迅雷是目前常用的下载软件,分为Web迅雷和普通迅雷两种,其中的Web迅雷用的人非常多。最近Web迅雷被曝存在一个巨大的0DAY漏洞。利用该漏洞,病毒木马就可以在用户毫无察觉的情况下“破门而入”,破坏系统或盗取各类账户和密码。一、迅雷漏洞怎么形成的这次出现漏洞的Web迅雷,是一款基于ActiveX控件的下载工具,因为它在进行文件下载的时候使用了ThunderServer.webThunder.1 ActiveX这个控件,所以被命名为“Web迅雷ThunderServer.webThunder.1控件任意文件下载漏洞”。该控件存在巨大的安全漏洞,因为控件对调用其网页没有进行确认,因此如果用户受骗浏览了恶意站点的话,该控件中的SetBrowserWindowData、SetConfig、HideBrowserWindow、AddTask、SearchTask和OpenFile函数就会在用户不知情的情况下,被调用来下载恶意文件。如果下载的是病毒木马的话,后果就严重了。二、漏洞危害有多严重Web迅雷漏洞是一个典型的利用网页木马传播的漏洞,它是因为验证力度不够造成的,由于Web迅雷在用户中的使用面较广,因此危害性巨大。当网页木马激活Web迅雷漏洞后,就可以下载运行黑客设置的病毒木马程序,当病毒木马运行成功以后就可以接收黑客的远程控制操作,这样就能轻松获取用户的网络银行、网络游戏的账号密码,给用户造成巨大的经济损失。TW.WInGWIT.cOm小提示:Web迅雷漏洞的危害程度判断是参考了标准的高危害漏洞(腾讯QQ漏洞)和标准的中等危害漏洞(卡巴斯基漏洞)。三、漏洞是如何被利用的第一步:由于该漏洞最终的目的是下载设置的木马程序,因此我们先来配置一个Spirit木马的服务端程序。运行Spirit木马客户端后点击“文件”中的“生成服务端”命令,接着在弹出的窗口中配置连接地址、端口、注册键值、文件名称等相关信息,完成后点击“生成”按钮即可生成服务端程序。第二步:现在运行Web迅雷漏洞的利用工具“Web迅雷最新版网马生成器”,先将木马服务端程序改名为vip.exe,再上传到网页空间中的Web目录里面。接着点击生成器的“生成调用文件”按钮,从而生成网页木马所需的vips.htm文件。然后输入网页空间本身的域名,点击“生成访问文件”按钮,生成网页木马所需的vip.js和vip.htm文件(图1)。第三步:浏览器访问网页空间中的vip.htm文件,该文件就会主动调用脚本文件vip.js。接着脚本文件会成功激活Web迅雷中的漏洞,在本地系统中的启动目录中生成一个microsofts.hta文件。由于microsofts.hta文件包含了vips.htm文件的内容,因此当操作重新启动后该文件会自动运行,并且利用IE浏览器打开vips.htm文件来获取木马下载地址,最后调用Web迅雷来自动下载执行程序的代码,这样黑客就可以利用木马程序进行控制操作(图2)。四、防范方案目前新版的Web迅雷已经修补了这个漏洞,因此只需要登录到Web迅雷的官方网页(http://my.xunlei.com/setup.htm),下载最新的Web迅雷版本进行安装即可(Web迅雷1.8.4.130版之前的版本均受影响)。除此以外,由于Web迅雷漏洞是由ActiveX控件造成的,因此用户只要把浏览器安全等级设为较高的级别,就能禁止浏览器执行ActiveX控件从而避免漏洞的激活。点击IE浏览器中的“Internet 选项”选项,接着选择其中的“安全”标签并将其中所有与脚本选项有关的项目禁用(图3),这样就能达到禁止ActiveX控件下载的目的。五、预防方案由于Web迅雷漏洞的安全隐患源于非法网页对这些控件的恶意调用,所以最简单的预防方法就是对调用控件的网页进行身份验证,这就需要程序员在编写程序的时候加强这方面的认知程度。另外就个人用户本身而言,除了使用杀毒软件防范网页木马以外,还可以利用一款名为《IE卫士》的小插件。插件安装完成后当我们通过IE浏览器访问Web迅雷漏洞的网页木马后,很快《IE卫士》就弹出一个提示窗口(图4),告知用户“浏览器试图创建进程,这是网页木马的典型行为,如果你感到意外,敬请拦截!”同时会在程序路径选项中显示可疑程序的路径。现在点击“拦截(推荐)”按钮,就可以成功阻止该网页木马的进一步操作。瑞星卡卡也有类似的功能,大家可以根据自己的实际情况加以选择。攻防博弈攻黑客:虽然Web迅雷漏洞现在可以被防范防了,但这并不表示我们的网页木马就无用武之地了。不知道大家有没有注意到,文中所用的网页木马会首先创建一个microsofts.hta文件,我们只要想办法将该文件渗透到网民的电脑内,就可以让远程系统自动下载木马程序,有无漏洞都无所谓。渗透方法有很多种,例如用现在流行的移动设备进行病毒木马传播,只要把移动设备插到系统主机上,就可以利用系统的自动播放功能运行该文件。防编辑:Web迅雷漏洞虽然已经被补上了,但黑客对它的“关爱”不会减少,我们一定要禁止浏览器下载ActiveX控件,预防后续漏洞出现。另外,针对其他黑客利用移动设备来传播网页木马,我们只需要通过策略组或其他工具关闭自动播放功能,例如运行USBKill后选中“禁止所有存储设备自动播放”选项即可。这样当移动设备插入系统后就不会读取里面的网页木马内容,从而有效地防止网页木马的运行操作。