迅雷是目前常用的下載軟體,分為Web迅雷和普通迅雷兩種,其中的Web迅雷用的人非常多。最近Web迅雷被曝存在一個巨大的0DAY漏洞。利用該漏洞,病毒木馬就可以在用戶毫無察覺的情況下“破門而入”,破壞系統或盜取各類帳戶和密碼。
一、迅雷漏洞怎麼形成的
這次出現漏洞的Web迅雷,是一款基於ActiveX控件的下載工具,因為它在進行檔下載的時候使用了ThunderServer.webThunder.1 ActiveX這個控件,所以被命名為“Web迅雷ThunderServer.webThunder.1控件任意檔下載漏洞”。
該控件存在巨大的安全漏洞,因為控件對調用其網頁沒有進行確認,因此如果用戶受騙流覽了惡意站點的話,該控件中的SetBrowserWindowData、SetConfig、HideBrowserWindow、AddTask、SearchTask和OpenFile函數就會在用戶不知情的情況下,被調用來下載惡意檔。如果下載的是病毒木馬的話,後果就嚴重了。
二、漏洞危害有多嚴重
Web迅雷漏洞是一個典型的利用網頁木馬傳播的漏洞,它是因為驗證力度不夠造成的,由於Web迅雷在用戶中的使用面較廣,因此危害性巨大。當網頁木馬啟動Web迅雷漏洞後,就可以下載運行駭客設置的病毒木馬程式,當病毒木馬運行成功以後就可以接收駭客的遠程控制操作,這樣就能輕鬆獲取用戶的網路銀行、網路遊戲的帳號密碼,給用戶造成巨大的經濟損失。 小提示:Web迅雷漏洞的危害程度判斷是參考了標準的高危害漏洞(騰訊QQ漏洞)和標準的中等危害漏洞(卡巴斯基漏洞)。
三、漏洞是如何被利用的
第一步:由於該漏洞最終的目的是下載設置的木馬程式,因此我們先來配置一個Spirit木馬的服務端程式。運行Spirit木馬客戶端後點擊“檔”中的“生成服務端”命令,接著在彈出的窗口中配置連接地址、端口、註冊鍵值、檔案名稱等相關資訊,完成後點擊“生成”按鈕即可生成服務端程式。
第二步:現在運行Web迅雷漏洞的利用工具“Web迅雷最新版網馬生成器”,先將木馬服務端程式改名為vip.exe,再上傳到網頁空間中的Web目錄裏面。接著點擊生成器的“生成調用檔”按鈕,從而生成網頁木馬所需的vips.htm檔。然後輸入網頁空間本身的功能變數名稱,點擊“生成訪問檔”按鈕,生成網頁木馬所需的vip.js和vip.htm檔(圖1)。
第三步:流覽器訪問網頁空間中的vip.htm檔,該檔就會主動調用腳本檔vip.js。接著腳本檔會成功啟動Web迅雷中的漏洞,在本地系統中的啟動目錄中生成一個microsofts.hta檔。
由於microsofts.hta檔包含了vips.htm檔的內容,因此當操作重新啟動後該檔會自動運行,並且利用IE流覽器打開vips.htm檔來獲取木馬下載地址,最後調用Web迅雷來自動下載執行程式的代碼,這樣駭客就可以利用木馬程式進行控制操作(圖2)。
四、防範方案
目前新版的Web迅雷已經修補了這個漏洞,因此只需要登錄到Web迅雷的官方網頁(http://my.xunlei.com/setup.htm),下載最新的Web迅雷版本進行安裝即可(Web迅雷1.8.4.130版之前的版本均受影響)。
除此以外,由於Web迅雷漏洞是由ActiveX控件造成的,因此用戶只要把流覽器安全等級設為較高的級別,就能禁止流覽器執行ActiveX控件從而避免漏洞的啟動。點擊IE流覽器中的“Internet 選項”選項,接著選擇其中的“安全”標籤並將其中所有與腳本選項有關的專案禁用(圖3),這樣就能達到禁止ActiveX控件下載的目的。五、預防方案
由於Web迅雷漏洞的安全隱患源於非法網頁對這些控件的惡意調用,所以最簡單的預防方法就是對調用控件的網頁進行身份驗證,這就需要程式員在編寫程式的時候加強這方面的認知程度。另外就個人用戶本身而言,除了使用殺毒軟體防範網頁木馬以外,還可以利用一款名為《IE衛士》的小插件。
插件安裝完成後當我們通過IE流覽器訪問Web迅雷漏洞的網頁木馬後,很快《IE衛士》就彈出一個提示窗口(圖4),告知用戶“流覽器試圖創建進程,這是網頁木馬的典型行為,如果你感到意外,敬請攔截!”同時會在程式路徑選項中顯示可疑程式的路徑。
現在點擊“攔截(推薦)”按鈕,就可以成功阻止該網頁木馬的進一步操作。瑞星卡卡也有類似的功能,大家可以根據自己的實際情況加以選擇。
攻防博弈
攻 駭客:雖然Web迅雷漏洞現在可以被防範防了,但這並不表示我們的網頁木馬就無用武之地了。不知道大家有沒有注意到,文中所用的網頁木馬會首先創建一個microsofts.hta檔,我們只要想辦法將該檔滲透到線民的電腦內,就可以讓遠程系統自動下載木馬程式,有無漏洞都無所謂。
滲透方法有很多種,例如用現在流行的移動設備進行病毒木馬傳播,只要把移動設備插到系統主機上,就可以利用系統的自動播放功能運行該檔。
防 編輯:Web迅雷漏洞雖然已經被補上了,但駭客對它的“關愛”不會減少,我們一定要禁止流覽器下載ActiveX控件,預防後續漏洞出現。
另外,針對其他駭客利用移動設備來傳播網頁木馬,我們只需要通過策略組或其他工具關閉自動播放功能,例如運行USBKill後選中“禁止所有存儲設備自動播放”選項即可。這樣當移動設備插入系統後就不會讀取裏面的網頁木馬內容,從而有效地防止網頁木馬的運行操作。 |
