然而BMP木马就不同,它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录。再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表启动项中,在下一次开机时执行。但是这种技术只能在Windows9X下发挥作用,对于Windows2000、WindowsXP来说是无能为力了。
看上去好象很复杂,下面我们一步一步来:
EXE变BMP的方法
大家自己去查查BMP文件资料就会知道,BMP文件的文件头有54个字节,简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度,我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦),这样就可以欺骗IE下载该BMP文件,开始我们用JPG文件做过试验,发现如果文件头不正确的话,IE是不会下载的,转换代码如下:
|
以上代码可以在DELPHI4、5、6中编译,就可以得到一个exe2bmp.exe文件。大家打开MSDOS方式,输入exe2bmp myexe.exe mybmp.bmp,回车就可以把第二个参数所指定的EXE文件转换成BMP格式。
接着就是把这个BMP图片放到网页上了,如果大家打开过这张图片的话,一定发现这张BMP又花,颜色又单调。所以大家放在网页上最好用这样的格式:
|
以下是放在网页上的脚本:
|