如何判断电脑是否被别人远程控制
大家可能都深知病毒的危害,也对病毒的编写者感到愤狠。是这些病毒和它们的编写者给自己的工作、学习和生活带来了重大损失。但是现在在互联网上,一些软件和操作系统自身的漏洞就可能导致别人对你电脑的攻击,而不需编写任何病毒。比如使用微软Internet Explorer 5.5 和6.x的用户就非常容易受到别人利用浏览器中的漏洞来入侵你的电脑的攻击。而且它们的攻击行为所造成的后果是非常严重的。
它们可以远程控制你的系统、取得最高权限、任意读写删除你的文件。而迄今为止,软件商还没有提供相关的修复补丁。尽管微软已经承诺在Internet Explorer 7.0中彻底解决这种威胁。
重新审视IE下Java脚本弹出窗口的攻击性
大家都知道中了木马会让别人远程控制你的电脑,除此之外似乎就没有多少东西有这么大的破坏力了。但是与大家所知道的相反,使用微软的Internet Explorer浏览网页时,通过Java脚本弹出窗口攻击你电脑的恶意软件能让你的机器非常容易就被别人远程控制,然后在你机器上执行破坏性的代码,进而取得你的系统上底层用户的高级权限,全面控制你系统的读写存取。这决不是耸人听闻!
攻击手段和行为特征
根据种种证据表明,这些Java脚本窗口是利用IE自身的漏洞来进行攻击的。最初的攻击是利用了Java脚本上的“Window()”功能。当该脚本使用了一个<BODY onload>的关联事件时就会受到此类攻击。正因为如此,Internet Explorer在访问一个废弃的32位的位于ECX地址时会发生意外错误,特别是有“CALL DWORD [ECX+8]”命令行时,问题更严重。
由于有了这个bug,ECX就会任意地将其随网页源代码的Unicode命令行的“OBJECT”指令一起执行,或者以特定的0x006F005B代码执行。当0x006F005B偏移量所指向一个有问题(或不存在)的内存地址时,Internet Explorer的进程会停止响应,这台机器上的用户就会发现这个程序崩溃(这也就是拒绝服务攻击)。
所以即使这个bug没有侵入注册表内部进行控制,或者指向一个我们无法控制的偏移量,原有的低风险等级的安全警报就完全不会认为这个代码会进行远程控制并造成危害。从而在你完全没有意识的状态下,对你进行了入侵攻击。这听起来实在是个很可怕的事情。
据此漏洞攻击用户的恶意软件的特征
如果我们仔细观察这个漏洞所造成的攻击,实际上我们可以看到这个指令会在内存地址0x***********中解除这个正常指令的偏移量,在这方面它跟正常的常驻内存并在桌面弹开窗口的程序的行为特征和效果一样。
这些恶意代码的长度和内容都如病毒一样随时变异,但是万变不离其宗的是它们都会把自己伪装成正常弹出窗口或者按钮,或者伪装成文件/编辑/查看菜单栏目等特定的Windows正常行为。
因此,这些攻击就会利用Windows自身来修改内存中的0x006F005B偏移量,比如circa 12这个新的web浏览行为就会增加偏移量0x***********到0x006F005B。
如果出现了上述情况,就很难判断一个常规的指令是否通过Windows的正常运行原理被插入了恶意代码,并用来执行与[0x006F005B]相悖的指令。
我们以多个测试手段证实,在正常条件下,程序是可以在扩展内存地址段中打开多个关联窗口的,但一些第三方的执行代码却会更改这些窗口属性以进行恶意控制。
不幸的是,所有的测试都验证了一个与上述漏洞相矛盾的最主要的问题。
假定一个有可能受到攻击的用户的桌面异常整洁,没有打开任何应用程序,也没有打开有任何上述行为特征的动用窗口原理并对内容长度有限制的应用程序,但是还是有遭受攻击的细微可能性。比如用一个独特的手法——通过JavaScript的提示窗口来入侵你的机器。
通过使用一个简单的手法来调用多个大型JavaScript事件行为的提示窗口,通过在0x*********** - 0x006F005B ++ 之间缓存溢出来非常轻松地远程控制你的系统并执行恶意代码。
此漏洞暂时的解决方法
在补丁发布以前,我们建议大家还是先禁用不信任站点的active脚本。
最开始拒绝服务攻击引起大家广泛关注时,很多软件商就拒绝承认这一软件漏洞,并且没有及时发布修复的补丁,甚至到微软Internet Explorer 5.5和6.x 的用户被攻击后的很长一段时间内都没有发布补丁。所以大家在访问或不小心点击到陌生可疑的站点时,一定不要点击上面的任何按钮和方框。即便它们弹出一个窗口,警告你的机器已经中毒,要你点击确定在线杀毒,你也一定不要轻信它而点击确认。请马上关闭窗口。而且现在一些狡猾可恶的网页点击右上角的红“×”进行关闭都有可能中毒,最好的办法是按下“Ctrl-Alt-Delete”在Windows任务管理器的应用程序列表里面中止这个浏览行为的进程,这可能是目前最保险的方法了。
PCWORLD中国网独家稿件,转载请联系 editor#pcworld.com.cn(请将#改成@)
参考资料:http://www.pcworld.com.cn/how_to_use/1/2006/0112/3382.shtml
