[psac]

破解惡意程式碼！兩則攻擊伎倆分析
如今的網路真是不太平，稍不留神逛到一個惡意網站上，就會發現自己的IE標題欄換成了其他網站的名字、預設值主頁成了他家的自留地、系統被改得面目全非了。這些都是惡意程式碼搞的鬼！最近不斷有朋友打電話求援，筆者總結了一下現象，不外乎以下兩種現象，今天就和大家來說一說解決辦法。以說明 大家防患於未然，從而擺脫惡意程式碼的侵擾！
　　傳統現象一:IE視窗被不停地開啟
　　現象:上網時，IE視窗突然不停地被開啟，來不及關閉，最後導致系統記憶體佔用過多，直至資源耗盡而當機。
　　分析:其實，這是中了指令碼病毒。指令碼病毒的執行離不開WSH(WSH全稱「Windows Scripting Host」，是微軟提供的一種關於32位Windows平台的、與語言無關的指令碼解釋機制，它使得指令碼能夠直接在Windows桌面或命令提示字元下執行)，WSH所對應的程序「WScript.exe」是一個指令碼語言解釋器，位於Windows所在的資料夾下，大多數系統在預設值安裝後都會有WSH。正是由於它使得指令碼可以被執行，也因此給指令碼病毒的傳播提供了途徑。
　　解決方法:WSH本來是讓系統管理員組態桌面環境和系統的服務的，對於絕大多數的普通用戶來說用處不大，因此，只要將其移除即可防止上述惡意網頁的攻擊。

開啟「我的電腦」，依次按下「工具→資料夾選項→檔案類型」(如果是Windows 98，請按下「檢視→資料夾選項」)， 如圖1所顯示，在檔案類型中將後面名為「VBS、VBE、JS、JSE、WSH、WSF」的所有針對指令碼文件的操作均移除。這樣，這些文件就不會被執行了。
　　傳統現象二:主頁無法修復
　　現象:IE被修改，使用IE修復工具修復後，儘管註冊表、瀏覽器主頁能夠編輯，但啟動瀏覽器後，仍然連接到惡意網頁上去。
　　分析:前不久，筆者的一位朋友求救，筆者用3721上網助手等軟體工具對其瀏覽器、註冊表等項進行了修復，儘管鎖住的註冊表解開了，不能修改的主頁能設定了，但一開啟IE就連接到惡意網頁上。筆者在註冊表中尋找惡意程式碼的連接，沒有結果！在硬碟中尋找相關的文件也沒有結果！用木馬工具清除木馬，沒有結果！什麼原因呢？最後筆者猛然想到了它可能依托Cookies等文件進行連接，那移除Cookies等文件不就行了？

解決方法:首先用IE修復工具比如3721上網助手等對中毒的IE進行修復，然後拔掉網線，開啟IE瀏覽器，按下「工具→Internet 選項」，開啟如圖2所顯示的視窗，在「Internet 臨時文件」欄中，按下「移除 Cookies 」和「移除文件」(上網產生的臨時文件)按鈕;在「歷史記錄」欄中按下「清除歷史記錄」按鈕。按下「確定」按鈕即可移除這些上網產生的文件。
　　經過上面的操作後，再開啟IE瀏覽器，那久違的主頁又回來了！給你一個清靜的網路，你喜歡嗎？