二、网页木马的攻击原理

　　网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马，也就是说，这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行(安装)过程就自动开始。

　　打开一个网页，IE浏览器不会自动下载程序和运行程序，这是因为，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面列举一些IE浏览器等存在的漏洞来分别说明为什么利用网页木马可以下载程序和运行程序。

　　1.下载可执行文件.

　　index里有一个代码漏洞，IE会把可执行文件误认为CSS样式表而下载到IE的临时文件目录.

　　也可以利用这段代码，把这段代码插入到网页源代码的…之间,运行后就会发现在IE的临时目录Temporary Internet Files下，已经下载了1.exe这个病毒文件。

　　2.自动运行程序

　　把这段代码插入到网页源代码的…之间，然后用IE打开该网页，这段代码可以在IE中自动打开记事本。

　　这段代码使用了shell.application控件，该控件能使网页获得执行权限，替换代码中的“Notepad.exe”(记事本)程序，就可以用它自动运行本地电脑上的任意程序。

　　通过以上的例子可以看出，利用IE的漏洞，在网页中插入相关的代码，IE完全可以自动下载和运行程序。

　　三、可能被网页木马利用的漏洞

　　1.利用URL格式漏洞

　　此类网页木马是利用URL格式漏洞来欺骗用户。构造一个看似JPG格式的文件诱惑用户下载，但事实上用户下载的却是一个EXE文件。

　　此类攻击，具有相当的隐蔽性，利用URL欺骗的方法有很多种，比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼，还有漏洞百出的“%30%50”之类的Unicode编码等等，现在列举比较常见的几种方法：

　　(1).@标志过滤用户名的解析

　　本来@标志是E-mail地址的用户名与主机的分隔符，但在URL中同样适用，而且功能如出一辙。HTTP(超文本传输协议)规定了URL的完整格式是“Http://Name：Password@IP地址或主机名”，其中的“IP地址或主机名”是必填项。@标志与其前面的“Name：Password”，意为“用户名：密码”，属于可选项。也就是说，在URL中真正起解析作用的网址是从@标志后面开始的，这就是欺骗原理。

　　比如用户访问“Http://www.sina.com@www.Trojan.com.cn/HuiGeZi_Server.exe”，从表面上看，这是新浪网提供的一个链接，用户会认为这是一个无害的链接，而点击，而实际上 “www.sina.com”只是个写成新浪网址形式的用户名(此处的密码为空)，因为后面有@标志。而真正链接的网址却是“www.Trojan.com.cn/HuiGeZi_Server.exe” 也就是说这个发来的URL地址其实完全等同于“Http://www www.Trojan.com.cn/HuiGeZi_Server.exe，而与前面的用户名毫无关系，只是迷惑性可就大大提高了。即使没有这个用户名，也完全不影响浏览器对URL的解析。