msgbox("你的计算机好危险哦") 说明:在此可以加上任意的VBS的代码
--1
将该程序编辑存为eml格式的文件,我们运行它,可以看到屏幕上打开一个窗体,显示“你的计算机好危险哦”。对于这种利用错误的MIME头漏调用VBS文件的形式,会有多大危害呢?想一想,当初的爱虫病毒是怎么样的?爱虫病毒还需要骗你执行它才使你中毒,但一旦和错误MIME头漏洞结合起来,就根本不需要你执行了,只要你收了这封信且阅读它,你就中招了。
不仅如此,MIME还可以与command、cmd命令相结合,进行进一步的攻击。
对于WIN9X用户来说,只要你的IE浏览器是5.0、5.01、5.5之中的任意一个版本,在没打补丁的情况下,攻击者完全可以利用欺骗的方式让你打开含有攻击命令的、带有错误MIME头的E-mail文件,达到攻击的目的。事实上,format、deletetree、move等一切MS-DOS下的命令均可加载在其中。
而对于WINNT、WIN2K用户,尤其是那些不安分守己且网络安全知识贫乏的系统管理员,利用公司的主服务器上网,攻击者可以给他发封信,然后利用在以上所示代码中加上诸如:
net user test 1234567/add
net localgroup administrators test/add
这样的命令增加用户或者超级用户权限,达到进一步入侵的目的。
现在,再回过头来看看我所中的木马是怎么回事。其实,wincfg.exe这个文件在这里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的的类型定义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞会将附件认为是音频文件自动尝试打开,结果导致邮件文件a.eml中的附件wincfg.exe被执行。在win2000下,即使是用鼠标点击下载下来的a.eml,或是拷贝粘贴该文件,都会导致a.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如今,利用微软“创造”的这个大漏洞来进行攻击,是那么的简单、多么的容易啊!唯一的条件就是被攻击目标使用IE5.0、5.01、5.5这些浏览器中的一种,使用IE浏览器的用户到底有多少呢?看看你身边的朋友就知道答案了!
