【IT168 专稿】今天和往常一样到了办公室打开电脑,运行WEB迅雷,找部最新的电影下载,使用过程中突然弹出发现病毒对话框,是iframe类型的病毒,这个问题引起了笔者的高度重视,要知道如果这个马发挥他的作用了后果不堪设想啊!讯雷的用户群极其广泛,其造成的危害也是难以估量的。
一、病毒木马难逃法眼
这类网页挂马的行为,一切的反向侦察信息都可以在网页中查找到,就拿访问的这个迅雷网页来说,我们可以发现网页中存在一个非常明显的印记“iframe”,在iframe中间可以找到引用的连接。通过分析页面上的iframe代码,其引用的网络链接都是来自于迅雷网站,在检查到最后一个引用的时候我们却没有结果,但是出现了值得怀疑的白板页面,没有显示其他任何内容。通过访问页面http://tracker.movie.xunlei.com杀毒软件开始报警。终于发现病毒的踪迹了如图一
|
发现tracker主机下的恶意程序
二、追踪恶意程序
发现恶意程序后,更进一步的查找病毒的源头,并处理这个恶意程序才是 最关键的。
下载tracker.movie.xunlei.com的默认页面,一下到硬盘上杀毒软件就把该病毒自动处理了,打开这个页面以后我们就只发现了这一段代码如图二
被查杀后的代码
为了更好的查看来源,把杀毒软件的查杀文件设置为只查杀运行程序等,不查杀TXT文件,再使用flashget下载默认页面,将文件名另存为txt类型,避免被杀毒软件查杀。用记事本打开下载下来的文件,发现恶意程序的网络地址“http://www.zpx520.com/0.htm”如图三
发现恶意程序网络地址
但是htm文件不应该有太大的杀伤力,用上一段中的方法将涉及到的页面0.htm下载下来,用记事本带开页面,发现了2个iframe的引用第一个引用还是自己本身这个页面,第二个是引用的Q主机名下的1.htm文件。应该是这个页面,还是使用刚才的方法下载1.htm文件。如图四
恶意程序的真实地址
打开1.htm文件我们看到了很多乱码,因为下载的问题,文件没有完全下载出来,所以就乱码了,但是并没有影响英文和数字代码一段的如图四
安装地址
通过下载这个程序杀毒软件告诉我们这是一个木马程序,具体类型由于对软件工程方面不是很了解也不能帮助用户们分析,有能力的朋友可以继续看看。
三、克敌制胜
既然连迅雷这样的大型网站都能被挂上木马,更别说其他的小网站,没有技术力量的网站会怎么样呢。所以对付目前日益彰显的网络安全问题,一个好的使用习惯可以帮助广大用户对抗网络时代施虐的恶意病毒。
1、安装正版的杀毒软件,保证计算机随时享受最新的安全防护,让最新发现的病毒不能对你造成太大的直接影响。
2、选择性的更新windows系统补丁,保证操作系统始终运行在一个相对较安全的环境里,可供恶意程序利用的系统漏洞在前期被阻断。
3、不访问无可靠来源的网站链接,对陌生的电子邮件不打开,不做任何回复,邮件是传播病毒的有效途径之一。
4、下载的文件进行病毒查杀,现在很多下载工具和杀毒软件进行了无缝集成,下载完毕后自动查杀病毒及恶意程序,可以帮助用户最大限度的避免被有害程序的侵扰。
5、发现恶意程序或者病毒木马,首先查找相关的解决办法,或用杀毒软件查杀,或用专杀工具专项清理,尽量将病毒带来的影响降低。
6、制作完善的系统备份,使计算机拥有灾难恢复能力,达到在第一时间恢复计算机系统,将损失降到最低,这也是服务器系统常用的技术。
束语:这里说到的方法都主要是从被动防御方面来讲解的,如何主动防御一切有害攻击对网络未来的发展有着及其重大的意义,这也是各大安全厂商研究发展的方向。文中不尽详细的地方还请大家斧正。