一个简单的HTML病毒分析

长久以来，我一直渴望撰写关于HTML病毒的文章，但总是因为工作繁忙和游戏诱惑而搁置。如今，我决定投入我的时间和精力，来这个引人入胜的主题。希望你们的主管不会察觉我在此的博客活动。哈哈。

很久以前，我就对HTML病毒充满好奇，想要理解它们如何能够远程向本地，未经许可就下载可执行文件。一直没有机会获得ASP源代码的我，一直不敢轻易进行技术分析。最近，一个朋友的警告和一个病毒防火墙的提示，让我捕捉到了一个机会。他告诉我某个网页存在病毒，让我小心。我立即用FlashGet下载了这个病毒首页。

经过初步审查，我发现首页代码的某个SEO优化部分有一个隐藏的浮动帧，其引用的URL地址并非本地。我感觉到了病毒的迹象，于是用FlashGet将其下载。令我惊讶的是，存放病毒的空间并不支持ASP，我下载到的ASP文件是源代码。这激发了我的兴趣，我迅速将所有与病毒相关的文件都下载下来。

这个病毒相当简单，我只摘抄了一些关键片段。如果你对此非常感兴趣，我建议你找一个带有病毒的网页进行深入研究。但请记住，不要用IE打开它，要使用FlashGet等下载工具下载，然后用记事本打开。否则，如果你被病毒感染，别找我。

这个病毒有三个主要文件：引导文件、下载文件和激活文件。引导文件的关键部分是将下载和激活文件作为该页的对象引用并运行。这是病毒文件能够在本地进行感染的关键。第二个文件负责下载exe病毒文件，而不弹出下载提示框。它使用Microsoft.XMLHTTP组件和response.contenttype = "image/gif"，将病毒文件以图片格式下载到客户端的网页缓存里。第三个文件是激活文件，它的过程非常巧妙。病毒首先使用fso在c:\下生成一个hta文件，将激活过程写入这个文件，然后使用WScript.Shell来运行它。这样，激活过程中需要高权限的操作（如写注册表操作）就能顺利进行。具体操作过程是，将病毒文件移动到系统文件目录并改名为win.exe，然后在注册表中写入自启动键，使病毒能在系统重启后自动启动，最后删除hta文件，完成感染和激活过程。

尽管这种病毒令人讨厌，但其下载exe和激活过程仍有一定的应用价值。例如，如果你的系统需要客户端下载一些组件并激活后才能使用，了解这一过程将有助于你更好地服务用户。如果你面对的是那些对网络技术一知半解的用户，那么这种自动下载和激活的方式将大大提高效率和便捷性。这种方式更适用于小文件的下载，如果要处理更大文件，可能需要考虑多线程下载等更高级的技术。对于这方面的，我将留待以后的机会再进行详述。