论坛: 菜鸟乐园 标题: 新手必看:阻击启动组里的不速之客 复制本贴地址    
作者: wish259 [wish259]    论坛用户   登录


恶意网页现在已经从最开始的恶作剧演化成为危害系统安全的杀手。改IE设置、改系统设置、篡改注册表……让很多朋友都疲于奔命,当他们费了九牛二虎之力把各项设置还原,以为风平浪静的时候,系统只要一重启又故态复萌,首页被改、窗口乱跳、没完没了的错误提示……这是怎么回事呢?

  原因就在于这些恶意网页修改了你的启动组。只要系统一启动,那些恶意网页又会死灰复燃,结果就是屡杀不绝。下面,我们就来见识几个典型的启动组里的不受欢迎的客人,下次再见到的时候,记得要把他们扫地出门!



  “引狼入室”:这是最原始的方法。就是将一个网页或是网页的快捷方式放进启动组里,只要一开机,系统就会与这一网页进行连接。典型表现就是开机后浏览器自动打开试图连接某个网站,但是IE的首页设置又可能完全正常;启动组里出现IE图标、后缀名为htm、url或link的项目,(Windows98/MeXP用户可以通过运行msconfig工具来查看启动组中的项目,Windows2000用户可以将Windows98下面的那个msconfig.exe文件直接拷贝过来使用或是使用“Windows优化大师”这样的第三方软件);有些弱智的恶意网页甚至会将这些东西放到“开始”菜单里的“启动”项里。



赛迪网   文/练兵






图1



  在正常情况下启动组里是不应该有这种项目的,如果发现动组里有这样的项目只管放心大胆地清除掉!



  “似是而非”:这是在前一方法的基础上发展出来的。一般在国外的网站上更为常见,很多蠕虫病毒也使用了这样的手法。关键步骤是在启动组里插入一个后缀名为hta的文件,这是一种利用HTML语言来编写的程序文件,由于它与HTML有天生的血缘关系,因此它可以被IE浏览器执行,而且还可以使用ActiveX和JavaScript技术。例如曾经在网上流传的可以格式化硬盘分区的恶意代码即属此类。



  遇上这种情况,典型的表现就是频频出现跳窗广告或是弹出提示;每隔一段时间就试图连接某网站或是弹出对话框;开机后提示安全等级设置错误并要求你降低浏览器的安全等级等等。



  这种情况我已经遇到过多次,通常它们都会用一个颇能唬人的名字来伪装自己,比如office.hta、system.hta甚至是windows.hta。这种手法算不上高明,因为正常情况下启动组里不应该出现任何hta类型的文件,你只要在启动组里去除相应项目,或者用搜索功能查找到这一文件并删除即可。



  “直捣黄龙”:注册表是Windows操作系统的命脉所在,只要玩转了注册表,就可以通吃Windows,自然成为恶意网页攻击的重点,最典型的莫过于“万花谷”和“混客绝情炸弹”。虽然随后也出现了大量的反修改软件,但是这些软件要么放过了对启动组的检查,要么就是被使用者忽略掉了。因此总会出现“治标不治本”的情况。



  最早,恶意网页使用的方法就是非法下载一个后缀名为reg的文件,并将其置于启动组中,这个方法实在有些蹩脚:导入注册表前会出现一个提示,只要稍有戒心就不会上当。



  因为这个提示,又有人开始在它上面耍小聪明,方法是在启动组中写入一句regedit /s xxx.reg,特别注意其中的/s参数,它的意思是直接将reg文件中的内容导入而不予提示。因为reg后缀的文件特别招人注意,也有人自作聪明将后缀名改成dll、exe、dat之类。但是那句regedit /s是改不掉的,遇到他们应该一概删无赦!



  如果你发现IE首页、标题栏、右键菜单、“开始”菜单等总是被篡改,修复后只要重启又会复原,就要考虑是不是注册表被非法修改了。此外,有时在开机的时候出现一些奇怪的提示,比如说某某dll文件丢失或是不能正常运转等等,碰上这种提示就要检查一下你的启动组了。



  “多管齐下”:前面的这些招数实际上很少单独使用,而是混杂在一起甚至与病毒、木马结合起来作恶。其中的典型就是眼下正泛滥成灾的的“爱情森林”系列病毒。



  这个病毒先利用浏览器的漏洞,将隐藏在恶意网页代码中的病毒非法下载到你的机器里,然后修改启动组,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,使病毒可随系统一同启动并附着在QQ上,在用户不知情的情况下以具有诱惑力的语言对外发送带病毒的网页,发送信息之后便会改名为:“EXPLORER.EXE”,并拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心。同时,这个病毒会修改你的IE首页设置,禁用开始菜单中的“运行”项,建立与TXT文本文件甚至是EXE可执行文件的关联,甚至盗取你的QQ密码,危害甚烈。







图2



  由于添加进了启动组,即使修复了浏览器,只要重启后病毒又会复发。而如果你只是简单地在启动组里清除了它们,病毒又会在你打开文本或是执行某个程序的时候再度被激活。总的看来它是恶意网页与蠕虫病毒、木马程序相结合的、具有“中国特色”的病毒。



  如果你发现启动组里多出了几个项目,清除后只要重启又会恢复,同时浏览器的设置被异常更改而且无法修复,QQ等通信软件突然损坏或是不受控制地向外发送信息或邮件,就要想到是不是中了病毒或是木马的招儿了。



  最后,还要提到一些不怎么受欢迎的客人。它们虽然不具有破坏性、传染性,但是贸然进占启动组仍然会令人相当不快。比较典型的是3721网络实名和百度搜索插件,还有一些网站的专用浏览插件等。由于本身设计不完善,加之商业气息太重,往往会带来一些意想不到的问题。它们同样也是请神容易送神难的主儿,自带的卸载功能形同虚设。因此对于它们,我的忠告是:不碰为妙! 


地主 发表时间: 04-06-11 12:53
回复: lijingxi [lijingxi]   见习版主   登录
咋没图呢! 文章看过了!

B1层 发表时间: 04-06-11 13:44

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号