剖析各类恶意网页和IE漏洞对策分析

剖析各类恶意网页和IE漏洞对策分析双击自动滚屏发布者：owen发布时间：2004-8-23阅读：96次以前经常听到有朋友说，我上网只看新闻，查一些资料，我不下载东西，我不接收邮件，看病毒奈我何？而今，互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非，或者格盘，甚至中下木马，传播病毒，而且这种形式的传播愈演愈烈，闲话少说了，现在来分析一下各类恶意网页。分析前先介绍一下注册表的修改方法，因为注册表在网页病毒中是中枢，就是通过它让你的电脑面目全非。第一种方法：直接修改法就是在运行里敲入regedit，然后进行编辑，这是大家通常修改注册表的方法。第二种方法：reg包导入法现在以解锁注册表为例(其实解锁用兔子等工具更好更方便，这里只是说明如何建立reg包)对于WIN9x/ME/NT4.0来说，在记事本把下面的内容另存为*.reg文件，导入即可REGEDIT4；这里一定要空一行，否则将修改失败[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000对于WIN2000或XP，把REGEDIT4改为WindowsRegistryEditorVersion5.00即可第三种方法：inf安装法对于98/ME，把下面的内容保存为.inf后缀文件，右键单击给文件选择安装即可[version]signature="$CHICAGO$"[DEFAULTINSTALL]ADDREG=unlock.ADD.REGDELREG=unlock.DEL.REG[unlock.ADD.REG]HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system[unlock.DEL.REG]HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system若为2000或XP，将CHICAGO修改为WindowsNT至于其他修改格式，这里不多说，可以自己找找资料，真的不会建立其它的inf包可以和我联系:)第四种方法：vbs脚本法把下面的内容保存为.vbs后缀文件DimunlockSetunlock=WScript.CreateObject("WScript.Shell")unlock.Popup"将为您解开注册表"unlock.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"第五种方法：呵呵，是以其人之道还治其人之身的方法，这里不介绍（自己去网上找找资料）至于在DOS下编辑注册表，这里不再举例说明请大家切记，修改注册表前一定要备份注册表！！切记！！知道了方法，现在就来分析各类恶意网站和对付的方针恶意网站大致可以分成以下几类：一利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为1。轻度修改注册表：比如标题拦，默认主页，搜索页，添加广告等，先来看看其中的一段原代码//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")；恶意网页就是通过这个ID修改注册表的。//Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun",01,"REG_BINARY"）;这一句代码可以让你的运行菜单消失。清除方法：本文对一般的被修改浏览器的解决方案不作提供，因为现在网上关于如何通过修复注册表来恢复的文章很多，大家可以自己找来看看我认为这一类的修改一般可以通过注册表修复工具来修复，不必手动去修改。常用工具有：超级兔子魔法，优化大师，3721魔宝石，杀毒王自带的IE修复器等瑞星的注册表修复工具：/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/spiteful.htm毒霸的注册表修复工具：/download/other/tool_011027_RegSolve.htm推荐一个很好的在线修复网站：补丁：WINDOWS2000：/china/windows2000/SP2.htmWINDOWS9X用户：/downloads/release.asp?ReleaseID=325582。修改注册表禁止命令形式的修改，目的是不让用户通过注册表修复回去。最通常的修改是锁住注册表，还有破坏关联：比如.reg，.vbs，.inf等关于解锁注册表，在前面已经介绍了方法，至于被修改关联，只要我前面说的注册表修改的方法里的关联还能用，就可以用其中的任意一个，但如果.reg，.vbs，.inf都被修改了，怎么办啊？，也不用怕，把.exe后缀改为.com后缀，我一样可以编辑注册表，.com也被改了，怎么办？没那么狠吧，行，我再改后缀为.scr。嘿嘿，一样还可以修改。最好的最简单的办法，马上重新启动，按F8进入DOS下，敲入SCANREG/RESTORE，选择以前的正常时的注册表还原就可以，注意了，一定要选择没被修改时的注册表！如果发现连scanreg都被删除了(一些网站就是这么狠的，用A盘COPY一个scanreg.exe到COMMAN下即可有必要在这里说说常见的文件关联的默认值正常的exe关联为[HKEY_CLASSES_ROOT\exefile\shell\open\command]默认的键值为："%1%*"将此关联改回去即可使用exe文件3。修改注册表后留后门，目的让你修改注册表好像成功，重新启动后又恢复到被修改的状态。这主要是在启动项里留了后门，大家可以打开注册表到（也可以用一些工具比如优化大师等来察看)HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesHKCU\Software\Microsoft\Windows\CurrentVersionRun-看看有没有可疑的启动项目，这一点最多朋友忽略，哪些启动可疑呢？我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的，最好都去掉，还有有.vbs后缀的启动项也去掉，还有一个很重要的，如果有这一个启动项，出现有类似键值的，比如：system键值是regedit-sc:\windows……请注意，这个regedit-s是注册表的一个后门参数，是用来导入注册表的，这样的选项一定要去掉还有一类修改会在c:\windows\产生.vbs后缀的文件，或是.dll文件，其实.dll文件实际是.reg文件此时你要看看c:\windows\win.ini文件，看看load=，run=，这两个选项后面应该是空的，如果有其他程序修改load=，run=，将=后面程序删除，删除前看看路径和文件名，删除后在到system下删除对应的文件还有一种方法，大家如果屡次修改重启又恢复回去，可以搜索C盘下所有的.vbs文件，可能有隐藏的，用记事本打开，看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉，你可以按中恶意网页的病毒的时间来搜索文件:)下面的这个漏洞大家非常值得注意，很多朋友说，你说的方法我都试了，启动项里绝对没有什么可疑的，也没有什么vbs文件，呵呵，大家在启动IE时还有一个陷阱，就是IE主界面的工具的菜单里的广告，一定要去掉，因为这些会在你启动IE时启动，所以你修改完其他的先别着急打开IE窗口，否则白费力气，方法：打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Extensions看到广告就删，别留情一个很重要的问题，在中了恶意网页的陷阱后一定要先清空IE所有临时文件，切记！说了那么多废话，那如何防御这类恶意网页呢？一个一劳永逸的方法，把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID删掉在注册表的路径为HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}记住，看清楚了再删除，千万别删错其他。删掉这个F935DC22-1CF0-11D0-ADB9-00C04FD58A0B对系统不会有影响的。在IE的选单栏中选择“工具”→“Internet选项”，在弹出的对话框中切换到“安全”标签，选择“Internet”后点击“自定义级别”按钮，在“安全设置”对话框中，把“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”或“提示”即可。但如果选择了“禁用”，一些正常使用ActiveX和脚本的网站可能无法完全显示。建议选择：提示。遇到警告时，看看该网站的原代码，如果发现有出现Shl.RegWrite等的代码，就不要去了，如果是加密的原代码，不是自己熟悉的网站也不要去，如果连右键都用不了的，也要小心为好(看看原码有什么所谓啊，除非有什么好的JAVA或是恶意代码）对于Windows98用户，请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class删掉，对于WindowsMe用户，请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”删掉，这些删掉不会影响正常浏览网页在Windows2000/XP，可以通过禁用“远程注册表服务”来阻挡部分恶意脚本。具体方法是：在“控制面板”→“管理工具”→“服务”中右键单击“RemoteRegistryService”，在弹出选单中选择“属性”，打开属性对话框，在“General”内将“Startupype”设为“Disabled”。这样也可以拦截部分恶意脚本程序。嘿嘿，不用IE。用其他浏览器也可以……大家在中了恶意网页的陷阱后，先不要立即重新启动计算机，到启动项里看看，有没有什么危险的启动项，不如deltree之类的二利用IE漏洞直接破坏Windows系统如今利用浏览网页格式化硬盘已经不是什么新鲜事了，当某一天，你上网时突然跳出警告说当前页面包含不安全的页面，如果你选择“是”，很可能硬盘被格式化掉看看它的部分原代码：//<object……id=wsh……F935DC22-1CF0-11D0-ADB9-00C04FD58A0B……>wsh(……)</object>防御这一类网页，可以用下面的方法：删掉F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID，因为这个ID可以用来生成命令格式，可以执行硬盘的可执行文件，具体路径HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}再次提醒，别删错了。建议大家都把和命令改掉，比如用优化大师后改为deltree.wom和format.wom把C盘WINDOWS下的Wscript.exe改名也是一个办法。也可以卸载WSH：98/ME：进入“控制面板”，选择“添加/删除程序”，选“Windows安装程序”，选择“附件”，再选择“详细资料”中的WindowsScriptingHost，确定卸载。在Windows2000中禁用WSH的方法是，双击"我的电脑"图标，然后执行"工具/文件夹选项"命令，选择"文件类型"选项卡，找到"VBSVBScriptScriptFile"选项，并单击［删除］按钮，最后单击［确定］即可或者升级WSH到WSH5。6IE浏览器可以被恶意脚本修改，原因就是IE5.5以及以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及htmlfilrActivex对象读取浏览者的注册表。微软最新的MicrosoftWindowsScript5.6已经修正了这个问题。WSH5.6ForWin9x/NT官方下载：WSH5.6ForWin2000官方下载：/devonly/三安全性漏洞问题现在通过注册表可以在硬盘生成文件，可以读取注册表利用IE漏洞可以传播病毒，目前的浏览网页可以感染新欢乐时光等脚本病毒，很多是通过IE漏洞入侵的，还有目前的网页木马的问题，其实也是利用了IE的MIME头错误漏洞，让用户自动运行木马程序，这一类程序制作容易，很容易传播，这一类的MIME头错误对策：打补丁或升级/windows/ie/download/critical/Q290108/default.asp1。看看IE5.0的一个漏洞：可以写一段错误的HTML代码使你的IE当掉，代码这里就不便贴出来了。再来看看这个ID：0D43FE01-F093-11CF-8940-00A0C2。IE现在还有IFRME漏洞，通过这个漏洞可以让IE浏览页面后自动执行.exe文件防御对策：最好升级IE到SP2上”，或者安装PATCHQ290108(谢谢飘飘斑竹指出这里的错误），如果你真的不想用高版本IE，怕占用资源大，就一定要记住把补丁打上。因为目前很多病毒都是利用IE和OE的这个漏洞进行传播，爱情森林病毒是其中一个。还有删除HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C3。在IE6(build2600)版本中，可以用一段javascript脚本代码让IE拒绝服务，98中能造成IE的不响应，当试图终止任务的时候，将造成操作系统的崩溃，2000中能造成50%的CPU被长时间利用，之后浏览器会询问是否让用。防御对策：把JAVA和脚本禁止掉，建议是升级IE或打补丁(看来不打补丁就是不行）4。IE中的框架（Frame）漏洞，IE5.01,都受到影响，利用这个漏洞可以泄露用户的信息。对策：打补丁：/Windowsupdate/technet/security/bulletin/MS02-009.asp获取控制权限此类黑手会利用IE执行Actives时候发生，虽然说IE提供对于"下载已签名的ActiveX控件"进行提示的功能，但是恶意攻击代码会绕过IE，在无需提示的情况下下载和执行ActiveX控件程序，而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑