CHM木馬病毒

（以下所指的電子書均指CHM格式的電子書)其實這種方式的木馬傳播方法很早就有出現，但好象是多以網頁木馬的形式存在的，也就是把所謂的一個網頁木馬加入電子書里，這種效果和一般的網頁木馬的效果一樣受到漏洞範圍的限制，因此一直沒引起人們的太大關注，也許大家覺得這樣還不如直接的網頁木馬來得方便，其實不然，因為電子書相對與網頁而言有許多“優點”，當然這裡所謂的“優點”是指在傳播木馬方面而言的！

在正式打造我們的電子書木馬前，我們先分析一下它的“優點”吧！

一：因為電子書一般是在本地電腦域打開的，因此它所獲得的許可權也是本地電腦域的許可權，所以比起網頁木馬的Internet域來，讓木馬獲得執行的機會要簡單的多,“不必使用漏洞”就可以執行，從而也就不會被防毒軟體查殺，如果你的木馬程式夠好的話！也不必擔心別人打了漏洞補丁！(Windows 2003除外，原因下面會說到);

二：現在的網頁木馬由於影響力太大，一般的人上網都會小心三分提防的，且它依賴與漏洞，所以生存的空間正在逐漸縮小，與此相反的是電子書的火爆下載，使得電子書木馬的傳播能力以及範圍大大加強！

三：由於木馬程式嵌入電子書里，一般的防毒軟體無法對其中存在的木馬病毒等破壞性程式進行檢查和清除，至少我還沒發現有哪個軟體可以做到這點，而且如果對這類電子書進行檢查，防毒所需時間也會過長！

四：還有最後一點就是，網頁木馬一般都要自己辛辛苦苦的去傳播，並且站點隨時可能被關閉，而咱的電子書卻可以讓許多大的下載站點為咱做點貢獻！獲得長久時間的傳播，當然前提是這本電子書夠精彩！

好啦！下面就讓我帶大家一步步打造個超級隱蔽的電子書木馬吧！

首先準備好工具如下：

1：Microsoft HTML Help Workshop V1.32
電子書製作
工具，由微軟公司出的編程配套軟體，可以幫助您建立 HTML 格式的幫助檔案！當然也可以用Quick CHM等其他CHM格式的電子書製作工具；
2：超級木馬一隻（也就是一個你覺得最好的木馬程式一個而已），本文演示用“Window 按鈕突破專家”這個小軟體”；
3：現在最火爆的電子書籍若干，當然如果你有能力自己做我也不反對，本文演示用Windows 2000的幫助文檔WINNT\Help下的access.chm開刀！

準備好了嗎？開始製作吧！

第一步：

打開access.chm，在右側的空白處，點擊右鍵選單，選擇屬性，出現對話框：

我們可以知道這個電子文檔的默認主頁是：accessibility_overview.htm，標題欄文字是：輔助選項

第二步：

製作一個可以讓木馬運行並且同時可以自動轉到原電子書的默認主頁的網頁icyfox.htm，代碼如下：

說明：把其中的accessibility_overview.htm改為你用的電子書的默認主頁名，把“Window 按鈕突破專家.exe”改為你的木馬程式名！

另外，如果你的木馬程式體積比較大，請相應的把上面的轉向時間3改的值大一點！

在Windows 2003中默認在本地電腦域中好像並不允許OBJECT標籤運行本地程式（我自己沒裝Windows 2003），所以不適合在Win2003使用！當然我們可以在代碼中加入判斷是否是Windows 2003的語句，來隱藏自己的木馬！用navigator.appVersion屬性判斷!

第三步：

打開HTML Help Workshop，選擇File選單下的Decompile...項，對access.chm進行反編譯。

編譯後的目錄“G:\CHM木馬”中可以看到access.hhc（對應幫助文檔左側的“目錄”項）和access.hhk（對應幫助文檔左側的“索引”項）；

第四步：
建立一個新的帶有木馬的電子書；

把“Window 按鈕突破專家.exe”，也就是你的木馬程式複製到反編譯後的目錄“G:\CHM木馬”中，並在此目錄下建立一個icyfox.hhp的檔案（用記事本即可！），內容如下（注意;號後面的注釋不要寫上）：

[OPTIONS]
Compatibility=1.1 Or later
Compiled file=access.chm ;把access.chm改為你要生成的電子書名
Default Window=Main
Language=0x804 中文(中國)

[WINDOWS]
Main="輔助選項","access.hhc","access.hhk","icyfox.htm",,,,,,0x420,150,0x104E,,0x0,0x0,,,,,0
;把上面的"輔助選項"改為你第一步時得到的標題欄文字，"access.hhc"及"access.hhk"分別改為你第三步得到的檔案名稱
[FILES]
icyfox.htm

Window 按鈕突破專家.exe ;把它改為你要嵌入電子書的木馬程式名

最後，用HTML Help Workshop打開icyfox.hhp，點擊左側最下面的編譯按鈕，稍等一會就可以在“G:\CHM木馬”目錄中發現已經編譯好的帶有木馬的電子書access.chm，打開看看！

加入電子書中的程式是不是運行啦？！還和原來的電子書滿相似的吧！當然由於我直接用的上面的icyfox.hhp直接來編譯出來的，並沒有對電子書進行更細緻的調整，所以和原來的相比有點差異，當然如果你願意，做出和原電子書一樣的界面也可以的！^:^

當然我直接寫出icyfox.hhp這個檔案的內容，也決不是為了多賺稿費，一方面免去製作電子書的過程說明，更重要的是因為它對你做一個可以“傳染”其他電子書的木馬是有作用的，不過鑒於這樣做已經具有病毒的傳染特性，其危害性過大，所以請不要找我要方法和代碼，也請自己想出方法寫出程式的各位大哥，不要進行大規模的散發！

看到這裡你也許會質問我所說的“優點”中的第四條根本沒法實現，因為當“下載站點”的站長打開時同樣會運行木馬，所以他就不會在為你“免費服務”啦，咋辦？

最會，就讓我和大家一起解決這點小問題，如何逃過那些“下載站點”的木馬檢測，而讓他們不知不覺的幫助你傳播電子書木馬！

分析一下，那些“下載站點”一般不會把你提供的電子書進行反編譯吧？！所以只要在他們打開你的電子書查看時，不運行你的木馬程式，這樣他們就會放心的把它放到自己的站點上供其它人下載！我的方法是在icyfox.htm中加入用於判斷時間的javascript代碼，當大於某日期時，再動態寫入運行木馬的HTML代碼，從而逃過檢測，修改後的icyfox.htm如下:

//以下是在2004年4月11日至2004年4月18日之內不運行木馬
var ris = 11; //起始日
var rie = 18; //結束日
var yue = 4; //月
var nian = 2004;//年

var riqi = new Date();
var d = riqi.getDate();
var m = riqi.getMonth()+1;
var y = riqi.getYear();

WIE=navigator.appVe
rsion;

//if(WIE.indexOf("在此加入代表Win2003的字元串")==-1){執行下面的代碼}//用這句可以防止在Win2003中運行木馬
//我因為沒有Win2003所以不知道版本該如何寫，請裝Win2003的兄弟把他改好！

if(y!=nian||m!=yue||drie)
{
document.write('');
document.write('');
}

想想，你說這個電子書木馬的生存傳播效果如何？！

最後，我說一下對這種電子書木馬的預防措施：

1.老生常談，下載電子書在一些比較正規的大的站點進行，因為這裡的書籍一般都是他們自己做的；

2.積極自我防護，修改本地安全屬性，使其無法在本地電腦域環境中運行木馬程式，相應的註冊表鍵值為：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0下的1004項的值由原來的0改為十六進制的3，
如果你想詳細修改本地電腦域的安全屬性，可以把此同分支下的Flags項的值由原來的十六進制21改為0，再打開IE瀏覽器“Internet 選項...”中的的“安全”標籤，是不是多了一個“我的電腦”圖示，仔細改改它的安全級別吧