淺談網頁木馬

高廷紅

臨沂大學沂水分校，山東 臨沂 276400

網頁木馬是指表面上偽裝成普通的網頁文件或是將惡意的代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。

1 背景和根源

網頁木馬這種安全威脅在中國萬維網上出現于 2003 年甚至更早，在此之前，國內黑客社區還主要由政治事件、炫耀技術能力、追求社區威望等動機所驅動，但隨著網絡游戲和虛擬交易的日益流行，一些惡意攻擊者尋找出通過攻擊普通因特網用戶從而快速獲利的網絡犯罪途徑，并形成了分工明確，組織嚴密的地下經濟鏈，而網頁木馬是其中最為主要的方式之一。

網頁木馬存在的技術基礎 ——安全漏洞。另一個使得網頁木馬安全威脅持續存在的根源是普通因特網用戶用于訪問萬維網的瀏覽器和相關應用軟件中存在的安全漏洞，這些安全漏洞為網頁木馬進入并感染受害主機提供了必要條件。

2 網頁木馬的實質

網頁木馬的實質是利用漏洞向用戶傳播木馬下載器。網頁木馬實際上是一個HTML網頁，與其它網頁不同的是該網頁是黑客精心制作的，用戶一旦訪問了該網頁就會中木馬。為什么說是黑客精心制作的呢。因為嵌入在這個網頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網絡上的木馬并運行（安裝）這個木馬，也就是說，這個網頁能下載木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網頁，下載過程和運行（安裝）過程就自動開始。

3 可能被網頁木馬利用的漏洞

3.1 利用URL格式漏洞

此類網頁木馬是利用URL格式漏洞來欺騙用戶。構造一個看似JPG格式的文件誘惑用戶下載，但事實上用戶下載的卻是一個EXE文件。此類攻擊，具有相當的隱蔽性，利用URL欺騙的方法有很多種，比如起個具有誘惑性的網站名稱或使用易混的字母數字掉包進行銀行網絡釣魚，還有漏洞百出的“%30%50”之類的Unicode編碼等等。

3.2 通過ActiveX控件制作網頁木馬

通過 ActiveX 把普通的軟件轉化為可以在主頁直接執行的軟件的網頁木馬，此類網頁木馬對所有的系統和IE版本都有效，缺點是瀏覽網頁木馬時會彈出對話框，詢問是否安裝此插件。病毒作者通常是偽造微軟、新浪、Google等知名公司的簽名，偽裝成它們的插件來迷惑用戶。

3.3 利用WSH的缺陷

利用WSH修改注冊表，使IE安全設置中“沒有標記為安全的ActiveX控件和插件”的默認設置改為啟用，然后再利用一些可以在本地運行EXE程序的網頁代碼來運行病毒。它的危害在于，可以利用IE的安全漏洞提升權限達到本地運行任意程序的后果。

4 網絡木馬的攻擊策略

為了將掛馬網站的訪問流量重定向至網頁木馬宿主站點，攻擊者通常使用如下四類策略。

4.1 內嵌HTML標簽

第一類策略使用內嵌HTML標簽，如iframe, frame等，將網頁木馬鏈接嵌入到網站首頁或其它頁面中。為了達到更好的隱蔽性和靈活性，攻擊者還經常利用層次嵌套的內嵌標簽，引入一些中間的跳轉站點并進行混淆，從而構建復雜且難以追溯的龐大網頁木馬網絡。

4.2 惡意腳本

第二類也是很常用的重定向策略是利用script標簽通過跨站腳本（XSS: Cross-Site Scripting）包含網頁木馬。跳轉腳本通常使用document.write生成包含網頁木馬鏈接的 iframe。內嵌標簽，或者比較少見的windows.open函數彈出一個新的HTML窗口連接網頁木馬進行攻擊。

4.3 內嵌對象

第三類重定向策略基于調用第三方應用軟件或瀏覽器幫助對象（BHO）的內嵌對象。當攻擊者發現這些第三方應用軟件或BHO 中存在某些可利用的安全漏洞，他們會通過構造。相應的內嵌對象，通過在掛馬頁面中包含，從而在其被打開時攻擊存有漏洞的軟件，從而獲得目標主機的控制權。

4.4 ARP欺騙掛馬

第四類是攻擊者使用一種危害度更高的網頁掛馬構建策略——ARP欺騙掛馬。這種方法不需要真正地攻陷目標網站，在攻擊安全防護嚴密的知名網站時非常有效，在同一以太網網段內，攻擊者通過ARP欺騙方法就可以進行中間人攻擊，劫持所有目標網站出入的網絡流量，并可在目標網站的HTML反饋包中注入任意的惡意腳本，從而使其成為將網絡訪問流量重定向至木馬宿主的掛馬站點。

5 網頁木馬的防范策略

網頁木馬的防范只靠殺毒軟件和防火墻是遠遠不夠的，因為一旦黑客使用了反彈端口的個人版木馬，那么殺毒軟件和防火墻就無可奈何，所以，網頁木馬的防范要從它的原理入手，從根子上進行防范。主要采取的防范策略有：

1）及時安裝安全補丁；

2） 改名或卸載最不安全的ActiveXObject（IE插件）；

3）提高IE的安全級別，禁用腳本和ActiveX控件。

6 結論

當今網絡，反病毒軟件日益增多，使用的反病毒技術越來越先進，查殺病毒的能力逐漸提高，但病毒制作者并不會罷休，反查殺手段不斷升級，新的病毒層出不窮，形式也越來越多樣化，為了躲避查殺，病毒自身的隱蔽性越來越高。網頁木馬對普通的因特網用戶構成了嚴重的威脅，要做到有效防范，從而阻止網絡犯罪者通過網頁木馬獲得非法收入。

[1]韓法旺.Web網頁木馬研究初探[J].科技信息，2008(19).

[2]呂磊.基于行為分析的網頁木馬檢測技術研究[J].哈爾濱工業大學學報，2009.