|
网页木马深度剖析以及手工清除(1)(2) Javascript是一种基于对象(Object)和事件驱动(EventDriven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互作用。从而可以开发客户端的应用程序等。它是通过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷,它是Java与HTML折衷的选择,具有基于对象、简单、安全、动态、跨平台性等特性。
ActiveX是Microsoft提出的一组使用COM(ComponentObjectModel,部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术,ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时,ActiveX技术也被用于方便地创建普通的桌面应用程序。在Applet中可以使用ActiveX技术,如直接嵌入ActiveX控制,或者以ActiveX技术为桥梁,将其它开发商提供的多种语言的程序对象集成到Java中。与Java的字节码技术相比,ActiveX提供了“代码签名”(CodeSigning)技术保证其安全性。
第三节 网页病毒的攻击方式
既然是网页病毒,那么很简单的说,它就是一个网页,甚至于制作者会使这个特殊网页与其他一般的网页别无他样,但在这个网页运行与本地时,它所执行的操作就不仅仅是下载后再读出,伴随着前者的操作背后,还有这病毒原体软件的下载,或是木马的下载,然后执行,悄悄地修改你的注册表,等等…那么,这类网页都有什么特征呢?
§1.美丽的网页名称,以及利用浏览者的无知。
不得不承认,很多恶意网页或是站点的制作者,他们对浏览者的心理分析是下功夫的,对域名的选择和利用绝对是很到位的。很多上网的男性网民大都对MM照片感兴趣,这就是他们利用的一个渠道。如你看到了一个域名:www.lovemm.com,或是/UpLoadFiles/NewsPhoto/60331961.gif你还能“火眼金睛”吗?不知道结果是什么,那你就放心的去点击它看看。
§2.利用浏览者的好奇心
在这里我要说一句,这样的人中毒也是自找。对什么都要好奇这可不是个好习惯。有些东西不是你想看就可以去看的。[作者注]有这个习惯的都改改。^_^!
§3.无意识的浏览者
这类人,对他们的同情,我们表示遭遇。^_^!
在我们基本了解了网页病毒、网页木马的运行机体环境后,让我们开始重点分析一下网页病毒是如何对我们的计算机进行攻击,并染毒,并自我保护的。
第二章 网页病毒、网页木马机理深度剖析
第一节 网页病毒、网页木马的制作方式
Ⅰ。Javascript.Exception.Exploit
利用JS+WSH的完美结合,来制作恶意网页的方法几乎是所有恶意站点必有的“功能”。
Ⅱ。错误的MIMEMultipurposeInternetMailExtentions,多用途的网际邮件扩充协议头。
几乎是现在网页木马流行利用的基本趋势,这个漏洞在IE5.0到IE6.0版本中都有,对这么一个全能的漏洞,大家怎能不重视?
Ⅲ……EXEto.BMP+Javascritp.Exception.Exploit
具体的。EXE转化到。BMP的文章我想大家都见到过,而且不只一次。应用方法很简单:诱骗浏览者上当。
Ⅳ。iframe漏洞的利用
当微软的IE窗口打开另一个窗口时,如果子窗口是另一个域或安全区的话,安全检查应当阻止父窗口访问子窗口。但事实并非如此,父窗口可以访问子窗口文档的frame,这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或iframe的URL.这会带来严重的安全问题,通过设置URL指向javascript协议,父窗口能在子域环境下运行脚本代码,包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。
Ⅴ。通过安全认证的CAB,COX
此类方法就是在。CAB文件上做手脚,使证书。SPC和密钥。PVK合法
原理:IE读文件时会有文件读不出,就会去“升级”这样它会在网页中指定的位置找。cab并在系统里写入个CID读入。cab里的文件。
方法:。cab是WINDOWS里的压缩文件,我们知道IE里所用的安全文件是用签名的CAB也不例外,所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击,只所以每次都能入侵我的脑,是因为它通过的是IE认证下的安全攻击,这样不管我怎么做都没办法。
Ⅵ。EXE文件的捆绑
现在的网页木马捆绑机几乎是开始泛滥了,多的数不胜数。再将生成的MHT文件进行加密,好,这样一来,连我们最信任的杀毒软件也无效了。
| 
