网页病毒、网页木马机理深度剖析

　　Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.

　　精华语句：

Content-Type: multipart/related; 　　type="multipart/alternative"; 　　boundary="====B====" 　　--====B==== 　　Content-Type: multipart/alternative; 　　boundary="====A====" 　　--====A==== 　　Content-Type: text/html; 　　Content-Transfer-Encoding: quoted-printable 　　--====A====-- 　　--====B==== 　　Content-Type: audio/x-wav; 　　name="run.exe" 　　Content-Transfer-Encoding: base64 　　Content-ID: ---以下省略AAAAA N+1个---

　　把run.exe的类型定义为audio/x-wav，这下清楚了，这是利用客户端支持的 MIME(多部分网际邮件扩展，Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，，结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上，即使是用鼠标点击下载下来的 x.eml，或是拷贝粘贴，都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding: base64 Content-ID: 从这我们可以看出，由于定义后字符格式为base64，那么一下的代码全部为加密过的代码，里面可以是任何执行的命令：

〈script language=vbs〉 　　On Error Resume Next· 容错语句，避免程序崩溃 　　set aa=CreateObject("WScript.Shell")·建立WScript对象 　　Set fs = CreateObject("Scripting.FileSystemObject")·建立文件系统对象 　　Set dir1 = fs.GetSpecialFolder(0)·得到Windows路径 　　Set dir2 = fs.GetSpecialFolder(1)·得到System路径 　　……省略……

　　下面代码该做什么各位都该清楚吧.这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因，也是很多杀毒软件的一个通病。病毒监控只杀当时查到的，新建的却置之不理。

　　Ⅲ. iframe 漏洞的利用

　　一、窃取浏览者的COOKIES。

　　二、<iframe src=run.eml width=0 height=0〉〈/iframe〉

　　常见的木马运用格式，高度和宽度为0的一个框架网页，我想你根本看不到它。除非你的浏览器不支持框架!

　　三、又是一个框架引用的新方式，对type="text/x-scriptlet" 的调整后，就可以实现和eml格式文件同样的效果，更是防不胜防。

　　Ⅳ. Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞 漏洞的利用

　　精华代码：

　　----- code cut start for run.asp -----

　　----- code cut end for run.asp -----

　　笔者以为，这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说：IE6.0+SP1也不是万能的。呵呵，是不是想改用mozilla了?

　　总结：

　　几乎所有类型的网页病毒都有一个特性，就是再生，如何再生，让我们从注册表中的启动项开始分析，注册表中管理启动的主键键值分别为：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

　　确认主键下没有加载任何分键值.另外，在启动配置器里的autoexec.bat ,win.ini,system.ini以及在WIN 9X下的winstart.ini文件，其中的存在LOAD=键的，它的值是空，不是空格，只有=号。Autoexec.bat没有加载任何程序，在「开始」菜单\程序\启动 文件夹下不存在任何程序，那样才能有效的去掉一个病毒的再生功能。不叫它开机运行，或者不在运行，那我们就可以把它从计算机上请出去。