国内资深黑客详谈网页木马（1）

当今网络，反病毒软件日益增多，使用的反病毒技术越来越先进，查杀病毒的能力逐渐提高，但病毒制作者并不会罢休，反查杀手段不断升级，新的病毒层出不穷，形式也越来越多样化，为了躲避查杀，病毒自身的隐蔽性越来越高，针对反病毒软件对传统的病毒传播途径的监控能力提高，造成病毒传播困难的问题，越来越多的病毒，利用多数反病毒软件产品对恶意脚本监控能力的缺陷，开始利用网页木马这一危害面最广泛，传播效果最佳的方式来传播。

　　一 、什么是网页木马

　　网页木马是利用网页来进行破坏的病毒，它包含在恶意网页之中，使用脚本语言编写恶意代码，依靠系统的漏洞，如IE浏览器存在的漏洞来实现病毒的传播。当用户登陆了包含网页病毒的恶意网站时，网页木马便被激活，受影响的系统一旦感染网页病毒，就会遭到破坏，轻则浏览器首页被修改，标题改变，系统自动弹出广告，重则被装上木马，感染病毒，使用户无法进行正常的使用。甚至会引起系统崩溃，敏感信息丢失等严重后果。由于脚本语言易于掌握，所以网页木马非常容易编写和修改，造成很难提取特征值，增加了杀毒软件查杀以及用户预防的困难。

　　目前的网页木马都是利用脚本语言、ActiveX、WSH等来实现对客户端计算机的远程操作，如改写注册表，添加、删除、更改文件夹等操作。网页病毒可以以此来达到传播的目的。

　　1.利用WSH(Windows Scripting Host Object Reference)等系统控件

　　WSH，是“Windows Scripting Host”的简称，可以直译为“Windows 脚本宿主”。在Windows系统中会默认安装，它是内嵌于 Windows 操作系统中的脚本语言工作环境。

　　Windows Scripting Host 这个概念最早出现于 Windows 98 操作系统。微软在研发 Windows 98 时，为了实现多类脚本文件在 Windows 界面或 Dos 命令提示符下的直接运行，就在系统内植入了一个基于 32 位 Windows 平台、并独立于语言的脚本运行环境，并将其命名为“Windows Scripting Host”。WSH 架构于 ActiveX 之上，通过充当 ActiveX 的脚本引擎控制器，WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。

　　WSH也有它的不足之处，任何事物都有两面性，WSH 也不例外。WSH 的优点在于它使用户可以充分利用脚本来实现计算机工作的自动化;但也正是它的这一特点，使系统存在了安全隐患。计算机病毒制造者用脚本语言来编制病毒，并利用 WSH 的支持功能，让这些隐藏着病毒的脚本在网络中广为传播。借助WSH的缺陷，通过JAVAScript，VBScript，ActiveX等网页脚本语言，可以改动受影响系统的注册表，利用服务器端脚本程序如：ASP，PHP等来记录访问网页者的相关信息，浏览之后，系统目录被完全共享;IP地址、访问时间、操作系统名称会被网页木马所记录，造成敏感信息的泄露。

　　2.Microsoft Internet Explorer等浏览器存在漏洞

　　3.脚本语言

　　用JAVA编制的脚本语言主要是Java Applet和Java Script。Applet是Java编写的小应用程序，不能独立运行，需要嵌入HTML文件,遵循标准，在支持Java的浏览器(如Microsoft Internet Explorer) 上运行，是Java一个重要的应用分支，它改变了传统网页呆板的界面，在WWW网页(Home Page / Pages)设计中加入了动画、影像、音乐等元素。

　　JavaScript是一种基于对象(Object)和事件驱动(Event Driven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互作用。从而可以开发客户端的应用程序等。它是通过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷，它是Java与HTML折衷的选择，具有基于对象、简单、安全、动态、跨平台性等特性。

　　ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。在Applet中可以使用ActiveX技术，如直接嵌入ActiveX控制，或者以ActiveX技术为桥梁，将其它开发商提供的多种语言的程序对象集成到Java中。与Java的字节码技术相比，ActiveX提供了“代码签名”(Code Signing)技术保证其安全性。

　　造成网页病毒传播和形成的主要原因，是因为Windows操作系统以及Microsoft Internet Explorer等浏览器存在漏洞。

二、网页木马的攻击原理

　　网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马，也就是说，这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行(安装)过程就自动开始。

　　打开一个网页，IE浏览器不会自动下载程序和运行程序，这是因为，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面列举一些IE浏览器等存在的漏洞来分别说明为什么利用网页木马可以下载程序和运行程序。

　　1.下载可执行文件.

　　index里有一个代码漏洞，IE会把可执行文件误认为CSS样式表而下载到IE的临时文件目录.

　　也可以利用这段代码，把这段代码插入到网页源代码的…之间,运行后就会发现在IE的临时目录Temporary Internet Files下，已经下载了1.exe这个病毒文件。

　　2.自动运行程序

　　把这段代码插入到网页源代码的…之间，然后用IE打开该网页，这段代码可以在IE中自动打开记事本。

　　这段代码使用了shell.application控件，该控件能使网页获得执行权限，替换代码中的“Notepad.exe”(记事本)程序，就可以用它自动运行本地电脑上的任意程序。

　　通过以上的例子可以看出，利用IE的漏洞，在网页中插入相关的代码，IE完全可以自动下载和运行程序。

　　三、可能被网页木马利用的漏洞

　　1.利用URL格式漏洞

　　此类网页木马是利用URL格式漏洞来欺骗用户。构造一个看似JPG格式的文件诱惑用户下载，但事实上用户下载的却是一个EXE文件。

　　此类攻击，具有相当的隐蔽性，利用URL欺骗的方法有很多种，比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼，还有漏洞百出的“%30%50”之类的Unicode编码等等，现在列举比较常见的几种方法：

　　(1).@标志过滤用户名的解析

　　本来@标志是E-mail地址的用户名与主机的分隔符，但在URL中同样适用，而且功能如出一辙。HTTP(超文本传输协议)规定了URL的完整格式是“Http://Name：Password@IP地址或主机名”，其中的“IP地址或主机名”是必填项。@标志与其前面的“Name：Password”，意为“用户名：密码”，属于可选项。也就是说，在URL中真正起解析作用的网址是从@标志后面开始的，这就是欺骗原理。

　　比如用户访问“Http://www.sina.com@www.Trojan.com.cn/HuiGeZi_Server.exe”，从表面上看，这是新浪网提供的一个链接，用户会认为这是一个无害的链接，而点击，而实际上 “www.sina.com”只是个写成新浪网址形式的用户名(此处的密码为空)，因为后面有@标志。而真正链接的网址却是“www.Trojan.com.cn/HuiGeZi_Server.exe” 也就是说这个发来的URL地址其实完全等同于“Http://www www.Trojan.com.cn/HuiGeZi_Server.exe，而与前面的用户名毫无关系，只是迷惑性可就大大提高了。即使没有这个用户名，也完全不影响浏览器对URL的解析。