国内资深黑客详谈网页木马(3)

 三、可能被网页木马利用的漏洞

1．利用URL格式漏洞

此类网页木马是利用URL格式漏洞来欺骗用户。构造一个看似JPG格式的文件诱惑用户下载，但事实上用户下载的却是一个EXE文件。

此类攻击，具有相当的隐蔽性，利用URL欺骗的方法有很多种，比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼，还有漏洞百出的“%30%50”之类的Unicode编码等等，现在列举比较常见的几种方法：
(1).＠标志过滤用户名的解析

本来＠标志是E－mail地址的用户名与主机的分隔符，但在URL中同样适用，而且功能如出一辙。HTTP（超文本传输协议）规定了URL的完整格式是“Http://Name：Password＠IP地址或主机名”，其中的“IP地址或主机名”是必填项。＠标志与其前面的“Name：Password”，意为“用户名：密码”，属于可选项。也就是说，在URL中真正起解析作用的网址是从＠标志后面开始的，这就是欺骗原理。

比如用户访问“Http://www.sina.com＠www.Trojan.com.cn/HuiGeZi_Server.exe”，从表面上看，这是新浪网提供的一个链接，用户会认为这是一个无害的链接，而点击，而实际上 “www.sina.com”只是个写成新浪网址形式的用户名（此处的密码为空），因为后面有＠标志。而真正链接的网址却是“www.Trojan.com.cn/HuiGeZi_Server.exe”          也就是说这个发来的URL地址其实完全等同于“Http://www www.Trojan.com.cn/HuiGeZi_Server.exe，而与前面的用户名毫无关系，只是迷惑性可就大大提高了。即使没有这个用户名，也完全不影响浏览器对URL的解析。

(2).十进制的IP地址

常见的IP地址包括四个字节，一般表示形式为“xxx.xxx.xxx.xxx”（x表示一个十进制数码），例如“61.135.132.12”。因为数字IP地址较长，且过于抽象、难以记忆，所以采用域名服务DNS来与之对应。在浏览器地址栏中输入“Http://www.sohu.com”与“Http://61.135.132.12”的结果完全一样，都是访问搜狐网站，因为61.135.132.12就是搜狐域名www.sohu.com的IP地址。不过，用Http://1032291340访问的话，仍然可以打开搜狐网站，这是因为，四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码，如果合在一起再转换成一个十进制数的话，答案就是1032291340。转换方法，就是数制的按权展开：12×2560＋132×2561＋135×2562＋61×2563＝12＋33792＋8847360＋1023410176＝1032291340（基数为256，即28）。在上文的例子中提到了“www.Trojan.com.cn/HuiGeZi_Server.exe”。这种字母域名有时还能被用户识破，而在把它对应的IP地址（假设为“61.135.132.13”）换算成一个十进制数后，结果是1032291341，再结合＠标志过滤用户的解析，就会变成Http://www.sina.com@1032291341这样的地址，这样就更加隐蔽了。

(3).虚假的网址，网络钓鱼者注册一个域名和真实网站域名十分相似的网址，其用户界面也和真实网站页面非常相似，然后不URL提供给用户，那么一般的用户被引导到这样的虚拟网址上是难以察觉的，攻击者也就可以利用该网页来诱导用户输入自己的个人身份信息，达到窃取的目的，例如真实网站域名是www.lovebank.xxx,伪造网站域名是www.1ovebank.xxx,一个是小写的"L",一个是数字"1"，域名服务器将解析到完全不同的IP地址上，但用户很难看出来。再如真实网站的域名是www.xxx.xxx.cn，而虚假网站使用域名www.xxx.xxx,很多人也无法判断

(4).更隐蔽的方法，是根据超文本标记语言的规则，可以对文字制作超链接，这样就使网络钓鱼者有机可乘。例如文件源代码可以写成："http://www.xxbank.com.cn"。这样，屏幕上显示的是xxxbank的网址，而实际却链接到了xxbank的虚假网站。

(5).采用伪装手段。可以在浏览器打开虚假网站的时候，弹出一个很隐蔽的小图像，正好覆盖在浏览器显示网址的地方，该小图像显示被仿冒的网站的真实域名，而浏览器真正访问的地址被掩盖在下面。

(6).虚假的弹出窗口。一些虚假网站会将用户转移到真实的网址，但是转移之前制造假冒的弹出窗口，提示用户进行个人登陆的操作，很多用户会误认为这些弹出窗口是网站的一部分而进一步按照提示操作，直到透露出自己的个人身份信息。

(7).可以利用浏览器漏洞窃取个人信息，如IE就曾暴露出一个漏洞，该漏洞使攻击者可以在垃圾邮件中构造一种数据，用户点击后便可使IE浏览器显示的网址与实际访问的网址不同。采用这种方式进行攻击，欺骗性更好，可以通过向用户发送包含URL的垃圾邮件的方式，诱骗用户点击，用户如果不检查邮件的原始代码，根本无法知道自己被浏览器欺骗了。

(8).黑客程序可以修改用户计算机中的HOSTS文件，将特定域名的IP地址设置成自己的虚假网站的地址，用户访问这些网站时，机器会从HOSTS文件中获得对应的IP。除了上面的方法外，更为隐蔽和目前常用的攻击手法是，攻击者首先攻破一个正常的网站，然后修改网站的代码，通过跳转语句或嵌入JS脚本的手段，来改造一个挂马的网站，这样当用户点击了包含正常网站的URL时，是不会有戒备心理的，更容易造成更大的损失。

2.通过ActiveX控件制作网页木马。

通过 ActiveX 把普通的软件转化为可以在主页直接执行的软件的网页木马，此类网页木马对所有的系统和IE版本都有效，缺点是浏览网页木马时会弹出对话框，询问是否安装此插件。病毒作者通常是伪造微软、新浪、Google等知名公司的签名，伪装成它们的插件来迷惑用户。

3.利用WSH的缺陷

利用WSH修改注册表，使IE安全设置中“没有标记为安全的的activex控件和插件”的默认设置改为启用，然后再利用一些可以在本地运行EXE程序的网页代码来运行病毒。它的危害在于，可以利用IE的安全漏洞提升权限达到本地运行任意程序的后果。