网页木马深度剖析以及手工清除3

文章作者 100test 发表时间 2008:04:02 14:01:33
来源 100Test.Com百考试题网

当申明邮件的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，，结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上，即使是用鼠标点击下载下来的x.eml，或是拷贝粘贴，都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding：base64Content-ID：从这我们可以看出，由于定义后字符格式为base64，那么一下的代码全部为加密过的代码，里面可以是任何执行的命令：

　　〈scriptlanguage=vbs〉

　　OnErrorResumeNext.　容错语句，避免程序崩溃

　　setaa=CreateObject（"Wscript.Shell"）。建立Wscript对象

　　Setfs=CreateObject（"scripting.FileSystemObject"）。建立文件系统对象

　　Setdir1=fs.GetSpecialFolder（0）。得到Windows路径

　　Setdir2=fs.GetSpecialFolder（1）。得到System路径

　　……省略……

　　下面代码该做什么各位都该清楚吧。这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因，也是很多杀毒软件的一个通病。病毒监控只杀当时查到的，新建的却置之不理。

　　Ⅲ。iframe漏洞的利用

　　㈠

　　多方便的办法，浏览者的COOKIES就这样轻松的被取走。

　　㈡

　　〈iframesrc=run.emlwidth=0height=0〉〈/iframe〉

　　常见的木马运用格式，高度和宽度为0的一个框架网页，我想你根本看不到它。除非你的浏览器不支持框架！

　　㈢

　　又是一个框架引用的新方式，对type="text/x-scriptlet"的调整后，就可以实现和eml格式文件同样的效果，更是防不胜防。

　　Ⅳ。MicrosoftInternetExplorer浏览器弹出窗口Object类型验证漏洞漏洞的利用

　　精华代码：

-----codecutstartforrun.asp-----
-----codecutendforrun.asp-----

　　[作者注]我想，这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是 SP1补丁的。我们都敢大声的说：IE6.0 SP1也不是万能的。呵呵，是不是想改用mozilla了？

　　总结：

　　几乎所有类型的网页病毒都有一个特性，就是再生，如何再生，让我们从注册表中的启动项开始分析：注册表中管理启动的主键键值分别为：

　　[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunServices]

　　[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunServicesOnce]

　　[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/Run]

　　[HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunOnce]

　　[HKEY_CURRENT_USER/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/Run]

　　[HKEY_CURRENT_USER/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunOnce]

　　[HKEY_CURRENT_USER/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/RunServices]