
(4)选择DocExp.03SP.v1.03++的内存补丁,补上就可以注册了。
10