頻道欄目
首頁 > 資訊 > 系統安全 > 正文

以牙還牙!巧妙防治惡意的 網頁病毒

04-10-01        來源:[db:作者]  
收藏   我要投稿

單位的一臺公用電腦接入了Internet互聯網,沒多久,就被一個惡意網頁病毒感染了,出現如下癥狀:打開IE瀏覽器,會自動進入一個名為“久好網址之家”的網址大全類的網站,打開“Internet選項”,發現主頁被設置為“www.ok9.net”(如圖1),當使用“搜索”功能時,發現搜索也被修改指向“www.ok9.net”,真是令人厭煩。

  圖1惡意網頁修改了主頁地址

  于是我運行注冊表編輯器,利用“查找”功能,以“www.ok9.net”為關鍵詞找出所有被惡意網頁修改的內容,并全部更改回原來的值。誰知重新啟動系統后,打開IE瀏覽器,發現又自動打開了那個惡意網站,而且其他地方也被修改了,看來事情并不是想像的那么簡單,這個惡意網站一定還在系統啟動時做了什么手腳!

  圖2被修改的鍵值

  于是在“運行”中輸入“msconfig”,打開系統配置實用程序,逐項查找System.ini、Win.ini以及“啟動”項中的所有自啟動項目,終于在“啟動”項中發現了兩個極為可疑的鍵值。雖然一個是默認鍵值,一個鍵值名稱為“win”,但兩者的鍵值數據都是“regedit -s c:\windows\win.dll”(如圖2)。通過查找Regedit的相關命令得知,這個命令的功能是導入一個注冊表腳本文件,“-s”參數則是讓它后臺自動導入,不過這后面導入的是“Win.dll”文件,怎么會是一個動態鏈接庫文件呢?難道這只是一個表面現象,于是用記事本打開這個“Win.dll”文件,發現原來這是一個文本格式的文件(如圖3),只不過被修改了擴展名而已。

  圖3神秘的文件

  我分析了一下這個“Win.dll”文件,原來系統總是自動被惡意修改就是它在起作用。找到了癥結,當然解決方法就是刪除這個鍵值,并刪除“Win.dll”文件,不過我忽然想到既然惡意網站可以利用這個文件來添加鍵值數據,為什么我不再利用一下這個文件,以牙還牙,讓它還自動還原被惡意修改的鍵值呢?于是我將該文件修改如下:

  REGEDIT4

  [空一行]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  @=""

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  "win"=-

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

  "Start Page"=""

  "First Home Page"=""

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

  "Start Page"=""

  "First Home Page"=""

  rcx

  保存修改后的“Win.dll”文件,然后運行一下命令“regedit -s c:\windows\win.dll”,重新啟動一下系統,你會發現所有的惡意修改一下子就全部被恢復了,你還可以保存著這個文件,如果再遇到這個惡意網頁的話,只需要用這個文件恢復一下就可以了,非常方便。

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片