网页挂马方式与解决

网页木马就是网页恶意软件威胁的罪魁祸首，和大家印象中的不同，准确的说，网页木马并不是木马程序，而应该称为网页木马“种植器”，也即一种通过攻击浏览器或浏览器外挂程序（目标通常是IE浏览器和ActiveX程序）的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。
作为网页挂马的散布者，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。为达到目的首先要将木马下载到本地。
常见的方式有以下几种：
1.将木马伪装为页面元素。木马则会被浏览器自动下载到本地。
2.利用脚本运行的漏洞下载木马
3.利用脚本运行的漏洞释放隐含在网页脚本中的木马
4.将木马伪装为缺失的组件，或和缺失的组件捆绑在一起（例如：flash播放插件）。这样既达到了下载的目的，下载的组件又会被浏览器自动执行。
5.通过脚本运行调用某些com组件，利用其漏洞下载木马。
6.在渲染页面内容的过程中利用格式溢出释放木马（例如：ani格式溢出漏洞）
7.在渲染页面内容的过程中利用格式溢出下载木马（例如：flash9.0.115的播放漏洞）
在完成下载之后，执行木马的方式有以下几种：
1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马
2.利用脚本运行的漏洞执行木马
3.伪装成缺失组件的安装包被浏览器自动执行
4.通过脚本调用com组件利用其漏洞执行木马。
5.利用页面元素渲染过程中的格式溢出直接执行木马。
6.利用com组件与外部其他程序通讯，通过其他程序启动木马（例如：realplayer10.5存在的播放列表溢出漏洞）
在与网马斗争的过程中，为了躲避杀毒软件的检测，一些网马还具有了以下行为：
1.修改系统时间，使杀毒软件失效
2.摘除杀毒软件的HOOK挂钩，使杀毒软件检测失效
3.修改杀毒软件病毒库，使之检测不到恶意代码。
4.通过溢出漏洞不直接执行恶意代码，而是执行一段调用脚本，以躲避杀毒软件对父进程的检测。
网页挂马的检测传统的检测防御方式：
1.特征匹配。将网页挂马的脚本按脚本病毒处理进行检测。但是网页脚本变形方、加密方式比起传统的PE格式病毒更为多样，检测起来也更加困难。
2.主动防御。当浏览器要做出某些动作时，做出提示，例如：下载了某插件的安装包，会提示是否运行，比如浏览器创建一个暴风影音播放器时，提示是否允许运行。在多数情况下用户都会点击是，网页木马会因此得到执行。
3.检查父进程是否为浏览器。这种方法可以很容易的被躲过且会对很多插件造成误报。目前，利用网页木马进行攻击已经成为流行的恶意用户攻击手段，应引起广大网民与网站的足够重视！
举例：
一、body挂马：
二、框架挂马：
三、js变形加密：
四、css中挂马：
五、隐蔽挂马：
六、js文件挂马：
七、图片伪装：
八、javascript挂马：
九、伪装调用：
十、高级欺骗：
(参考：http://www.linuxeden.com/html/newstest/20080112/44512.html)
以上几中虽然列出了常见的网页木马驻扎方式，但随着时间的推移，这些挂马方式将会演变成各种各样的形态，旨在盗取不同的机密与链接恶意用户指定的木马载有页，以达下载更多的木马病毒霍乱被感染的计算机，让其成为新的病毒木马载体源，从而为新一轮的感染创造条件。
要想防止木马病毒，必先对计算机安全作出加固，只有在作出防范的基础之上才能应对网马。 第一点：打入系统丁。由于各类漏洞会不断地被发现，而一些严重性较高的漏洞在发现后不久就会有相应的病毒出现。所以即时安装补丁可以降低病毒入侵的可能性。可以通过Windows Update获取最新的补丁包，对于浏览器来说，可禁用部分控件和脚本等安全性设置。
第二点：升级杀软与防火墙。当系统补丁更新完成后，那面对病毒木马来范时，只有杀毒软件与防火墙才能在第一时间得知信息通知用户，而其病毒库的更新就显得尤其重要。较新的病毒库可以识别出一定数量的木马，并阻断其恶意代码在本地运行，可大大降低木马感染的可能性。
第三点：网站浏览注意事项。网民在网络活动时，不要轻易接收从即时通讯中传递来的文件、音乐、影视，甚至网址。在面对邮箱里的附件时，应先查毒再下载。（这里建议用户选择智能杀毒较好的邮箱作为常用附件箱），不要随便浏览信用度不高的网站，如果遇到网络下载，那应尽量在较大的站点上下载，避免所下载的软件经过恶意捆绑。
感染后的应急措施
如果计算机被感染了木马，建议普通用户重装计算机或利用GHOST还原系统，并注意系统日期是否为当前日期，系统正常后立即安装系统补丁并升级杀毒软件病毒库，对全盘进行病毒扫描，随后在运行项里输入msconfig查看随机启动项是否有不明程序。为了防止用户资料泄密，应当修改所有的用户名和密码，以防不测。