HTA是HTML应用程序(HTML Application)的缩写,可以使用HTML中的绝大多数标签、脚本等。直接将HTML保存成HTA的格式,就是一个能够独立运行的应用软件。
与普通HTML网页相比,它多了个“HTA:APPLICATION”标签,其实就是这个标签提供了一系列面向应用程序的功能。最重要的是,它能够让你访问客户的机器,而不用担心安全的限制。
运行后缀名为hta的文件,此时会调用%SystemRoot%system32mshta.exe(HTML Application host)执行。
邂逅HTA病毒
1、初见HTA的骷髅头
2009年的时候,那时候貌似流行一个名为暴风一号的恶意脚本病毒,里面就包含了一段HTA恶意代码,它的目的是显示一个红色的骷髅头。
2、二见HTA:临时文件夹中缓存文件的奥秘
大概2010年5月份的时候有个AV界人士给了偶一个恶意HTA文件,找找病毒是什么运行的。这个名“为★直接点击运行,播放色情电影★.hta”的文件让偶第一次见到了神奇的病毒加载方式:让IE自动缓存相应的病毒文件,然后让用户执行HTA自动查找病毒文件并执行。
3、三见HTA:与时俱进盯上你的IE主页
现在可以在不少的xx网站看到要求用户下载一个HTA文件(描述的内容和之前类似),相对于之前的是木马加载器,这次常见的是直接实现现在最火热的恶意功能:篡改主页、添加推广链接等。
4、解决方案
貌似偶注册表中hta文件关联直接删除了,貌似什么mshta.exe也可以干掉。