读者 郑斌:在该网站下载了一个小游戏,没想到运行后莫名其妙安装了一大堆恶意插件、病毒。现在打开任何网页都会事先连接这个6658588.cn下载最新病毒。
读者 李清:真希望杀毒软件和防火墙能增加有ARP攻击防御功能,每次都被ARP欺骗什么时候才是个头?
上周突然出现了一个名为www.6658588.cn的恶意网站,仅一周时间就已全面爆发,各大安全论坛布满了关于它的求救帖,我们也收到多达1647位读者的举报邮件。
在测试时我们发现,该站用403错误作为首页以掩人耳目,但根目录中的ad.jpg、0614.js二级目录中的123.htm嵌有恶意代码。分析样本后确认这是一个联合ANI光标蠕虫和ARP欺骗攻击的恶意网站。
病毒将局域网内所有网址请求先转发至指定的病毒页面上,再迅速跳转至真正要访问的网站,由此导致整个内网用户打开任何页面均报毒的情况。进一步查其域名、注册信息,显示该站于6月19日在万网注册。看来目的非常明确,专为施放恶意代码而建。鉴于危害的严重性,已将它的信息反馈给万网请求协助查封。
已受感染的用户可尝试以下方法清理:
1.在路由器(局域网用户)或IE受限制站点中屏蔽此站。Www.ItCoMPUTer.COm.CN
2.安装Windows系统补丁,特别是MS07-17。
3.使用“Anti Arp Sniffer”(http://www.cpcw.com/bzsoft/)等ARP防御软件查出网内攻击源。
4.断开中毒电脑的网络连接,进入安全模式用杀毒软件对它进行彻底查杀。
巧用WinRAR来抓鸡
WinRAR已经成为用户电脑中必装的软件,可你想过黑客会利用它来抓鸡吗?这是真的,只需一个小小的WinRAR漏洞利用程序,就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一,我们应该如何防范呢?下面我们就来揭开谜底。
小知识:抓鸡是黑客常用术语,意思是指主动通过某些程序(如木马程序或远程控制程序的客户端)或技术手段控制用户的PC机,被控制的PC机称之为肉鸡。
为什么要用WinRAR漏洞抓鸡
网络上流传有很多可执行文件捆绑工具,这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序,并且可以进行简单的伪装,但是其原理却决定了其不可能成为完美的捆绑工具,目前主流的杀毒软件都可以轻易地将它清除掉。
而用WinRAR漏洞捆绑木马来抓鸡就很有优势,因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的(大部分捆绑程序检测工具用的就是这个原理),但是这条不适合这个漏洞。
小提示:该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误,而若将一个经处理后文件改为长文件名并附加成LHA文件,再调用相应参数生成新的压缩包后,被WinRAR打开的时候就会导致本地缓冲溢出。
当用户点击压缩包时会出现错误提示(图1),这时木马程序就已经悄悄运行了,肉鸡就到手了。所以如果我们用这个漏洞来抓鸡,成功率是十分高的,比原始的3389端口抓鸡的成功率高多了。
如何用WinRAR漏洞抓鸡
Step1:将WinRAR的利用程序放到任意目录中,例如C盘根目录。
Step2:单击菜单中“开始→运行”命令,输入“cmd”运行“命令提示符”。将光标切换到“c:”,输入“rar.exe”查看利用程序的使用方法。其使用方法为:“rar [选项] ”。
其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置,可以不输入,有需要的话可以添加相应的“选项”。
Step3:将配置好的木马服务端程序也放到C盘根目录,并命名为123.exe。在“命令提示符”中输入命令:“rar 123.exe”,如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了(图2)。
Step4:最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人,当对方运行这个WinRAR文件时,将会出现错误,但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡(图3)。
不过要充分利用这个漏洞,光靠触发漏洞是不够的,木马的配置也很重要,例如要设置运行后删除自身,安装服务端时不出现提示等,这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示,是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀,例如加壳处理和修改特征码等,否则被杀毒软件检测出来岂不前功尽弃。
小提示:运行漏洞利用工具时请先关闭杀毒软件,因为杀毒软件会把它当作黑客工具给清除掉。
防范技巧
1.不要运行陌生人发过来的文件。这是老生常谈的问题了,只不过以前只针对可执行文件,现在连WinRAR也不能轻易运行了。
2.识别恶意的WinRAR文件。在运行WinRAR文件之前,我们可以先对其进行检查,确定无危害后再运行,检查的方法为:右键单击WinRAR文件,在菜单中如果没有“用WinRAR打开 ”这一项,则说明压缩包有异常,不要轻易打开!
3.升级WinRAR到3.7以上的版本,新版本打开虽仍会提示出错,但木马程序不会运行。
攻防博弈
攻 黑客:虽然很多人都有给系统打补丁的习惯,但会给应用软件升级的人少之又少,所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中,将大大增加抓到的肉鸡数量。抓鸡的方法多种多样,我们还可以用135端口来抓安全意识不强的鸡。
防 编辑:系统软件的漏洞可以通过自动更新来解决,而工具软件的漏洞只能通过经常关注一些专业媒体的提醒,定期升级程序来解决。同时养成良好安全习惯,不接收不下载来路不明的压缩文件才是最好的防范方法!至于135端口抓鸡,只要我们关闭了端口,调高了防火墙的安全等级就不用惧怕。
如何防止9166.biz的ARP攻击
本周,名为9166.biz的恶意网站进入了我们的视线。多个安全论坛关于此问题的求助帖激增,读者们的举报信也纷至沓来,特别是一些局域网用户反映受此站攻击内部网络混乱。
我们立即对9166.biz做了调查,http://9166.biz/002/002.htm及http://9166.biz/1.htm等多个页面均挂有病毒。入侵系统后窜改浏览器及HOST文件,利用iframe嵌套代码导致打开任何网页时都会先读取此病毒,导致网速变慢甚至打不开网页。
通过进一步的分析发现,此病毒还有ARP攻击行为,局域网内用户一旦有一台电脑被入侵后将在全网疯狂传播实施ARP欺骗攻击,垃圾数据四窜,ping网关延迟,网速急剧下降,网内所有电脑都会被感染,杀毒软件不停报警可是无法彻底清除。
这让我们想起了不久前肆虐网络的5y5.us、7y7.us和16a.us等恶性病毒,看来这个将服务器设在境外的犯罪团伙还不死心,又炮制出一个9166.biz继续危害网络。
解决方法:
由于这类病毒均是由ANI光标漏洞蠕虫植入的,先下载安装MS07-17补丁。关闭IE浏览器及系统还原功能,并清空所有临时文件,删除HOST文件中的不明网址。并在路由器或IE受限地址中屏蔽9166.biz及对应IP。
使用“ARP防火墙”(http://www.onlinedown.net/soft/52718.htm#download)清除并修正被修改的网关MAC地址。
删除不明启动项,进入安全模式用360安全卫士清除被植入的恶意插件,杀毒软件全盘杀毒,如果杀毒软件无法启动,注意系统时间是否被非法窜改,最后全面修复IE。
本周其他流氓网站
3G播客网
恶意链接: www.2cdma.cn/v?htm?tuitan2cdma
举报人数:441
危害程度 ★★★
IP:58.52.161.203
利用恶意手段推广,二级页面嵌入病毒,弹出广告窗口。
防范方法:清空IE临时文件,删除不明启动项。进入安全模式用黄山IE修复专家清理,最后全盘杀毒。
jygame88.com
恶意链接:http://www.jygame88.com
投诉人数:392
危害程度 ★★★
IP:61.188.38.155
首页嵌有病毒,二级目录中藏有盗取网游“征途”账户的木马。更气人的是页面还放置了统计系统,记录受感染人数及IP地址。
防范方法:关闭系统还原功能,屏蔽此站域名及IP,删除不明启动项,清空临时文件夹。进入安全模式使用360文件粉碎机强制删除以下文件(显示隐藏文件)C:\WINDOWS\Microsoft\rundll32.exe、C:\program files\internet explorer\use6.dll、C:\WINDOWS\system32\dt.dll,用360安全卫士清除并修复被植入的恶意插件及HOST文件,最后全盘杀毒。
From:http://www.itcomputer.com.cn/Article/Network/201309/416.html