详谈网页木马

当今网络 ，反病毒 软件日益增多，使用的反病毒 技术越来越先进，查杀病毒 的能力逐渐提高，但病毒 制作者并不会罢休，反查杀手段不断升级，新的病毒 层出不穷，形式也越来越多样化，为了躲避查杀，病毒 自身的隐蔽性越来越高，针对反病毒 软件对传统的病毒 传播途径的监控能力提高，造成病毒 传播困难的问题，越来越多的病毒 ，利用多数反病毒 软件产品对恶意脚本监控能力的缺陷，开始利用网页木马 这一危害面最广泛，传播效果最佳的方式来传播。
一 、什么是网页木马
网页木马 是利用网页来进行破坏的病毒 ，它包含在恶意网页之中，使用脚本语言编写恶意代码，依靠系统的漏洞 ，如IE浏览器存在的漏洞 来实现病毒 的传播。当用户登陆了包含网页病毒 的恶意网站时，网页木马 便被激活，受影响的系统一旦感染网页病毒 ，就会遭到破坏，轻则浏览器首页被修改，标题改变，系统自动弹出广告，重则被装上木马 ，感染病毒 ，使用户无法进行正常的使用。甚至会引起系统崩溃，敏感信息丢失等严重后果。由于脚本语言易于掌握，所以网页木马 非常容易编写和修改，造成很难提取特征值，增加了杀毒软件查杀以及用户预防的困难。
目前的网页木马 都是利用脚本语言、ActiveX、WSH等来实现对客户端计算机的远程操作，如改写注册表，添加、删除、更改文件夹等操作。网页病毒 可以以此来达到传播的目的。
1.利用WSH(Windows Scripting Host Object Reference)等系统控件
WSH，是“Windows Scripting Host”的简称，可以直译为“Windows 脚本宿主”。在Windows系统中会默认安装，它是内嵌于 Windows 操作系统中的脚本语言工作环境。
Windows Scripting Host 这个概念最早出现于 Windows 98 操作系统。微软在研发 Windows 98 时，为了实现多类脚本文件在 Windows 界面或 Dos 命令提示符下的直接运行，就在系统内植入了一个基于 32 位 Windows 平台、并独立于语言的脚本运行环境，并将其命名为“Windows Scripting Host”。WSH 架构于 ActiveX 之上，通过充当 ActiveX 的脚本引擎控制器，WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。
WSH也有它的不足之处，任何事物都有两面性，WSH 也不例外。WSH 的优点在于它使用户可以充分利用脚本来实现计算机工作的自动化；但也正是它的这一特点，使系统存在了安全隐患。计算机病毒 制造者用脚本语言来编制病毒 ，并利用 WSH 的支持功能，让这些隐藏着病毒 的脚本在网络 中广为传播。借助WSH的缺陷，通过JAVAScript，VBScript，ActiveX等网页脚本语言，可以改动受影响系统的注册表，利用服务 器端脚本程序如：ASP，PHP等来记录访问网页者的相关信息，浏览之后，系统目录被完全共享;IP地址、访问时间、操作系统名称会被网页木马 所记录，造成敏感信息的泄露。
2．Microsoft Internet Explorer等浏览器存在漏洞 3．脚本语言
用JAVA编制的脚本语言主要是Java Applet和Java Script。Applet是Java编写的小应用程序，不能独立运行，需要嵌入HTML文件,遵循标准，在支持Java的浏览器(如Microsoft Internet Explorer) 上运行，是Java一个重要的应用分支，它改变了传统网页呆板的界面，在WWW网页(Home Page / Pages)设计中加入了动画、影像、音乐等元素。
JavaScript是一种基于对象(Object)和事件驱动(Event Driven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互作用。从而可以开发客户端的应用程序等。它是通过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷，它是Java与HTML折衷的选择，具有基于对象、简单、安全、动态、跨平台性等特性。
ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络 环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX被广泛应用于WEB服务 器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。在Applet中可以使用ActiveX技术，如直接嵌入ActiveX控制，或者以ActiveX技术为桥梁，将其它开发商提供的多种语言的程序对象集成到Java中。与Java的字节码技术相比，ActiveX提供了“代码签名”(Code Signing)技术保证其安全性。
造成网页病毒 传播和形成的主要原因，是因为Windows操作系统以及Microsoft Internet Explorer等浏览器存在漏洞 。
二、网页木马 的攻击原理
网页木马 实际上是一个HTML网页，与其它网页不同的是该网页是黑客 精心制作的，用户一旦访问了该网页就会中木马 。为什么说是黑客 精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞 ，让IE在后台自动下载黑客 放置在网络 上的木马 并运行（安装）这个木马 ，也就是说，这个网页能下载木马 到本地并运行（安装）下载到本地电脑 上的木马 ，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。
打开一个网页，IE浏览器不会自动下载程序和运行程序，这是因为，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞 ，网页木马 就是利用这些漏洞 获得权限来下载程序和运行程序的。下面列举一些IE浏览器等存在的漏洞 来分别说明为什么利用网页木马 可以下载程序和运行程序。
1.下载可执行文件.
index里有一个代码漏洞 ，IE会把可执行文件误认为CSS样式表而下载到IE的临时文件目录.
也可以利用http:///1.exe">这段代码，把这段代码插入到网页源代码的…之间,运行后就会发现在IE的临时目录Temporary Internet Files下，已经下载了1.exe这个病毒 文件。
2.自动运行程序
var shell=new ActiveXObject("shell.application"; shell.namespace("c:\\Windows\\".items().item("Notepad.exe".invokeverb();
把这段代码插入到网页源代码的…之间，然后用IE打开该网页，这段代码可以在IE中自动打开记事本。
这段代码使用了shell.application控件，该控件能使网页获得执行权限，替换代码中的“Notepad.exe”（记事本）程序，就可以用它自动运行本地电脑 上的任意程序。
通过以上的例子可以看出，利用IE的漏洞 ，在网页中插入相关的代码，IE完全可以自动下载和运行程序。
三、可能被网页木马 利用的漏洞
1．利用URL格式
漏洞
此类网页木马 是利用URL格式漏洞 来欺骗用户。构造一个看似JPG格式的文件诱惑用户下载，但事实上用户下载的却是一个EXE文件。
此类攻击，具有相当的隐蔽性，利用URL欺骗的方法有很多种，比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络 钓鱼，还有漏洞 百出的“%30%50”之类的Unicode编码等等，现在列举比较常见的几种方法：
(1).＠标志过滤用户名的解析
本来＠标志是E－mail地址的用户名与主机的分隔符，但在URL中同样适用，而且功能如出一辙。HTTP（超文本传输协议）规定了URL的完整格式是“Http://Name：Password＠IP地址或主机名”，其中的“IP地址或主机名”是必填项。＠标志与其前面的“Name：Password”，意为“用户名：密码”，属于可选项。也就是说，在URL中真正起解析作用的网址是从＠标志后面开始的，这就是欺骗原理。
比如用户访问“Http://www.sina.com＠www.Trojan.com.cn/HuiGeZi_Server.exe”，从表面上看，这是新浪网提供的一个链接，用户会认为这是一个无害的链接，而点击，而实际上 “www.sina.com”只是个写成新浪网址形式的用户名（此处的密码为空），因为后面有＠标志。而真正链接的网址却是“www.Trojan.com.cn/HuiGeZi_Server.exe” 也就是说这个发来的URL地址其实完全等同于“Http://www www.Trojan.com.cn/HuiGeZi_Server.exe，而与前面的用户名毫无关系，只是迷惑性可就大大提高了。即使没有这个用户名，也完全不影响浏览器对URL的解析。
(2).十进制的IP地址
常见的IP地址包括四个字节，一般表示形式为“.”（x表示一个十进制数码），例如“61.135.132.12”。因为数字IP地址较长，且过于抽象、难以记忆，所以采用域名服务 DNS来与之对应。在浏览器地址栏中输入“Http://www.sohu.com”与“Http://61.135.132.12”的结果完全一样，都是访问搜狐网站，因为61.135.132.12就是搜狐域名xxx.sohu.com的IP地址。不过，用Hxxp://1032291340访问的话，仍然可以打开搜狐网站，这是因为，四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码，如果合在一起再转换成一个十进制数的话，答案就是1032291340。转换方法，就是数制的按权展开：12?2560＋132?2561＋135?2562＋61?2563＝12＋33792＋8847360＋1023410176＝1032291340（基数为256，即28）。在上文的例子中提到了“www.Trojan.com.cn/HuiGeZi_Server.exe”。这种字母域名有时还能被用户识破，而在把它对应的IP地址（假设为“61.135.132.13”）换算成一个十进制数后，结果是1032291341，再结合＠标志过滤用户的解析，就会变成Hxxp://www.sina.com@1032291341这样的地址，这样就更加隐蔽了。
(3).虚假的网址，网络 钓鱼者注册一个域名和真实网站域名十分相似的网址，其用户界面也和真实网站页面非常相似，然后不URL提供给用户，那么一般的用户被引导到这样的虚拟网址上是难以察觉的，攻击者也就可以利用该网页来诱导用户输入自己的个人身份信息，达到窃取的目的，例如真实网站域名是xxx.lovebank.xxx,伪造网站域名是www.,一个是小写的"L",一个是数字"1"，域名服务 器将解析到完全不同的IP地址上，但用户很难看出来。再如真实网站的域名是www.，而虚假网站使用域名www.,很多人也无法判断
(4).更隐蔽的方法，是根据超文本标记语言的规则，可以对文字制作超链接，这样就使网络 钓鱼者有机可乘。例如文件源代码可以写成："http://www."。这样，屏幕上显示的是xxxbank的网址，而实际却链接到了xxbank的虚假网站。
(5).采用伪装手段。可以在浏览器打开虚假网站的时候，弹出一个很隐蔽的小图像，正好覆盖在浏览器显示网址的地方，该小图像显示被仿冒的网站的真实域名，而浏览器真正访问的地址被掩盖在下面。
(6).虚假的弹出窗口。一些虚假网站会将用户转移到真实的网址，但是转移之前制造假冒的弹出窗口，提示用户进行个人登陆的操作，很多用户会误认为这些弹出窗口是网站的一部分而进一步按照提示操作，直到透露出自己的个人身份信息。
(7).可以利用浏览器漏洞 窃取个人信息，如IE就曾暴露出一个漏洞 ，该漏洞 使攻击者可以在垃圾邮件中构造一种数据，用户点击后便可使IE浏览器显示的网址与实际访问的网址不同。采用这种方式进行攻击，欺骗性更好，可以通过向用户发送包含URL的垃圾邮件的方式，诱骗用户点击，用户如果不检查邮件的原始代码，根本无法知道自己被浏览器欺骗了。
(.黑客 程序可以修改用户计算机中的HOSTS文件，将特定域名的IP地址设置成自己的虚假网站的地址，用户访问这些网站时，机器会从HOSTS文件中获得对应的IP。除了上面的方法外，更为隐蔽和目前常用的攻击手法是，攻击者首先攻破一个正常的网站，然后修改网站的代码，通过跳转语句或嵌入JS脚本的手段，来改造一个挂马的网站，这样当用户点击了包含正常网站的URL时，是不会有戒备心理的，更容易造成更大的损失。
2.通过ActiveX控件制作网页木马 。
通过 ActiveX 把普通的软件转化为可以在主页直接执行的软件的网页木马 ，此类网页木马 对所有的系统和IE版本都有效，缺点是浏览网页木马 时会弹出对话框，询问是否安装此插件。病毒 作者通常是伪造微软、新浪、Google等知名公司的签名，伪装成它们的插件来迷惑用户。
3.利用WSH的缺陷
利用WSH修改注册表，使IE安全设置中“没有标记为安全的的activex控件和插件”的默认设置改为启用，然后再利用一些可以在本地运行EXE程序的网页代码来运行病毒 。它的危害在于，可以利用IE的安全漏洞 提升权限达到本地运行任意程序的后果。