一個簡單的HTML病毒分析

一直就想寫這篇東西了，只是上班時說要上班，不寫，回家後又忙著玩遊戲，丟一邊去了。現在只好不務正業的開寫了，希望頭兒不會知道我的blog。哈哈 　　在很久之前就對HTML的病毒高度興趣了，很好奇怎麼能遠程向本地不經過允許就能下載可執行檔的，只是一直沒機會搞得到ASP的原碼，所以不才敢斷章取義的去作什麼分析。最近一次聽一朋友說他看一個網頁時病毒防火牆提示有病毒，叫我小心(先感謝一下他先)，我閃了一下念頭，就開啟FlashGet把那個病毒首頁下了下來。
　　　稍微看了一下發現在首頁代碼的下面幾行裡有一個隱含的浮動幀。其引用的URL地址並不是本地的，感覺應該是了，然後再次動用FlashGet下了下來。居然發現放病毒的空間不支援ASP，下下來的ASP檔案是源檔案。這樣興趣來了，三下五除二的把所有病毒的相關檔案都下了下來。
　　　由於這個病毒很簡單，所以我也只摘抄了一些片段而以，如果實在感興趣的話，不防去找一個有病毒的網頁瞅瞅，不過，不要用IE去看，要用FlashGet等下載工具下載下來，再用記事本開啟，不然中招了可不要來找我，好了本文開始。
　　　真正的病毒有三個檔案，一個是引導檔案，一個是下載檔案，第三個是啟用檔案。
　　　第一個引導檔案 　　　　關鍵區段是： 　　　　　　　　這個作用是將下載和啟用兩個檔案當作該頁的對象來引用並運行，這個也是病毒檔案能夠在本地進行感染的關鍵地方，在引用的檔案裡居然能夠無阻礙的引用用戶端的Action組件，唉唉，這就是那把刀啊。
　　　第二個是下載exe病毒檔案 　　　　然後是怎麼將exe下載下來，而不彈出下載的提示框呢。這個是收下載檔案來完成的任務。
　　　　　該病毒的作法是在伺服器端用Microsoft.XMLHTTP組件和response.contenttype = "image/gif"將病毒檔案以圖片格式下載到用戶端的網頁緩衝裡(這裡是很簡單的Get/BinaryWrite操作，就不詳細說了)。
　　　第三個是啟用 　　　　感覺啟用的過程很巧妙，病毒是先用fso在c:下產生一個hta檔案，將啟用過程寫到這個檔案裡。然後再用WScript.Shell來運行這個檔案。這樣，啟用過程中需要大許可權的操作(比如：寫註冊表操作)就沒問題了。
　　　　　具體操作過程是這樣的。將在網頁緩衝目錄裡的病毒檔案移動到系統檔案目錄，然後改名為win.exe。再往註冊表裡寫入自啟動的鍵，使得病毒能在系統重啟後自動啟動，然後刪除hta檔案，完成感染和啟用。
　　　這就是病毒的基本運行過程(依照慣例病毒破壞部分就不提了)，但是這個對我們有什麼用呢，其實這種病毒我是很討厭的，但是，其下載exe和啟用過程還是有可利用的地方的。比如：你作的系統必須要用戶端下載一些組件並啟用後才能使用的，這種操作面對瞭解的人當然是不成問題，但是如果你面對的是那種網路是什麼都還沒搞清林的使用者時，我估計系統還沒開始使用你的電話就要打爆了。如果借用種方式，在對方允許的情況下自動下載組件，並自動啟用，那就省事多了，是吧。
　　　不過，這種方式對小形檔案是很方便，如果要下載1m以上的檔案..那就要考慮多線程下載的操作了，當然這個不是這篇文章的範圍了。以後有機會再說說用ASP+XML實現WEB多線程上傳多線程下載的方法吧。