您的位置:首页资讯教你一招 → 剖析各类恶意网页和IE漏洞对策分析

剖析各类恶意网页和IE漏洞对策分析

时间:2004/10/15 1:15:00来源:本站整理作者:蓝点我要评论(1)

  编辑:tty搜集整理

  以前经常听到有朋友说,我上网只看新闻,查一些资料,我不下载东西,我不接收邮件,看病毒奈我何?而今,互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非,或者格盘,甚至中下木马,传播病毒,而且这种形式的传播愈演愈烈,闲话少说了,现在来分析一下各类恶意网页。 
分析前先介绍一下注册表的修改方法,因为注册表在网页病毒中是中枢,就是通过它让你的电脑面目全非。 
第一种方法:直接修改法 
就是在运行里敲入regedit,然后进行编辑,这是大家通常修改注册表的方法。 
第二种方法:reg包导入法 
现在以解锁注册表为例(其实解锁用兔子等工具更好更方便,这里只是说明如何建立reg包) 
对于WIN 9x/ME/NT 4.0来说,在记事本把下面的内容另存为*.reg文件,导入即可 

REGEDIT4 
;这里一定要空一行,否则将修改失败 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
"DisableRegistryTools"=dword:00000000 

对于WIN 2000或XP,把 REGEDIT4 改为Windows Registry Editor Version 5.00即可 

第三种方法:inf安装法 
对于98/ME,把下面的内容保存为.inf后缀文件,右键单击给文件选择安装即可 

[version] 
signature="$CHICAGO$" 
[DEFAULTINSTALL] 
ADDREG=unlock.ADD.REG 
DELREG=unlock.DEL.REG 
[unlock.ADD.REG] 
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system 
[unlock.DEL.REG] 
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system 

若为2000或XP,将CHICAGO修改为Windows NT 
至于其他修改格式,这里不多说,可以自己找找资料,真的不会建立其它的inf包可以和我联系:) 

第四种方法:vbs脚本法 
把下面的内容保存为.vbs后缀文件 
Dim unlock 
Set unlock = WScript.CreateObject("WScript.Shell") 
unlock.Popup "将为您解开注册表" 
unlock.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD" 

第五种方法:呵呵,是以其人之道还治其人之身的方法,这里不介绍(自己去网上找找资料) 
至于在DOS下编辑注册表,这里不再举例说明 
请大家切记,修改注册表前一定要备份注册表!!切记!! 
知道了方法,现在就来分析各类恶意网站和对付的方针 
恶意网站大致可以分成以下几类: 
一 利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为 
1。轻度修改注册表:比如标题拦,默认主页,搜索页,添加广告等,先来看看其中的一段原代码 
//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");恶意网页就是通过这个ID修改注册表的。 
//Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\Explorer\\NoRun", 01, "REG_BINARY"); 这一句代码可以让你的运行菜单消失。 
清除方法: 
本文对一般的被修改浏览器的解决方案不作提供,因为现在网上关于如何通过修复注册表来恢复的文章很多 ,大家可以自己找来看看 
我认为这一类的修改一般可以通过注册表修复工具来修复,不必手动去修改。 
常用工具有:超级兔子魔法,优化大师,3721魔宝石,杀毒王自带的IE修复器等 
瑞星的注册表修复工具:http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/spite ful.htm 
毒霸的注册表修复工具:http://sh.duba.net/download/other/tool_011027_RegSolve.htm 
推荐一个很好的在线修复网站:www.j3j4.com 
补丁:WINDOWS 2000:http://www.microsoft.com/china/windows2000/SP2.htm 
WINDOWS 9X用户 :http://www.microsoft.com/downloads/release.asp?ReleaseID=32558 

2。修改注册表禁止命令形式的修改,目的是不让用户通过注册表修复回去。 
最通常的修改是锁住注册表,还有破坏关联:比如.reg,.vbs,.inf等 
关于解锁注册表,在前面已经介绍了方法,至于被修改关联,只要我前面说的注册表修改的方法里的关联还 能用,就可以用其中的任意一个,但如果.reg,.vbs,.inf都被修改了,怎么办啊?,也不用怕,把 .exe 后缀改为.com后缀,我一样可以编辑注册表,.com也被改了,怎么办?没那么狠吧,行,我再改后缀为.scr 。嘿嘿,一样还可以修改。 
最好的最简单的办法,马上重新启动,按F8进入DOS下,敲入SCANREG/RESTORE,选择以前的正常时的注册表 还原就可以,注意了,一定要选择没被修改时的注册表!如果发现连scanreg都被删除了(一些网站就是这么 狠的,用A盘COPY一个scanreg.exe到COMMAN下即可 
有必要在这里说说常见的文件关联的默认值 
正常的exe关联为[HKEY_CLASSES_ROOT\exefile\shell\open\command] 
默认的键值为:"%1 %*" 将此关联改回去即可使用exe文件 

3。修改注册表后留后门,目的让你修改注册表好像成功,重新启动后又恢复到被修改的状态。 
这主要是在启动项里留了后门,大家可以打开注册表到(也可以用一些工具比如优化大师等来察看) 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKCU\Software\Microsoft\Windows\CurrentVersionRun- 
看看有没有可疑的启动项目,这一点最多朋友忽略,哪些启动可疑呢? 
我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的,最好都去掉,还有有.vbs后缀的 启动项也去掉,还有一个很重要的,如果有这一个启动项,出现有类似键值的,比如: 
system 键值是regedit -s c:\windows……请注意,这个regedit -s 是注册表的一个后门参数,是用来导 入注册表的,这样的选项一定要去掉 
还有一类修改会在c:\windows\产生.vbs后缀的文件,或是.dll文件,其实.dll文件实际是.reg文件 
此时你要看看c:\windows\win.ini文件,看看load=,run=,这两个选项后面应该是空的,如果有其他程序 修改load=,run=,将=后面程序删除,删除前看看路径和文件名,删除后在到system下删除对应的文件 
还有一种方法,大家如果屡次修改重启又恢复回去,可以搜索C盘下所有的.vbs文件,可能有隐藏的,用记 事本打开,看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉,你可以按中恶意网页的病毒的 时间来搜索文件:) 
下面的这个漏洞大家非常值得注意,很多朋友说,你说的方法我都试了,启动项里绝对没有什么可疑的,也 没有什么vbs文件,呵呵,大家在启动IE时还有一个陷阱,就是IE主界面的工具的菜单里的广告,一定要去 掉,因为这些会在你启动IE时启动,所以你修改完其他的先别着急打开IE窗口,否则白费力气,方法:打开 注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到广告就删,别留情 
一个很重要的问题,在中了恶意网页的陷阱后一定要先清空IE所有临时文件,切记! 

说了那么多废话,那如何防御这类恶意网页呢? 
一个一劳永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID删掉 
在注册表的路径为HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 
记住,看清楚了再删除,千万别删错其他。删掉这个F935DC22-1CF0-11D0-ADB9-00C04FD58A0B对系统不会有 影响的。 
在IE的选单栏中选择“工具”→“Internet选项”,在弹出的对话框中切换到“安全”标签,选择“ Internet”后点击“自定义级别”按钮,在“安全设置”对话框中,把“ActiveX控件和插件”、“脚本” 中的相关选项全部选择“禁用”或“提示”即可。但如果选择了“禁用”,一些正常使用ActiveX和脚本的 网站可能无法完全显示。建议选择:提示。遇到警告时,看看该网站的原代码,如果发现有出现 Shl.RegWrite等的代码,就不要去了,如果是加密的原代码,不是自己熟悉的网站也不要去,如果连右键都用不了的,也要小心为好(看看原码有什么所谓啊,除非有什么好的JAVA或是恶意代码) 
对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的“ActiveXComponent.class删掉,对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉,这些删掉不会影响正常浏览网页 
在Windows 2000/XP,可以通过禁用“远程注册表服务”来阻挡部分恶意脚本。具体方法是:在“控制面板”→“管理工具”→“服务”中右键单击“Remote Registry Service”,在弹出选单中选择“属性”,打开属性对话框,在“General”内将“Startup ype”设为“Disabled”。这样也可以拦截部分恶意脚本程序。 
嘿嘿,不用IE。用其他浏览器也可以…… 
大家在中了恶意网页的陷阱后,先不要立即重新启动计算机,到启动项里看看,有没有什么危险的启动项,不如deltree之类的 

二 利用IE漏洞直接破坏Windows系统 
如今利用浏览网页格式化硬盘已经不是什么新鲜事了,当某一天,你上网时突然跳出警告说当前页面包含 不安全的页面,如果你选择“是”,很可能硬盘被格式化掉 
看看它的部分原代码: 
//wsh(……) 
防御这一类网页,可以用下面的方法: 
删掉F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID,因为这个ID可以用来生成命令格式,可以执行硬盘 的可执行文件,具体路径 
HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 再次提醒,别删错了。 
建议大家都把deltree.com和format.com命令改掉,比如用优化大师后改为deltree.wom和format.wom 
把C盘WINDOWS下的Wscript.exe改名也是一个办法。 
也可以卸载WSH: 
98/ME:进入“控制面板”,选择“添加/删除程序”,选“Windows安装程序”,选择“附件”,再选 择“详细资料”中的Windows Scripting Host,确定卸载。 
在Windows 2000中禁用WSH的方法是,双击"我的电脑"图标,然后执行"工具/文件夹选项"命令,选择" 
文件类型"选项卡,找到"VBS VBScript Script File"选项,并单击[删除]按钮,最后单击[确定]即可 
或者升级WSH到WSH 5。6 
IE浏览器可以被恶意脚本修改,原因就是IE 5.5以及以前版本中的WSH允许攻击者利用JavaScript中的 Getobject函数以及htmlfilr Activex对象读取浏览者的注册表。微软最新的Microsoft Windows Script 5.6已经修正了这个问 题。 
WSH 5.6 For Win9x/NT官方下载:www.microsoft.com 
WSH 5.6 For Win2000官方下载:http://www.microsoft.com/devonly/ 

三 安全性漏洞问题 

现在通过注册表可以在硬盘生成文件,可以读取注册表 
利用IE漏洞可以传播病毒,目前的浏览网页可以感染新欢乐时光等脚本病毒,很多是通过IE漏洞入侵的, 还有目前的网页木马的问题,其实也是利用了IE的MIME头错误漏洞,让用户自动运行木马程序,这一类程序制作容易,很容易传播,这一类的MIME头错误对策:打补丁或升级http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp 
1。看看IE 5.0的一个漏洞:可以写一段错误的HTML代码使你的IE当掉,代码这里就不便贴出来了。 
再来看看这个ID:0D43FE01-F093-11CF-8940-00A0C9054228就是用来生成文件的 
2。IE现在还有IFRME漏洞,通过这个漏洞可以让IE浏览页面后自动执行.exe文件 
防御对策:最好升级IE到SP2上”,或者安装PATCH Q290108(谢谢飘飘斑竹指出这里的错误),如果你真的不想用高版本IE,怕占用资源大,就一定要记住把补丁打上。因为目前很多病毒都是利用IE和OE的这个漏洞进行传播,爱情森林病毒是其中一个。 
还有删除HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228} 这个ID 
3。在IE6(build 2600)版本中,可以用一段javascript脚本代码让IE拒绝服务,98中能造成IE的不响应,当试图终止任务的时候,将造成操作系统的崩溃,2000中能造成50%的CPU被长时间利用,之后浏览器会询问是否让用。 
防御对策:把JAVA和脚本禁止掉,建议是升级IE或打补丁(看来不打补丁就是不行) 
4。IE中的框架(Frame)漏洞,IE 5.01,5.5.6.0都受到影响,利用这个漏洞可以泄露用户的信息。 
对策:打补丁:http://www.microsoft.com/Windowsupdate 
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp 

获取控制权限此类黑手会利用IE执行Actives时候发生,虽然说IE提供对于"下载已签名的ActiveX控件"进行提示的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支: 
解决方法是在注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。 

四 无聊恶意网页 
这一类网页是利用编写JAVASCRIPT代码,比如弹出无数关不完的窗口,只能让CPU资源耗尽重新启动,说句实话,现在国内的杀毒软件的网页监控对这类恶意网页根本没法拦截(国外的我没试过) 
这一类网页编写并不难,都是通过写一些死循环来达到目的。 
防御方法:将JAVA禁用。升级IE到高版本 
还有是利用WIN98的漏洞让你掉线或者是死机的,防御对策,给98拼命打补丁(不要用98了,2000稳定) 

大家上网时切记把网页监控或注册表监控打开,现在国内杀毒软件对写入注册表的行为的拦截的成功率都不错 

通过上面的分析可以看出一个很重要的问题:一定要时常给自己的系统打补丁,微软一般出了补丁,很快就有新的病毒代码来攻击的,所以切记时常打补丁! 

以上若有错误之处,还请大家不吝赐教!

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 电视盒子怎么看百度云迅雷9怎么关闭右侧 迅迅雷99.99下载不完怎么网易云音乐怎么上传歌

最新文章 2022支付宝万能福扫福微信迎新春状态怎么设 微信小老虎头像怎么设置 微信ID后面设置小老抖音压岁钱卡怎么获得2022 抖音压岁钱获取方微博隐私保护怎么设置 微博隐私保护功能完善今日头条2022年集卡活动开启时间 今日头条2

人气排行 智学网怎么登录 智学网怎么查分数 智学网统教你怎么写电子邮箱格式?以163和QQ邮箱为例腾讯大王卡用了后悔怎么办 腾讯大王卡值得办缺少或丢失xinput1_3.dll解决方法,xinput1应用程序无法正常启动0xc000007b解决方法快播关闭怎么办?快播不能用了怎么看片将pdf文件转换为word文件的最简单方法如何破解QQ空间密码和权限