精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>★黑客木马★>>[转寄] Evil,第一个利用ActiveX的特洛伊

主题:[转寄] Evil,第一个利用ActiveX的特洛伊
发信人: emil()
整理人: (1999-10-16 20:47:13), 站内信件
Evil,第一个利用ActiveX的特洛伊马
王朝栋
  Evil,第一个基于ActiveX开发的特洛伊马刚刚被发现,
这种新病毒开创了一个全新领域,使得通过互联网传播的病毒
不再只有附件一个途径来实施攻击。  那么这种特洛伊马是
如何来进行攻击的呢?
  第一个途径是用户访问有这种病毒的网页,如果一旦下载
了网页,ActiveX应用程序就会被执行,接着特洛伊马将被安
装入你的系统中。第二个途径是通过电子邮件,现在很多电子
杂志都用HTML语言编写,所以你只要打开这类邮件或甚至只要
接到这类邮件(如果你把Email接收软件的自动预览功能打开
的话),恶意的ActiveX应用程序就会被执行。
  这种特洛伊马会有什么破坏作用呢?这决定于它内部所设
定的要下载和执行的应用程序。当特洛伊马被安装后,它会在
用户不知情的情况下,按照事先设定到互联网上下载指定的应
用程序。这种程序可以是另外一个特洛伊马,能使远程攻击者
完全控制用户的计算机,也可以是像CIH这种破坏性极强的病
毒或是像美丽莎这种传播能力另人无法想象的蠕虫。
  个性化这种病毒十分容易,只要更改一行代码就可以。由
于真正造成破坏的程序是由病毒从网上自动下载的,所以说用
户可能面对任何恶意病毒的袭击。从已经得到的样本来看,特
洛伊马试图从一个非常有名的网站的FTP服务器下载一个叫
trojan.exe的程序。而这个“trojan.exe”可轻易的被一个
其它的病毒,蠕虫或是特洛伊马所取代。简而言之,这种病毒
的潜在破坏效果由于其内部设定的代码不同而相异。
  那它的行为又是如何呢?
  病毒由恶意的ActiveX代码编写而成,加入网页后,如被
用户下载,就会在Windows(英文版)的启动目录里建立一个
文件。在WIN95/98是\windows\Start Menu\Programs\StartUp
\windows95.hta,在NT是C:\WINNT\Profiles\Default User
\Start Menu \Programs\Startup\windowsNT.hta。这个文
件里有一系列的命令会在计算机重新启动后执行。
  Evil的代码还会修改注册表,为了起用共享文件和打印机
的选择项,由于字符串太长,这个目的没有达到,但是在用户
不知道的情况下,一个隐蔽的FTP连接还是会被建立以自动下载
所指定的应用程序,程序下载完毕就会被病毒执行。这种恶意
的ActiveX代码只在WIN95/98/NT平台下的IE5中起作用。
  那么如何保护计算机以免遭这种病毒的侵害呢?
  最佳选择就是安装一个反病毒软件,并不断升级。针对Evil,
反病毒软件可以提供双重保护,首先直接查出恶意的ActiveX程
序,其次,这种病毒比较特殊,可以随意改变代码,给直接探察
带来了困难,但由于破坏主要来源于病毒自动从网上下载的程序,
所以查出这些下载的病毒程序也能保护系统安全。举例来说,如
果这个特洛伊马成功的把自己安装到了系统中,但在一个可靠的
反病毒软件的保护下,任何其自动下载的病毒程序都会被查出,
像CIH。如此,我们就能把风险降到最低。
  针对这个安全漏洞,微软已经发布了一个新的补丁程序,它
会在用户访问有ActiveX的网页时发出警告,但是并非所有Acti
veX程序都是恶意的,用户有了这种警告并不能判断哪些有病毒,
哪些没有,只是有机会考虑一下是否要冒这个风险。
  最后我们建议您不要去访问那些“地下”站点,因为它们最
有可能给你带来麻烦。 

--
欢迎光临“病毒观察” http://bd.yeah.net
        “聊毒斋”   http://ldz.126.com
                    http://liaoduzhai.163.net
Email: [email protected]

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.144.222]

[关闭][返回]