強行修改用戶操作系統(tǒng)的注冊表及系統(tǒng)實用配置程序,從而達到非法控制系統(tǒng)資源、破壞數據、格式化硬盤、感染木馬程序的目的。
目前來自網頁黑手的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統(tǒng)。前者一般會修改IE瀏覽器的標題欄、默認主頁等,關于此方面的文章比較多。下面就來介紹一些針對破壞Windows系統(tǒng)的網頁黑手的防范方法。
黑手之一 格式化硬盤
這是一種非常危險的網頁黑手,它會通過IE執(zhí)行ActiveX部件并調用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后,會出現一個信息提示框,提示:“當前的頁面含有不完全的ActiveX,可能會對你造成危害,是否執(zhí)行?yes,no”,如果單擊“是”,那么硬盤就會被迅速格式化,而這一切都是在后臺運行的,不易被察覺。
防范的方法是:將本機的Format.com或Deltree.exe命令改名字。另外,對于莫名出現的提示問題,不要輕易回答“是”。可以按下[Ctrl+Alt+Del]組合鍵在彈出的“關閉程序”窗口中,將不能確認的進程中止執(zhí)行。
黑手之二 耗盡系統(tǒng)資源
這種網頁黑手會執(zhí)行一段Java Script代碼并產生一個死循環(huán),以至不斷消耗本機系統(tǒng)資源,最后導致系統(tǒng)死機。它們會出現在一些惡意網站或者郵件的附件中,只要打開附件程序后,屏幕上就會出現無數個IE窗口,最后只有重新啟動計算機。
防范的方法是:不要輕易進入不了解的網站,也不要隨便打開陌生人發(fā)來的E-mail中的附件,比如擴展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法讀取文件
此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調用來達到對本地文件進行讀取。它還可以利用瀏覽器漏洞實現對本地文件的讀取,避免此類攻擊可以關閉禁用瀏覽器的JavaScript功能。
黑手之四 獲取控制權限
此類黑手會利用IE執(zhí)行Actives時候發(fā)生,雖然說IE提供對于“下載已簽名的ActiveX控件”進行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執(zhí)行ActiveX控件程序,而這時惡意攻擊者就會取得對系統(tǒng)的控制權限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然后展開如下分支:
解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創(chuàng)建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創(chuàng)建一個REG_DWORD 類型的鍵Compatibility,并設定鍵值為0x00000400即可。
對于來自網上的種種攻擊,在提高防范意識的同時,還需做好預防工作。
1.設定安全級別
鑒于很多攻擊是通過包含有惡意腳本實現攻擊,可以提高IE的級別。在IE中執(zhí)行“工具/Internet選項”命令,然后選擇“安全”選項卡,選擇“Internet”后單擊[自定義級別]按鈕,在“安全設置”對話框中,將“ActiveX控件和插件”、“腳本”中的相關選項全部選擇“禁用”,另外設定安全級別為“高”。需要注意的是,如果選擇了“禁用”,一些需要使用ActiveX和腳本的網站可能無法正常顯示。
2.過濾指定網頁
對于一些包含有惡意代碼的網頁,可以將其屏蔽,執(zhí)行“工具/Internet選項”命令,選擇內容選項卡,在“分級審查”中單擊[啟用]按鈕,打開“分級審查”對話框,選擇“許可站點”選項卡,輸入需要屏蔽網址,然后單擊[從不]按鈕,再單擊[確定]按鈕。 3.卸載或升級WSH
有些利用VBScript編制的病毒、蠕蟲病毒,比如 “I LOVE YOU”和“Newlove”,它們都包含了一個以 VBS為后綴名的附件,打開附件后,用戶就會被感染。這些病毒會利用Windows內嵌的 Windows Scripting Host 即WSH進行啟動和運行。也就是說,如果將WSH禁用,隱藏在VB腳本中的病毒就無法被激活了。
在Windows 98中禁用WSH,打開“添加/刪除”程序,選擇“Windows 設置/附件”,并單擊“詳細資料”,取消“Windows Scripting Host”選項,完成后單擊[確定]按鈕即可。
在Windows 2000中禁用WSH的方法是,雙擊“我的電腦”圖標,然后執(zhí)行“工具/文件夾選項”命令,選擇“文件類型”選項卡,找到“VBS VBScript Script File”選項,并單擊[刪除]按鈕,最后單擊[確定]即可。
另外,還可以升級WSH 5.6,IE瀏覽器可以被惡意腳本修改,就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr ActiveX對象讀取瀏覽者的注冊表,可以在http://www.microsoft.com/下載最新版本的WSH。
4.禁用遠程注冊表服務
在Windows 2000/XP中,可以點擊“控制面板/管理工具/服務”,用鼠標右鍵單擊“Remote Registry”,然后在彈出的快捷方式中選擇“屬性”命令,在“常規(guī)”選項卡中單擊[停止]按鈕,這樣可以攔截部分惡意腳本代碼。
5.安裝防火墻和殺毒軟件
安裝防火墻和殺毒軟件可以攔截部分惡意代碼程序,比如可以安裝瑞星殺毒軟件。
