如何防範惡意網站

[psac]

如何判斷自己是遇到了惡意網站的攻擊，症狀多種多樣：

　　1. 開機自動登入網站。

　　2. 啟動IE，自動登入網站，無法修復主頁設定。
　　3. IE不斷開啟視窗。

　　4. 修改[主頁]按鈕和[搜尋]按鈕。

　　5. 修改右鍵功能表，甚至遮閉右鍵功能表。

　　6. 更改收藏夾的內容。

　　7. 安裝自動撥號程序。

　　8. 自動安裝木馬程序。

　　9. 自動格式化硬碟或刪除某個資料夾中的所有文件。


　　10. 更新文件關聯和鎖死EXE程序。

　　11. 鎖死註冊表。

　　瞭解了症狀，就要對症下藥了

一、制作備份

　　可以使用「超級兔子魔法設定」中的「註冊表最佳化」進行制作備份，軟體能將Classes.dat、System.dat、System.ini、User.dat、Win.ini等文件全部制作備份下來，上面提到的前五種惡意網站無非就是通過修改這些文件來達到其目的的。

二、棄用IE

　　大部分的攻擊目標都是IE。如果我們用MyIE2（建議使用Ver 0.8.220這一版本） OR GoSuRF 等替代IE瀏覽器。雖然它們仍然是使用IE的內核，但功能更為強大。

這些瀏覽器可以保護主頁不被修改，還可以禁止修改註冊表。　　
注意：這兩個功能在預設狀態下是關閉的。


開啟這個功能，以MyIE2為例：在[選項]→[MyIE2選項]→[一般]中和「啟動時」中將其開啟。

三、解救被封死的收藏夾

　　某些惡意網站會對收藏夾進行修改，大多是通過修改「C: WindowsFavorites」中的「Desktop.ini」文件來實現的，所以只要刪除這個文件就可以了。

如果根本就無法開啟「C: WindowsFavorites」資料夾，就到DOS下進行刪除（要先用「attrib -r -s -h」後才能將其刪除）。

另外，「收藏夾」中的內容並沒有被刪除，只是放入了另一個資料夾中，名稱和「Favorites」差不多（如「Favorites2」等），如果想恢復原來的「收藏夾」，只要剪下一下就可以了。

　　如果是將系統預設的「收藏夾」路徑設定成指定的目錄（如「C: WindowsFavorites2」等），只要恢復正常的「註冊表」就一切OK了。


四、定期還原正常的註冊表
　　如果遇到安裝自動撥號程序的情況，你可要小心啦，小心驚人的國際長話費。

對付它，最好是定期還原正常的註冊表！這樣做雖然不能徹底刪除此類惡意程序，但卻能讓其完全禁止執行，因為這類程序是通過修改註冊表來達到隨機執行的目的的（只有極少數是在「開始」功能表的「啟動」項內做文章），只不過我們無法通過手工刪除乾淨。

　　這個方法對於自動安裝木馬程序的情況也同樣適用。


五、防止硬碟被格式化


　　對於自動格式化硬碟的惡意網站，要把「C:WindowsCOMMAND」資料夾中的format.com、Fdisk.exe、Deltree.exe這三個程式文件刪除或進行改名，因為這些惡意程式碼是需要這些程序才能夠發揮「威力」的，只要讓這些惡意程式碼找不到它們，您的電腦也就安全了！

六、開啟「鎖死」的程序

　　對於被鎖死的EXE程序，只要事先已將「C:Windows」目錄下正常的Classes.dat、System.dat、User.dat、System.ini、Win.ini這五個文件制作備份下來，在「中招」後用正常的文件覆蓋一下並重新啟動就OK了（註：Windows 95和98中可能沒有Classes.dat文件，而且Windows 97以下版本的操作系統用此方法無效！甚至會使整個系統癱瘓。）。


如果連複製都被禁止了的話，您可用啟動碟到DOS下進行覆蓋複製。

七、「防」要勝於「治」

　　通常惡意網站都披著具有「誘惑力」的外衣，設下誘人的陷阱讓您「中招」。所以一定要意志堅強，抵制住誘惑。只要您能做到「任你花言巧語，我自巋然不動」。那麼，什麼樣的陷阱也奈何不了您。


　　另外，現在有很多惡意網站開始通過即時通訊軟體來傳播了，比如QQ、ICQ等，方式雖然多種多樣，但通常是在對方網友的話後面又發來了一個網站信息，有的會附有一些帶有「誘惑性」的話（如：「看看我的樣子」等），有的只是一個有著誘人域名的網址，對於這樣的網站，原則也同樣——就是不上當！
在瀏覽網頁時，造成註冊表被修改，使得IE預設連接首頁、標題欄及IE右鍵功能表被改為瀏覽網頁時的位址（多為廣告信息），更有甚者使瀏覽者的電腦在啟動時出現一個提示視窗顯示自己的廣告，而且有愈演愈烈之勢，遇到這種情況我們該怎樣辦呢？

一、註冊表被修改的原因及解決辦法

　　其實，該惡意網頁是含有有害程式碼的ActiveX網頁文件，這些廣告信息的出現是因為瀏覽者的註冊表被惡意更改的結果。

　　1、IE預設連接首頁被修改

　　IE瀏覽器上方的標題欄被改成「歡迎訪問……網站」的樣式，這是最一般的篡改手段，受害者眾多。

　　受到更改的註冊表專案為：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page

　　通過修改「Start Page」的鍵值，來達到修改瀏覽者IE預設連接首頁的目的，如瀏覽「萬花谷」就會將你的IE預設連接首頁修改為http://on888.home.chinaren.com ;」，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。


　　解決辦法：

　　１在Windows啟動後，點擊「開始」→「執行」功能表項，在「開啟」欄中鍵入regedit，然後按「確定」鍵；

　　２展開註冊表到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain

　　下，在右半部分視窗中找到串值「Start Page」雙按 ，將Start Page的鍵值改為「about:blank」即可；

　　３同理，展開註冊表到

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

　　在右半部分視窗中找到串值「Start Page」，然後按２中所述方法處理。

　　４退出註冊表編輯器，重新啟動電腦，一切OK了！

　　特殊例子：當IE的起始頁變成了某些網址後，就算你通過選項設定修改好了，重啟以後又會變成他們的網址啦，十分的難纏。

其實他們是在你機器裡加了一個自執行程序，它會在系統啟動時將你的IE起始頁設成他們的網站。

　　解決辦法：執行註冊表編輯器regedit.exe，然後依次展開

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun

　　主鍵，然後將其下的registry.exe子鍵刪除，然後刪除自執行程序c:Program Files egistry.exe，最後從IE選項中重新設定起始頁就好了。

　　2、篡改IE的預設頁

　　有些IE被改了起始頁後，即使設定了「使用預設頁」仍然無效，這是因為IE起始頁的預設頁也被篡改啦。具體說來就是以下註冊表項被修改：

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL

　　「Default_Page_URL」這個子鍵的鍵值即起始頁的預設頁。

　　解決辦法：

　　執行註冊表編輯器，然後展開上述子鍵，將「Default_Page_UR」子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設定為IE的預設值。

　　3、修改IE瀏覽器預設主頁，並且鎖定設定項，禁止用戶更改回來。

　　主要是修改了註冊表中IE設定的下面這些鍵值(DWORD值為1時為不可選)：

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
"Settings"=dword:1

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
"Links"=dword:1

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
"SecAddSites"=dword:1

　　解決辦法：

　　將上面這些DWORD值改為「0」即可恢復功能。

　　4、IE的預設首頁灰色按扭不可選

　　這是由於註冊表

HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

　　下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值為「0」，被修改為「1」（即為灰色不可選狀態）。

　　解決辦法：

　　將「homepage」的鍵值改為「0」即可。

詳細內容：

5、IE標題欄被修改

　　在系統預設狀態下，是由應用程式本身來提供標題欄的信息，但也允許用戶自行在上述註冊表專案中填加信息，而一些惡意的網站正是利用了這一點來得逞的：
它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息，從而達到改變瀏覽者IE標題欄的目的。

　　具體說來受到更改的註冊表專案為：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title

　　解決辦法：

　　１在Windows啟動後，點擊「開始」→「執行」功能表項，在「開啟」欄中鍵入regedit，然後按「確定」鍵；

　　２展開註冊表到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain

　　下，在右半部分視窗中找到串值「Window Title」 ，將該串值刪除即可，或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字；

　　３同理，展開註冊表到

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

　　然後按２中所述方法處理。

　　４退出註冊表編輯器，重新啟動電腦，執行IE，你會發現困擾你的問題解決了！

　　6、IE右鍵功能表被修改

　　受到修改的註冊表專案為：

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

　　下被新增了網頁的廣告信息，並由此在IE右鍵功能表中出現！

　　解決辦法：

　　開啟註冊標編輯器，找到

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

　　刪除相關的廣告條文即可，注意不要把下載軟體FlashGet和Netants也刪除掉啊，這兩個可是「正常」的呀，除非你不想在IE的右鍵功能表中見到它們。

　　7、IE預設搜尋引擎被修改

　　在IE瀏覽器的工作列中有一個搜尋引擎的工具按鈕，可以實現網路搜尋，被篡改後只要點擊那個搜尋工具按鈕就會連結到那個篡改網站。


出現這種現象的原因是以下註冊表被修改：

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant

　　解決辦法：

　　執行註冊表編輯器，依次展開上述子鍵，將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可。

　　8、系統啟動時彈出對話視窗

　　受到更改的註冊表專案為：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

　　在其下被建立了字串串「LegalNoticeCaption」和「LegalNoticeText」，其中「LegalNoticeCaption」是提示框的標題，「LegalNoticeText」是提示框的文本內容。


由於它們的存在，就使得我們每次登入到Windwos桌面前都出現一個提示視窗，顯示那些網頁的廣告信息！你瞧，多討厭啊！

　　解決辦法：

　　開啟註冊表編輯器，找到

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

　　這一個主鍵，然後在右邊視窗中找到「LegalNoticeCaption」和「LegalNoticeText」這兩個字串串，刪除這兩個字串串就可以解決在登入時出現提示框的現象了。

　　9、瀏覽網頁註冊表被禁用

　　這是由於註冊表

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

　　下的DWORD值「DisableRegistryTools」被修改為「1」的緣故，將其鍵值恢復為「0」即可恢復註冊表的使用。

　　解決辦法

　　用記事本程序建立以REG為後面名的文件，將下面這些內容複製在其中就可以了：

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
「DisableRegistryTools」=dword:00000000
10、瀏覽網頁開始選單被修改

　　這是最「狠」的一種，讓瀏覽者有生不如死的感覺。


瀏覽後不僅有類似上面所說的那些症狀，還會有以下更悲慘的遭遇：

　　1)禁止「關閉系統」
　　2)禁止「執行」
　　3)禁止「註銷」
　　4)隱藏C碟——你的C碟找不到了！
　　5)禁止使用註冊表編輯器regedit
　　6)禁止使用DOS程序
　　7)使系統無法進入「真實模式」
　　8)禁止執行任何程序

　　具體的原因和解決辦法請看天極網e企業之安全之路欄目的這篇文章：《瀏覽網頁註冊表被修改之迷及解決辦法》。

　　以上是比較一般的修改瀏覽者註冊表的現象，今天在瀏覽網頁時，無意中來到某個個人網站，又遇到了以前沒有碰到過的問題：

　　11、IE中滑鼠右鍵失效

　　瀏覽網頁後在IE中滑鼠右鍵失效，點擊右鍵沒有任何反應！

　　12、檢視「「源文件」功能表被禁用

　　在IE視窗中點擊「檢視」→「源文件」，發現「源文件」功能表已經被禁用。

　　我在瀏覽網頁時並沒有注意到上面這兩個問題，因為當時正好朋友叫我有事，於是我就退出電腦了，晚上吃完飯開啟電腦連線上網，就發現IE中滑鼠右鍵失效，「檢視」功能表中的「源文件」被禁用。


不能檢視源文件也就罷了，但是無法使用滑鼠右鍵真是太不方便了。得想個辦法！

　　　原來，惡意網頁修改了我的註冊表，具體的位置為：

　　在註冊表

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer

　　下建立子鍵「Restrictions」，然後在「Restrictions」下面建立兩個DWORD值：「NoViewSource」和「NoBrowserContextMenu」，並為這兩個DWORD值賦值為「1」。

　　在註冊表

HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

　　下，將兩個DWORD值：「NoViewSource」和「NoBrowserContextMenu」的鍵值都改為了「1」。

　　通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效，使「檢視」功能表中的「源文件」被禁用的目的。


要像你說明的是第2點中提到的註冊表其實相當於第1點中提到的註冊表的分支，修改第1點中所說的註冊表鍵值，第2點中註冊表鍵值隨之改變。

　　解決辦法：

　　明白了道理，問題解決起來就容易多了，具體解決辦法為：將以下內容另存新檔後面名為reg的註冊表文件，比方說unlock.reg，雙按unlock.reg匯入註冊表，不用重啟電腦，重新執行IE就會發現IE的功能恢復正常了。

REGEDIT4

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
「NoViewSource」=dword:00000000
"NoBrowserContextMenu"=dword:00000000

[HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
「NoViewSource」=dword:00000000
「NoBrowserContextMenu」=dword:00000000

　　要特別注意的是，在你編製的註冊表文件unlock.reg中，「REGEDIT4」一定要大寫，並且它的後面一定要空一行，還有，「REGEDIT4」中的「4」和「T」之間一定不能有空格，否則將前功盡棄！許多朋友寫註冊表文件之所以不成功，就是因為沒有注意到上面所說的內容，這回該注意點嘍。請注意如果你是Win2000或WinXP用戶，請將「REGEDIT4」改為Windows Registry Editor Version 5.00。


詳細內容：

二、預防辦法

　　1、要避免中招，關鍵是不要輕易去一些自己並不瞭解的站點，特別是那些看上去美麗誘人的網址更不要貿然前往，否則吃虧的往往是你。

　　2、由於該類網頁是含有有害程式碼的ActiveX網頁文件，因此在IE設定中將ActiveX插件和控件、Java指令碼等全部禁止就可以避免中招。

　　具體方法是：在IE視窗中點擊「工具→Internet選項，在彈出的對話視窗中選項「安全」標籤，再點擊「自訂級別」按鈕，就會彈出「安全性設定」對話視窗，把其中所有ActiveX插件和控件以及Java相關全部選項「禁用」即可。

不過，這樣做在以後的網頁瀏覽程序中可能會造成一些正常使用ActiveX的網站無法瀏覽。唉，有利就有弊，你還是自己看著辦吧。

　　3、對於Windows98用戶，請開啟

C:WINDOWSJAVAPackagesCVLV1NBB.ZIP，把其中的「ActiveXComponent.class」刪掉；對於WindowsMe用戶，請開啟
C:WINDOWSJAVAPackagesNZVFPF1.ZIP，把其中的「ActiveXComponent.class」刪掉。請放心，刪除這個元件不會影響到你正常瀏覽網頁的。

　　4、對於所有用戶，都建議安裝Norton AntiVirus 2002 v8.0殺毒軟體，此軟體已經把通過IE修改註冊表的程式碼定義為Trojan.Offensive ，增加了Script Blocking功能，它將對此類惡作劇進行監控，並予以攔截。

　　另外，下載超級兔子魔法設定軟體後安裝，如果出現問題，可以用它來恢復。

　　5、既然這類網頁是通過修改註冊表來破壞我們的系統，那麼我們可以事先把註冊表加鎖：禁止修改註冊表，這樣就可以達到預防的目的。不過，自己要使用註冊表編輯器regedit.exe該怎麼辦呢？因此我們還要在此前事先準備一把「鑰匙」，以便開啟這把「鎖」！

　　加鎖方法如下：

　　(1)執行註冊表編輯器regedit.exe；

　　(2)展開註冊表到

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

　　下，新增一個名為DisableRegistryTools的DWORD值，並將其值改為「1」，即可禁止使用註冊表編輯器regedit.exe。

　　解鎖方法如下：

　　用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內容如下：

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
「DisableRegistryTools」=dword:00000000

　　儲存碟，你就有了一把解鎖的鑰匙了！如果要使用註冊表編輯器，則雙按unlock.reg即可。請注意如果你是Win2000或WinXP用戶，請將「REGEDIT4」寫為Windows Registry Editor Version 5.00。

　　6、對Win2000用戶，還可以通過在Win2000下把服務裡面的遠端註冊表操作服務「Remote Registry Service」禁用，來對付該類網頁。具體方法是：點擊「系統管理工具→服務→Remote Registry Service(允許遠端註冊表操作)」，將這一項禁用即可（如圖3）。


圖3

　　7、如果覺得手動修改註冊表太危險，可以下載如下reg文件，雙按之可恢復被修改的註冊表。

　　8、雖然經過一番辛苦的勞動修改回了標題和預設連接首頁，但如果以後又不小心進入該站就又得麻煩一次。其實，你可以在IE中做一些設定以便永遠不進該站點：

　　開啟IE，點擊「工具」→「Internet選項」→「內容」→「分級審查」，點「啟用」按鈕，會調出「分級審查」對話視窗，然後點擊「許可站點」標籤，輸入不想去的網站網址，如輸入http://on888.home.chinaren.com，按「從不」按鈕，再點擊「確定」即大功告成！

　　9、昇級你的IE為6.0版本，可以有效防範上面這些症狀。

　　10、下載微軟最新的Microsoft Windows Script 5.6，可以預防上面所說的現象，更可預防目前流行的、可惡的混客絕情炸彈

[minghaw]

謝謝大大

[Tery]

感謝您的提供資訊~
謝謝啦~~~

[mini]

上次中了視窗炸彈 src=c:\con\con (記得是這樣不知對不對)花了好幾分鐘才關完 (Windows XP)
也分享一下
通常是說按 Alt + F4 來比看誰快
結果 AMD 2000+ 它開的比我關的快 ^^||
後來想用程序管理員來個關閉 Internet Explorer 群組
結果 噹~ 彈出的警示視窗不論按還是來不及按(被空白IE視窗壓在下面)∼都沒用
最後用降低 IE 程序優先權再加個 關閉 Internet Explorer 群組
終於成功了 ^^

視窗炸彈 好像沒法用防火牆及防毒軟體擋，不知是不是
OS Win XP -SP1
這次幸好有啟動 Iarsn TaskInfo2003 否則也不知 XP 的程序管理員有沒有效