恶意网页的基本常识.

恶意网页的基本常识
什么是网页病毒
网页病毒是利用网页来进行破坏的病毒,他存在于网页之中,其实是使用一些
script 语言编写的一些恶意 代码利用 IE 的漏洞来实现病毒植入。 当用户登录某些
含有网页病毒的网站时, 网页病毒便被悄悄激活, 这 些病毒一旦激活,能利用系统的
一些资源进行破坏。轻则 修改用户的注册表,使用户的首页、浏览器标题 改动,重则
能关闭系统的非常多功能,装上木马,染上病毒,使用户无法正常使用计算机系统,严重
者则 能将用户的 系统进行格式化。而这种网页病毒容易编写和修改,使用户防不胜
防。

目前的网页病毒都是利用 JS.ActiveX 、 WSH 一起合作来实 现对客户端计算
机,进行本地的写操作,如 改写你的注册表,在你的本地计算机硬盘上添加、删除、更
改目录或文件等操作。而这一功能却恰恰使网 页病毒、网页木 马有了可乘之机。

而在我们分析网页病毒前,先叫我们知道促使病毒形成的罪魁祸首:视窗系统脚
本宿主和 MicrosoftInternetExplorer 漏洞利用。

视窗系统脚本宿主, InternetExplorer 漏洞及相关
WSH ,是 “ 视窗系统 scripting Host” 的缩略形式,其通用的中文译名为 “ 视窗系
统 脚本宿主 ” 。对于这个 较为抽象的名词, 我们能先作这样一个笼统的理解:他是
内嵌于视窗系统操作系统中的脚本语言工作环境。

视窗系统 scripting Host这个概念最早出现于视窗系统 98操作系统。大家一定
还记得 MS-Dos 下的批 处理命令, 他曾有效地简化了我们的工作、 带给我们方便,
这一点就有点 类似于如今大行其道的脚本语言。 但就算我们把批处理命令看成是
一种脚本语言,那他也是 98版之前的视窗系统操作系统所唯一支持的 “ 脚 本语
言 ” 。而此后随着 各种真正的脚本语言不断出现,批处理命令显然就非常是力不从
心了。面临这一危 机, 微软在研发视窗系统 98时, 为了实现多类脚本文件在视窗系
统界面或 Dos 命令提示符下的直接运行, 就在系统内植入了一个基于 32位视窗系
统平台、并独立于语言的脚本运行环 境,并将其命名为 “ 视窗系 统 scripting
Host” 。 WSH 架构于 ActiveX 之上,通过充当 ActiveX 的脚本引擎控制器, WSH 为
视窗 系统用户充分利用威力强大的脚本指令语言扫清了障 碍。

WSH 也有他的不足之处,所有事物都有两面性, WSH 也不例外。应该说, WSH
的好处在于他使我们能 充分利用脚本来实现计算机工 作的自动化;但不可否认, 也
正是他的这一特点,使我们的系统又有了新的 安全隐患。许多计算机病毒制造者正
在热衷于用脚本语言来编制病毒,并利用 WSH 的支 持功能,让这些 隐藏着病毒的脚
本在网络中广为传播。借助 WSH 的这一缺陷,通过 JAVAscript , VBscript ,
ACTIVEX 等网页脚本语言, 就形成了目前的 “ 网页危机 ” 。

促使这一问题发生的更有问题多多 InternetExplorer 的自身漏洞。比如:“ 错误
的 MIME?MultipurposeInternetMailExtentions ,多用途的网际邮件扩充协议 头 ” ,

“Microso ftInternetExplorer 浏览器弹出窗口 Object 类型验证漏洞 ” 。而以下介
绍的几个组件存在的问 题或漏洞或是在安 全问题上的过滤不严密问题,却又造成了
“ 网页危机 ” 的另外一个重要因素。

Java 语言能编写两种类型的程式:应用程式 (Application 和小应用程式
(Applet 。应用程式是能 独立运行的程式,而 Applet 不能独立运行,需要嵌入 HTML
文件,遵循一套约 定,在支持 Java 的浏览 器(如:NetscapeNavigator2.02版本以 上,
HotJava , MicrosoftInternetExplorer3.0版本以上 运行,是 Java 一个重要的应用分支,
也是当时 Java 最令人 感兴趣的地方(他一改网页呆板的界面, 就是在 WWW 网页
(HomePage/Pages设计中加入动画、影像、音乐等,而要达到这些效果使用最多

的是 JavaApplet 和 Javascript (这是一种 Java 的命令语言。
Javascript 是一种基于对象 (Object 和事件驱动(EventDriven 并具有安全性能的
脚本语言。使用 他的目的是和 HTML 超文本标记语言、和 Web 客户交互作用。从
而 能研发客户端的应用程式等。他是通 过嵌入或文件引用在标准的 HTML 语言中
实现的。 他的出现弥补了 HTML 语言的缺陷, 他是 Java 和 HTML 折衷的选 择,具
有基于对象、简单、安全、动态、跨平台性等特性。

ActiveX 是 Microsoft 提出的一组使用 COM (ComponentObjectModel ,部件对象
模型使得软件部 件在网络环境中进行交互的技术。 他和具体的编程语言无关。 作
为针对 Internet 应用研发的技术, ActiveX 被广泛应用于 WEB 服务器及客户端的各
个方面。 同时, ActiveX 技术也被用于方便地创建普通的桌面应 用 程式。在 Applet
中能使用 ActiveX 技术,如直接嵌入 ActiveX 控制,或以 ActiveX 技术为桥梁,将其他
研发商提供的多种语言的程式对 象集成到 Java 中。 和 Java 的字节码技术相比,
ActiveX 提供了 “ 代码签 名 ” (CodeSigning 技术确保其安全性。

网页病毒的攻击方式
既然是网页病毒,那么非常简单的说,他就是个网页,甚至于制作者会使这个特别
网页和其他一般的网页 别无他 样, 但在这个网页运行和本地时, 他所执行的操作就
不仅仅是下载后再读出, 伴随着前者的操作背 后,更有这病毒原体软件的下载,或是
木马的下载,然后执行,悄 悄地修改你的注册表,等等 … 那么,这 类网页都有什么特征
呢?

1. 美丽的网页名称,及利用浏览者的无知。
不得不承认,非常多恶意网页或是站点的制作者,他们对浏览者的心理分析是下
功夫的,对域名的选择和 利 用绝对是非常到位的。非常多上网的男性网民大都对
MM 照片感兴趣,这就是他们利用的一个渠道。 如你看到了一个域
名:www.lovemm.com , 或是 /UpLoadFiles/NewsPhoto /60331961.gif你还能 “ 火 眼金
睛 ” 吗?不知道结果是什么,那你就放心的去点击他看看。

2. 利用浏览者的好奇心
在这里我要说一句,这样的人中毒也是自找。对什么都要好奇这可不是个好习
惯。有些东西不是你想看就 能去看的。 [作者注 ]有这个习惯的都改改。 ^_^!
3. 无意识的浏览者
这类人,对他们的同情,我们表示遭遇。 ^_^!
在我们基本了解了网页病毒、 网页木马的运 行机体环境后, 让我们开始重点分
析一下网页病毒是怎么对我 们的计算机进行攻击,并染毒,并自我保护的。

注:本文来源于 亿玛客网络营销学院 http://www.imakecollege.com