发信人: emil()
整理人: (1999-10-16 20:47:13), 站内信件
|
Evil,第一个利用ActiveX的特洛伊马
王朝栋
Evil,第一个基于ActiveX开发的特洛伊马刚刚被发现,
这种新病毒开创了一个全新领域,使得通过互联网传播的病毒
不再只有附件一个途径来实施攻击。 那么这种特洛伊马是
如何来进行攻击的呢?
第一个途径是用户访问有这种病毒的网页,如果一旦下载
了网页,ActiveX应用程序就会被执行,接着特洛伊马将被安
装入你的系统中。第二个途径是通过电子邮件,现在很多电子
杂志都用HTML语言编写,所以你只要打开这类邮件或甚至只要
接到这类邮件(如果你把Email接收软件的自动预览功能打开
的话),恶意的ActiveX应用程序就会被执行。
这种特洛伊马会有什么破坏作用呢?这决定于它内部所设
定的要下载和执行的应用程序。当特洛伊马被安装后,它会在
用户不知情的情况下,按照事先设定到互联网上下载指定的应
用程序。这种程序可以是另外一个特洛伊马,能使远程攻击者
完全控制用户的计算机,也可以是像CIH这种破坏性极强的病
毒或是像美丽莎这种传播能力另人无法想象的蠕虫。
个性化这种病毒十分容易,只要更改一行代码就可以。由
于真正造成破坏的程序是由病毒从网上自动下载的,所以说用
户可能面对任何恶意病毒的袭击。从已经得到的样本来看,特
洛伊马试图从一个非常有名的网站的FTP服务器下载一个叫
trojan.exe的程序。而这个“trojan.exe”可轻易的被一个
其它的病毒,蠕虫或是特洛伊马所取代。简而言之,这种病毒
的潜在破坏效果由于其内部设定的代码不同而相异。
那它的行为又是如何呢?
病毒由恶意的ActiveX代码编写而成,加入网页后,如被
用户下载,就会在Windows(英文版)的启动目录里建立一个
文件。在WIN95/98是\windows\Start Menu\Programs\StartUp
\windows95.hta,在NT是C:\WINNT\Profiles\Default User
\Start Menu \Programs\Startup\windowsNT.hta。这个文
件里有一系列的命令会在计算机重新启动后执行。
Evil的代码还会修改注册表,为了起用共享文件和打印机
的选择项,由于字符串太长,这个目的没有达到,但是在用户
不知道的情况下,一个隐蔽的FTP连接还是会被建立以自动下载
所指定的应用程序,程序下载完毕就会被病毒执行。这种恶意
的ActiveX代码只在WIN95/98/NT平台下的IE5中起作用。
那么如何保护计算机以免遭这种病毒的侵害呢?
最佳选择就是安装一个反病毒软件,并不断升级。针对Evil,
反病毒软件可以提供双重保护,首先直接查出恶意的ActiveX程
序,其次,这种病毒比较特殊,可以随意改变代码,给直接探察
带来了困难,但由于破坏主要来源于病毒自动从网上下载的程序,
所以查出这些下载的病毒程序也能保护系统安全。举例来说,如
果这个特洛伊马成功的把自己安装到了系统中,但在一个可靠的
反病毒软件的保护下,任何其自动下载的病毒程序都会被查出,
像CIH。如此,我们就能把风险降到最低。
针对这个安全漏洞,微软已经发布了一个新的补丁程序,它
会在用户访问有ActiveX的网页时发出警告,但是并非所有Acti
veX程序都是恶意的,用户有了这种警告并不能判断哪些有病毒,
哪些没有,只是有机会考虑一下是否要冒这个风险。
最后我们建议您不要去访问那些“地下”站点,因为它们最
有可能给你带来麻烦。
-- 欢迎光临“病毒观察” http://bd.yeah.net
“聊毒斋” http://ldz.126.com
http://liaoduzhai.163.net
Email: [email protected]
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.144.222]
|
|