信息安全介绍(PPT 36页)

网页木马发展历史
网页木马出现的历史要比木马和病毒出现的历史短的多，但究竟什么时候有的也无 法考证了。先前大多数以恶意网页为主，比如劫持浏览器的首页、修改注册表、死循 环弹出窗口等，在2001年的时候出现过几个利用MIME头漏洞、BMP网页木马等。真正的流 行实在2004年，网页木马开始大量出现，并且传播手段从仅仅的Web传播到发展出了邮件 网页木马、CHM网页木马、隐藏在媒体文件 中的RM/RMVB网页木马、WMV网页木马、 Flash网页木马等几种新的形式。另外， 挂马的手段也出现了诸如ARP欺骗挂马、 通过QQ尾巴诱使用户点击其中的链接等 几种新的手段。
毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源
进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题
改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使
用户无法正常使用计算机系统，严重者则可以将用户的系统进行
格式化。而这种网页病毒容易编写和修改，使用户防不胜防。

目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现
也就是说，这个网页能下载木马到本地并运行（安装）下载
到本地电脑上的木马，整个过程都在后台运行，用户一旦打
开这个网页，下载过程和运行（安装）过程就自动开始。
网页木马攻击原理

网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，
其实是使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来
实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病
常被用于挂马的微软源自文库洞
漏洞编号 MS06-001 MS06-014 MS06-057 MS06-071 MS07-017 MS07-004 MS07-027 MS04-023 MS05-001 MS06-004
漏洞名称 Microsoft Windows 图形渲染引擎WMF格式代码执行漏洞 Microsoft MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞 Microsoft IE WebViewFolderIcon远程整数溢出漏洞 Microsoft XML核心服务XMLHTTP控件内存破坏漏洞 Microsoft Windows动画光标畸形ANI头结构远程栈溢出漏洞 Microsoft Windows矢量标记语言缓冲区溢出漏洞 Microsoft Windows媒体服务器mdsauth.dll控件远程代码执行漏洞 Microsoft HTML Help任意代码执行漏洞 Microsoft IE Help ActiveX控件本地安全域绕过漏洞 Microsoft IE WMF图形解析内存破坏漏洞
对客户端计算机，进行本地的写操作，如改写你的注册表，在你
的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而
这一功能却恰恰使网页病毒、网页木马有了可乘之机。而在我们
为什么浏览器会自动下载，并执行木马？
现在大部分的网页木马都是针对Windows系 统自带的IE浏览器的，针对其他第三方浏览器 的网页木马很少；但像Macthon，腾讯TT等这种 基于IE浏览器核心的浏览器也和IE浏览器一样， 会受到网页木马的影响。那么，使用Firefox等 非IE浏览器上网的用户是不是就不会中网页木 马了呢？答案是否定的。现在有许多应用软件， 例如RealPlayer等影音播放软件，RSS阅读器以 及迅雷这些程序都是借助于IE核心来显示HTML 页的第三方软件的，因此同样存在着中网页木 马的风险，也就是说，网页木马是防不胜防的。
漏洞名称
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞 超星阅览器Pdg2 ActiveX控件栈溢出漏洞 百度搜霸ActiveX控件远程代码执行漏洞 Web迅雷ActiveX控件DownURL2方式远程缓冲区溢出 暴风影音2 mps.dll组件多个缓冲区溢出漏洞 CCTV互动数字杂志IDM远程溢出漏洞 RealPlayer IERPPLUG.DLL ActiveX控件远程拒绝服务漏 洞 Yahoo! Messenger 8.1.0.421 CYFT ft60.dll ActiveX控 件GetFile方式任意文件上传漏洞 McAfee Security Center McSubMgr.DLL ActiveX控件 远程溢出漏洞 WinZip FileView ActiveX控件存在缓冲区溢出漏洞 PPStream (PowerPlayer.dll 2.0.1.3829) Activex Remote Overflow
MS06-005 Microsoft Windows Media Player畸形位图文件处理堆溢出漏洞
常被用于挂码的第三方软件
软件名称 联众游戏 超星阅读器 百度搜霸 Web迅雷 暴风影音 CCTV RealPlayer
雅虎通
McAfee Security Center WinZip PPStream
CHM电子书木马
CHM是一种十分流行的电子书格式，CMH是英语“Compiled Help Manual”的简写，即“已编译的帮助文件”。CMH是微软新一代的帮 助文件格式，利用HTML作为源代码，把帮助内容以类似数据库的形 式编译储存，编译好的扩展名为.chm的文件。chm档案可以提供如同 一本书的内容目录，索引和搜寻等功能，非常方便资料的分类，整 理和索引，所以微软的许多说明文件都是采用这种格式的，如最有 名的MSDN就曾经采用了这个格式，也通过这个格式，微软将许多软 件和函数库说明发行推广到了世界各个角落。CMH木马是网页木马的 一种主要衍生形式，但它和普通的网页木马又有很大的不同。这是 因为由于传统的网页木马还需要利用漏洞，但是CMH中的HTML页由于 在本地我的电脑域执行，根本就不需要漏洞，有很高的权限，有很 多的空间可供调用。所以，相比以往的网页木马，CMH木马更加难以 发觉，可以“杀人于无形之中”。说不定哪一天下载的电子书里面 就隐藏着特洛伊木马。
邮件网页木马
网页木马没有具体目标，只能被动地等待受 攻击者，但邮件网页木马的出现正倒是弥补了网 页木马的这个缺点。邮件网页木马也使网页木马 的利用出现了一种新的形式，利用邮件系统对以 HTML形式发送的邮件的危险标记过滤不严，便在 其中嵌入了网页木马。邮件网页木马具有很强的 针对性，还配合社会工程学等手段，诱使目标单 机邮件。加入目标恰恰没有打补丁，那么，恶意 代码就进入目标的计算机中了。
网页木马
攻防实战
你知道木马是什么吗？ 你知道网页木马吗？
什么是网页木马？

网页木马实际上是一个HTML网页，与其它网页不同的
是该网页是黑客精心制作的，用户一旦访问了该网页就会中
木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页
中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自
动下载黑客放置在网络上的木马并运行（安装）这个木马，