[摘要]一、网页“黑手”常见的十种攻击现象 随着网络的日益普及,我们的网络已经越来越不安全,来自网络的攻击手段也越来越多了。有的利用软件或系统操作平台等的安全漏洞,强行修改用户操作系统的注册表及系统实用配...
一、网页“黑手”常见的十种攻击现象
随着网络的日益普及,我们的网络已经越来越不安全,来自网络的攻击手段也越来越多了。有的利用软件或系统操作平台等的安全漏洞,强行修改用户操作系统的注册表及系统实用配置程序(msconfig.exe),通过嵌入在网页中的脚本程序修改IE浏览器;有的则直接破坏我们的Windows系统。有些非常直观,有些则非常隐蔽,以致让我们中了毒还全然不知……为了有效地预防这些“网页杀手”,让我们先来看看最常见的几种攻击现象吧:
①修改IE浏览器的标题栏、默认主页、安全设置等;
②开机时出现一些莫名其妙的提示信息,有的是诸如“请立即关机,否则……”的警告;有的是“欢迎来到……”(如臭名昭著的“万花谷”病毒);
③在更改了IE的相关设置之后,锁定其中有关设置项,使无法更改回来;
④在浏览器窗口中点击右键,菜单中出现非法站点的链接;
⑤“开始”菜单被修改。常见的修改有:禁止或隐藏“关闭系统” ;禁止或隐藏“运行” 、“注销” ;隐藏C盘甚至所有的硬盘!
⑥禁止使用注册表编辑器regedit。当我们运行“regedit.exe”时,系统会弹出一个:“注册表已被管理员所禁用,请找系统管理员联系……”等字样的信息提示框,点击“确定”后,退出“regedit.exe”,从而无法使用注册表编辑器;
⑦使系统无法进入“实模式” 。即使重新启动时按下<F8>功能键,在出现的启动菜单选项中也没有“MS-DOS Prompt”等字样,只能启动到图形界面,而使我们在实模式下的所有“梦想”都无法实现;
⑧耗尽系统资源。这种网页黑手会执行一段Java Script代码并产生一个死循环,以至不断消耗本机系统资源,最后导致系统死机。它们会出现在一些恶意网站或者邮件的附件中,只要打开附件程序后,屏幕上就会出现无数个IE窗口,最后只有重新启动计算机;
⑨非法读取文件。当打开某个网页之后,我们的硬盘或总分文件(夹)会被设置为共享。这样,我们的个人秘密在网上就荡然无存了;
⑩格式化硬盘。在感染此类破坏程序后,一般会出现一个信息提示框,提示:“当前的页面含有不完全的ActiveX,可能会对你造成危害,是否执行?Yes,No”,如果单击“Yes”,那么硬盘就会被迅速格式化,而这一切都是在后台运行的,不易被察觉。这是一种非常危险的网页黑手,它是通过IE执行ActiveX部件并调用Format.com或Deltree.exe来进行格式化或者删除文件夹的。 除了以上十种常见现象之外,还有利用更改msconfig.exe的启动项中的程序来达到目的的,比如:开机就会弹出某个网页;每次修改了注册表后,重新启动注册表又被改回去;每隔一段时间就弹出IE窗口等等。而且,网络的日新月异,也使我们不可能穷尽所有的现象。总之,只要是在上网的过程中,出现的异常现象,我们都要提高警惕。
二、对付网页“黑手”的方法
了解了网页“黑手”的常见手法及现象之后,我们就来对症下药,看看如何防范或修理这些不受欢迎的“黑手”!
如果你的机器尚未中毒,恭喜你!但做好预防工作却是刻不容缓的。但首先要有安全意识。请记住以下几条上网操作安全规则:不要轻易进入不了解的网站,尤其是那些看起来非常诱人的网站;不要随便打开陌生人发来的E-mail中的附件,比如扩展名是VBS、HTML、HTM、DOC、EXE的文件;下载文件最好到软件的开发商或者开发商所指定的网站去下载。
1、常见的防范措施
①做好注册表的备份
虽然系统每次启动时已经为我们进行了注册表的备份,但为了防止无法进入“实模式”等异常情况的发生,手工进行注册表的备份还是必要的。操作方法是:在Windows环境下,运行“regedit.exe”,然后选择“注册表”|“导出到注册表文件”。在“导出范围”处选中“全部”,设定保存备份文件的磁盘(最好不要选择C:盘)和位置,输入备份文件名,点击“确定”即可。如果是在DOS环境下,可运行“regedit /e d:\bak\regbak.reg ”将注册表文件全部备份到d:\bak文件夹下。万一被黑的情况下,如何恢复注册表呢?在windows状态下,可以直接双击以前备份的.reg文件进行导入恢复;在DOS状态下,执行:“regedit /c d:\bak\regbak.reg”即可重建注册表。如果事先没有手工备份注册表,可以用“scanreg /restore”命令恢复系统自动保存的注册表。
②打开注册表,删除以下主键:
A、HKEY_CLASSES_ROOT\CLSID\
B、HKEY_CLASSES_ROOT\CLSID\
这两个主键依次对应WScript.Shell的注册ID和FileSystemObject 对象的注册ID;而这两个对象都是我们用来现对各种脚本的运行和在脚本中访问文件系统的。删除了这两个主键,对我们的系统不会有任何影响。在很大程度上可以预防各种在网页中对于注册表的非法修改和在硬盘里面生成文件。
③将几个比较危险的外部命令改名存放
像Format.com,deltree.exe等,因为他们本身的功能很强大,而且对系统的破坏力极强,为了防止意外,我们可以把他们更名存放。比如:将format.com改为Fmat.com,将deltree.exe 更改为dtree.com,既安全又缩短了命令的长度。
④设定安全级别,将ActiveX插件和控件、Java脚本等全部禁止鉴于很多攻击是通过包含有恶意脚本实现攻击,可以提高IE的级别。在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框。把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做虽然比较安全,但在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
⑤对于Windows98第二版的用户,请打开C:\WINDOWS\JAVA\Packages\Kiz1b5jf.zip,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开
C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响到你正常浏览网页的。
⑥采取“以毒攻毒”的方法,以其治人之道还治其人之身。既然这类网页是通过修改注册表来破坏我们的系统,我们何不自己事先把注册表加锁,来达到预防的目的呢?加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)展开注册表
到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器Regedit.exe。
如果我们自己需要修改注册表,怎么办?当然需要先解锁。解锁方法如下:
将以下内容存入名为unlock.reg的文件中:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System] "DisableRegistryTools"=dword:00000000 需要使用注册表编辑器时,只需双击unlock.reg即可。对于Win2000或WinXP用户,请将“REGEDIT4”写为Windows Registry Editor Version 5.00。
⑦过滤指定网页
对于一些包含有恶意代码的网页,可以将其屏蔽,执行“工具/Internet选项”命令,选择内容选项卡,在“分级审查”中单击[启用]按钮,打开“分级审查”对话框,选择“许可站点”选项卡,输入不想去的网站网址,如输入:http://on888.home.chinaren.com,然后单击[从不]按钮,再单击[确定]按钮。
⑧卸载或升级WSH
通过前面的学习我们知道,有些利用VBScript编制的病毒、蠕虫病毒,比如 “I LOVE YOU”和“Newlove”,它们都包含了一个以 VBS为后缀名的附件,打开附件后,用户就会被感染。这些病毒是利用Windows内嵌的 WSH进行启动和运行的。也就是说,如果将WSH缷载,隐藏在VB脚本中的病毒就无法被激活了。
在Windows 98中删除WSH,打开“添加/删除”程序,选择“Windows 设置/附件”,并单击“详细资料”,取消“Windows Scripting Host”选项,完成后单击[确定]按钮即可。
在Windows 2000中删除WSH的方法是,双击“我的电脑”图标,然后执行“工具/文件夹选项”命令,选择“文件类型”选项卡,找到“VBS VBScript Script File”选项,并单击[删除]按钮,最后单击[确定]即可。
另外,还可以升级WSH 5.6,或者到www.microsoft.com下载最新版本的WSH。在新版本的WSH中,已经堵住了这一安全漏洞。
2、“中毒”后的对策
如果你不幸已经“中毒”,则应具体问题具体分析。如果你对手工修复注册表很有把握,而且在注册表没有被锁定的情况下,你完全可以发扬DIY的精神,自己修复注册表。或者用你最近一次对注册表所做的备份来覆盖当前注册表。还有,别忘了运行一下你的msconfig(系统配置实用程序),去掉“启动”标签下所有的程序项,特别是其中的网页文件、hta、vbs、js文件。当然,如果你对注册表并不是十分了解,或者说注册表已经被锁住的话,这里给你推荐几个实用的工具软件供你选择。
①自编recover.htm或recover.reg文件修改注册表
在《网页“黑手”是如何攻击你的Windows系统的?》一文中,我们曾经探讨过如何把脚本置于网页之中,来修改注册表的问题。既然“黑客”们用这种方法“黑”了自己一把,那我们也不妨来一次“虎口拔牙”,再把改掉的键值改回来!下面是Windows 9X环境下对付常见恶意代码的网页文件recover.htm的内容:
'Recover.htm 这是该网页的文件名
对于Win2000用户,因为部分键值发生了变化,上面的文件需要作一些调整。为了拓宽思路,我们不再制作成.htm的网页形式(读者朋友如果感兴趣,当然可以自己模仿着上面的recover.htm来转换,呵呵),而改用自己编制的注册表文件(.reg文件)导入到注册表中的方法进行修复。下面是 recover.reg文件的内容,选带命令行的安全模式,用命令regedit recover.reg导入,然后重启机器即可修复受损的注册表了。
recover.reg文件内容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer] "NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex: 0 "NoLogOff"=hex: 0 "NoDrives"=dword:00000000
"RestrictRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System] "DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System] "DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
WinOldApp] "Disabled"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
WinOldApp] "NoRealMode"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption"="" "LegalNoticeText"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"=""
②注册表被修改后的恢复工具大观
为了有效地预防和查杀这些恶意代码,安装比较好的杀毒软件是必需的。网络上的病毒日新月异,所以我们不能因为安装了某一款杀毒软件就高枕无忧,还就经常下载一些最新的病毒库来升级,更新自己的软件、增强他们的免疫力。这里,我首先给大家推荐下载的是“金山毒霸”的系列防黑小工具——注册表修复器(310K)、专杀工具之“中国黑客”系列(52K)、新欢乐时光专杀工具(52K)。下载的网址依次是:
http://www.iduba.net/download/
other/tool_011027_RegSolve.htm、Duba_RunOuce.htm、ScanVBSKJ.htm。这几个软件下载之后,都无需安装即可使用。其中“注册表修复器”可对IE进行全面的恢复,而且还提供了启动运行任务和IE右键菜单的管理工具,操作界面直观,就没必要多费口舌了,请大家自己搞定。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
……