论文部分内容阅读
昨天,同学小毛猴急地找到我:“我的电脑莫名其妙地中了木马病毒,好像变成了别人控制的肉鸡。你快帮我看看吧!”平时这家伙对电脑安全还是有点意识呀,怎么会中毒呢?我仔细一问,原来他从网上下载了一个RAR压缩包的软件。点击后没打开,提示有错误,此后系统就变得不正常了。RAR压缩包带毒的事情我以前也遇到过不少,但它们多是利用其自解压特性附带运行了木马。而小毛这次碰到的显然不是这类情况。
小小漏洞,木马捆绑玩出新花样
我找小毛拷来那个RAR压缩包在虚拟机中测试,点击后WinRAR报错,看不出有什么不妥,仿佛只是因为下载不完整而导致压缩包出错。经过仔细研究后,我才发现它压根儿不是什么软件的压缩包,其本身就是黑客利用WinRAR的一个溢出漏洞制作的捆绑木马!
下面我模拟一下此黑客的手法。首先,下载其专用的溢出漏洞工具rar.exe,在系统的命令行窗口中输入并运行它,可以看到如图1所示的参数。然后,用它捆绑木马,其命令语法为:rar*.exe(*.exe为准备好的木马文件),简单吧?我在此采用了免杀版的“灰鸽子”木马,命令完成后生成一个Oday.zip文件。最后,把这个文件改名为常用软件的RAR压缩包,如“ACDSee 9.0绿色版.tar”,再通过网站、QQ或论坛等途径将它发布。就这样,当不明真相的人下载并点击这个所谓的软件压缩包时,其电脑中的WinRAR就会提示出错,然后木马就利用WinRAR的溢出漏洞植入电脑了。事实证明,小毛就是中了此招!
因为木马文件是在后台悄悄运行的,大家看不到,所以为了让大家能更直观地看到,我将免杀版的“灰鸽子”木马文件用系统自带的“计算器”来代替,即calc.exe。按照前面的方法,同样生成一个Oday.zip文件。我将该文件发送到小毛的电脑中让他打开,小毛不久便回话:“打开先是报错,然后‘计算器’自动运行了。”他还抓图向我证实,如图2。幸好只是“计算器”,要是木马这家伙又遭殃了,呵呵!
我统计了一下,在W nnRAR 3.0~3.6BETA6中均存在这个本地堆栈缓冲区溢出漏洞。我用WinRAR 3.71也测试了,虽然也会提示出错,但木马不能运行。由于WinRAR是大家电脑中最不注意升级的软件之一,因而虽然现在其最新版本是3.71,但绝大部分电脑中还是装的3.6甚至更低的版本。小毛就是因为没有及时升级WinRAR,从而让自己的电脑被黑客变成了肉鸡。
花样再多也没用,木马扫光
“那我的电脑现在怎么办呢?”小毛急切地问道。“简单呀,这玩意儿只是在木马植入电脑的方式上耍了点小聪明,已经在电脑中落户的木马你用杀毒软件去杀就行了,不行就换几款有杀木马功能的安全小软件。”我向他介绍方法,“要说预防嘛,别忘了把WinRAR升级到3.71版本及更高版本啊。另外别太依赖杀毒软件的实时监控功能,有些做过免杀处理的木马它拦不住。还有一句老话:不明的文件不要太好奇,QQ或网页中某MM的‘靓照.rar’,或‘我刚拍的写真.rar’一类的链接最好不要乱点和下载。”
最后再透露一个小窍门:碰到不熟悉的RAR压缩包,你可以用鼠标右键去点击它,如果没有看到“用WinRAR打开”这类的菜单项,就要多个心眼了。
小小漏洞,木马捆绑玩出新花样
我找小毛拷来那个RAR压缩包在虚拟机中测试,点击后WinRAR报错,看不出有什么不妥,仿佛只是因为下载不完整而导致压缩包出错。经过仔细研究后,我才发现它压根儿不是什么软件的压缩包,其本身就是黑客利用WinRAR的一个溢出漏洞制作的捆绑木马!
下面我模拟一下此黑客的手法。首先,下载其专用的溢出漏洞工具rar.exe,在系统的命令行窗口中输入并运行它,可以看到如图1所示的参数。然后,用它捆绑木马,其命令语法为:rar*.exe(*.exe为准备好的木马文件),简单吧?我在此采用了免杀版的“灰鸽子”木马,命令完成后生成一个Oday.zip文件。最后,把这个文件改名为常用软件的RAR压缩包,如“ACDSee 9.0绿色版.tar”,再通过网站、QQ或论坛等途径将它发布。就这样,当不明真相的人下载并点击这个所谓的软件压缩包时,其电脑中的WinRAR就会提示出错,然后木马就利用WinRAR的溢出漏洞植入电脑了。事实证明,小毛就是中了此招!
因为木马文件是在后台悄悄运行的,大家看不到,所以为了让大家能更直观地看到,我将免杀版的“灰鸽子”木马文件用系统自带的“计算器”来代替,即calc.exe。按照前面的方法,同样生成一个Oday.zip文件。我将该文件发送到小毛的电脑中让他打开,小毛不久便回话:“打开先是报错,然后‘计算器’自动运行了。”他还抓图向我证实,如图2。幸好只是“计算器”,要是木马这家伙又遭殃了,呵呵!
![](http://img1.qikan.com/qkimages/jssw/jssw200722/jssw20072259-1-l.jpg)
我统计了一下,在W nnRAR 3.0~3.6BETA6中均存在这个本地堆栈缓冲区溢出漏洞。我用WinRAR 3.71也测试了,虽然也会提示出错,但木马不能运行。由于WinRAR是大家电脑中最不注意升级的软件之一,因而虽然现在其最新版本是3.71,但绝大部分电脑中还是装的3.6甚至更低的版本。小毛就是因为没有及时升级WinRAR,从而让自己的电脑被黑客变成了肉鸡。
花样再多也没用,木马扫光
“那我的电脑现在怎么办呢?”小毛急切地问道。“简单呀,这玩意儿只是在木马植入电脑的方式上耍了点小聪明,已经在电脑中落户的木马你用杀毒软件去杀就行了,不行就换几款有杀木马功能的安全小软件。”我向他介绍方法,“要说预防嘛,别忘了把WinRAR升级到3.71版本及更高版本啊。另外别太依赖杀毒软件的实时监控功能,有些做过免杀处理的木马它拦不住。还有一句老话:不明的文件不要太好奇,QQ或网页中某MM的‘靓照.rar’,或‘我刚拍的写真.rar’一类的链接最好不要乱点和下载。”
最后再透露一个小窍门:碰到不熟悉的RAR压缩包,你可以用鼠标右键去点击它,如果没有看到“用WinRAR打开”这类的菜单项,就要多个心眼了。