网页传播的木马原理及对策

大家在浏览网页的时候，一不小心就会中木马。有的人很疑惑：“我又没有运行一些不不认识的程序，怎么会感染木马呢？”。其实按照现在的木马技术，根本不需要你主动运行它，只需利用操作系统的不安全的地方，通过浏览网页的过程自动注入的。请看下文。

一、网页木马或病毒传播机理：

我总结了一下，大概有以下几步骤：

1、下载木马程序。
这里使用Microsoft.XMLHTTP对象和ADODB.Stream对象将网站上事先放好的木马可执行文件（exe或dll形式的com组件）下载到本地。Microsoft.XMLHTTP对象负责获取木马文件内容，ADODB.Stream对象负责存盘。这种方法，我们开发Linkworks.net中所用到的Ajax技术已经用到了，我不多说了。

2、放置木马程序到指定的目录、伪装木马程序为系统文件

这里调用Scripting.FileSystemObject 组件将下载的木马程序拷贝到指定的目录。
这两个组件完成的功能一样，都是对文件，文件夹进行拷贝，删除，移动，重命名等操作。

我挑出了一些方法，大家看一下，一旦在脚本中调用这些方法，就可以在你机器上任意位置埋藏木马。

        //列举驱动器
        IDriveCollection* Drives();
       
 //判断驱动器是否存在
        VARIANT_BOOL DriveExists([in] BSTR DriveSpec);

        //判断文件是否存在
        VARIANT_BOOL FileExists([in] BSTR FileSpec);

        //判断目录是否存在
        VARIANT_BOOL FolderExists([in] BSTR FolderSpec);
       
 //获取特殊路径（如系统路径，临时路径。。。）
        IFolder* GetSpecialFolder([in] SpecialFolderConst SpecialFolder);

 //删除文件
        void DeleteFile([in] BSTR FileSpec, [in, optional, defaultvalue(0)] VARIANT_BOOL Force);

        //删除目录
        void DeleteFolder([in] BSTR FolderSpec, [in, optional, defaultvalue(0)] VARIANT_BOOL Force);
      
 //移动文件
        void MoveFile([in] BSTR Source,[in] BSTR Destination);

        //移动目录
        void MoveFolder([in] BSTR Source, [in] BSTR Destination);

        //拷贝文件
        void CopyFile([in] BSTR Source, [in] BSTR Destination, [in, optional, defaultvalue(-1)] VARIANT_BOOL OverWriteFiles);
       
 //拷贝目录
        void CopyFolder([in] BSTR Source,[in] BSTR Destination,[in, optional, defaultvalue(-1)] VARIANT_BOOL OverWriteFiles);
       
 //创建目录
        IFolder* CreateFolder([in] BSTR Path);

 //创建文本文件
        ITextStream* CreateTextFile([in] BSTR FileName,[in, optional, defaultvalue(-1)] VARIANT_BOOL Overwrite, [in, optional, defaultvalue(0)] VARIANT_BOOL Unicode);

        //打开文本文件
        ITextStream* OpenTextFile([in] BSTR FileName,[in, optional, defaultvalue(1)] IOMode IOMode, [in, optional, defaultvalue(0)] Tristate Format);

 //获取标准的输入输出流
        ITextStream* GetStandardStream([in] StandardStreamTypes StandardStreamType,[in, optional, defaultvalue(0)] VARIANT_BOOL Unicode);

3、注入木马，获取计算机的控制权
    对于木马的形式是dll的com组件的，一般木马作者会将这种com组件做成“Shell扩展”、“浏览器插件”、“浏览器辅助对象”、“地址栏挂钩”、“网络协议劫持插件”、“网络协议过滤插件”，“office的Addin程序”等等形式。这里就需要修改注册表的操作了。脚本程序可以通过调用WScript.Shell对象的RegRead、RegWrite、RegDelete方法来实现注册表的操作。

    对于木马形式是exe的,那就有很多方法进行注入了
1) 调用WScript.Shell对象的Run或Exec方法来直接执行exe程序.
2) 调用Shell.Application对象的Open或Explore方法来执行exe程序。
3) 调用WScript.Shell对象的RegRead、RegWrite、RegDelete方法将exe文件设置为开机自动启动。自启动的程序有多种多样，这里暂不扩展。
4) 调用WScript.Shell对象的CreateShortcut方法创建一个快捷方式，放到开始菜单中的启动目录里。以便下次开机运行。
5) 调用Scripting.FileSystemObject对象的CreateTextFile方法创建一个批处理文件、vbs文件、js文件等可执行的脚本文件来运行exe。

二、对策

        首先vb脚本或javascript脚本的运行，虽然可以在IE中被禁用，但这样会导致目前大多数网站的浏览不正确，这显然不是我们所希望的。
        如果我们能阻止脚本程序对本机的文件操作、目录操作、注册表操作、程序运行等进行控制，那自然可以起到阻止木马入侵的功能。
我们先分析一下以上关键的com对象：

Scripting.FileSystemObject  是由系统目录中的scrrun.dll实现
WScript.Shell    是由系统目录中的wshom.ocx实现
Shell.Application   是由系统目录中的SHELL32.dll实现

因此我们可以 写一个批处理文件，将这三个不安全的组件进行卸载，批处理文件内容如下：

regsvr32 /u /s %SystemRoot%/system32/SHELL32.dll
regsvr32 /u /s %SystemRoot%/system32/wshom.ocx
regsvr32 /u /s %SystemRoot%/system32/scrrun.dll

当这几个com组件卸载后，恶意脚本就无法进行文件，注册表操作以及运行程序了，想注入自然不可能了。

三、影响

        scrrun.dll，wshom.ocx，SHELL32.dll这几个组件基本都是给脚本调用的，我们常见的脚本又大多在网页中，只要我们自己的程序不去调用这些组件，那基本没什么问题了。
       不过我也发现了个别情况，比如Visual Studio .Net 2003开发工具，它创建一个工程时，所使用的工程模板中用到了脚本，并使用了Scripting.FileSystemObject对象，因而会出现创建工程失败的问题。还有Office 2003里，也会用到这个组件，但不影响正常使用。