前 言
杀毒软件风靡全球的今天,各式各样的病毒仍然在网络上横行,其形式的多样化,自身之隐蔽性都大大的提高。其中,网页病毒、网页木马就是这个新型病毒大军中危害面最广泛,传播效果最佳的。之所以会出此篇,也是在考虑到太多的人都在网页病毒中“应声倒下”,却不知自己是如何中毒,以及中毒后如何去处理。就此问题,我们开始以下,对网页病毒、网页木马这一“新概念”做个详细的剖析。
注:为什么会用这么大的篇幅去介绍网页病毒、网页木马的常识和运行机理,而非机械地去介绍如何如何做,大家在通读全文后便有个新的了解。
第一章 恶意网页的基本常识
第一节 什么是网页病毒
网页病毒是利用网页来进行破坏的病毒,它存在于网页之中,其实是使用一些script语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,装上木马,染上病毒,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改,使用户防不胜防。
目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机,进行本地的写操作,如改写你的注册表,在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。
而在我们分析网页病毒前,先叫我们知道促使病毒形成的罪魁祸首:Windows 脚本宿主 和Microsoft Internet Explorer漏洞利用
第二节 Windows 脚本宿主,Internet Explorer漏洞以及相关
WSH,是“Windows scripting Host”的缩略形式,其通用的中文译名为“Windows 脚本宿主”。对于这个较为抽象的名词,我们可以先作这样一个笼统的理解:它是内嵌于 Windows 操作系统中的脚本语言工作环境。
Windows scripting Host 这个概念最早出现于 Windows 98 操作系统。大家一定还记得 MS-Dos 下的批处理命令,它曾有效地简化了我们的工作、带给我们方便,这一点就有点类似于如今大行其道的脚本语言。但就算我们把批处理命令看成是一种脚本语言,那它也是 98 版之前的 Windows 操作系统所唯一支持的“脚本语言”。而此后随着各种真正的脚本语言不断出现,批处理命令显然就很是力不从心了。面临这一危机,微软在研发 Windows 98 时,为了实现多类脚本文件在 Windows 界面或 Dos 命令提示符下的直接运行,就在系统内植入了一个基于 32 位 Windows 平台、并独立于语言的脚本运行环境,并将其命名为“Windows scripting Host”。WSH 架构于 ActiveX 之上,通过充当 ActiveX 的脚本引擎控制器,WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。
WSH也有它的不足之处,任何事物都有两面性,WSH 也不例外。应该说,WSH 的优点在于它使我们可以充分利用脚本来实现计算机工作的自动化;但不可否认,也正是它的这一特点,使我们的系统又有了新的安全隐患。许多计算机病毒制造者正在热衷于用脚本语言来编制病毒,并利用 WSH 的支持功能,让这些隐藏着病毒的脚本在网络中广为传播。借助WSH的这一缺陷,通过JAVAscript,VBscript,ACTIVEX等网页脚本语言,就形成了现在的“网页危机”。
促使这一问题发生的还有问题多多Internet Explorer 的自身漏洞。比如:“错误的MIMEMultipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头”,“Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞”。而以下介绍的几个组件存在的问题或漏洞或是在安全问题上的过滤不严密问题,却又造成了“网页危机”的另外一个重要因素。
l Java语言可以编写两种类型的程序:应用程序(Application)和小应用程序(Applet)。应用程序是可以独立运行的程序,而Applet不能独立运行,需要嵌入HTML文件,遵循一套约定,在支持Java的浏览器(如:Netscape Navigator 2.02版本以上,HotJava,Microsoft Internet Explorer 3.0版本以上)运行,是Java一个重要的应用分支,也是当时Java最令人感兴趣的地方(它一改网页呆板的界面),就是在WWW网页(Home Page / Pages)设计中加入动画、影像、音乐等,而要达到这些效果使用最多的是Java Applet和Java script (这是一种Java的命令语言)。
l Javascript是一种基于对象(Object)和事件驱动(Event Driven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互作用。从而可以开发客户端的应用程序等。它是通过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷,它是Java与HTML折衷的选择,具有基于对象、简单、安全、动态、跨平台性等特性。
l ActiveX是Microsoft提出的一组使用COM(Component Object Model,部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术,ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时,ActiveX技术也被用于方便地创建普通的桌面应用程序。在Applet中可以使用ActiveX技术,如直接嵌入ActiveX控制,或者以ActiveX技术为桥梁,将其它开发商提供的多种语言的程序对象集成到Java中。与Java的字节码技术相比,ActiveX提供了“代码签名”(Code Signing)技术保证其安全性。
第三节 网页病毒的攻击方式
既然是网页病毒,那么很简单的说,它就是一个网页,甚至于制作者会使这个特殊网页与其他一般的网页别无他样,但在这个网页运行与本地时,它所执行的操作就不仅仅是下载后再读出,伴随着前者的操作背后,还有这病毒原体软件的下载,或是木马的下载,然后执行,悄悄地修改你的注册表,等等…那么,这类网页都有什么特征呢?
§ 1.美丽的网页名称,以及利用浏览者的无知.
不得不承认,很多恶意网页或是站点的制作者,他们对浏览者的心理分析是下功夫的,对域名的选择和利用绝对是很到位的。很多上网的男性网民大都对MM照片感兴趣,这就是
un][HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]
确认主键下没有加载任何分键值.另外,在启动配置器里的autoexec.bat ,win.ini,system.ini以及在WIN 9X下的winstart.ini文件,其中的存在LOAD=键的,它的值是空,不是空格,只有=号。Autoexec.bat没有加载任何程序,在「开始」菜单/程序/启动 文件夹下不存在任何程序,那样才能有效的去掉一个病毒的再生功能。不叫它开机运行,或者不在运行,那我们就可以把它从计算机上请出去。
第三节 网页病毒、网页木马的运行效果分析
第一、电脑中的默认主页会被无故更改,并且IE工具栏内的修改功能被屏蔽掉;
第二、在电脑桌面上无故出现陌生网站的链接,无论怎么删除,每次开机都依旧会出现,如果单击鼠标右键,出现的工具栏中有也会有大量陌生网站的链接;
第三、开机后,无法进入DOS实模式; 仅对WIN 9X 系统
第四、电脑桌面及桌面上的图标被隐藏;
第五、注册表编辑器被告知“已锁定”,从而无法修改注册表;
第六、上网之前,系统一切正常,下网之后系统就会出现异常情况,如系统盘丢失、硬盘遭到格式化等,查杀病毒后仍无济于事;
第七、上陌生网站后,出现提示框“您已经被XX病毒攻击”,之后系统出现异常;
第八、登陆站点后,发现一个窗口迅速打开后又消失,自己的计算机系统文件夹内多了几个未知的好象是系统文件的新文件。
第九、发现系统的进程中多了几个未知进程,而且杀不掉,重起后又会出现。
第十、自己的计算机CPU利用率一直是高居100%,好象是在运行什么占用内存的东西。
第十一、登陆某站点后,杀毒监控软件报警,并删除病毒文件,位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八,第九,第十中的现象。
第十二、发现中毒后,反复杀毒,病毒反复复发,根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕,但重新启动后又出现问题。
第十三、会不定时的弹出广告。
第十四、自己的私有帐号无故丢失。
上一页 1 2 3 4 5 下一页
第三章 网页病毒、网页木马的基本预防手段
l 要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入,否则往往不经易间就会误入网页代码的圈套。
l 由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
l 对于Windows98用户,请打开 C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP, 把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP, 把其中的"ActiveXComponent.class"删掉。请放心,删除这个组件不会影响到你正常浏览网页的.
l 对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务"Remote Registry Service"禁用,来对付该类网页。具体方法是:点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)",将这一项禁用即可。
l 升级你的IE为6.0版本并装上所有的SP以及追加的几个小补丁,可以有效防范上面这些症状。
l 下载微软最新的Microsoft Windows script 5.6
l 安装病毒防火墙,一般的杀毒软件都自带.打开网页监控和脚本监控.
l 虽然经过上述的工作修改回了标题和默认连接首页,但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点:
打开IE属性,点击“工具”→ “Internet选项 ”→“安全”→“受限站点”,一定要将“安全级别”定为“高”,再点击“站点”,在“将Web站点添加到区域中”添加自己不想去的网站网址,再点击“添加”,然后点击“应用”和“确定”即可正常浏览网页了。
l 在注册表
[HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatiblity]下为
[Active Setup controls]创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值:[Compatibility Flags 0x00000400]
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/webkaifa/)可以间接的防止网页木马问题。
l 请经常升级你的杀毒软件病毒库,让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。
l 推荐安装:IE6.0.2800.1106 + SP1 + 4个IE专项补丁
第四章 网页病毒、网页木马的清理和手工清理
第一节 网页病毒、网页木马的一般清理
在病毒防治和查杀的第一选择,我们首当其冲的就是杀
t;=dword:00000000窗体底端
要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的工具图标,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。
上一页 1 2 3 4 5 下一页
6. 修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/webkaifa/)HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"Settings"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"Links"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"SecAddSites"=dword:1
解决办法:上面这些DWORD值改为“0”即可恢复功能。
7. IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel
下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。
解决办法:将“homepage”的键值改为“0”即可。
8. IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt
下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt
删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉,这两个可是“正常”的,除非你不想在IE的右键菜单中见到它们。
9. IE默认搜索引擎被修改
出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可
10. 查看“源文件”菜单被禁用
恶意网页修改了注册表,具体的位置为:
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:
“NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。 通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。
解决办法:
将以下内容另存为后缀名为.reg的注册表文件,比如说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
11. 系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/WinLogon
在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!
解决办法:
打开注册表编辑器,找到
这里我推荐使用 柳叶擦眼 因为它是个绿色软件,不需要安装,下载解压后该怎么用就怎么用,方便。
进行手工杀毒的准备工作,先关闭你能关闭的所有软件,包括杀毒软件,防火墙,宽带连接等等一切能生成进程的东西.只保留必要的系统进程,这样会使以后的操作带来很多方便。
⒉查看系统进程:除了显示系统文件外,将所有无关的进程杀掉。
如:查看进程表定位文件。intneter.exe c:/windows/system/intneter.exe 这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件,我们应马上结束这个进程,并删除对应的文件,注意一些文件是隐藏的,在查找时应用"文件夹选项"打开对隐藏文件的查看.
如果不知道相关的进程,你可以这样尝试,
将进程软件下载后,断网,关闭运行的软件,打开进程管理软件,软件显示的系统进程你不要理,如果你不知道你以前正常的软件进程名是什么的话,将所有非系统的进程全部杀死,(注意除了进程查看软件之外的哦,我要是不说一定有人连它一起杀了.)并记下他们的文件路径,并记录下来。由于不知道是否是非法文件暂时改名,也记录下来,以便修改。
⒊修改注册表
开始 ------ 运行 ------ REGEDIT ------ 编辑 ------ 查找
查找
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主键下所有的键都为空,如果不为空,全部清理为空.使系统启动不加载任何程序。(一般的来说,驱动程序除了一些显示驱动会保留在启动项里,其他重要的很少了)如果你知道你常用软件所在RUN以及相关键下的值,当然更好,你就可以选择性的进行清理。对以后的整理工作会更方便些。
修改以下注册表关联项目:
[HKEY_CLASSES_ROOT/ chm.file/ shell/ open/ command "(默认)" "%windir%/hh.exe" %1 ]
[HKEY_CLASSES_ROOT/ exefile/ shell/ open/ command "(默认)" "%1" %* ]
[HKEY_CLASSES_ROOT/ inifile/ shell/ open/ command "(默认)" %windir%/NOTEPAD.EXE %1 ]
[HKEY_CLASSES_ROOT/ regfile/ shell/ open/ command "(默认)" regedit.exe "%1" ]
[HKEY_CLASSES_ROOT/ scrfile/ shell/ open/ command "(默认)" "%1" /S ]
[HKEY_CLASSES_ROOT/ txtfile/ shell/ open/ command "(默认)" %windir%/NOTEPAD.EXE %1]
⒋清理启动项配置文件
1.进入配置管理,除WIN 2K外都为MSCONFIG.
开始 ------ 运行 ------ MSCONFIG
WIN 9X用户注意:将启动配置里所有带*.hta,的去掉。HTA的特性就是隐藏掉窗体,然后一段时间就弹出网页.
进入:system.ini
修改[BOOT]
shell=Explorer.exe //注意:后面没东西了,再有什么,改成和前面一样的。
进入:WIN.INI
修改[WINDOWS]
//注意load键后面除了=号什么也没有。空格都不行。
LOAD=
NULLPORT=NONE
修改:autoexec.bat 内容为空
WIN 2K 直接进入启动编辑器。
修改以上三个文件.
记得这三个文件里没有任何为空的指令命令,有就删除。
任何值如果为空的话就是什么都没有,甚至于空格都不存在。有之,改!
⒌清理注册表垃圾信息
开始 ------ 运行 ------ REGEDIT ------ 编辑 ------ 查找
将开机运行的那个站点进行搜索找到即删除.
⒍清理缓存 [这点最重要]
一定要把你的IE缓冲区清理干净,以及TEMP文件夹的临时文件和垃圾文件清理干净。
好了,将你记录的路径的文件保存,然后重新启动计算机。
⒎清理校验
1.启动计算机后,再次打开柳叶擦眼,查看进程,看除了系统进程是否还有其他进程存在。如果没有,说明手工清理完成。如果还发现异常的进程请重复以上步骤。
2.确认杀毒完成后,你开始逐一的启动各类软件,检查你所改名的文件是否会影响到软件运行,如果没有异常发生,请删除或放入你杀毒软件的隔离区,(为什么要选择后者毕竟我们还不清楚这是不是病毒文件,即使是在隔离区的文件系统是不会再次运行的).
[注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件,依照上面的文件逐一的进行检查.
他们利用的一个渠道。如你看到了一个域名:www.lovemm.com,或是http://plmm.yeah.net等等. 你会动心去看么。如果不会,再看这个域名:/Article/UploadFiles/200603/20060301160330179.gif 这个地址你会去看么?很显然,咋一看,图片!一张可能是MM的图片,又有懂点安全知识的人说了,放心它不可能是BMP图片木马,你用这个地址打开一定是张.GIF格式的图片。好,你可以去尝试一下。再看另外一个域名,很显然是经过构造的。/Article/UploadFiles/200603/20060301160331961.gif 你还能“火眼金睛”吗?不知道结果是什么,那你就放心的去点击它看看。§ 2.利用浏览者的好奇心
在这里我要说一句,这样的人中毒也是自找。对什么都要好奇这可不是个好习惯。有些东西不是你想看就可以去看的。[作者注]有这个习惯的都改改.^_^!
§ 3.无意识的浏览者
这类人,对他们的同情,我们表示遭遇。^_^!
在我们基本了解了网页病毒、网页木马的运行机体环境后,让我们开始重点分析一下网页病毒是如何对我们的计算机进行攻击,并染毒,并自我保护的。
1 2 3 4 5 下一页
Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头.
精华语句:
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====B===="
--====B====
Content-Type: multipart/alternative;
boundary="====A===="
--====A====
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
--====A====--
--====B====
Content-Type: audio/x-wav;
name="run.exe"
Content-Transfer-Encoding: base64
Content-ID: ---以下省略AAAAA N+1个---
把run.exe的类型定义为audio/x-wav,这下清楚了,这是利用客户端支持的 MIME(多部
分网际邮件扩展,Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件
的类型为audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上,即使是用鼠标点击下载下来的 x.eml,或是拷贝粘贴,都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding: base64 Content-ID: 从这我们可以看出,由于定义后字符格式为base64,那么一下的代码全部为加密过的代码,里面可以是任何执行的命令:
〈script language=vbs〉
On Error Resume Next· 容错语句,避免程序崩溃
set aa=CreateObject("Wscript.Shell")·建立Wscript对象
Set fs = CreateObject("scripting.FileSystemObject")·建立文件系统对象
Set dir1 = fs.GetSpecialFolder(0)·得到Windows路径
Set dir2 = fs.GetSpecialFolder(1)·得到System路径
……省略……
下面代码该做什么各位都该清楚吧.这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因,也是很多杀毒软件的一个通病。病毒监控只杀当时查到的,新建的却置之不理。
Ⅲ. iframe 漏洞的利用
㈠
多方便的办法,浏览者的COOKIES就这样轻松的被取走。
㈡
〈iframe src=run.eml width=0 height=0〉〈/iframe〉
常见的木马运用格式,高度和宽度为0的一个框架网页,我想你根本看不到它。除非你的浏览器不支持框架!
㈢
又是一个框架引用的新方式,对type="text/x-scriptlet" 的调整后,就可以实现和eml格式文件同样的效果,更是防不胜防。
Ⅳ. Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞 漏洞的利用
精华代码:
----- code cut start for run.asp -----
----- code cut end for run.asp -----
[作者注] 我想,这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说:IE6.0+SP1也不是万能的。呵呵,是不是想改用mozilla了?
总结:
几乎所有类型的网页病毒都有一个特性,就是再生,如何再生,让我们从注册表中的启动项开始分析:注册表中管理启动的主键键值分别为:
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/R
