浅谈HTA(HTML Application)和病毒的关系

　　HTA是HTML应用程序(HTMLApplication)的缩写，可以使用HTML中的绝大多数标签、脚本等。直接将HTML保存成HTA的格式，就是一个能够独立运行的应用软件。

　　与普通HTML网页相比，它多了个“HTA:APPLICATION”标签，其实就是这个标签提供了一系列面向应用程序的功能。最重要的是，它能够让你访问客户的机器，而不用担心安全的限制。

　　运行后缀名为hta的文件，此时会调用%SystemRoot%\system32\mshta.exe(HTMLApplicationhost)执行。

　　邂逅HTA病毒

　　1、初见HTA的骷髅头

　　2009年的时候，那时候貌似流行一个名为暴风一号的恶意脚本病毒，里面就包含了一段HTA恶意代码，它的目的是显示一个红色的骷髅头。

　　2、二见HTA：临时文件夹中缓存文件的奥秘

　　大概2010年5月份的时候有个AV界人士给了偶一个恶意HTA文件，找找病毒是什么运行的。这个文件让我们第一次见到了神奇的病毒加载方式：让IE自动缓存相应的病毒文件，然后让用户执行HTA自动查找病毒文件并执行。

　　3、三见HTA：与时俱进盯上你的IE主页

　　现在可以在不少的xx网站看到要求用户下载一个HTA文件(描述的内容和之前类似)，相对于之前的是木马加载器，这次常见的是直接实现现在最火热的恶意功能：篡改主页、添加推广链接等。