挂马网站后怎么解决,挂马网站拦截功能介绍
根据腾讯浏览器漏洞防御模块报告的数据,自7月以来,马航拦截的网页地址数量急剧增加。通过进一步分析发现,这些木马不仅可以在用户电脑中安装大量推广软件,甚至还会实施黑客攻击
根据腾讯浏览器漏洞防御模块报告的数据,自7月以来,马航拦截的网页地址数量急剧增加。通过进一步分析发现,这些木马不仅可以在用户电脑中安装大量推广软件,甚至还会实施黑客攻击等恶意行为,给用户电脑和账户带来风险。
利用浏览器漏洞挂马是目前互联网上最常用的攻击方式。它利用了IE等浏览器在开发过程中留下的一些缺陷,可以在用户不知情的情况下运行攻击者指定的恶意程序。由于微软在去年4月份停止了对Windows XP系统的维护,这意味着微软不会针对后期公开的漏洞发布任何安全更新,因此一些已发布的漏洞仍将长期存在于XP系统中。正因为如此,漏洞被很多黑色产业用来在未打补丁的系统中自动执行恶意程序。通过梳理腾讯电脑管家近期对马航网页的拦截数据,可以一窥该黑色产业的内幕。
0x00影响范围7月份以来,利用漏洞挂马的网站明显增多。目前每天拦截的网站超过3000个。
从用户地域分布来看,受害较多的地区是广东、山东、河南、河北、江苏等省份。
0x01挂马网站
大部分漏洞都是利用浏览器脚本来利用的,所以攻击者需要在第一步就在网页中埋伏相应的攻击脚本,然后等待用户访问网页并触发。
在网站类型上,攻击者通常会建立一些导航或色情网站,吸引用户主动访问。还有一些攻击者先在大型网站购买广告位,然后在用户浏览广告时悄悄触发。
取一天的数据,可以看到恶意网址在一天内被拦截的时间分布情况,从8点之后拦截挂马网页的数据持续稳定,在中午2点和半夜11点出现了两个顶峰:取一天的数据,我们可以看到恶意网址在一天内被拦截的时间分布。拦截马航网页的数据从8点开始就比较稳定,中午2点和午夜11点有两个峰值:
0x02后门木马
用户访问挂马网站后,VB脚本会自动执行,将恶意程序从指定位置下载到用户电脑上运行。以数量最多的特洛伊木马之一为例:
网页上的木马名称为calc.exe(类似于系统程序calc.exe),下载后保存在硬盘上的名称为putty.exe(与知名网络连接工具名称一致)。
一开始木马会通过各种方式终结电脑中的安全软件,比如taskkill、VirtualFreeEx破坏进程、镜像劫持等。
接下来,木马会释放一个驱动,该驱动会恢复atapi的IdePortDispatchDeviceControl ,IdePortDispatch两个ioctl dispatch,用于对抗网吧还原软件。然后发送srb穿透还原软件,把自身写入磁盘,达到永久驻留的目的。接下来木马会发布一个驱动,会还原atapi的IdePortDispatchDeviceControl和IdePortDispatch两个ioctl调度,用来对抗网吧还原软件。然后发送srb穿透还原软件,自己写入磁盘,达到永久驻留的目的。
同时,木马会访问一个网络地址,获取接下来要下载的木马文件,依次执行。使用网络地址的目的在于,木马作者可以随时替换其中的内容,达到不同的控制目的,实际效果等同于一个简单的后门。在分析木马的时候,该地址返回的内容如下:同时,木马会访问一个网络地址,获取下一步要下载的木马文件,依次执行。使用网址的目的是木马作者可以随时更换内容,达到不同的控制目的,实际效果相当于一个简单的后门。分析木马时,该地址返回的内容如下:
经过分析,这些链接中的木马还会继续进行黑客攻击等进一步的恶意行为。
0x03盗号木马我们在前面的链接中选择一个有特点的盗号木马进行分析。
木马启动后,首先在windows目录下释放一个名为Random Generation的可执行文件。
然后结束所有与QQ软件相关的进程,强制用户重启QQ。
然后木马进入无限循环,监控用户重启QQ。循环每隔100毫秒枚举一次当前进程。如果发现一个QQ进程,说明用户重启了QQ,那么真正的QQ进程会立即结束,取而代之的是新释放的可执行文件。
这个可执行文件的作用是利用伪装的QQ登录窗口,诱骗用户输入自己的QQ号和密码。可以看到,这个登录窗口真的很逼真,很多细节都很到位。它和真实的登录窗口基本没有区别,用户很容易被忽悠以为是真实的QQ登录窗口。
当用户输入了QQ号密码点击登陆以后,木马会悄悄把内容记录下来,以HTTP GET的方式,上传到木马作者的服务器上。如图,假设输入QQ号:111111111 密码:22222222:当用户输入QQ号密码点击登录时,木马会悄悄记录内容,并通过HTTP GET上传到木马作者的服务器。如图,假设你输入QQ号:11111111密码:222222:
可见,Windows目录下的这个可执行文件是木马最关键的恶意行为的载体。之前的手段有网页挂机、避免查杀软件、避免恢复软件、驻留等。,这一切都是为了给这个终极木马扫清道路。可见现在木马分工极其明确,各个模块各司其职。
0x04广告推广此外,还有一些从网页下载的木马来推广软件。访问这些网页后,电脑中会在短时间内出现各种各样的软件。木马作者通过安装软件并向软件作者收取推广费来获利。下图是安装该类木马一段时间后,桌面上多余的软件快捷方式,以及推广该软件的界面:
