图片引发的溢出危机(图)

　三.利用漏洞制作网页木马

　　wmf漏洞造成的最大影响就是网络上网页木马满天飞，由于杀毒软件对图片文件的检测功能不够强大，因此利用wmf漏洞制作的网页木马很容易成功，也成了最近网页木马中的主角。下面我们来了解一下wmf网页木马的制作。
 
　　首先我们需要准备一款木马程序，这里推荐类似灰鸽子的反弹连接型木马，这样当有目标发生溢出时会通过木马主动连接我们的主机，而无需我们主动连接，方便了对肉鸡的管理。然后将配置好的木马程序服务端放置到网页空间上（可申请免费空间进行存放）。
 
　　下载wmf木马的制作程序ms0601。下载完成后在“命令提示符”中运行，可以看到使用方法很简单：ms0601 [THE URL OF EXEFILE]，直接输入木马文件所在的网址即可。回车后就可以在同目录下生成一个exploit.wmf文件，运行这个wmf文件将会触发溢出并自动从网页上下载木马文件执行。
 
　　将exploit.wmf文件上传到网页空间中。最后我们需要在网站主页的源代码中插入如下一句代码：。这样当别人访问主页时，将不会弹出新的浏览器窗口，而是直接运行exploit.wmf进行溢出。

四.填漏洞，防木马

　　由于wmf漏洞的公布时间较晚，因此网络上还有很多没有打好补丁的系统。无论是溢出还是网页木马，成功率都很高，这也给病毒和木马的传播提供了途径。在了解了黑客如何利用wmf漏洞后，我们再来看看如何才能填补漏洞，防范利用wmf漏洞的网页木马。

　　1.反注册dll文件
 
　　由于需要使用Windows Picture查看恶意wmf文件时才会触发溢出，因此如果不方便打系统补丁，可以先尝试反注册Windows Picture的dll文件Shimgvw.dll，反注册后Windows Picture将不能再运行，溢出也就不存在了。
 
　　反注册方法为：点“开始”→“运行”，输入“regsvr32 -u %windir%/system32/shimgvw.dll”即可。如果想恢复使用Windows Picture，可以输入“regsvr32 %windir%/system32/shimgvw.dll”重新注册。

图4.反注册Shimgvw.dll 

　　2.使用漏洞补丁
 
　　目前微软已经发布了该漏洞的补丁程序，下载地址：http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx，这是最彻底也是最安全的修补方式。
 
　　如果不方便打微软提供的系统补丁，可以推荐使用第三方制作的补丁程序：

　　3.警惕未知图片文件
 
　　如果恶意的wmf文件放在网页空间中，我们在访问这个恶意wmf文件时会产生不同的情况，Win2000主要表现为出现下载提示框，要求下载wmf文件。而WinXP和Win2003则会弹出Windows图片查看器，图片的内容则无法显示。碰到这种情况时，我们就应该小心了，很有可能这个wmf文件就带有溢出信息。当然不一定只有wmf为后缀的图片文件才可能触发溢出，其他诸如jpg、bmp等图片格式只要经过构造，同样可以进行溢出。因此我们要对不明图片多加小心，黑客往往会为恶意图片文件取一个诱人的名字，引诱别人打开。

图5.打开恶意wmf文件时的表现 

　　此外，升级杀毒软件是必须的，最新的杀毒软件病毒库都已将恶意wmf文件列为病毒。

上一页  [1] [2]