网络电影引发的后门及解决办法
新客网 XKER.COM 2007-03-24 来源: 收藏本文
五. 回溯
1.电影文件传播木马的真相
一些读者可能会觉得可怕,连电影文件也会带毒,那以后还怎么看电影?我要如何检查电影文件是不是感染了病毒?别慌,这并不是什么高深的“感染技术”,而是RealMedia格式文件自带的被称为“事件”的功能引起的问题,这个功能让影片播放到事先设定好的时间段的时候自动打开某个网页,我不知道Real公司到底在想什么,但如今这个功能被大量用于木马传播已经成为现实:入侵者做好一个网页木马,然后修改Real格式的电影文件,加入在某个时段打开这个网页木马URL的事件,然后就可以安心的守株待兔了。强调一下,电影文件本身是没有木马的,它只是携带了一个打开网页的事件而已,问题在于它并不知道这个网页是否有害!
2.灰鸽子的隐藏原理
灰鸽子在一般情况下是无法发现的,因为这个木马的防护措施是通过拦截API调用让系统无法枚举域它有关的信息,所以无论是从资源管理器还是进程管理器,你都无法发现它的文件体和进程,也许它唯一暴露自身的地方就是服务管理器里的服务列表,但这里稍加改动后其实一样可以隐藏,另外因为它是反弹木马(所谓反弹木马,就是服务端主动去连接控制端的木马),因此也不会开放端口,这样一来,灰鸽子可以迷惑许多用户,使得他们在不知不觉中受害。但是这种隐藏方法有一个最大的失效环境,那就是安全模式或者非Windows系统,因为即使它的HOOK功能再强大也必须要由一个EXE把相关功能模块DLL载入内存执行,否则它只能是废物一滩,(还记得吗,DLL木马的原理),而且杀毒厂商会很快就能查杀新版木马,因此读者无需过于害怕,舍友感染的灰鸽子是因为被另行加壳并改了些设置导致特征码变化而查不出来,这只是片面现象。
3.总结
这次事件的曝光是因为Modem防火墙的级别过高,服务端又处于一个LAN环境,因而导致木马与外部交互的时候被Modem拦截并造成Modem超负荷(虽然具体详情我也无法得知,但正是由于这款芯片存在bug的Modem,才避免了一次木马的暗渡陈仓,也许换作别的Modem,木马已经犯下罪恶了),因此,设置Modem防火墙是必要工作!
由于木马是通过带有IE漏洞的网页下载而来的,而IE的漏洞永远也补不完,因此不能武断的说“定期去修补系统漏洞”,因为已经有过实际案例证明一些IE的漏洞补了也等于没补,所以能给读者的建议唯有时常留意自己系统里多了什么文件和服务之类的,以及一些异常现象,掌握基本的入侵检测技术方能确保自己在这个混乱的网络中不受侵害!
1.电影文件传播木马的真相
一些读者可能会觉得可怕,连电影文件也会带毒,那以后还怎么看电影?我要如何检查电影文件是不是感染了病毒?别慌,这并不是什么高深的“感染技术”,而是RealMedia格式文件自带的被称为“事件”的功能引起的问题,这个功能让影片播放到事先设定好的时间段的时候自动打开某个网页,我不知道Real公司到底在想什么,但如今这个功能被大量用于木马传播已经成为现实:入侵者做好一个网页木马,然后修改Real格式的电影文件,加入在某个时段打开这个网页木马URL的事件,然后就可以安心的守株待兔了。强调一下,电影文件本身是没有木马的,它只是携带了一个打开网页的事件而已,问题在于它并不知道这个网页是否有害!
2.灰鸽子的隐藏原理
灰鸽子在一般情况下是无法发现的,因为这个木马的防护措施是通过拦截API调用让系统无法枚举域它有关的信息,所以无论是从资源管理器还是进程管理器,你都无法发现它的文件体和进程,也许它唯一暴露自身的地方就是服务管理器里的服务列表,但这里稍加改动后其实一样可以隐藏,另外因为它是反弹木马(所谓反弹木马,就是服务端主动去连接控制端的木马),因此也不会开放端口,这样一来,灰鸽子可以迷惑许多用户,使得他们在不知不觉中受害。但是这种隐藏方法有一个最大的失效环境,那就是安全模式或者非Windows系统,因为即使它的HOOK功能再强大也必须要由一个EXE把相关功能模块DLL载入内存执行,否则它只能是废物一滩,(还记得吗,DLL木马的原理),而且杀毒厂商会很快就能查杀新版木马,因此读者无需过于害怕,舍友感染的灰鸽子是因为被另行加壳并改了些设置导致特征码变化而查不出来,这只是片面现象。
3.总结
这次事件的曝光是因为Modem防火墙的级别过高,服务端又处于一个LAN环境,因而导致木马与外部交互的时候被Modem拦截并造成Modem超负荷(虽然具体详情我也无法得知,但正是由于这款芯片存在bug的Modem,才避免了一次木马的暗渡陈仓,也许换作别的Modem,木马已经犯下罪恶了),因此,设置Modem防火墙是必要工作!
由于木马是通过带有IE漏洞的网页下载而来的,而IE的漏洞永远也补不完,因此不能武断的说“定期去修补系统漏洞”,因为已经有过实际案例证明一些IE的漏洞补了也等于没补,所以能给读者的建议唯有时常留意自己系统里多了什么文件和服务之类的,以及一些异常现象,掌握基本的入侵检测技术方能确保自己在这个混乱的网络中不受侵害!
上一篇:保护系统 从防范IP泄漏开始! 下一篇:终端入侵防护解决方案七大纪律
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐