灰鸽子”网页木马从原理、制作到防范 (二)

为什么一定要用灰鸽子木马呢？因为灰鸽子是反弹型木马，该木马能绕过天网等大多数防火墙的拦截，中马后，服务端即被控端能主动连接控制端（客户端），也就是说，一旦被控端连接到Internet，在控制端那里，被控端就会“自动上线”（如图2）。

图2 灰鸽子控制短示例（汗！又一大毒枭:)）

　　⒉自动运行程序

　　<SCRIPT. LANGUAGE="javascript" type="text/javascript"> var shell=new ActiveXObject("shell.application"); shell.namespace("c://Windows//").items().item("Notepad.exe").invokeverb(); </SCRIPT>

　　把这段代码插入到网页源代码的</BODY>…</BODY>之间，然后用IE打开该网页，你会发现，这段代码可以在没有打相关补丁的IE6中自动打开记事本。

　　这段代码使用了shell.application控件，该控件能使网页获得执行权限，替换代码中的“Notepad.exe”（记事本）程序，可以用它自动运行本地电脑上的任意程序。

　　通过以上的代码我们可以看出，利用IE的漏洞，也就是说在网页中插入适当的代码，IE完全可以自动下载和运行程序，不过，IE一旦打了相关补丁，这些代码就会失去作用。另外，这些代码要运行和下载程序，有些杀毒软件的网页监控会视它们为病毒，为了逃避追杀，黑客可能会使用一些工具对网页的源代码进行加密处理（如图3）。