文 /江國輝
防毒軟體盛行全球的今天,各式各樣的病毒仍然在網路上橫行,其形式也變得愈來愈多樣化,病毒隱蔽自身的能力大大提高。其中,網頁惡意程式、網頁木馬就屬此類危害範圍最廣泛的新型威脅。相同的,網頁惡意程式、木馬的傳播效果也是最佳的。以下是針對這類型新病毒的傳播方式來加以討論:
什麼是網頁惡意程式?
網頁惡意程式是利用網頁來進行破壞的惡意程式碼,它存在於網頁之中,是使用script語言編輯的惡意碼,利用IE、FireFox或其它瀏覽器的漏洞來進行惡意程式或木馬的植入。當使用者瀏覽至含有網頁惡意程式網站的同時,惡意程式已悄悄植入使用者的電腦中,駭客可以利用受害者系統的資源進行破壞,或盜取個人機密資料等。感染後可能會發生下列的情形:修改使用者電腦的設定(例如登錄機碼值),或變更使用戶的瀏覽器首頁、瀏覽器設定等,也有可能會關閉某些系統功能、刪除防毒軟體、植入木馬,偷取使用者個人信用卡、帳號密碼、瀏覽網頁歷史資料等。因為網頁惡意程式撰寫容易,並且有駭客專門提供工具來修改惡意程式碼的內容,使得使用者防不勝防。
目前的網頁惡意程式多是利用JavaScript、ActiveX在使用者電腦端上執行。問題發生的原因大都來自於IE 的本身或其它瀏覽器的漏洞。
網頁惡意程式的性質及特點:
這種非法惡意程式能夠得以被自動執行,在於它完全不受用戶的控制。你一旦瀏覽含有該病毒的網頁,即可以在你不知不覺的情況下馬上中招,給用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞,苦不堪言,甚至損失慘重到無法彌補。網頁惡意程式的種類根據目前網路上流行的常見網頁惡意程式行為特徵,大致歸納為以下兩大種類:
一、透過Java Script、Applet、ActiveX編輯的腳本程式修改IE瀏覽器:
1.預設首頁被修改;
2.預設的微軟更新首頁被修改;
3.首頁設定被鎖定,且設定選項無法變更;
4.預設的IE搜索引擎已被修改過;
5.IE標題欄位被新增其他來路不明欄位資訊
6.滑鼠右鍵功能表被新增來路不明網站廣告鏈結;
7.滑鼠右鍵彈出功能表功能被禁止使用;
8.IE書籤被強迫新增來路不明網站的位址鏈結;
9.在IE工具欄出現來路不明的工具按鈕;
10.會不定時的彈出廣告視窗;
二、透過Java Script、Applet、ActiveX編輯的腳本程式修改用戶作業系統:
1.開機後出現不知名的對話方塊;
2.系統正常啟動後,但IE被鎖定開啟自動連結到不知名網站;
3.格式化硬碟
4.未經授權竊取使用者個人機密資料;
5.鎖定並禁止變更登錄檔;
6.使用者電腦上出現一些來路不明的檔案;
7.使用者電腦的CPU使用率一直是在100%;
網頁惡意掛馬的原因:
什麼樣的網站伺服器容易被植入木馬。最常見的成因就是弱點或管理不當。用戶端對於具有下列問題的網站應特別提高警覺:
1.不當的設定與管理,網頁伺服器具有已知安全弱點
2.不安全的預設網站路徑與記錄檔檔案配置
3.沒有更改預設的管理者密碼
4.不當設定讓使用者能存取任何網頁目錄
5.過於寬鬆的網頁權限設定
6.沒有刪除不必要之網站或虛擬目錄
7.網頁應用程式設計錯誤
8.具有SQL注入(SQL Injection)或跨站腳本程式 (XSS) 問題
網頁掛馬的手法:
網頁木馬通常以下列方式感染使用者端:
1. 網站被瀏覽時加掛一個網頁(跳出縮小的小視窗)
2. 網站被瀏覽時加掛一個隱藏框架
3. 網站被瀏覽時加入(傳入)圖片木馬
4. 信箱收到HTML格式的網頁木馬
5. 利用ASP網站的引用檔案功能引入木馬
6. 利用網站的 JavaScript 程式掛入木馬
7. 利用系統弱點或程式植入木馬
最常見的語法範例:
<iframe src=http://www.misofthelp.com/help/help.htm width=0 height=0 frameborder=0></iframe>
網頁惡意程式、網頁木馬的基本預防方法
要避免被網頁惡意代碼感染,首先是不要輕易去一些自己並不十分熟悉的網站,尤其是一些表面看起來非常美麗誘人的網址更是不要輕易點選進入,否則不經意間往往就會誤中網頁惡意程式。由於這類型網頁內含惡意程式的ActiveX語法,因此在IE設定中須將ActiveX元件和控制項、Java腳本等全部禁止,就可以減低中木馬的機率。預防方式簡述如下:
1.提高IE的安全性設定,停用Script和ActiveX元件下載
在IE視窗中點擊【工具】→【Internet選項】,在出現的視窗方塊中點選【安全性】標籤(如圖一),再點選【自定層級】選項就會出現【安全性設定】選頁對話方塊,把其中所有關於ActiveX控制項與插件和以及Java相關全部選擇【停用】或【提示】。不過,這樣做在以後瀏覽網頁的過程中,可能會造成一些正常使用 ActiveX的網站無法瀏覽。
2.升級IE的版本至最新版本並裝上所有的修補程式,可以減少誤中木馬的情形發生。
3. 安裝防毒軟體,防毒軟體一般會對自行開啟的網頁進行監控。
4.請時時更新防毒軟體病毒碼,他們能及時的阻擋木馬或將電腦內的病毒刪除。並定期針對本機上所有磁碟機進行掃描檢查。
5.定期瀏覽並注意惡意掛馬網站公告:
Stopbadware
http://www.stopbadware.org/home/reportsearch
•艾克索夫實驗室
http://x-solve.com/blog/
大砲開講
http://rogerspeaking.blogspot.com/
6.不隨意瀏覽不知名的網站
7.考慮使用IE以外的瀏覽器,例如FireFox,但請注意目前所有瀏覽器都有安全性上的問題,所以沒有絕對安全的瀏覽器。
8.建立網站黑名單以杜絕來路不明的網站。
9.使用ProcessExplorer、Autoruns等程式檢視重要機器開機執行狀態,
惡意掛馬檢測網站
提供一個惡意掛馬檢網站,植入木馬的網站輸入即可檢測出是否該網站是否有被掛馬。
SCOUT - Speedy Complete Online URL
https://www.client-honeynet.org/cwebservice.php
參考資料:
http://x-solve.com/blog/
http://rogerspeaking.blogspot.com/
http://www.stopbadware.org/home/reportsearch
https://www.client-honeynet.org/