Ⅳ. Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞 漏洞的利用
精华代码:
----- code cut start for run.asp -----
----- code cut end for run.asp -----
[作者注] 我想,这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是 SP1补丁的。我们都敢大声的说:IE6.0 SP1也不是万能的。呵呵,是不是想改用mozilla了?
总结:
几乎所有类型的网页病毒都有一个特性,就是再生,如何再生,让我们从注册表中的启动项开始分析:注册表中管理启动的主键键值分别为:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
确认主键下没有加载任何分键值.另外,在启动配置器里的autoexec.bat ,win.ini,system.ini以及在WIN 9X下的winstart.ini文件,其中的存在LOAD=键的,它的值是空,不是空格,只有=号。Autoexec.bat没有加载任何程序,在「开始」菜单\程序\启动 文件夹下不存在任何程序,那样才能有效的去掉一个病毒的再生功能。不叫它开机运行,或者不在运行,那我们就可以把它从计算机上请出去。
第三节 网页病毒、网页木马的运行效果分析
第一、电脑中的默认主页会被无故更改,并且IE工具栏内的修改功能被屏蔽掉;
第二、在电脑桌面上无故出现陌生网站的链接,无论怎么删除,每次开机都依旧会出现,如果单击鼠标右键,出现的工具栏中有也会有大量陌生网站的链接;
第三、开机后,无法进入DOS实模式; 仅对WIN 9X 系统
第四、电脑桌面及桌面上的图标被隐藏;
第五、注册表编辑器被告知“已锁定”,从而无法修改注册表;
第六、上网之前,系统一切正常,下网之后系统就会出现异常情况,如系统盘丢失、硬盘遭到格式化等,查杀病毒后仍无济于事;
第七、上陌生网站后,出现提示框“您已经被XX病毒攻击”,之后系统出现异常;
第八、登陆站点后,发现一个窗口迅速打开后又消失,自己的计算机系统文件夹内多了几个未知的好象是系统文件的新文件。
第九、发现系统的进程中多了几个未知进程,而且杀不掉,重起后又会出现。
第十、自己的计算机CPU利用率一直是高居100%,好象是在运行什么占用内存的东西。
第十一、登陆某站点后,杀毒监控软件报警,并删除病毒文件,位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八,第九,第十中的现象。
第十二、发现中毒后,反复杀毒,病毒反复复发,根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕,但重新启动后又出现问题。
第十三、会不定时的弹出广告。
第十四、自己的私有帐号无故丢失。
第三章 网页病毒、网页木马的基本预防手段
l 要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入,否则往往不经易间就会误入网页代码的圈套。
l 由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
l 对于Windows98用户,请打开 C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP, 把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP, 把其中的"ActiveXComponent.class"删掉。请放心,删除这个组件不会影响到你正常浏览网页的.
l 对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务"Remote Registry Service"禁用,来对付该类网页。具体方法是:点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)",将这一项禁用即可。
l 升级你的IE为6.0版本并装上所有的SP以及追加的几个小补丁,可以有效防范上面这些症状。
l 下载微软最新的Microsoft Windows Script 5.6
l 安装病毒防火墙,一般的杀毒软件都自带.打开网页监控和脚本监控.
l 虽然经过上述的工作修改回了标题和默认连接首页,但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点:
打开IE属性,点击“工具”→ “Internet选项 ”→“安全”→“受限站点”,一定要将“安全级别”定为“高”,再点击“站点”,在“将Web站点添加到区域中”添加自己不想去的网站网址,再点击“添加”,然后点击“应用”和“确定”即可正常浏览网页了。
l 在注册表
[HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatiblity]下为
[Active Setup controls]创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值:[Compatibility Flags 0x00000400]
可以间接的防止网页木马问题。
l 请经常升级你的杀毒软件病毒库,让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。
l 推荐安装:IE6.0.2800.1106 SP1 4个IE专项补丁
第四章 网页病毒、网页木马的清理和手工清理
第一节 网页病毒、网页木马的一般清理
在病毒防治和查杀的第一选择,我们首当其冲的就是杀毒软件。不定期的升级你的病毒库,关注你所用的操作系统和浏览器的漏洞信息以及相关补丁的安装。当你进入一个恶意站点后注册表被改时,首先要做的不是盲目的去找杀毒工具,而是确认一下你自己所中的毒是否只是简单的修改注册表,如果是木马的话,你还在网络上飞来飞去,想想能不丢东西么?这就是为什么在文章的开头部分我们花了一部分篇幅进行恶意网页机理的介绍和说明。为的就是叫大家从道理上明白,所谓的恶意网页是通过什么样的途径,运行了什么样的代码执行出了什么样的效果。当然,你没必要去理解代码的全部含义,至少在查看一个页面原码时发现它,也知道它是做什么,而不去访问此页。再提一点,这样做并非是让每人个人都去理解,去记忆。在这里我们也采用“让少数人先富起来的”政策。这样,那些GG才能在MM面前显示自己的“才能”。开个玩笑,转入整题,如何一般性的清理病毒?
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
