查看單個文章
舊 2003-05-04, 03:44 AM   #3 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

ALAM 非典蠕蟲(Worm.Coronex)出現!
該病毒是一個Windows下的PE文件,由彙編語言寫成,大小約為12K.
當病毒執行時,它會把自己複製到windows目錄下,檔案名為"corona.exe",並在註冊表中增加一項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PC-Config32 = %WinDir%\corona.exe
以達到下次重啟時會被自動執行。但因病毒有bug,並不能達到它的這一目的。

病毒第一次執行時,會修改IE的首頁為http://www.who.int/csr/don/2003_04_19/en,並
顯示一個「corona virus」的信息框並退出。



當中毒系統,重啟後,病毒將被自動啟動,駐留記憶體。每當系統時間的分鐘數為1及秒數為1的時。從windows的地址薄裡搜尋email地址,通過SMTP server(ip: 199.166.6.2),每小時發一次。郵件的發件地址、標題、正文件、附件為以下情況中的一種:
sars@hotmail.com
SARS
Severe Acute Respiratory Syndrome
sars.exe

sars2@hotmail.com
I need your help
Severe Acute Respiratory Syndrome
corona.exe

corona@hotmail.com
Virus Alert!
SARS Virus
virus.exe

virus@yahoo.com
Corona Virus
honk kong
hongkong.exe

deaths@china.com
bye
deaths virus
deaths.exe

virus@china.com
SARS
SEE Ya
sars2.exe

virus2@china.com
SARS Virus
SARS Corona Virus
cv.exe

為了增加被執行的機會,病毒還將它自己copy到"C:\My Downloads",並把文件長度增長到幾兆字元。如果目錄"C:\My Downloads"不存在,病毒就將自己在當前目錄複製一份。檔案名為以下情況的一種:

Cossacks Full Version.exe
Battlefield 1942 (full).exe
Warcraft III Full.exe
Jedi Knight II.exe
Quake 3 Full Version.exe
Starcraft full.exe
Doom 3.exe
Tribes 2 (full).exe
Rainbow 6 Full.exe
Oni full.exe
White and Black.exe
Return to Castle Wolfenstien (Full).exe
Command & Conquer: Generals.exe
Black Hawk Down (full).exe
The Sims: Unleashed.exe
Age Of Mythology.exe
Dark Age of Camelot.exe
Ultima Online.exe
The Lord of the Rings.exe
Medel Of Honor: Allied Assault.exe
Grand Theft Auto 3 (full).exe
Unreal 2: The Awakening (full).exe
Unreal.exe
Master Of Orion 3.exe
瑞星緊急昇級15.32.01版可查殺!

============================================

解剖惡意網站程式碼:開機後彈出IE頁面
 《為什麼IE預設標題被修改了?》一文剖析了偷偷篡改IE標題欄的網頁程式碼,然而許多網友紛紛指出有的網站更是不擇手段,當用戶訪問過它們的網頁後,不僅IE預設首頁被篡改了,而且每次開機後IE都會自動彈出訪問該網站。我們通過對下面這段JavaScript程序的解剖,希望讀者能明白其究竟,並掌握修復的方法。網站應該用豐富精彩的欄目來吸引訪問者,希望通過對用戶註冊表的惡意篡改來達到提高訪問量的目的不僅會事得其反,更是一種不道德的行為。本程式碼由子昂軒編輯製作,僅供學習研究之用。




首先,我們來分析一下這句程式碼,程序中使用:

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://JavaHouse.126.com/");//修改用戶InternetExplorer瀏覽器的預設主頁

其實就是修改用戶註冊表中

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main\資料夾下Start Page的鍵值,

這裡面的值就是存放的IE瀏覽器的預設主頁,如果你想改回來,把上面的相應程式碼改為:

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "about:blank");

就可以實現開啟IE是空白頁了;當然你也不用動註冊表,直接開啟IE修改Internet選項中的主頁更方便些。

再來看看上述程序最卑鄙的一句程式碼:

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "http://JavaHouse.126.com/");//建立預設啟動頁面程序,保證用戶每次啟動電腦首先開啟該頁面

通過在註冊表中

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

  資料夾下建立Windows預設啟動程序,當Windows啟動後,我們會發現這個網頁會自動開啟,但是在「開始」-「程序」-「啟動」中卻找不到,這是為什麼呢?哦,原來都放到Run這個資料夾下面了。怎麼來修改呢?兩種方法,一是搜尋源頭,進入註冊表,刪除Run下面的相應項就可以了;二是在「開始」-「執行」處輸入"msconfig",把啟動下面相應的那個網站前面的"√"去掉,重新啟動電腦就可以了。

  避免此類惡意修改註冊表的再次發生,你可以在IE的安全屬性內容設置中禁掉ActiveX,當然在以後的網頁瀏覽程序中可能會造成一些正常使用ActiveX的網站無法瀏覽。還有一種辦法就是對於Windows98開啟C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把ActiveXComponent.class刪掉;對於WindowsMe開啟C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把ActiveXComponent.class刪掉。放心,刪除這個組件不會影響你正常瀏覽網頁的。

  最後說說在首頁使用這類程式碼的網站的目的,像在啟動電腦直接開啟網頁的做法我認為主要是針對寬帶和專線上網的用戶,這樣只要你不修改註冊表禁掉它,你的IE主頁每次進入系統都會自動被修改成那個網站;對於撥號上網的用戶每次進入系統都開一個找不到的主頁,也無所謂,至少你不改註冊表,直接修改IE主頁屬性內容後可以避免被那種網站再次修改(前提是不再進去那個網站),可是每次開機後都彈出個網頁也真是讓人討厭。 以上程式碼適用於Windows9x/Me,InternetExplorer5.X瀏覽器,據說對IE6.0無效(因為它裡面沒有ActiveXComponent.class這個組件).。


IE惡意修改防護大法

  一、IE 標題欄被修改

  根據網友們的來信與及自己遭遇的情況(有的網友寫得清楚明白,有的只提供網址,作者根據網址自己去測試),惡作劇的手法多數是修改註冊表中「IE」的兩個鍵值,一個是:「Windows Title」,另一個是:「StartPage」,儘管只是修改此兩個鍵值,但這兩個鍵值可以存放於三個位置,分別是:

  1.[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

  2.[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

  3.[HKEY_USERs\.DEFAULT\Software\Microsoft\Internet Explorer\Main]

  也就是說,只要修改此三個位置的任何一個都可使得IE瀏覽器標題欄發生改變。

  在早期,惡作劇的人一般只是修改第二個位置的鍵值,所以筆者之前做的註冊表文件也只適用於這種修改的情況。(下載網址)
http://www.pconline.com.cn/pcedu/sof...c/iechange.reg
  現在,修改任意位置的都有,有些每個位置只修改一個鍵值,有的更是絕,全部鍵值都被修改了,於是,當我們只是恢復單個位置的註冊表鍵值時,並沒有完全恢復 IE的標題欄。

  所以,針對目前的情況,作者做了三個位置的註冊表,先把內容提供給網友,讓大家瞭解瞭解它的原理,內容如下:

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Microsoft Internet Explorer"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Microsoft Internet Explorer"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

[HKEY_USERs\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Microsoft Internet Explorer"

[HKEY_USER\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"


  喜歡研究註冊表的網友自己通過「開始 -> 執行 -> regedit」進入註冊表相應位置,直接修改。

  不過還是提醒對註冊表沒有一定瞭解的網友不要按照此種方式去操作,一個誤操作,可能會引起整個系統的崩潰。儘管可以恢復,但無疑會耽誤了對您的時間,影響了您的工作。

windows 啟動時彈出一個視窗

  這種個修改方法並不是修改了IE,但都是利用了 IE 的漏洞,執行 Script 指令碼,修改了註冊表。當 windows 啟動時,彈出一個視窗,必須點擊確定才能進入操作系統,與此同時,自動執行 IE 並訪問某個網站。實質上,它修改了下面的註冊表鍵值:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

  在此仍然提供兩種解決方法。

  1.註冊表法

  選項「開始 -> 執行 -> regedit」,進入註冊表,來到:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

  在此項右欄找到「LegalNoticeCaption」和「LegalNoticeText」主鍵,把它們刪除即可。

注意,在非 winNT 系列中,就是在上面的分支中尋找需要刪除的主鍵,但在 winNT 系統中,Winlogon在下面的分支中:

「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon」

  另外筆者注意到,惡作劇的程式碼對於 windows 2000 server 無效,其它的 windows NT 版本筆者沒有測試過。因為讀者來信寫到他的 windows 98 系統遭到了修改,當筆者訪問來信提供的網址時,沒有發生任何變化。如果有網友被修改了,可以按類似的方法來修復。

預防方法

  1.到IE裡禁止javascript指令碼的執行。由於現在的網頁多數插入了指令碼,以達到一定的功能和實現相應的效果,因此,這種喝鳩解渴的方法並實用,建議在IE的設置中將指令碼設為「提示」。

  2.使用 Windows 2000 系列操作系統,可在一定的程度上遏制惡作劇,比如禁止啟動時彈出視窗。

  3.在 Win2000 操作系列中,為了增強安全性能,設置有管理工具,我們進入「控制台」 ->「管理工具」 -> 「服務」,把 Remote Registry Service 服務禁止(如下圖所示),瀏覽網頁時惡作劇無法修改註冊表了。
註:此法對於某些情況可能無效。

  4.建議安裝 Norton AntiVirus 2002 v8.0 殺毒軟體,此軟體已經把通過IE修改註冊表的程式碼定義為 Trojan.Offensive ,增加了 Script Blocking 功能,它將對此類惡作劇進行監控,並予以攔截。它也是目前最好的解決方法。

  5.下載這個文件至桌面,當IE被修改時請雙按。

  終於一口氣把這篇教程寫完,網友們再遇到類似的情況,筆者相信大家可以輕鬆地解決了。如果其它網友有其它的好辦法,也希望提供出來,與網友們分享。如果網友再遇到其它的問題,也可以向筆者來信,我們共同探訪解決方案。



修改IE右鍵功能表,把自己網站的網址加到右鍵功能表上。

  它主要是修改了註冊表中 IE 設置的下面這個鍵值:

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]

修改 IE 右鍵功能表

  這種情況很少見,沒有看到網友來信,筆者也沒碰到過。也許眾多的惡作劇的人還不會這種方法,我們也有理由相信,真正的高手不會整廣大訪問他們網站的網友,另外,如果網站做得好,根本不需要在網頁中加入個性別人電腦來增加訪問量,網友們自動就會把它加入收藏夾!!!

  這是通過修改註冊表的「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt」,在此位置增加鍵值來實現的,在IE中顯示的附加右鍵功能表都在這裡設置,認識了原理,解決問題就簡單多了。

  1.註冊表法

  通過「開始 -> 執行 -> regedit」進入註冊表,來到「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt」位置,點擊資料夾的「+」號,我們可以看到常見的下載軟體網際快車右鍵下載和「增加QQ網路收藏夾」等等的信息


選不需要的主鍵,右擊滑鼠,選項刪除指令,重新啟動 IE 瀏覽器即可看到效果。筆者不是 QQ 會員,「QQ網路收藏夾」也用不上,就按圖中的方法,把它刪除了。讓我們來作個修改前後的對比:補是成功修改恢復了!



修改IE瀏覽器預設主頁,並且鎖定設置項,禁止用戶更改回來。

  它主要是修改了註冊表中 IE 設置的下面這些鍵值(dword:1時為不可選):

  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Settings"=dword:0

  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Links"=dword:0

  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"SecAddSites"=dword:0
鎖定註冊表編輯器

  有一些站點更為可惡,在修改 IE 標題、主頁的同時,把整個註冊表給鎖定了,讓我們不能對註冊表作任何的修改與操作。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次