空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

用SSM堵住网页恶意下载漏洞

上一篇 / 下一篇 2008-09-04 07:10:53

一、引言
    常言道：常在河边走，哪有不湿鞋？大家常有的一个很恼火的事就是正常浏览网页的时候，两天下来，不知不觉，浏览器已经被装了N多的插件，机器也中了很多的木马或者其它恶意程序。杀毒软件也装了很多，卡巴，诺顿，金山，瑞星……所以那个时候你就会奇怪，这些杀毒软件干嘛去了？占了那么多资源……
    尤其是经常喜欢在网上四处乱逛的朋友，感受应该更深了。这个主要是IE浏览器的漏洞太多，今天是JPG图片漏洞，明天是XML解析漏洞，后天又是解析漏洞，需要不停的升级，然后总有跟不上的时候，杀毒软件也只能防住其中的一部分。这个时候怎么办呢？答案就是SSM。
二、牛刀小试过程
今天QQ上一个人群发了两个地址过来（还是以前向我请教过问题，晕。。。不能拿这种方式来报答我吧？），一看就是论坛注册的，是不怀好意的。当然，艺高人胆大，一向不会怕这些东西的。看了一眼，SSM开着呢，所以就放心大胆地点开了链接……打开一看，是个成人.网页刚刚加载完，马上SSM就跳出来报警了，说有程序执行：

dx z5bR0

:c![$x F+y0r0, 侥幸了一下，心想好在开着SSM，马上点BLOCK，然后打开那个.tmp文件，分析了一下，是一个Win32的木马程序。可能是一个比较新的，杀毒软件根本不会报的。如果没有SSM，那肯定中了招了，而且可能很久都不知道。接下来，可能就会装上一堆乱七八糟的插件、木马什么的。这个网页主要利用了一个IE浏览器的漏洞，来自动下载并执行一个程序，有时很难防范的。如果是个偷银行密码，QQ密码什么的，那可就惨了。IXPUB技术博客B#v$_H:LF I+E
三、结语
F2l Odg-P#CO0所以强烈建议：如果平时觉得SSM设置比较麻烦，上网的时候，尤其去一些不太正规的网站的时候，一定要开着SSM。发觉突然跳出来要执行一个程序，而且是在TEMP目录或者system32目录下，就马上BLOCK掉。当然，你也可以利用我前面讲过的那个Windows文件完整性工具来检查。
,RGs$K]"O*|)y0不想给这个成.人网站做宣传，所以在这里就不给出URL让大家去试验了，如果实在有好奇的，可以单独PM我。如果以后有上网的时候遇到这样的地址，可以发给我一下，在此谢过了！