近日,笔者的信箱里N多封“江湖告急”,众网友皆为网页黑客代码之事烦恼。有“病入肌肤者”希望能够恢复面目全非的IE;然“病入膏肓者”则求清除木马的秘方。如此看来,这只网页上的黑手不除是不行的了。
IE为什么会受伤
网页是由HTML超文本标识语言构成,通过标签描述就可以实现文字、表格、声音、图像、动画等多媒体信息。但这种静态的超链接技术存在一些缺陷,不能实现弹出窗口等特效;缺少动态的客户端与服务器端的交互等等。所以在网页中引入了可执行的脚本语言(常用的有JavaScript、VBScript)。初衷是为了丰富互联网的形式,而它的双面性――可执行功能,导致了目的不良的人利用其危害四方。
1.编写可执行黑客代码
这种方法是最常用的。黑客在制作网页时,手工编写好可执行的代码,将其嵌入HTML代码中,待用户浏览该网页时,IE读取标签的同时自动执行脚本,执行后的结果会改变计算机设置或修改注册表(最常见的)。
此类问题威胁性不算大,只是有些烦人,通过一些注册表工具或还原软件就可以改回计算机的设置。
2.软件种植的方法
使用软件生成黑客网页,本质上和手工编写一致。不过它制作简单,而且可以轻易地加载EXE的木马程序。如图1所示,这是常见的木马网页生成器,由界面可以看出,要制作一个木马网页是何等容易。
能制作修改注册表网页的软件也很多,在制作时,只需要单击一个按钮,或者勾选几个复选框,就可以生成对一个多方面修改注册表的黑客网页。
相比之下,被修改了注册表计算机,很快就可以发现异常;而被网页在后台种植了木马,用户是不能及时发现的,至于损失嘛……不言而喻了吧!
IE病了
中了黑客代码后的计算机,表现出来的现象千奇百怪。笔者就各位网友E-mail中常提及和具代表性的几种现象整理出来,介绍给大家:
1.注册表面目全非
首先被修改的往往是注册表,这中间首当其冲又是IE相关选项。如:IE的首页被修改,启动IE时,自动打开一个网页,有的首页被修改后,在Internet选项里明明看到的是“about:blank”(空白页),而打开后却被加载了一个默认首页;收藏夹里多了一些莫名其妙的地址;计算机的右键菜单里出现了链接。更甚者,不但修改了默认主页,且Internet选项里的[使用空白页]按钮还变成灰色,让用户不能修复(如图2)。
除了与IE相关的选项,其他的计算机设置也可能成为修改的目标,例如:系统C盘被共享出来,而且在共享设置窗口里,去掉共享的选项也变成灰色无法修改的状态。
2.木马,木马
从前面的介绍可知,制作一个含EXE的木马网页是十分简单的事,而且它的症状不会像被修改了设置后的计算机那样明显。所以,大家应该特别小心由网页带来的木马。
由网页植入的木马一般体积小,运行隐蔽(它可以在你浏览网页的瞬间进入计算机),仅从计算机的运行情况是不能判断的。这个时候“检查进程”是一个不错的方法。
在Windows XP系统里正常,应特别注意当前登录用户名所启用的进程,如果有可疑的,可直接将其终止,即使误关了其他正在使用的程序,也不会对系统有影响。切勿乱关闭“SYSTEM”的进程,木马一般不可能得到系统进程的权限,而关闭了一些必要的进程后,计算机不再正常运行。
对于Windows 98和Windows Me等不能很好显示进程的系统,可以使用“Windows优化大师”的进程显示功能,查看和清除木马。
定期检查计算机的“C:\windows”、“C:\windows\system”和“C:\windows\system32”这三个目录下是否有可疑的EXE也是一个检查网页木马的好方法,它们都是网页木马常用的植入路径。
图2主页被修改且不能修复面
给IE疗伤
如果你十分不幸地中了黑客代码,清除和修改工作自然免不了。在清除时,依然采取“以改为主;以删为辅”的作战方针。先来说说手工的清除方法。
1.手工修复设置
第一步,手工修改设置和垃圾链接。对于一些修改得不严重的Internet选项可以手工修改回来,不影响以后的使用,如:改回主页为“空白页”;将被设置了共享的硬盘设置为不共享,这些都是可以很快实现的。接下来删除一些垃圾链接,这些链接一般被加载到IE的收藏夹里,右键删除即可,另外在“开始”、“文档”里也可能会有垃圾链接,删除的方法依然是右键删除。
第二步,使用“msconfig”查看系统启动项。这是系统启动后的默认加载程序,查看里面是否有“Url http://www.xxxx.com”等字样。
第三步,修改注册表。注册表是系统的核心,在进行修改时应特别注意和小心,以免波及到系统的其他设置。
在介绍注册表修改时,笔者依次罗列一些常见现象的注册表修改路径:
IE窗口的默认名称
进入注册表的:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main路径寻找“Window Title”键,它的默认键值为“Microsoft Internet Explorer”。
IE的默认首页
进入注册表的HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main路径寻找“Start Page”键,它的默认键值为“about:blank”即空白页。
设置空白页按钮灰色时
进入注册表的HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ControlPanel路径寻找是否有“HomePage”键,如果没有就自己建立一个,并将其键值设定为“dword:00000000”。Internet选项里变灰的按钮就恢复到激活状态。
注册表禁止访问
有的恶意代码在禁止了使用Internet选项后,会同时禁止用户访问注册表(运行Regedit时,会提示“管理器已被管理员禁止”),用户即使知道恢复注册的路径也无法进入。此时可以手工编写一个.reg文件,运行它来解锁注册表。
建立一个txt的文本文件,然后在里面添加代码:
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
\system"DisableRegistryTools"=dword:00000000]
再将这个.txt文件的后缀名,更改为.reg,运行就可以修改回注册表的访问功能。再骇人听闻一下,普通情况下注册表被锁定都可以通过编辑一个.reg文件,运行解锁,但如果黑客代码在修改注册表时,不但锁定了注册表的访问,同时禁止了.reg文件的运行,那手工的方法是不可能恢复了。
第四步,修改完成后,立即重新启动计算机。
2.手工清除植入木马
第一步,打开进程窗口,把木马进程杀掉。方法很简单,Windows 2000或者Windows XP系统可以在进程窗口里单击右键,选择“结束进程”。Windows 98或者Windows Me系统,必须借助一些工具软件来显示进程,然后终止掉。
第二步,使用“Msconfig”,在系统的启动加载项里查看是否有该木马的默认启动,如果有,去掉该木马程序前面的“√”,然后应用。除了使用Msconfig系统配置器外,还可以修改注册表的“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”路径,直接删除加载的木马程序,这种方式更为保险。
第三步,在木马经常存在的目录里,找到并删除这些EXE(注意是删除,不是放入回收站)。清除木马的手工方法可能并不彻底,这时候需要借助一些专业的查杀毒软件。对于一些新的网页木马病毒,杀毒软件也未必能百分百侦察到。
第四步,手工清除工作完成后重新启动计算机。
给IE打预防针
IE还是现在最普及的浏览器,虽然它漏洞百出,成为众多黑客代码攻击的目标。要保护IE光靠用户的安全意识是不够的,所以需要一些第三方的工具软件进行即时保护。
1.3721上网助手
如果你的IE被修改得面目全非,首先进入3721的IE修复页面(assistant.3721.com/index.htm?type=iefix02.htm&&fb=systray),勾选其中需要还原的IE选项,点击[立即修复],它就能够自动帮助你完成修复工作。
修复完后,就可以安装“上网助手”对IE进行即时保护。下载地址是assistant.3721.com/?fb=client,免费使用。安装完成后会在IE的地址栏旁边出现[上网助手]按钮,建议勾选菜单里面的“即时保护IE”和“屏蔽恶意网站”两项。启用“即时保护IE”功能后,软件会在打开网页前,进行审查,如果有恶意代码,首先提示并暂停网页打开,如果是正常的才许其打开;“屏蔽恶意网站”功能是与将IE浏览的网页地址与3721的恶意网站地址库进行比对,如果发现是库里包含的地址,禁止IE访问,你也可以去网站上提交恶意网站地址。
像这种嵌入IE式的即时保护工具还有很多,如:百度搜索伴侣(http://bar.baidu.com/)等,它们的优点是体积小,与IE结合紧密,缺点是抵御木马的能力较弱。
2.超级兔子IE助手
“超级兔子”是一款专业的IE工具,它不但能保护IE,还能对上网时的一些“暴力”、“色情”关键字进行过滤。软件安装后分为两个组件,一个是“IE助手”,它主要是帮助用户恢复被窜改后的IE设置和Internet选项;另一个组件“IE专家”,它主要是对IE进行即时保护和其他的过滤功能(如图3),在“IE保护”项里勾选“禁止恶意网页攻击IE”和“禁止远程修改注册表”即可。