2.攻击知名网站，获得Webshell权限后，在网站中填加恶意代码，如：

　　(1)iframe

：

　　注：'">http://www.xxx.com/muma.htm/">';

　　利用在知名门户网站，填加恶意脚本的攻击行为很多，例如，安天实验室在06年8月份就发现了针对KFC肯德基，雪花啤酒，迈拓硬盘等知名网站的攻击行为。所采用的都是此种方式。

　　3.利用美丽的网页名称及内容，诱惑用户访问。

　　很多恶意网页或是站点的制作者，对浏览者的心理进行了分析，对域名的选择和利用非常精明。很多网民对一些黄色信息比较感兴趣，成为了他们利用的渠道。他们会构建名www.love.com，或是http://bangbus.year.net等具有诱惑性的名称诱惑用户点击。

　　4.利用电子邮件等传播。

　　攻击者，利用电子邮件群发工具，发送包含诱惑性信息的主题邮件，诱惑用户点击其中包含的网页。

　　五、目前常用的网页木马制作方式

　　1.Javascript.Exception.Exploit

　　利用JS+WSH的完美结合，来制作恶意网页。

　　2.错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.几乎是现在网页木马流行利用的基本趋势，这个漏洞在IE5.0到IE6.0版本中都有。

　　3.EXE to .BMP + Javascritp.Exception.Exploit用虚假的BMP文件诱惑用户运行。

　　4.iframe 漏洞的利用

　　当微软的IE窗口打开另一个窗口时，如果子窗口是另一个域或安全区的话，安全检查应当阻止父窗口访问子窗口。但事实并非如此，父窗口可以访问子窗口文档的frame，这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或IFrame的URL。这会带来严重的安全问题，通过设置URL指向javascript协议，父窗口能在子域环境下运行脚本代码，包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。

　　5.通过安全认证的CAB,COX

　　此类方法就是在.CAB文件上做手脚，使证书.SPC和密钥.PVK合法

　　原理：IE读文件时会有文件读不出，就会去“升级”这样它会在网页中指定的位找 .cab 并在系统里写入个CID读入.cab里的文件。

　　方法：.cab是WINDOWS里的压缩文件， IE里所用的安全文件是用签名的，CAB也不例外，所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击，之所以每次都能入侵，是因为它通过的是IE认证下的安全攻击。

　　6.EXE文件的捆绑

　　现在的网页木马捆绑机几乎是开始泛滥了，多的数不胜数。再将生成的MHT文件进行加密。

　　六、网页木马运行后特征分析

　　1.系统的默认主页被更改，并且IE工具栏内的修改功能被屏蔽掉;

　　2.在系统的桌面上无故出现陌生网站的链接，无论怎么删除，每次开机都依旧会出现，如果单击鼠标右键，出现的工具栏中有也会有大量陌生网站的链接;

　　3.系统桌面及桌面上的图标被隐藏;

　　4.注册表编辑器被锁定，从而无法修改注册表;

　　5.上网之前，系统一切正常，下网之后系统就会出现异常情况，如系统盘丢失、硬盘遭到格式化等;

　　6.上陌生网站后，出现提示框“您已经被XX病毒攻击”，之后系统出现异常;

　　7.登陆站点后，出现一个窗口迅速打开后又消失的现象，系统文件夹内出现异常文件;

　　8.系统的进程中出现未知进程，而且无法终止，终止后会自动重新出现;

　　9.系统CPU占用率高;

　　10.登陆某站点后，杀毒监控软件报警，并删除病毒文件，位置在IE的缓冲区。重新启动计算机后发现IE默认设置被修改。

　　11.自动弹出广告;

　　12.信用卡，QQ帐号丢失等;

　　七、网页木马的预防

　　1. 避免浏览包含不健康内容的网页;

　　2. 由于网页木马是含有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。

　　具体方法是：在IE窗口中点击"工具→Internet选项，在弹出的对话框中选择"安全"标签，再点击"自定义级别"按钮，就会弹出"安全设置"对话框，把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过，这样在网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。

　　3.对Windows 2000和WINDOWS XP用户，还可以通过在服务里，禁用远程注册表操作服务"Remote Registry Service"，来对付该类网页。具体方法是：点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)"，禁用即可。

　　4.升级浏览器到IE6.0并及时安装升级补丁。

　　5.下载微软最新的Microsoft Windows Script

　　6. 安装反病毒软件以及防火墙，打开网页监控和脚本监控.

　　后记：

　　网页木马，目前的发展方向，是利用操作系统，浏览器存在的溢出漏洞，来下载Trojan-Downloader类木马，达到传播病毒的目的。而网页木马的传播方式，目前，主要是黑客攻击知名网站，在代码中填加恶意脚本，从而达到，利用知名网站，访问量高的特点，快速传播的目的。网页木马本身的危害巨大，但它带来的最大影响，是可能传播恶性的病毒，造成极大的危害。

　　通过最近的这些病毒分析，现在越来越多的入侵者采取网页挂马，来达到控制更多的“肉鸡”从而达到，靠流量和贩卖“肉鸡”来达到收入最大话，通过网站钓鱼，来捕获受害人的信用卡帐号以及个人隐私，更有甚者进行非法交易，出卖给一些商业间谍等，以后的病毒防范和研究工作还将继续进行下去，任重而道远。

　　欢迎大家和我交流，我们一同来打一场反黑反病毒的持久战，同时在这里我还是要感谢安天实验室的全体cert组成员，能全力支持我，配合我来更快更好的完成病毒分析工作，也同样感谢我的两个助手-----王清，王琪，以及诚信网安的全体成员，谢谢你们对我工作的支持和帮助。

上一页  [1] [2] [3]