关于网页木马

一般是怎么下载回来并运行的呢？？？

那个通用规则能防？？

去毒网基本就没动静啊。。。。

难道木马一定是可执行程序么？？

还有压缩包里面的病毒解压缩就会发作的  有这种情况么？？

深红的雪

1.这个在我的两个贴子里已经说得很清楚了
http://bbs.kafan.cn/viewthread.php?tid=171616&extra=page%3D1
http://bbs.kafan.cn/viewthread.php?tid=169638&extra=page%3D2

2.能

3.因为你打补丁了，网页上的恶意代码不能被执行，因此才没有动作。如果想试试规则的防护效果，建议装个XP SP1试试。

4.是的，但可执行程序不一定是exe，也可以是cmd,bat,com；广义上，脚本和dll格式也算可执行文件。木马只能是可执行程序，无论它作任何形式的伪装（例如伪装成JPG文件，利用ANi漏洞传播等），最终都要还原成exe、bat等格式才能被执行。大部分木马都是exe来的

5.压缩包里的东西，你要先将它解压，再让它运行，它才能发作。当然浏览器也可以自动执行这些操作的，例如对于格式为.cab的文件，浏览器会解压并执行（安装）里面的程序。但解压时，文件会解压在IE缓存文件夹中，最终还是还原成exe等格式。

[ 本帖最后由 rappar 于 2007-12-16 20:14 编辑 ]

原来都要转成可执行文件哦。。

懂了

那那个通用规则真的够bt啊

gxd

木马加载的方式多得很
js xml vbs activeX
几乎每个www的新功能都可以导致木马的进化
可以用joiner合并到正常的exe com里
可以用z-file伪装为bmp格式输出
也可以写成任何类型的文件，例如dll ocx vxd sys tmp
或者潜入到启动配置文件中，例如ini bat
从而达到自动运行的目的

原帖由 <i>gxd</i> 于 2007-12-16 20:19 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2289469&ptid=172188" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />
木马加载的方式多得很<br />
js xml vbs activeX<br />
几乎每个www的新功能都可以导致木马的进化<br />
可以用joiner合并到正常的exe com里<br />
可以用z-file伪装为bmp格式输出<br />
也可以写成任何类型的文件，例如dll ocx vxd sys tmp<br />
...

<br />

那看来我真要把ps装上咯？？

深红的雪

这个是没错，但在执行合并、潜入等操作之前，木马还不是都长一个样子

www的新功能层出不穷，这个是一个问题，但木马若要利用这功能所带来的漏洞，最终还是要通过浏览器来实现。（若浏览器不执行那些多余的新功能，恶意代码将无法工作）
一句话，管制好浏览器就能防止网马感染，就好像你根本没有上网一样，那是不会中任何木马的.........

深红的雪

XDaniel，看你把别人都吓怕了

其实太多担心是不必的，还不放心的话，可以自己研究一下网页木马的传播机理，那样你就会安心很多。

我知道最大的问题就是浏览器

问题是根本无从下手啊

打补丁 用火狐

深红的雪

木马先要下载到本地，再被执行，才能进行各种的操作。而这些操作又是由谁来完成？是浏览器！又是什么在控制浏览器？是网页上的恶意代码！
恶意代码如何控制IE？IE为何会在后台自动下载木马？那是因为恶意代码让IE调用了系统的组件，使IE获得对系统的各种操作权限，才能让木马下载并执行的。

无论是怎么样（即使它再强悍）的木马，这点都是一样的。
只要防止木马被下载和执行就足够了，完全不用担心。我的规则的防护重点就是这个。

这样说应该可以了吧？

[ 本帖最后由 rappar 于 2007-12-16 20:40 编辑 ]

深红的雪

其实有一招很绝的，就是禁止浏览器新建任何形式的文件（除了那些图片、网页、脚本、cookies、XML、css........等等），然后再禁止浏览器执行windows目录和IE缓存目录下的所有可执行文件即可。

但这样做可能多少影响使用，我就没有试过。