信息安全介绍

CHM电子书木马
CHM是一种十分流行的电子书格式，CMH是英语“Compiled Help Manual”的简写，即“已编译的帮助文件”。CMH是微软新一代的帮 助文件格式，利用HTML作为源代码，把帮助内容以类似数据库的形 式编译储存，编译好的扩展名为.chm的文件。chm档案可以提供如同 一本书的内容目录，索引和搜寻等功能，非常方便资料的分类，整 理和索引，所以微软的许多说明文件都是采用这种格式的，如最有 名的MSDN就曾经采用了这个格式，也通过这个格式，微软将许多软 件和函数库说明发行推广到了世界各个角落。CMH木马是网页木马的 一种主要衍生形式，但它和普通的网页木马又有很大的不同。这是 因为由于传统的网页木马还需要利用漏洞，但是CMH中的HTML页由于 在本地我的电脑域执行，根本就不需要漏洞，有很高的权限，有很 多的空间可供调用。所以，相比以往的网页木马，CMH木马更加难以 发觉，可以“杀人于无形之中”。说不定哪一天下载的电子书里面 就隐藏着特洛伊木马。
漏洞名称
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞 超星阅览器Pdg2 ActiveX控件栈溢出漏洞 百度搜霸ActiveX控件远程代码执行漏洞 Web迅雷ActiveX控件DownURL2方式远程缓冲区溢出 暴风影音2 mps.dll组件多个缓冲区溢出漏洞 CCTV互动数字杂志IDM远程溢出漏洞 RealPlayer IERPPLUG.DLL ActiveX控件远程拒绝服务漏 洞
为什么浏览器会自动下载，并执行木马？
现在大部分的网页木马都是针对Windows系 统自带的IE浏览器的，针对其他第三方浏览器 的网页木马很少；但像Macthon，腾讯TT等这种 基于IE浏览器核心的浏览器也和IE浏览器一样， 会受到网页木马的影响。那么，使用Firefox等 非IE浏览器上网的用户是不是就不会中网页木 马了呢？答案是否定的。现在有许多应用软件， 例如RealPlayer等影音播放软件，RSS阅读器以 及迅雷这些程序都是借助于IE核心来显示HTML 页的第三方软件的，因此同样存在着中网页木 马的风险，也就是说，网页木马是防不胜防的。
什么是网页木马？

网页木马实际上是一个HTML网页，与其它网页不同的
是该网页是黑客精心制作的，用户一旦访问了该网页就会中
木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页
中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自
动下载黑客放置在网络上的木马并运行（安装）这个木马，
也就是说，这个网页能下载木马到本地并运行（安装）下载
网页木马传播方式——主动挂马
主动挂马则更多属于一种钓鱼性的攻击，通过 一些媒体，比如：电子邮件、即时通讯软件：QQ、 MSN等，由人为或者木马本身为了传播自己，给一 些好友发送一些欺骗性的链接，诱使对方点击， 来达到不可告人的目的。近年来，由于网站管理 员的水平逐步提高，入侵一个网站并挂马已经并 非易事，所以通过 即时通讯软件+网页木马来传 播自己的病毒数目迅速增多，在国内，最流行的 就是“QQ尾巴”，许多病毒都是借即时通讯领域 霸主—腾讯QQ的东风来传播自己的。
Flash网页木马可以嵌入普通网页，这就是说，它和普通的网页 木马 没有什么大的区别，只是更加具有欺骗性而已。另外一种利用 方式就是利用论坛进行挂马，由于很多论坛都支持播放Flash播放动 画，故利用论坛传播是一种非常有效的手段，所有浏览过帖子的人都 将成为受害者。
网页木马传播方式——被动网马
被动木马是指黑客出于某种不可告人的目的入 侵了某些大型网站，例如：黑客为了获取某网络游 戏的装备及金钱，入侵了某网游的官方网站或者其 他一些访问量很大的网站，在其中的首页嵌入了挂 马的代码。这样，访问过此网站的网民（无任何防 护措施）的计算机中就会被植入木马，该网民下次 登录网络游戏的时候，木马就会将帐号及木马在后 台悄悄地发送给盗号者。当然，并不是所有浏览该 网站的网民都会中招，否则就天下大乱了；因为网 络木马也要依赖具体的漏洞才能生存，及时打补丁 的用户就不会受到影响。如果这个漏洞是未公开的， 也就是俗称的“0day”，恐怕大多数网民就要遭殃 了。
MS06-005 Microsoft Windows Media Player畸形位图文件处理堆溢出漏洞
常被用于挂码的第三方软件
软件名称 联众游戏 超星阅读器 百度搜霸 Web迅雷 暴风影音 CCTV RealPlayer
雅虎通
McAfee Security Center WinZip PPStream
常被用于挂马的微软漏洞
漏洞编号 MS06-001 MS06-014 MS06-057 MS06-071 MS07-017 MS07-004 MS07-027 MS04-023 MS05-001 MS06-004
漏洞名称 Microsoft Windows 图形渲染引擎WMF格式代码执行漏洞 Microsoft MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞 Microsoft IE WebViewFolderIcon远程整数溢出漏洞 Microsoft XML核心服务XMLHTTP控件内存破坏漏洞 Microsoft Windows动画光标畸形ANI头结构远程栈溢出漏洞 Microsoft Windows矢量标记语言缓冲区溢出漏洞 Microsoft Windows媒体服务器mdsauth.dll控件远程代码执行漏洞 Microsoft HTML Help任意代码执行漏洞 Microsoft IE Help ActiveX控件本地安全域绕过漏洞 Microsoft IE WMF图形解析内存破坏漏洞
Yahoo! Messenger 8.1.0.421 CYFT ft60.dll ActiveX控件 GetFile方式任意文件上传漏洞 McAfee Security Center McSubMgr.DLL ActiveX控件远程 溢出漏洞
WinZip FileView ActiveX控件存在缓冲区溢出漏洞
多媒体网页木马
随着互联网和多媒体技术的发展，很快就能 从网上下载一部电影，故网页木马又盯上了这些 多媒体文件。Helix Producer Plus 是一款图形 化的专业流媒体文件制作工具，这款软件把其他 格式的文件转化成RM或RMVB格式，也可以对已有 的RM文件进行重新编译，在编译的同时，可以把 事先准备好的网页木马插入其中。这样，只要一 打开这个编辑好的媒体文件，插入在其中的网页 木马也会随之打开，甚至还能控制网页木马打开 的时间，让网页木马更加隐蔽。
这些病毒一旦激活，可以利用系统的一些资源进行破坏。轻则修改用户
的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多
功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者
则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使
用户防不胜防。

目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户
网页木马发展历史
网页木马出现的历史要比木马和病毒出现的历史短的多，但究竟什么时候有的也无 法考证了。先前大多数以恶意网页为主，比如劫持浏览器的首页、修改注册表、死循 环弹出窗口等，在2001年的时候出现过几个利用MIME头漏洞、BMP网页木马等。真正的流 行实在2004年，网页木马开始大量出现，并且传播手段从仅仅的Web传播到发展出了邮件 网页木马、CHM网页木马、隐藏在媒体文件 中的RM/RMVB网页木马、WMV网页木马、 Flash网页木马等几种新的形式。另外， 挂马的手段也出现了诸如ARP欺骗挂马、 通过QQ尾巴诱使用户点击其中的链接等 几种新的手段。
Real公司和微软公司分别修补了这些可能被黑客利用的漏洞，但 现在这两个巨头在播放浏览器领域的产品份额很少，早已被暴风影 音，Kmplayer等播放器取代。
Flash网页木马
Flash动画是目前网络上最流行的一种互动式动画格式，这种动 画必须用Macromedia公司开发的Flash Player播放器才能正常观看。 Flash动画最初是用Future Wave公司开发的Flash软件来制作的，该 公司被Macromedia收购后得以大力发展，而Macromedia开发的Flash 软件现已成为制作Flash动画的主要工具之一，制作Flash动画的其他 工具还有Swish，闪客巫师等。目前Macromedia已被Adobe公司收 购.Flash网页木马的原理是，在网页中显示或本地直接播放Flash动 画时，让Flash自动打开一个网址，而该网址就是我们预先制作好的 一个网页木马。
PPStream (PowerPlayer.dll 2.0.1.3829) Activex Remote Overflow
邮件网页木马
网页木马没有具体目标，只能被动地等待受 攻击者，但邮件网页木马的出现正倒是弥补了网 页木马的这个缺点。邮件网页木马也使网页木马 的利用出现了一种新的形式，利用邮件系统对以 HTML形式发送的邮件的危险标记过滤不严，便在 其中嵌入了网页木马。邮件网页木马具有很强的 针对性，还配合社会工程学等手段，诱使目标单 机邮件。加入目标恰恰没有打补丁，那么，恶意 代码就进入目标的计算机中了。
到本地电脑上的木马，整个过程都在后台运行，用户一旦打
开这个网页，下载过程和运行（安装）过程就自动开始。
网页木马攻击原理
Leabharlann Baidu
网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其
实是使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒
植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，
如何引入网页木马？
在页面插入一个隐藏的框架 利用JavaScript引入网页木马 利用body的onload属性引入网页木马 利用层叠样式表CSS引入js，从而引入网页木马 利用隐藏的分割框架引入网页木马 利用数据库引入网页木马 利用统计网站大规模挂马 利用ARP欺骗引入网页木马
端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机
硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网
页病毒、网页木马有了可乘之机。而在我们分析网页病毒前，先叫我们
知道促使病毒形成的罪魁祸首：Windows 脚本宿主 和Microsoft
Internet Explorer漏洞利用
对于WMA,WMV格式文件，是利用其默认播放器Windows Media Player 的“Microsoft Windows 媒体播放器数字权限管理加载任 意网页漏洞”来插入木马的。当播放已经插入木马的恶意文件时， 播放器首先会弹出一个提示窗口，指出此文件已经过DRM加密，需 要通过URL验证证书，而这个URL就是事先设置好的网页木马地址， 当用户单机“是”进行验证时，便成功进行了值马。和RM/RMVB文 件一样，为了在WMV文件中插入木马，还需要一种工具——WMDRM打 包加密器，这是一款可以对WMA,WMV进行DRM加密的软件，软件本身 是为了保护媒体文件的版权，但在攻击者手中，便变成了攻击的利 器。
信息安全介绍
单击此处编辑母版标题样式
单击此处编辑母版副标题样式
从原理上来说，网络木马就是利用了一些已知的或者未知的系 统或第三方软件的漏洞，然后悄悄地下载病毒木马并执行。
由美国管理学家彼得提出的木桶原理表明：由多块木板构成的木 桶，其价值在于其盛水量的多少：当决定木桶盛水量多少的关键 因素不是其最长的板块，而是其最短的板块。这就是说，任何一 个组织的各个部分往往是优劣不齐的，而劣势部分往往决定整个 组织的水平。
计算机安全领域同样也适用这个木桶原理，安全与否往往取决于 整个系统最短的那一块板。就目前的安全形势来说，网页木马和 移动介质是整个系统最为薄弱的两块短板，大量的病毒、木马就 是通过这两个渠道疯狂传播的。通过U盘等移动储存介质传播的恶 毒代码可依赖杀毒软件对其查杀，而网页木马则更多地依赖于良 好的使用习惯以及一些安全工具杀毒软件往往是无法对其进行有 效查杀的。