剖析各類惡意網頁對策分析―注冊表使用全攻略之七
2020-10-31 15:48:13
供稿:網友
剖析各類惡意網頁對策分析―注冊表使用全攻略之七
互聯網利用IE等的漏洞完全可以讓你通過瀏覽網頁讓你的電腦面目全非,或者格盤,甚至中下木馬,傳播病毒,而且這種形式的傳播愈演愈烈,閑話少說了,現在來分析一下各類惡意網頁。
分析前先介紹一下注冊表的修改方法,因為注冊表在網頁病毒中是中樞,就是通過它讓你的電腦面目全非。
第一種方法:直接修改法
就是在運行里敲入regedit,然后進行編輯,這是大家通常修改注冊表的方法。
第二種方法:reg包導入法
現在以解鎖注冊表為例(其實解鎖用兔子等工具更好更方便,這里只是說明如何建立reg包)
對于WIN 9x/ME/NT 4.0來說,在記事本把下面的內容另存為*.reg文件,導入即可
REGEDIT4
;這里一定要空一行,否則將修改失敗
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
對于WIN 2000或XP,把 REGEDIT4 改為Windows Registry Editor Version 5.00即可
第三種方法:inf安裝法
對于98/ME,把下面的內容保存為.inf后綴文件,右鍵單擊給文件選擇安裝即可
[version]
signature="$CHICAGO$"
[DEFAULTINSTALL]
ADDREG=unlock.ADD.REG
DELREG=unlock.DEL.REG
[unlock.ADD.REG]
HKCU,Software/Microsoft/Windows/CurrentVersion/Policies/system
[unlock.DEL.REG]
HKCU,Software/Microsoft/Windows/CurrentVersion/Policies/system
若為2000或XP,將CHICAGO修改為Windows NT
至于其他修改格式,這里不多說,可以自己找找資料,真的不會建立其它的inf包可以和我聯系:)
第四種方法:vbs腳本法
把下面的內容保存為.vbs后綴文件
Dim unlock
Set unlock = WScript.CreateObject("WScript.Shell")
unlock.Popup "將為您解開注冊表"
unlock.RegWrite "HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableRegistryTools",0,"REG_DWORD"
第五種方法:呵呵,是以其人之道還治其人之身的方法,這里不介紹
至于在DOS下編輯注冊表,這里不再舉例說明
請大家切記,修改注冊表前一定要備份注冊表!!切記!!
知道了方法,現在就來分析各類惡意網站和對付的方針
惡意網站大致可以分成以下幾類:
一 利用IE的文本漏洞通過編輯的腳本程序修改注冊表的行為
1。輕度修改注冊表:比如標題攔,默認主頁,搜索頁,添加廣告等,先來看看其中的一段原代碼
//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");惡意網頁就是通過這個ID修改注冊表的。
//Shl.RegWrite("HKCU//Software//Microsoft//Windows//CurrentVersion// Policies//Explorer//NoRun", 01, "REG_BINARY"); 這一句代碼可以讓你的運行菜單消失。
清除方法:
本文對一般的被修改瀏覽器的解決方案不作提供,因為現在網上關于如何通過修復注冊表來恢復的文章很多 ,大家可以自己找來看看
我認為這一類的修改一般可以通過注冊表修復工具來修復,不必手動去修改。
常用工具有:超級兔子魔法,優化大師,3721魔寶石,殺毒王自帶的IE修復器等
瑞星的注冊表修復工具:http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/spite ful.htm
毒霸的注冊表修復工具:http://sh.duba.net/download/other/tool_011027_RegSolve.htm
推薦一個很好的在線修復網站:www.j3j4.com
補丁:WINDOWS 2000:http://www.microsoft.com/china/windows2000/SP2.htm
WINDOWS 9X用戶 :http://www.microsoft.com/downloads/release.asp?ReleaseID=32558
2。修改注冊表禁止命令形式的修改,目的是不讓用戶通過注冊表修復回去。
最通常的修改是鎖住注冊表,還有破壞關聯:比如.reg,.vbs,.inf等
關于解鎖注冊表,在前面已經介紹了方法,至于被修改關聯,只要我前面說的注冊表修改的方法里的關聯還 能用,就可以用其中的任意一個,但如果.reg,.vbs,.inf都被修改了,怎么辦啊?,也不用怕,把 .exe 后綴改為.com后綴,我一樣可以編輯注冊表,.com也被改了,怎么辦?沒那么狠吧,行,我再改后綴為.scr 。嘿嘿,一樣還可以修改。
最好的最簡單的辦法,馬上重新啟動,按F8進入DOS下,敲入SCANREG/RESTORE,選擇以前的正常時的注冊表 還原就可以,注意了,一定要選擇沒被修改時的注冊表!如果發現連scanreg都被刪除了(一些網站就是這么 狠的,用A盤COPY一個scanreg.exe到COMMAN下即可
有必要在這里說說常見的文件關聯的默認值
正常的exe關聯為[HKEY_CLASSES_ROOT/exefile/shell/open/command]
默認的鍵值為:"%1 %*" 將此關聯改回去即可使用exe文件
3。修改注冊表后留后門,目的讓你修改注冊表好像成功,重新啟動后又恢復到被修改的狀態。
這主要是在啟動項里留了后門,大家可以打開注冊表到(也可以用一些工具比如優化大師等來察看)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServices
HKCU/Software/Microsoft/Windows/CurrentVersionRun-
看看有沒有可疑的啟動項目,這一點最多朋友忽略,哪些啟動可疑呢?
我這里給出幾個大家需要注意的,啟動項里鍵值有出現.hml和.htm后綴的,最好都去掉,還有有.vbs后綴的 啟動項也去掉,還有一個很重要的,如果有這一個啟動項,出現有類似鍵值的,比如:
system 鍵值是regedit -s c:/windows……請注意,這個regedit -s 是注冊表的一個后門參數,是用來導 入注冊表的,這樣的選項一定要去掉
還有一類修改會在c:/windows/產生.vbs后綴的文件,或是.dll文件,其實.dll文件實際是.reg文件
此時你要看看c:/windows/win.ini文件,看看load=,run=,這兩個選項后面應該是空的,如果有其他程序 修改load=,run=,將=后面程序刪除,刪除前看看路徑和文件名,刪除后在到system下刪除對應的文件
還有一種方法,大家如果屢次修改重啟又恢復回去,可以搜索C盤下所有的.vbs文件,可能有隱藏的,用記 事本打開,看到里面有關于修改注冊表的都把它刪除或保險起見把后綴改掉,你可以按中惡意網頁的病毒的 時間來搜索文件:)
下面的這個漏洞大家非常值得注意,很多朋友說,你說的方法我都試了,啟動項里絕對沒有什么可疑的,也 沒有什么vbs文件,呵呵,大家在啟動IE時還有一個陷阱,就是IE主界面的工具的菜單里的廣告,一定要去 掉,因為這些會在你啟動IE時啟動,所以你修改完其他的先別著急打開IE窗口,否則白費力氣,方法:打開 注冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Extensions看到廣告就刪,別留情
一個很重要的問題,在中了惡意網頁的陷阱后一定要先清空IE所有臨時文件,切記!
說了那么多廢話,那如何防御這類惡意網頁呢?
一個一勞永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B這個ID刪掉
在注冊表的路徑為HKEY_CLASSES_ROOT/CLSID/{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
記住,看清楚了再刪除,千萬別刪錯其他。刪掉這個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統不會有 影響的。
在IE的選單欄中選擇“工具”→“Internet選項”,在彈出的對話框中切換到“安全”標簽,選擇“ Internet”后點擊“自定義級別”按鈕,在“安全設置”對話框中,把“ActiveX控件和插件”、“腳本” 中的相關選項全部選擇“禁用”或“提示”即可。但如果選擇了“禁用”,一些正常使用ActiveX和腳本的 網站可能無法完全顯示。建議選擇:提示。遇到警告時,看看該網站的原代碼,如果發現有出現 Shl.RegWrite等的代碼,就不要去了,如果是加密的原代碼,不是自己熟悉的網站也不要去,如果連右鍵都用不了的,也要小心為好(看看原碼有什么所謂啊,除非有什么好的JAVA或是惡意代碼)
對于Windows98用戶,請打開C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP,把其中的“ActiveXComponent.class刪掉,對于WindowsMe用戶,請打開C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”刪掉,這些刪掉不會影響正常瀏覽網頁
在Windows 2000/XP,可以通過禁用“遠程注冊表服務”來阻擋部分惡意腳本。具體方法是:在“控制面板”→“管理工具”→“服務”中右鍵單擊“Remote Registry Service”,在彈出選單中選擇“屬性”,打開屬性對話框,在“General”內將“Startup ype”設為“Disabled”。這樣也可以攔截部分惡意腳本程序。
嘿嘿,不用IE。用其他瀏覽器也可以……
大家在中了惡意網頁的陷阱后,先不要立即重新啟動計算機,到啟動項里看看,有沒有什么危險的啟動項,不如deltree之類的
二 利用IE漏洞直接破壞Windows系統
如今利用瀏覽網頁格式化硬盤已經不是什么新鮮事了,當某一天,你上網時突然跳出警告說當前頁面包含 不安全的頁面,如果你選擇“是”,很可能硬盤被格式化掉
看看它的部分原代碼:
//wsh(……)
防御這一類網頁,可以用下面的方法:
刪掉F935DC22-1CF0-11D0-ADB9-00C04FD58A0B這個ID,因為這個ID可以用來生成命令格式,可以執行硬盤 的可執行文件,具體路徑
HKEY_CLASSES_ROOT/CLSID/{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 再次提醒,別刪錯了。
建議大家都把deltree.com和format.com命令改掉,比如用優化大師后改為deltree.wom和format.wom
把C盤WINDOWS下的Wscript.exe改名也是一個辦法。
也可以卸載WSH:
98/ME:進入“控制面板”,選擇“添加/刪除程序”,選“Windows安裝程序”,選擇“附件”,再選 擇“詳細資料”中的Windows Scripting Host,確定卸載。
在Windows 2000中禁用WSH的方法是,雙擊"我的電腦"圖標,然后執行"工具/文件夾選項"命令,選擇"
文件類型"選項卡,找到"VBS VBScript Script File"選項,并單擊[刪除]按鈕,最后單擊[確定]即可
或者升級WSH到WSH 5。6
IE瀏覽器可以被惡意腳本修改,原因就是IE 5.5以及以前版本中的WSH允許攻擊者利用javascript中的 Getobject函數以及htmlfilr Activex對象讀取瀏覽者的注冊表。微軟最新的Microsoft Windows Script 5.6已經修正了這個問 題。
WSH 5.6 For Win9x/NT官方下載:www.microsoft.com
WSH 5.6 For Win2000官方下載:http://www.microsoft.com/devonly/
三 安全性漏洞問題
現在通過注冊表可以在硬盤生成文件,可以讀取注冊表
利用IE漏洞可以傳播病毒,目前的瀏覽網頁可以感染新歡樂時光等腳本病毒,很多是通過IE漏洞入侵的, 還有目前的網頁木馬的問題,其實也是利用了IE的MIME頭錯誤漏洞,讓用戶自動運行木馬程序,這一類程序制作容易,很容易傳播,這一類的MIME頭錯誤對策:打補丁或升級http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
1。看看IE 5.0的一個漏洞:可以寫一段錯誤的HTML代碼使你的IE當掉,代碼這里就不便貼出來了。
再來看看這個ID:0D43FE01-F093-11CF-8940-00A0C9054228就是用來生成文件的
2。IE現在還有IFRME漏洞,通過這個漏洞可以讓IE瀏覽頁面后自動執行.exe文件
防御對策:最好升級IE到SP2上”,或者安裝PATCH Q290108(謝謝飄飄斑竹指出這里的錯誤),如果你真的不想用高版本IE,怕占用資源大,就一定要記住把補丁打上。因為目前很多病毒都是利用IE和OE的這個漏洞進行傳播,愛情森林病毒是其中一個。
還有刪除HKEY_CLASSES_ROOT/CLSID/{0D43FE01-F093-11CF-8940-00A0C9054228} 這個ID
3。在IE6(build 2600)版本中,可以用一段javascript腳本代碼讓IE拒絕服務,98中能造成IE的不響應,當試圖終止任務的時候,將造成操作系統的崩潰,2000中能造成50%的CPU被長時間利用,之后瀏覽器會詢問是否讓用。
防御對策:把JAVA和腳本禁止掉,建議是升級IE或打補丁(看來不打補丁就是不行)
4。IE中的框架(Frame)漏洞,IE 5.01,5.5.6.0都受到影響,利用這個漏洞可以泄露用戶的信息。
對策:打補丁:http://www.microsoft.com/Windowsupdate
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp
獲取控制權限此類黑手會利用IE執行Actives時候發生,雖然說IE提供對于"下載已簽名的ActiveX控件"進行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執行ActiveX控件程序,而這時惡意攻擊者就會取得對系統的控制權限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然后展開如下分支:
解決方法是在注冊表分支HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/ 下為Active Setup controls創建一個基于CLSID的新鍵值{6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,并設定鍵值為0x00000400即可。
四 無聊惡意網頁
這一類網頁是利用編寫javascript代碼,比如彈出無數關不完的窗口,只能讓CPU資源耗盡重新啟動,說句實話,現在國內的殺毒軟件的網頁監控對這類惡意網頁根本沒法攔截(國外的我沒試過)
這一類網頁編寫并不難,都是通過寫一些死循環來達到目的。
防御方法:將JAVA禁用。升級IE到高版本
還有是利用WIN98的漏洞讓你掉線或者是死機的,防御對策,給98拼命打補丁(不要用98了,2000穩定)
大家上網時切記把網頁監控或注冊表監控打開,現在國內殺毒軟件對寫入注冊表的行為的攔截的成功率都不錯
通過上面的分析可以看出一個很重要的問題:一定要時常給自己的系統打補丁,微軟一般出了補丁,很快就有新的病毒代碼來攻擊的,所以切記時常打補丁!
(出處:熱點網絡)
