分享
 
 
 

如何阻击启动组里的不速之客

王朝干货·作者佚名  2011-12-09
窄屏简体版  字體: |||超大  

恶意网页现在已经从最开始的恶作剧演化成为危害系统安全的杀手。改IE设置、改系统设置、篡改注册表……让很多朋友都疲于奔命,当他们费了九牛二虎之力把各项设置还原,以为风平浪静的时候,系统只要一重启又故态复萌,首页被改、窗口乱跳、没完没了的错误提示……这是怎么回事呢?

原因就在于这些恶意网页修改了你的启动组。只要系统一启动,那些恶意网页又会死灰复燃,结果就是屡杀不绝。下面,我们就来见识几个典型的启动组里的不受欢迎的客人,下次再见到的时候,记得要把他们扫地出门!

“引狼入室”:这是最原始的方法。就是将一个网页或是网页的快捷方式放进启动组里,只要一开机,系统就会与这一网页进行连接。典型表现就是开机后浏览器自动打开试图连接某个网站,但是IE的首页设置又可能完全正常;启动组里出现IE图标、后缀名为htm、url或link的项目,(Windows98/MeXP用户可以通过运行msconfig工具来查看启动组中的项目,Windows2000用户可以将Windows98下面的那个msconfig.exe文件直接拷贝过来使用或是使用“Windows优化大师”这样的第三方软件);有些弱智的恶意网页甚至会将这些东西放到“开始”菜单里的“启动”项里。

在正常情况下启动组里是不应该有这种项目的,如果发现动组里有这样的项目只管放心大胆地清除掉!

“似是而非”:这是在前一方法的基础上发展出来的。一般在国外的网站上更为常见,很多蠕虫病毒也使用了这样的手法。关键步骤是在启动组里插入一个后缀名为hta的文件,这是一种利用HTML语言来编写的程序文件,由于它与HTML有天生的血缘关系,因此它可以被IE浏览器执行,而且还可以使用ActiveX和JavaScript技术。例如曾经在网上流传的可以格式化硬盘分区的恶意代码即属此类。

遇上这种情况,典型的表现就是频频出现跳窗广告或是弹出提示;每隔一段时间就试图连接某网站或是弹出对话框;开机后提示安全等级设置错误并要求你降低浏览器的安全等级等等。

这种情况我已经遇到过多次,通常它们都会用一个颇能唬人的名字来伪装自己,比如office.hta、system.hta甚至是windows.hta。这种手法算不上高明,因为正常情况下启动组里不应该出现任何hta类型的文件,你只要在启动组里去除相应项目,或者用搜索功能查找到这一文件并删除即可。

“直捣黄龙”:注册表是Windows操作系统的命脉所在,只要玩转了注册表,就可以通吃Windows,自然成为恶意网页攻击的重点,最典型的莫过于“万花谷”和“混客绝情炸弹”。虽然随后也出现了大量的反修改软件,但是这些软件要么放过了对启动组的检查,要么就是被使用者忽略掉了。因此总会出现“治标不治本”的情况。

最早,恶意网页使用的方法就是非法下载一个后缀名为reg的文件,并将其置于启动组中,这个方法实在有些蹩脚:导入注册表前会出现一个提示,只要稍有戒心就不会上当。

因为这个提示,又有人开始在它上面耍小聪明,方法是在启动组中写入一句regedit /s xxx.reg,特别注意其中的/s参数,它的意思是直接将reg文件中的内容导入而不予提示。因为reg后缀的文件特别招人注意,也有人自作聪明将后缀名改成dll、exe、dat之类。但是那句regedit /s是改不掉的,遇到他们应该一概删无赦!

如果你发现IE首页、标题栏、右键菜单、“开始”菜单等总是被篡改,修复后只要重启又会复原,就要考虑是不是注册表被非法修改了。此外,有时在开机的时候出现一些奇怪的提示,比如说某某dll文件丢失或是不能正常运转等等,碰上这种提示就要检查一下你的启动组了。

“多管齐下”:前面的这些招数实际上很少单独使用,而是混杂在一起甚至与病毒、木马结合起来作恶。其中的典型就是眼下正泛滥成灾的的“爱情森林”系列病毒。

这个病毒先利用浏览器的漏洞,将隐藏在恶意网页代码中的病毒非法下载到你的机器里,然后修改启动组,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,使病毒可随系统一同启动并附着在QQ上,在用户不知情的情况下以具有诱惑力的语言对外发送带病毒的网页,发送信息之后便会改名为:“EXPLORER.EXE”,并拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心。同时,这个病毒会修改你的IE首页设置,禁用开始菜单中的“运行”项,建立与TXT文本文件甚至是EXE可执行文件的关联,甚至盗取你的QQ密码,危害甚烈。

由于添加进了启动组,即使修复了浏览器,只要重启后病毒又会复发。而如果你只是简单地在启动组里清除了它们,病毒又会在你打开文本或是执行某个程序的时候再度被激活。总的看来它是恶意网页与蠕虫病毒、木马程序相结合的、具有“中国特色”的病毒。

如果你发现启动组里多出了几个项目,清除后只要重启又会恢复,同时浏览器的设置被异常更改而且无法修复,QQ等通信软件突然损坏或是不受控制地向外发送信息或邮件,就要想到是不是中了病毒或是木马的招儿了。

最后,还要提到一些不怎么受欢迎的客人。它们虽然不具有破坏性、传染性,但是贸然进占启动组仍然会令人相当不快。比较典型的是3721网络实名和百度搜索插件,还有一些网站的专用浏览插件等。由于本身设计不完善,加之商业气息太重,往往会带来一些意想不到的问题。它们同样也是请神容易送神难的主儿,自带的卸载功能形同虚设。因此对于它们,我的忠告是:不碰为妙!

恶意网页现在已经从最开始的恶作剧演化成为危害系统安全的杀手。改IE设置、改系统设置、篡改注册表……让很多朋友都疲于奔命,当他们费了九牛二虎之力把各项设置还原,以为风平浪静的时候,系统只要一重启又故态复萌,首页被改、窗口乱跳、没完没了的错误提示……这是怎么回事呢?

原因就在于这些恶意网页修改了你的启动组。只要系统一启动,那些恶意网页又会死灰复燃,结果就是屡杀不绝。下面,我们就来见识几个典型的启动组里的不受欢迎的客人,下次再见到的时候,记得要把他们扫地出门!

“引狼入室”:这是最原始的方法。就是将一个网页或是网页的快捷方式放进启动组里,只要一开机,系统就会与这一网页进行连接。典型表现就是开机后浏览器自动打开试图连接某个网站,但是IE的首页设置又可能完全正常;启动组里出现IE图标、后缀名为htm、url或link的项目,(Windows98/MeXP用户可以通过运行msconfig工具来查看启动组中的项目,Windows2000用户可以将Windows98下面的那个msconfig.exe文件直接拷贝过来使用或是使用“Windows优化大师”这样的第三方软件);有些弱智的恶意网页甚至会将这些东西放到“开始”菜单里的“启动”项里。

在正常情况下启动组里是不应该有这种项目的,如果发现动组里有这样的项目只管放心大胆地清除掉!

“似是而非”:这是在前一方法的基础上发展出来的。一般在国外的网站上更为常见,很多蠕虫病毒也使用了这样的手法。关键步骤是在启动组里插入一个后缀名为hta的文件,这是一种利用HTML语言来编写的程序文件,由于它与HTML有天生的血缘关系,因此它可以被IE浏览器执行,而且还可以使用ActiveX和JavaScript技术。例如曾经在网上流传的可以格式化硬盘分区的恶意代码即属此类。

遇上这种情况,典型的表现就是频频出现跳窗广告或是弹出提示;每隔一段时间就试图连接某网站或是弹出对话框;开机后提示安全等级设置错误并要求你降低浏览器的安全等级等等。

这种情况我已经遇到过多次,通常它们都会用一个颇能唬人的名字来伪装自己,比如office.hta、system.hta甚至是windows.hta。这种手法算不上高明,因为正常情况下启动组里不应该出现任何hta类型的文件,你只要在启动组里去除相应项目,或者用搜索功能查找到这一文件并删除即可。

“直捣黄龙”:注册表是Windows操作系统的命脉所在,只要玩转了注册表,就可以通吃Windows,自然成为恶意网页攻击的重点,最典型的莫过于“万花谷”和“混客绝情炸弹”。虽然随后也出现了大量的反修改软件,但是这些软件要么放过了对启动组的检查,要么就是被使用者忽略掉了。因此总会出现“治标不治本”的情况。

最早,恶意网页使用的方法就是非法下载一个后缀名为reg的文件,并将其置于启动组中,这个方法实在有些蹩脚:导入注册表前会出现一个提示,只要稍有戒心就不会上当。

因为这个提示,又有人开始在它上面耍小聪明,方法是在启动组中写入一句regedit /s xxx.reg,特别注意其中的/s参数,它的意思是直接将reg文件中的内容导入而不予提示。因为reg后缀的文件特别招人注意,也有人自作聪明将后缀名改成dll、exe、dat之类。但是那句regedit /s是改不掉的,遇到他们应该一概删无赦!

如果你发现IE首页、标题栏、右键菜单、“开始”菜单等总是被篡改,修复后只要重启又会复原,就要考虑是不是注册表被非法修改了。此外,有时在开机的时候出现一些奇怪的提示,比如说某某dll文件丢失或是不能正常运转等等,碰上这种提示就要检查一下你的启动组了。

“多管齐下”:前面的这些招数实际上很少单独使用,而是混杂在一起甚至与病毒、木马结合起来作恶。其中的典型就是眼下正泛滥成灾的的“爱情森林”系列病毒。

这个病毒先利用浏览器的漏洞,将隐藏在恶意网页代码中的病毒非法下载到你的机器里,然后修改启动组,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,使病毒可随系统一同启动并附着在QQ上,在用户不知情的情况下以具有诱惑力的语言对外发送带病毒的网页,发送信息之后便会改名为:“EXPLORER.EXE”,并拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心。同时,这个病毒会修改你的IE首页设置,禁用开始菜单中的“运行”项,建立与TXT文本文件甚至是EXE可执行文件的关联,甚至盗取你的QQ密码,危害甚烈。

由于添加进了启动组,即使修复了浏览器,只要重启后病毒又会复发。而如果你只是简单地在启动组里清除了它们,病毒又会在你打开文本或是执行某个程序的时候再度被激活。总的看来它是恶意网页与蠕虫病毒、木马程序相结合的、具有“中国特色”的病毒。

如果你发现启动组里多出了几个项目,清除后只要重启又会恢复,同时浏览器的设置被异常更改而且无法修复,QQ等通信软件突然损坏或是不受控制地向外发送信息或邮件,就要想到是不是中了病毒或是木马的招儿了。

最后,还要提到一些不怎么受欢迎的客人。它们虽然不具有破坏性、传染性,但是贸然进占启动组仍然会令人相当不快。比较典型的是3721网络实名和百度搜索插件,还有一些网站的专用浏览插件等。由于本身设计不完善,加之商业气息太重,往往会带来一些意想不到的问题。它们同样也是请神容易送神难的主儿,自带的卸载功能形同虚设。因此对于它们,我的忠告是:不碰为妙!

小贴士:① 若网友所发内容与教科书相悖,请以教科书为准;② 若网友所发内容与科学常识、官方权威机构相悖,请以后者为准;③ 若网友所发内容不正确或者违背公序良俗,右下举报/纠错。
 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有