木马防不胜防,近一段时间,swf和wma等文件成为承载木马的新宠。
近期,据用户反应,在许多论坛里打开swf或者wma文件,都有被杀毒软件检测到中毒的情况,表现为文件跳转,或者出现不明文件。
按照用户提供的情况,发现出现这一问题的大都是PHP类型的论坛,而占据PHP论坛绝大市场份额的Discuz!程序,成为此次木马泛滥的重灾区。
Discuz!、PHPwind等PHP论坛程序,都提供了一些功能丰富的插件应用,比如支持SWF 、WMA 、WMV文件等。使用这些插件是为了功能的丰富,但是有些人利用这一方便开始在这些文件里添加各类弹窗,甚至是一些木马文件。
swf文件小巧方便,相关内容也丰富多样,许多PHP论坛都开通了对此类文件类型的上传权限,不想却成为了恶意插件甚至是木马病毒的寄生源。
据笔者了解,这类木马主要是利用了swf等文件的网址跳转功能。就是在网页中显示或本地直接播放Flash动画文件时,Flash文件往往会自动打开一个网址,而该网址就是被预先制作好的一个木马网页。大部分的论坛中都可以发布附带Flash文件的帖子,利用论坛发帖,攻击者可以快速获得大量的肉鸡。以Discuz!论坛为例,在发帖时,点击编辑窗口上方的“插入视频文件”按钮,设置Flash窗口大小,使用默认设置就可以输入Flash的URL地址。或者通过附件直接上传含有木马的此类文件。不同的论坛代码表示尽管不一样,但实现的效果都是相同的。
普通文件植入木马不能够有效防范,许多论坛站长拷问Discuz!等程序的安全性能。
某地方社区站长近期因为该漏洞而被用户质问,频频受到木马侵扰。该站长向笔者大吐苦水,一些版块主要就是休闲娱乐的,因此不能够把上传文件功能关闭,但是随之而来的木马问题让他很无奈。
几天前,这位站长才把Discuz!的程序升级到7.0版本,还没有好好感受新版本带来的喜悦,这下子又受到木马的骚扰。
这位站长表示,论坛有这样那样的漏洞bug很正常,自己也是一直修修补补过来的,只是这一次危害直接危害的是广大用户,他感到很无奈。让他担心的是,对于如此明显的漏洞,程序开发商并没有及时修补,在他发帖求助后也没有得到相关答复。
“Discuz也算是主流程序了,怎么这么让人不放心?”对于discuz出现如此漏洞,该站长迷惑不解。
笔者就木马防范问题咨询了专业人士。技术人员表示,如果确实是程序方面的漏洞,彻底地解决问题只有等待程序开发商发布漏洞,进行补丁的修复了。作为用户,除了尽量不要打开这些类型的文件外,最简易的方法就是开启屏蔽弹出窗口的功能。
“不过,真正厉害的木马不是外部显化的,这种简单的预防并不能做到万全之策。”技术人员也很无奈。
笔者电话采访了几家主流PHP类程序商,程序商纷纷表示,正在积极寻找解决方案,相信在不久的将来会得到很好的解决。据悉,这也是Discuz近30天来,发生的第二次严重漏洞,上一次为WAP。中国站长站将持续关注事态发展,给大家带来最新的报道。
