国内资深黑客详谈网页木马（2）

(2).十进制的IP地址

　　常见的IP地址包括四个字节，一般表示形式为“xxx.xxx.xxx.xxx”(x表示一个十进制数码)，例如“61.135.132.12”。因为数字IP地址较长，且过于抽象、难以记忆，所以采用域名服务DNS来与之对应。在浏览器地址栏中输入“Http://www.sohu.com”与“Http://61.135.132.12”的结果完全一样，都是访问搜狐网站，因为61.135.132.12就是搜狐域名www.sohu.com的IP地址。不过，用Http://1032291340访问的话，仍然可以打开搜狐网站，这是因为，四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码，如果合在一起再转换成一个十进制数的话，答案就是1032291340。转换方法，就是数制的按权展开：12×2560+132×2561+135×2562+61×2563=12+33792+8847360+1023410176=1032291340(基数为256，即28)。在上文的例子中提到了“www.Trojan.com.cn/HuiGeZi_Server.exe”。这种字母域名有时还能被用户识破，而在把它对应的IP地址(假设为“61.135.132.13”)换算成一个十进制数后，结果是1032291341，再结合@标志过滤用户的解析，就会变成Http://www.sina.com@1032291341这样的地址，这样就更加隐蔽了。

　　(3).虚假的网址，网络钓鱼者注册一个域名和真实网站域名十分相似的网址，其用户界面也和真实网站页面非常相似，然后不URL提供给用户，那么一般的用户被引导到这样的虚拟网址上是难以察觉的，攻击者也就可以利用该网页来诱导用户输入自己的个人身份信息，达到窃取的目的，例如真实网站域名是www.lovebank.xxx,伪造网站域名是www.1ovebank.xxx,一个是小写的"L",一个是数字"1"，域名服务器将解析到完全不同的IP地址上，但用户很难看出来。再如真实网站的域名是www.xxx.xxx.cn，而虚假网站使用域名www.xxx.xxx,很多人也无法判断

　　(4).更隐蔽的方法，是根据超文本标记语言的规则，可以对文字制作超链接，这样就使网络钓鱼者有机可乘。例如文件源代码可以写成："http://www.xxbank.com.cn"。这样，屏幕上显示的是xxxbank的网址，而实际却链接到了xxbank的虚假网站。

　　(5).采用伪装手段。可以在浏览器打开虚假网站的时候，弹出一个很隐蔽的小图像，正好覆盖在浏览器显示网址的地方，该小图像显示被仿冒的网站的真实域名，而浏览器真正访问的地址被掩盖在下面。

　　(6).虚假的弹出窗口。一些虚假网站会将用户转移到真实的网址，但是转移之前制造假冒的弹出窗口，提示用户进行个人登陆的操作，很多用户会误认为这些弹出窗口是网站的一部分而进一步按照提示操作，直到透露出自己的个人身份信息。

　　(7).可以利用浏览器漏洞窃取个人信息，如IE就曾暴露出一个漏洞，该漏洞使攻击者可以在垃圾邮件中构造一种数据，用户点击后便可使IE浏览器显示的网址与实际访问的网址不同。采用这种方式进行攻击，欺骗性更好，可以通过向用户发送包含URL的垃圾邮件的方式，诱骗用户点击，用户如果不检查邮件的原始代码，根本无法知道自己被浏览器欺骗了。

　　(8).黑客程序可以修改用户计算机中的HOSTS文件，将特定域名的IP地址设置成自己的虚假网站的地址，用户访问这些网站时，机器会从HOSTS文件中获得对应的IP。除了上面的方法外，更为隐蔽和目前常用的攻击手法是，攻击者首先攻破一个正常的网站，然后修改网站的代码，通过跳转语句或嵌入JS脚本的手段，来改造一个挂马的网站，这样当用户点击了包含正常网站的URL时，是不会有戒备心理的，更容易造成更大的损失。

　　2.通过ActiveX控件制作网页木马。

　　通过 ActiveX 把普通的软件转化为可以在主页直接执行的软件的网页木马，此类网页木马对所有的系统和IE版本都有效，缺点是浏览网页木马时会弹出对话框，询问是否安装此插件。病毒作者通常是伪造微软、新浪、Google等知名公司的签名，伪装成它们的插件来迷惑用户。

　　3.利用WSH的缺陷

　　利用WSH修改注册表，使IE安全设置中“没有标记为安全的的activex控件和插件”的默认设置改为启用，然后再利用一些可以在本地运行EXE程序的网页代码来运行病毒。它的危害在于，可以利用IE的安全漏洞提升权限达到本地运行任意程序的后果。