您所在的位置:首頁 >> 電腦安全 >> 安全資訊 >>
文字大小:

惡意軟件玩潛伏 利用Windows WMI入侵

/ 2010-09-15 安全在線

WMI讓使用者可進入及取得相關操作系統的信息。對特別是在企業環境中的管理員們來說相當有幫助,因其管理在系統中所發現的,使用任何一種程序代碼語言與網絡聯結的應用程序。它可被視為是一個包含了系統所安裝操作系統及使用者信息的數據庫。

WMI是一項核心的Windows管理技術,WMI作為一種規范和基礎結構,通過它可以訪問、配置、管理和監視幾乎所有的Windows資源,比如用戶可以在遠程計算機器上啟動一個進程;設定一個在特定日期和時間運行的進程;遠程啟動計算機;獲得本地或遠程計算機的已安裝程序列表;查詢本地或遠程計算機的Windows事件日志等等。

從WMI本來的功能看,它是為了讓計算機的管理更容易,同時方便管理員遠程操作系統而產生的,那么它又怎么會為入侵者提供方便呢?

由于WMI儲存大量的數據,網絡犯罪份子認定其為惡意創作的最佳目標。舉例來說,他們會在服務中置入特別的pragma以感染系統來進行惡意的命令如:

·置入只能被該特定服務接觸的敏感數據

·提高惡意使用者的系統特權,暗中監視及探測受感染的系統,和其它連結在相同網絡上的其它系統

·將惡意程序嵌入目標服務中

在這個特定的攻擊中,WMI程序TROJ_WMIGHOST.A和DLL惡意軟件BKDR_HTTBOT.EA一并被置入系統中。惡意程序展開兩個因特網瀏覽器窗口。第一個窗口讓 BKDR_HTTBOT.E利用ActiveX內容來執行;第二個窗口讓后門將Office檔案程序(如Word、PowerPoint或Excel)張貼到遠程網站,并從一個GhostIP處執行其它惡意程序。這些后門路徑皆會讓使用者陷入丟失相關數據的風險。

不過這并不是WMI第一次被以惡意的目的濫用。在"Kiwicon 2008",有位安全顧問介紹了"The Moth",一款利用服務來布署具備進行以下程序的惡意程序代碼的概念驗證型(proof-of-concept,簡稱POC)Trojan木馬:

·在主機系統或可移動式裝置中,產生及執行其它可能帶惡意的檔案程序

·藏匿惡意程序代碼

·在被發現及移除后,重新啟動已存在的rootkit

好消息是,使用者無需擔心成為此攻擊的受害者,目前網上已經有相關清除工具,一些防病毒軟件的最新版本也能有效防護、清除此類威脅。

【重要聲明】:電腦無憂網刊載此文僅為提供更多信息目的,并不代表電腦無憂網同意文章的說法或描述,也不構成任何建議,對本文有任何異議,請聯系我們。
熱點內容
推薦內容
相關內容
?
南粤26选5走势图