网页木马攻击原理及防范

1 引言

特洛伊木马（Trojan），简称木马，是一种程序，这种程序被包含在（或附着在）合法的或表面上无害的程序上的恶意程序。木马具有很强的隐蔽性，而且能够自启动，并进行自我保护。与病毒不同的是，木马一般不会进行自我繁殖，也不会可以地去感染其他文件。

木马表面上提供一些令人感兴趣的或有用的功能，但除了用户能看到的功能以外，这种程序还通过内嵌的特殊代码来执行一些用户所不知道的恶意的功能。木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。

随着计算机技术的发展，木马的功能越来越强大，隐蔽性和破坏性不断提高，其数量也在急剧增加。充分了解木马的原理及技术，可以加强大家对其的防范意识，从而营造一个安全的上网环境。

2 网页木马的攻击原理

攻击者想要通过木马攻击用户系统，必须首先将木马程序植入到用户的计算机里。一般的木马程序都分为客户端和服务器端两个部分，其中客户端用户攻击者远程控制植入木马的计算机，服务器端程序即为木马程序。

我们都已经知道，木马实际上是前入到正常的文件里面的一种特殊的程序。网页木马实际上是一个HTML网页，他与其他网页所不同的是，这种网页中被嵌入了具有木马功能的脚本。为了安全起见，IE浏览器时不允许自动下载并运行程序的。但是，由于IE浏览器本身的安全漏洞使得黑客可以使其能够下载并执行他所嵌入的脚本，并且是在后台悄无声息地运行。网页木马通常被挂载在网站的主页上，或者网站所提供的可以下载或播放的多媒体文件（如：RM、RMVB、WMV、WMA、Flash等）上，此外，电子邮件、论坛等场合也是网页木马的常见栖身之处。

一旦用户打开了带有网页木马的网页，被嵌入的脚本就能自动开始运行并下载木马到本地电脑上。并且，这些被嵌入的脚本一般为了逃避杀毒软件的网页监控，通常都会使用一些工具对网页的源代码进行加密处理。

ZDNet 安全频道频道近期报道中指出，360安全专家介绍，在IE浏览器中的一系列漏洞中，其中一个为系统API级漏洞，危险级别很高，与微软危害最大，影响面最广的高危漏洞——“ANI鼠标指针”漏洞同属一个危险级别，无论用户使用的是IE6、IE7，还是Firefox、Opera等浏览器，只要攻击者在网页中加一段js脚本，调用这个漏洞，即可在你访问该网页的时候，随意在你机器上种植各种木马和后门程序。要防范利用此类漏洞的木马，必须要确保经常为你的IE打好补丁。或利用360安全卫士修复系统漏洞功能升级微软漏洞补丁，及时修补漏洞。IE一旦打了相关补丁，被嵌入网页中的代码就会失去作用。

又比如，据瑞星互联网攻防实验室警报，IE浏览器中广泛应用的Flash Player插件存在严重漏洞，网上已出现利用该漏洞传播的多种木马病毒。旧版Flash插件（9.0.115版及以前的版本）都存在该漏洞，Adobe公司已经在网上提供了弥补该漏洞的9.0.124版本，用户可以到如下网址尽快升级：

https://www.wendangku.net/doc/c514114968.html,/shockwave/download/flash/trig ger/en/1/index.html。

3 网页木马的自加载和进程隐藏技术

与其他类型的木马一样，网页木马为了能够在用户毫无察觉的情况下运行，同样也具有自加载技术和隐藏技术。

3.1 自加载技术

所谓自加载就是程序自运行。自加载的方法很多，比较常见的有将需要运行的程序加载到启动里面，或把程序的启动路径写到注册表的项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersi width="0" height="0" frameborder="0">

上段代码中，超链接src的值https://www.wendangku.net/doc/c514114968.html,/hk.htm就是上传到服务器上的网页木马的网址。