巧治惡意網頁病毒:讓病毒自動還原被惡意修改鍵值

[psac]

巧治惡意網頁病毒:讓病毒自動還原被惡意修改鍵值

服務機構的一台公用電腦接入了Internet網際網路，沒多久，就被一個惡意網頁病毒感染了，出現如下症狀：開啟IE瀏覽器，會自動進入一個名為「久好網址之家」的網址大全類的網站，開啟「Internet選項」，發現主頁被設定為「http://www.**ok9.net」，當使用「搜尋」功能時，發現搜尋也被修改指向「http://www.**ok9.net」，真是令人厭煩。

　　於是我執行註冊表編輯器，利用「搜尋」功能，以「www.**ok9.net」為關鍵詞找出所有被惡意網頁修改的內容，並全部更改回原來的值。誰知重新啟動系統後，開啟IE瀏覽器，發現又自動開啟了那個惡意網站，而且其他地方也被修改了，看來事情並不是想像的那麼簡單，這個惡意網站一定還在系統啟動時做了什麼手腳!
　
　於是在「執行」中輸入「msconfig」，開啟系統配置實用程序，逐項搜尋System.ini、Win.ini以及「啟動」項中的所有自啟動專案，終於在「啟動」項中發現了兩個極為可疑的鍵值。雖然一個是預設鍵值，一個鍵值名稱為「win」，但兩者的鍵值資料都是「regedit -s c:\windows\win.dll」。通過搜尋Regedit的相關指令得知，這個指令的功能是匯入一個註冊表指令碼文件，「-s」參數則是讓它後台自動匯入，不過這後面匯入的是「Win.dll」文件，怎麼會是一個動態連結庫文件呢？難道這只是一個表面現象，於是用記事本開啟這個「Win.dll」文件，發現原來這是一個文本格式的文件，只不過被修改了副檔名而已。

　　我分析了一下這個「Win.dll」文件，原來系統總是自動被惡意修改就是它在起作用。找到了癥結，當然解決方法就是刪除這個鍵值，並刪除「Win.dll」文件，不過我忽然想到既然惡意網站可以利用這個文件來增加鍵值資料，為什麼我不再利用一下這個文件，以牙還牙，讓它還自動還原被惡意修改的鍵值呢？於是我將該檔案修改如下：

　　REGEDIT4

　　[空一行]

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

　　@=""

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　"win"=-

　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

　　"Start Page"=""

　　"First Home Page"=""

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

　　"Start Page"=""

　　"First Home Page"=""

　　rcx

　　儲存修改後的「Win.dll」文件，然後執行一下指令「regedit -s c:\windows\win.dll」，重新啟動一下系統，你會發現所有的惡意修改一下子就全部被恢復了，你還可以儲存著這個文件，如果再遇到這個惡意網頁的話，只需要用這個文件恢復一下就可以了，非常方便。



作者:lqsjj

以其人之道還治其人之身，好一個妙招..........^_^
感謝無私的分享！

利害
虧您想的出來!!