網頁掛馬是一種目前很流行的惡意程式入侵方式,簡而言之,就是當使用者瀏覽特定網站時,遇到有惡意程式內嵌在網頁上的情況,而這樣將會對瀏覽該網頁的電腦產生何種影響?它們的目的是什麼?該怎麼預防?
防毒軟體盛行全球的今天,各式各樣的病毒仍然在網路上橫行,形式也變得愈來愈多樣化,病毒隱蔽自身的能力大大提高。其中,網頁惡意程式、網頁木馬就屬此類危害範圍最廣泛的新型威脅。相同的,網頁惡意程式、木馬的傳播效果也是最佳的。
什麼是網頁惡意程式?
網頁惡意程式是利用網頁來破壞的惡意程式碼,它存在於網頁之中,是使用Script語言編輯的惡意碼,利用IE、FireFox或其它瀏覽器的漏洞來植入惡意程式或木馬。當使用者瀏覽至含有網頁惡意程式網站的同時,惡意程式已悄悄植入使用者的電腦中,駭客可以利用受害者系統的資源發動攻擊加以破壞,或盜取個人機密資料等。
感染後可能會發生下列的情形:修改使用者電腦的設定(例如登錄機碼值),或變更使用戶的瀏覽器首頁、瀏覽器設定等,也有可能會關閉某些系統功能、刪除防毒軟體、植入木馬,偷取使用者個人信用卡、帳號密碼、瀏覽網頁歷史資料等。因為網頁惡意程式撰寫容易,並且有駭客專門提供工具便於修改惡意程式碼的內容,使得使用者防不勝防。
目前的網頁惡意程式多是利用JavaScript、ActiveX在使用者電腦端上執行。問題發生的原因,大都來自IE 的本身或其它瀏覽器的漏洞。
竄改的兩大目標
這種非法、惡意的程式能夠得以被自動執行,在於它完全不受用戶的控制。你一旦瀏覽含有該病毒的網頁,即可以在你不知不覺的情況下馬上中招,為用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞,苦不堪言,甚至損失慘重到無法彌補。
根據目前網路上流行的常見網頁惡意程式行為特徵,網頁惡意程式的種類大致歸納為以下兩大種類:
一、透過Java Script、Applet、ActiveX編輯的腳本程式,修改IE瀏覽器:
.預設首頁被修改
.預設的微軟更新首頁被修改
.首頁設定被鎖定,且設定選項無法變更
.預設的IE搜索引擎已被修改過
.IE標題欄位被新增其他來路不明欄位資訊
.滑鼠右鍵功能表被新增來路不明網站廣告鏈結
.滑鼠右鍵彈出功能表功能被禁止使用
.IE書籤被強迫新增來路不明網站的位址鏈結
.在IE工具欄出現來路不明的工具按鈕
.會不定時的彈出廣告視窗
二、透過Java Script、Applet、ActiveX編輯的腳本程式修改用戶作業系統:
.開機後出現不知名的對話方塊
.系統正常啟動後,但IE被鎖定開啟自動連結到不知名網站
.格式化硬碟
.未經授權竊取使用者個人機密資料
.鎖定並禁止變更登錄檔
.使用者電腦上出現一些來路不明的檔案
.使用者電腦的CPU使用率一直是在100%,居高不下
你可能會很好奇什麼樣的網站伺服器容易被植入木馬?
最常見的成因就是弱點或管理不當。對於具有下列問題的網站,你應特別提高警覺:
.不當的設定與管理,網頁伺服器具有已知安全弱點
.不安全的預設網站路徑與記錄檔檔案配置
.未更改預設的管理者密碼
.不當設定讓使用者能存取任何網頁目錄
.過於寬鬆的網頁權限設定
.沒有刪除不必要的網站或虛擬目錄
.網頁應用程式設計錯誤
.具有SQL注入(SQL Injection)或跨站腳本程式(XSS)問題
基本預防方法
要避免被網頁惡意代碼感染,首先是不要輕易去一些自己並不十分熟悉的網站,尤其是一些表面看起來非常美麗誘人的網址更是不要輕易點選進入,否則不經意間往往就會誤中網頁惡意程式。由於這類型網頁內含惡意程式的ActiveX語法,因此在IE設定中須將ActiveX元件和控制項、Java腳本等全部禁止,就可以減低中木馬的機率。
你可透過以下方法加以預防:
.提高IE的安全性設定,停用Script和ActiveX元件下載
.在IE視窗中點擊工具下的Internet選項,在出現的視窗方塊中點選「安全性」標籤,再點選「自定層級」選項,就會出現「安全性設定」選頁對話方塊,把所有關於ActiveX控制項、外掛和以及Java相關的設定,全部選擇「停用」或「提示」。不過,這麼做可能會造成一些原本正常使用 ActiveX的網站無法瀏覽。
.升級IE的版本至最新版本並裝上所有的修補程式,可以減少誤中木馬的情形發生。
.安裝防毒軟體。防毒軟體一般會監控那些自行開啟的網頁。
.請記得時時更新防毒軟體病毒碼,他們能及時阻擋木馬或將電腦內的病毒刪除。並定期掃描、檢查本機上所有磁碟機。
.定期瀏覽並注意惡意掛馬網站公告:例如到StopBadware網站上查詢。
.不隨意瀏覽不知名的網站
.考慮使用IE以外的瀏覽器,例如FireFox。請注意:目前所有瀏覽器都有安全性上的問題,所以並沒有絕對安全的瀏覽器。
.建立網站黑名單,杜絕來路不明的網站。
.使用ProcessExplorer、Autoruns等程式,檢視重要電腦的開機執行狀態。
惡意掛馬檢測網站
筆者想特別提供一個惡意掛馬檢網站,你只要輸入可能植入木馬的網站,即可檢測出是否該網站是否有被掛馬。這個網站叫做SCOUT(Speedy Complete Online URL Test)
http://www.client-honeynet.org/cwebservice.php
哇~~上不去了:(
無法使SCOUT - Speedy Complete Online URL Test.....
連結http://www.client-honeynet.org/cwebservice.php會出現:
Unfortunately, due to lack of resources, we currently have to halt SCOUT. We hope that we can reinstitute it soon. If would like to support us in this effort, please consider making a donation.
ithelp
iThome鐵人賽
看影片追技術