网络恶意代码安全手册Word下载.docx
- 文档编号:22310409
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:32
- 大小:31.89KB
网络恶意代码安全手册Word下载.docx
《网络恶意代码安全手册Word下载.docx》由会员分享,可在线阅读,更多相关《网络恶意代码安全手册Word下载.docx(32页珍藏版)》请在冰豆网上搜索。
四、主要网页病毒的分析..........................................16
1、万花病毒.....................................................16
2、混客绝情炸弹.................................................20
3、笑林广记笑话网共享你的硬盘...................................24
五、部分网页病毒源代码..........................................29
1、共享硬盘.....................................................29
2、破坏硬盘,重复写入垃圾.......................................30
3、修改电脑配置.................................................32
4、格式化硬盘...................................................33
5、一段修改WIN系统的恶意网站代码................................35
六、恶意代码的预防..............................................38
七、后记........................................................41
一、恶意代码的起源
电子邮件病毒的危害很多人已经深有体会,相信很多人都曾遭受过电子邮件的毒手。
互联网上80%左右的流行病毒都是通过电子邮件传播的,我们相对来讲对电子邮件病毒都有了一定的防范意识,知道采取一些针对性的措施来防范邮件病毒。
但同时,另外一种安全危险却被大家普遍忽视,那就是恶意网页。
其实恶意网页早就不是什么新鲜东西,甚至恶意网页的历史比电子邮件病毒的时间都长,它是伴随着互联网的出现而出现的,跟互联网同步发展;
恶意网页前些年不像现在这么普遍存在,同时恶意网页大多数是在一些个人站点的页面上,访问的绝对数量不小,相对数量较少,同时恶意网页一般不具备传染性,所以恶意网页的危害性没有象电子邮件病毒一样产生那么大的危害。
大部分是IE首页被修改等,但是自从“万花病毒”的出现改变了人们对网页代码的看法。
从去年开始,恶意网页的危害性渐渐的爆发出来,很多用户受到恶意网页的攻击,注册表被修改。
恶意网页的比例上升的很快,到去年年底的时候恶意网页的求救信已经基本和邮件病毒持平,远远超过电子邮件病毒,所以,恶意网页已经成为互联网世界的头号敌人,虽然直接危害暂时还不能和电子邮件相抗衡,但是恶意网页将会是一个长期存在,对互联网安全构成重大威胁的新敌人,足以引起所有上网用户的重视。
网页恶意代码到底是怎么产生的呢?
其实它也和病毒一样是人为制造出来的,早期的制造恶意代码的人大多数是出于个人目的,或是为了提高自己网站的知名度、提高网站的浏览量,或者纯粹是一种恶作剧、一种破坏行为,他们通过在其开通的网站主页源程序里加入几行具有破坏性的代码,当用户打开网页进行浏览是能够修改用户的注册表,后果主要表现在IE默认主页被修改,发展到后来出现了最有代表性的具有破坏性的网页恶意代码如“万花病毒”和“混客绝情炸弹”。
遭受恶意代码破坏的用户往往不清楚自己到底是遭受到病毒的破坏还是黑客的攻击,往往手足无措。
这个时候往往需要手动修改注册表,而修改注册表对于普通用户来说又不是一件很容易的事,大多数都会不知所措。
本文以网络上常见的恶意代码病毒详细的介绍了各种恶意代码的原理和预防、解决方法,使每一位朋友能解决在网络中遇到的问题。
二、恶意代码的解决方法
那么有没有一种新的办法能够有效的防止恶意网页的侵害呢?
答案是肯定的,因为恶意代码都是通过利用ActiveX修改注册表重要键值来达到其破坏目的,我们实现对注册表的监视,禁止非法修改注册表就能起到防止作用,能够彻底断绝恶意网页的传播和非法破坏!
对于已经受到恶意代码攻击的电脑我们可以自行修改注册表达到解决的方法。
现在各个杀毒公司都在自己的软件监测中加入了恶意代码的分析和预防,把恶意代码列为病毒来查杀。
如江民公司采用的“比特动态滤毒”技术来对付恶意网页,它一方面在网页下载到硬盘之前进行实时过滤分析,滤除有害部分代码,保留原有的网页内容,另一方面监视注册表,当注册表的重要系统键值被修改时,会自动报警。
彻底断绝了恶意网页的传播途径!
三、恶意代码大曝光
恶意代码注意是通过插在网页中的代码来修改浏览者的注册表而起破坏作用的,如禁止注册表、修改IE首页、修改IE标题栏、修改IE右键菜单、修改IE默认搜索引擎、系统启动时弹出对话框、IE中鼠标右键失效、查看“源文件”菜单被禁用、部分菜单被禁止等。
下面我们详细介绍他们的原理和修改方法。
1、浏览网页注册表被禁用
这是由于注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。
解决办法:
用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了:
REGEDIT4HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
“DisableRegistryTools”=dword:
00000000
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改了。
具体说就是以下注册表项被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel
"
Settings"
=dword:
1
Links"
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel6
SecAddSites"
将上面这些DWORD值改为“0”即可恢复功能。
4、IE的默认首页灰色按扭不可选
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel
下的DWORD值“homepage”的键值被修改的缘故。
原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。
将“homepage”的键值改为“0”即可。
5、IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:
它们将串值WindowTitle下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\WindowTitle
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\WindowTitle
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下,在右半部分窗口中找到串值“WindowTitle”,将该串值删除即可,或将WindowTitle的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题被解决了!
6、IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt
下被新建了网页的广告信息,并由此在IE右键菜单中出现!
打开注册标编辑器,找到
删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉,这两个可是“正常”的,除非你不想在IE的右键菜单中见到它们。
7、IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。
出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\SearchAssistant
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。
8、系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。
由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!
打开注册表编辑器,找到
这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9、IE默认连接首页被修改
IE浏览器上方的标题栏被改成“欢迎访问⋯⋯网站”的样式,这是最常见的篡改手段,受害者众多。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage
通过修改“StartPage”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下,在右半部分窗口中找到串值“StartPage”双击,将StartPage的键值改为“about:
blank”即可;
在右半部分窗口中找到串值“StartPage”,然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:
当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。
其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:
\ProgramFiles\registry.exe,最后从IE选项中重新设置起始页。
10、IE中鼠标右键失效
浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!
有的网络流氓为了达到其恶意宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。
解决办法:
1.右键菜单被修改。
打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt,删除相关的广告条文。
2.右键功能失效。
打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions,将其DWORD值"
NoBrowserContextMenu"
的值改为0。
11、查看“源文件”菜单被禁用
在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。
恶意网页修改了注册表,具体的位置为:
在注册表
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:
“NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\Restrictions
下,将两个DWORD值:
“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。
通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。
将以下内容另存为后缀名为.reg的注册表文件,比如说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions
“NoViewSource”=dword:
00000000
“NoBrowserContextMenu”=dword:
12、浏览网页开始菜单被修改
这是最“狠”的一种,让浏览者有生不如死的感觉。
浏览后不仅有类似
上面所说的那些症状,还会有以下更悲惨的遭遇:
1)禁止“关闭系统”
2)禁止“运行”
3)禁止“注销”
4)隐藏C盘——你的C盘找不到了!
5)禁止使用注册表编辑器regedit
6)禁止使用DOS程序
7)使系统无法进入“实模式”
8)禁止运行任何程序
“万花病毒”就是采用了以上的方法,后面我们将重点分析“万花病毒”。
13、禁止鼠标右键,否则弹出大量窗口消耗系统资源直到死机
这种情况是网页制作者不希望你查看他的源代码,当你使用鼠标右键查看代码时,网页就会弹出大量窗口,消耗你的系统资源直到死机,这种网页代码在国内不多见。
预防方法:
不查看源代码,如果要看可以采用另存为先保存网页再用编辑软件查看。
14、网页中插入病毒
有的网页被插入了病毒,当你浏览时就会被病毒感染,如有的被插入欢乐时光的变种病毒等,这些大多是由于网页编制者自己的疏忽造成的。
不浏览该页,安装在线监控杀毒软件,如KV3000、瑞星、金山毒霸等都能防止。
15、共享你的硬盘
当你浏览网页时不小心你的C盘被改为完全共享!
这样黑客可以用SMB扫描器直接登陆你的C盘,他可以在硬盘中随意拷贝文件,删除文件,添加文件⋯⋯并且可以给你上传木马,永久而全面地控制你的机器。
这一般是利用了MS.ActiveX元件的写注册表的功能,还有的是调用FileSystemObject元件(文件系统对象)。
病毒首先得到你的Windows目录和System目录,再修改注册表,把你的启动目录——"
C:
\WINDOWS\StartMenu\Programs\启动"
设置为完全共享。
防备方法:
将ActiveX元件、Java脚本和Vbs脚本等全部禁止就可以避免Bingo。
具体方法是:
在InternetExplorer菜单中点击“工具”——“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX控件以及Java和Vbs脚本相关全部选择“禁用”即可。
不过,这样做在以后的网页浏览过程中可能会造成一些善意使用脚本和控件的网站无法正常浏览。
当然最好是安装杀毒软件实现在线监控。
我们在后面将详细介绍该病毒。
四、主要网页病毒的分析
1、万花病毒
该病毒是一个比较有代表性的恶意代码网页病毒,最先由搜毒网发现,并提交给了江民科技,具体如下:
该病毒是在一个叫“万花谷”的网站传出,这是利用Java最新技术进行破坏的一个恶意代码。
该病毒的技术特征和修复方法:
JS/On888是一个新的含有有害代码的ActiveX网页文件,它通过在一个网络地址来对计算机用户造成破坏,其破坏特性如下:
(1)用户不能正常使用WINDOWS的DOS功能程序;
(2)用户不能正常退出WINDOWS,
(3)开始菜单上的“关闭系统”、“运行”等栏目被屏蔽,防止用户重新以DOS方式启动,关闭DOS命令、关闭REGEDIT命令等。
(4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。
具体的表现形式是:
a网络地址是:
;
b在IE的“收藏夹”中自动加上“万花谷”的快捷方式,网络地址是:
;
进入该网页的话,如果你的浏览器的版本在IE4.0以上,那么该网页显示的是一个有光效滤镜的网页,随着鼠标的移动,会造成光线照在网页图片
不同地方的效果,光效一共有4种。
将IE的首页通过系统注册表项
HKEY_LOCAL_CURRENT_USER\\Software
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 恶意代码 安全 手册