网页木马深度剖析以及手工清除

　　Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.

　　精华语句:

　　Content-Type: multipart/related;

　　type="multipart/alternative";

　　boundary="====B===="

　　--====B====

　　Content-Type: multipart/alternative;

　　boundary="====A===="

　　--====A====

　　Content-Type: text/html;

　　Content-Transfer-Encoding: quoted-printable

　　--====A====--

　　--====B====

　　Content-Type: audio/x-wav;

　　name="run.exe"

　　Content-Transfer-Encoding: base64

　　Content-ID: ---以下省略AAAAA N+1个---

　　把run.exe的类型定义为audio/x-wav，这下清楚了，这是利用客户端支持的 MIME(多部

　　分网际邮件扩展，Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件

　　的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，，结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上，即使是用鼠标点击下载下来的 x.eml，或是拷贝粘贴，都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding: base64 Content-ID: 从这我们可以看出，由于定义后字符格式为base64，那么一下的代码全部为加密过的代码，里面可以是任何执行的命令:

　　〈script language=vbs〉

　　On Error Resume Next·　容错语句，避免程序崩溃

　　set aa=CreateObject("Wscript.Shell")·建立Wscript对象

　　Set fs = CreateObject("scripting.FileSystemObject")·建立文件系统对象

　　Set dir1 = fs.GetSpecialFolder(0)·得到Windows路径

　　Set dir2 = fs.GetSpecialFolder(1)·得到System路径

　　……省略……

　　下面代码该做什么各位都该清楚吧.这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因，也是很多杀毒软件的一个通病。病毒监控只杀当时查到的，新建的却置之不理。

　　Ⅲ. iframe 漏洞的利用

　　㈠

　　多方便的办法，浏览者的COOKIES就这样轻松的被取走。

　　㈡

　　〈iframe src=run.eml width=0 height=0〉〈/iframe〉

　　常见的木马运用格式，高度和宽度为0的一个框架网页，我想你根本看不到它。除非你的浏览器不支持框架!

　　㈢

　　又是一个框架引用的新方式，对type="text/x-scriptlet" 的调整后，就可以实现和eml格式文件同样的效果，更是防不胜防。

　　Ⅳ. Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞 漏洞的利用

　　精华代码:

　　----- code cut start for run.asp -----

　　----- code cut end for run.asp -----

　　[作者注] 我想，这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说:IE6.0+SP1也不是万能的。呵呵，是不是想改用mozilla了?

　　总结:

　　几乎所有类型的网页病毒都有一个特性，就是再生，如何再生，让我们从注册表中的启动项开始分析:注册表中管理启动的主键键值分别为:

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]

　　确认主键下没有加载任何分键值.另外，在启动配置器里的autoexec.bat ,win.ini,system.ini以及在WIN 9X下的winstart.ini文件，其中的存在LOAD=键的，它的值是空，不是空格，只有=号。Autoexec.bat没有加载任何程序，在「开始」菜单/程序/启动 文件夹下不存在任何程序，那样才能有效的去掉一个病毒的再生功能。不叫它开机运行，或者不在运行，那我们就可以把它从计算机上请出去。

　　第三节 网页病毒、网页木马的运行效果分析

　　第一、电脑中的默认主页会被无故更改，并且IE工具栏内的修改功能被屏蔽掉;

　　第二、在电脑桌面上无故出现陌生网站的链接，无论怎么删除，每次开机都依旧会出现，如果单击鼠标右键，出现的工具栏中有也会有大量陌生网站的链接;

　　第三、开机后，无法进入DOS实模式; 仅对WIN 9X 系统

　　第四、电脑桌面及桌面上的图标被隐藏;

　　第五、注册表编辑器被告知“已锁定”，从而无法修改注册表;

　　第六、上网之前，系统一切正常，下网之后系统就会出现异常情况，如系统盘丢失、硬盘遭到格式化等，查杀病毒后仍无济于事;

　　第七、上陌生网站后，出现提示框“您已经被XX病毒攻击”，之后系统出现异常;

　　第八、登陆站点后，发现一个窗口迅速打开后又消失，自己的计算机系统文件夹内多了几个未知的好象是系统文件的新文件。

　　第九、发现系统的进程中多了几个未知进程，而且杀不掉，重起后又会出现。

　　第十、自己的计算机CPU利用率一直是高居100%，好象是在运行什么占用内存的东西。

　　第十一、登陆某站点后，杀毒监控软件报警，并删除病毒文件，位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八，第九，第十中的现象。

　　第十二、发现中毒后，反复杀毒，病毒反复复发，根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕，但重新启动后又出现问题。

　　第十三、会不定时的弹出广告。

　　第十四、自己的私有帐号无故丢失。