第1招:禁止使用電腦現(xiàn)象描述:盡管網(wǎng)絡(luò)流氓們用這一招的不多,但是一旦你中招了,后果真是不堪設(shè)想!瀏覽了含有這種惡意代碼的網(wǎng)頁其后果是:"關(guān)閉系統(tǒng)"、"運(yùn)行"、"注銷"、注冊表編輯器、DOS 程序、運(yùn)行任何程序被禁止,系統(tǒng)無法進(jìn)入"實(shí)模式"、驅(qū)動(dòng)器被隱藏。
解決辦法:一般來說上述八大現(xiàn)象你都遇上了的話,建議重裝。
第2招:格式化硬盤現(xiàn)象描述:這類惡意代碼的特征就是利用IE 執(zhí)行ActiveX 的功能,讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網(wǎng)頁,瀏覽器就會(huì)彈出一個(gè)警告說"當(dāng)前的頁面含有不安全的ctiveX,可能會(huì)對(duì)你造成危害",問你是否執(zhí)行。如果你選擇"是"的話,硬盤就會(huì)被快速格式化。
解決辦法:除非你知道自己是在做什么,否則不要隨便回答"是"。該提示信息還可以被修改,如改成"Windows 正在刪除本機(jī)的臨時(shí)文件,是否繼續(xù)",所以千萬要注意!此外,將計(jì)算機(jī)上Format.com、Fdisk.exe、Del.exe、Deltree.exe 等命令改名也是一個(gè)辦法。
第3招:下載運(yùn)行木馬程序現(xiàn)象描述:在網(wǎng)頁上瀏覽也會(huì)中木馬?當(dāng)然,由于IE5.0 本身的漏洞,使這樣的新式入侵手法成為可能,方法就是利用了微軟的可以嵌入exe 文件的eml文件的漏洞,將木馬放在eml 文件里,然后用一段惡意代碼指向它。上網(wǎng)者瀏覽到該惡意網(wǎng)頁,就會(huì)在不知不覺中下載了木馬并執(zhí)行,其間居然沒有任何提示和警告!
解決辦法:第一個(gè)辦法是升級(jí)您的IE,此外,安裝Norton 等病毒防火墻,它會(huì)把網(wǎng)頁木馬當(dāng)作病毒迅速查截殺。
第4招:注冊表的鎖定現(xiàn)象描述:有時(shí)瀏覽了惡意網(wǎng)頁后系統(tǒng)被修改,想要用Regedit更改時(shí),卻發(fā)現(xiàn)系統(tǒng)提示你沒有權(quán)限運(yùn)行該程序,然后讓你聯(lián)系管理員。
解決辦法:能夠修改注冊表的又不止Regedit 一個(gè),找一個(gè)注冊表編輯器,例如:Reghance。將注冊表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值"DisableRegistryTools"鍵值恢復(fù)為"0",即可恢復(fù)注冊表。
第5招:默認(rèn)主頁修改現(xiàn)象描述:一些網(wǎng)站為了提高自己的訪問量和做廣告宣傳,利用IE 的漏洞,將訪問者的IE 不由分說地進(jìn)行修改。一般改掉你的起始頁和默認(rèn)主頁,為了不讓你改回去,甚至將IE 選項(xiàng)中的默認(rèn)主頁按鈕變?yōu)槭У幕疑?br />
解決辦法:起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main,在右半部分窗口中將"StartPage"的鍵值改為"about:blank"即可。同理,展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main,在右半部分窗口中將"StartPage"的鍵值改為"about:blank"即可。注意:有時(shí)進(jìn)行了以上步驟后仍然沒有生效,估計(jì)是有程序加載到了啟動(dòng)項(xiàng)的緣故,就算修改了,下次啟動(dòng)時(shí)也會(huì)自動(dòng)運(yùn)行程序,將上述設(shè)置改回來,解決方法如下:
(1).運(yùn)行注冊表編輯器Regedit.exe,然后依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 主鍵,然后將下面的"registry.exe"子鍵(名字不固定)刪除,最后刪除硬盤里的同名可執(zhí)行程序。退出注冊編輯器,重新啟動(dòng)計(jì)算機(jī),問題就解決了。
(2).默認(rèn)主頁的修改。運(yùn)行注冊表編輯器,展開HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\,將
Default-Page-URL 子鍵的鍵值中的那些惡意網(wǎng)站的網(wǎng)址改正,或者設(shè)置為IE 的默認(rèn)值。
(3).IE 選項(xiàng)按鈕失效。運(yùn)行注冊表編輯器,將HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel 中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1 全部改為"0",將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的DWORD 值"homepage"的鍵值改為"0"。
第6招:修改IE 標(biāo)題欄現(xiàn)象描述:在系統(tǒng)默認(rèn)狀態(tài)下,由應(yīng)用程序本身來提供標(biāo)題欄的信息。但是,有些網(wǎng)絡(luò)流氓為了達(dá)到廣告宣傳的目的,將串值"WindowsTitle"下的鍵值改為其網(wǎng)站名或更多的廣告信息,從而達(dá)到改變IE 標(biāo)題欄的目的。
解決辦法:展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\下,在右半部分窗口找
到串值"WindowsTitle",將該串值刪除。重新啟動(dòng)計(jì)算機(jī)。
第7招:修改默認(rèn)搜索引擎現(xiàn)象描述:在IE 瀏覽器的工具欄中有一個(gè)搜索引擎的工具按鈕,可以實(shí)現(xiàn)網(wǎng)絡(luò)搜索,被篡改后只要點(diǎn)擊那個(gè)搜索工具按鈕就會(huì)鏈接到網(wǎng)絡(luò)注氓想要你去的網(wǎng)站。
解決辦法:運(yùn)行注冊表編輯器,依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\CustomizeSearch和
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\SearchAssistant,將CustomizeSearch 及SearchAssistant 的鍵值改為某個(gè)搜索引擎的網(wǎng)址即可。
第8招:IE 右鍵修改現(xiàn)象描述:有的網(wǎng)絡(luò)流氓為了宣傳的目的,將你的右鍵彈出的功能菜單進(jìn)行了修改,并且加入了一些亂七八糟的東西,甚至為了禁止你下載,將IE 窗口中單擊右鍵的功能都屏蔽掉。
解決辦法:1.右鍵菜單被修改。打開注冊表編輯器,找到
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt,刪除相關(guān)的廣告條文。2.右鍵功能失效。打開注冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions,將其DWORD 值"NoBrowserContextMenu"的值改為0。
第9招:篡改地址欄文字現(xiàn)象描述:中招者的IE 地址欄下方出現(xiàn)一些莫名其妙的文字和圖標(biāo),地址欄里的下拉框里也有大量的地址,并不是你以前訪問過的。
解決辦法:1.地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ToolBar 下找到鍵值
LinksFolderName,將其中的內(nèi)容刪去即可。2.地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypeURLs 中刪除無用的鍵值即可。
第10招:啟動(dòng)時(shí)彈出對(duì)話框現(xiàn)象描述:1.系統(tǒng)啟動(dòng)時(shí)彈出對(duì)話框,通常是一些廣告信息,例如歡迎訪問某某網(wǎng)站等等。2.開機(jī)彈出網(wǎng)頁,通常會(huì)彈出很多窗口,讓你措手不及,惡毒一點(diǎn)的,可以重復(fù)彈出窗口直到資源耗盡而死機(jī)。
解決辦法:1.彈出對(duì)話框。打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 主鍵,然后在右邊窗口中到"LegalNoticeCaption"和"LegalNoticeText"這兩個(gè)字符串,刪除這兩個(gè)字符串就可以解決在啟動(dòng)時(shí)出現(xiàn)提示框的現(xiàn)象了。2.彈出網(wǎng)頁。點(diǎn)擊"開始-運(yùn)行-輸入msconfig",選擇"啟動(dòng)",把里面后綴為url、html、htm 的網(wǎng)址文件都勾掉。
第11招:IE 窗口定時(shí)彈出現(xiàn)象描述:中網(wǎng)頁木馬的機(jī)器每隔一段時(shí)間就彈出IE 窗口,地址指向網(wǎng)絡(luò)注氓的個(gè)人主頁。
解決辦法:點(diǎn)擊"開始-運(yùn)行-輸入msconfig",選擇"啟動(dòng)",把里面后綴為hta 的都勾掉,重啟。
第12招:比如網(wǎng)絡(luò)上流行 的木馬 smss.exe 現(xiàn)象描述:這個(gè)是其中一種木馬的主體 潛伏在 98/winme/xp c:windows 目錄下 2000 c:winnt .....
解決辦法:假如你中了這個(gè)木馬 首先我們用進(jìn)程管理器結(jié)束正在運(yùn)行的木馬smss.exe然后在C:windows 或 c:winnt 目錄下 創(chuàng)建一個(gè)價(jià)的 smss.exe 并設(shè)置為只讀屬性~(2000/XP NTFS 的磁盤格式的話那就更好 可以用“安全設(shè)置” 設(shè)置為讀取)經(jīng)過這樣的修改后,我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測試,實(shí)驗(yàn)結(jié)果是上了大概20個(gè)木馬網(wǎng)站,有大概15 個(gè)防病毒會(huì)報(bào)警,另外5 個(gè)防病毒沒有反映,而機(jī)器沒有添加出來新的EXE 文件,也沒有新的進(jìn)程出現(xiàn),只不過有些木馬的殘骸留在了IE 的臨時(shí)文件夾里,他們沒有被執(zhí)行起來,沒有危險(xiǎn)性,所以建議大家經(jīng)常清理臨時(shí)文件夾和IE。
第13招:初步防御。預(yù)備階段這一階段,我還是建議大家首先試一下各種殺毒工具,把基本的能殺的病毒都給先殺了,以減輕自己的工作量。比如IE 病毒專殺工具如360,以及金山毒霸,瑞星,江民等常見殺毒工具。你需要在預(yù)備階段做的工作就是利用一些殺毒工具把常見的大部分病毒都給殺除了。另外,如果不能殺除,你可以再嘗試在系統(tǒng)啟動(dòng)時(shí)按F8進(jìn)入安全模式在這個(gè)情況下再啟動(dòng)殺毒工具和IE 修復(fù)工具進(jìn)行查殺。
第14招:反擊病毒。掃描進(jìn)程進(jìn)行查殺筆者的電腦就曾經(jīng)CPU 滾燙無比,發(fā)現(xiàn)RUNDLL32.EXE 這個(gè)文件運(yùn)行了99%的CPU 資源,而這個(gè)文件是WINDOWS 下的SYSTEM32 文件夾里的,不應(yīng)該是病毒。而最大的可能,它就是被用來運(yùn)行了某些病毒的DLL 文件。而造成嚴(yán)重?fù)p害的。針對(duì)進(jìn)程問題,首先大家可以用最簡單的方法先進(jìn)行表面清楚,就是在“開始”里點(diǎn)“運(yùn)行”,鍵入MSCONFIG,然后進(jìn)入啟動(dòng)項(xiàng)設(shè)置,看到不正常的啟動(dòng)項(xiàng),比如各種莫名奇妙的名字,以及特別是在非WINDOWS 系統(tǒng)文件夾下的(可以直接刪除都沒事),以及各種奇怪的可執(zhí)行文件,.exe 的,給予堅(jiān)決取消啟動(dòng)。并可找到那個(gè)文件的位置,給予刪除,如果非系統(tǒng)文件夾下的,你大可以放心刪除。另外,推薦大家一款免費(fèi)的進(jìn)程掃描工具h(yuǎn)ijackthis,大家可以找它的漢化版的,用來掃描進(jìn)程。尤其是隱藏在SYSTEM32 文件夾下的,某些異常的.exe 文件,以及它的上級(jí)文件夾。不要怕,進(jìn)入c:/windows/system32,進(jìn)去之后,找到那個(gè)文件,以及它的父文件夾。有時(shí)候,你會(huì)很驚訝的發(fā)現(xiàn),這個(gè)可執(zhí)行文件病毒就被你發(fā)現(xiàn)了,有的病毒執(zhí)行程序,你查看屬性時(shí),竟然寫到是某某廣告公司,這些病毒往往都是一個(gè)單的可執(zhí)行文件,放在SYSTEM32 下或者一個(gè)文件夾里。馬上徹底刪除!有的無法刪除,正在運(yùn)行的,你要借助一些文件粉碎機(jī)來刪除。而好象SP2 的WINXP 自帶粉碎文件功能。就這樣,你根據(jù)可疑進(jìn)程,特別是擴(kuò)展名為.exe 的文件,找到它隱藏的文件夾,看它的屬性和修改日期,有的是往往是發(fā)生病毒情況的那一天的,很容易就發(fā)現(xiàn)它是病毒,直接封殺!有的更“牛”一點(diǎn),在父文件夾里還帶著一些廣告網(wǎng)站的.ini 文本文件和其它文件夾,這個(gè)沒事,你打開看看那些文件夾里都是啥,有時(shí)候你能發(fā)現(xiàn)這些.ini 文件里就寫著騷擾你的惡意網(wǎng)站或者其它廣告網(wǎng)站的地址。發(fā)現(xiàn)了就好,然后再看看這個(gè)文件夾的修改時(shí)間,如果是發(fā)生病毒時(shí)候的,還等什么?整個(gè)這個(gè)異常文件夾一下子刪除!就這樣,你可以通過進(jìn)程掃描,尋根求底的方法,找到隱藏的系統(tǒng)文件下,通過查閱文件夾以及異常文件屬性等,直接手工刪除!
第15招:主動(dòng)出擊。根除殘留病毒有時(shí)候,某些病毒并不是在運(yùn)行,而是在你打IE 之后的某個(gè)時(shí)間或者激發(fā)了某些事件,它們才會(huì)運(yùn)行。有的還是某些.DLL 文件,隱藏在系統(tǒng)文件夾下,很難發(fā)現(xiàn),而且往往誤認(rèn)為是系統(tǒng)文件而不敢查殺。這些成為最頑固的病毒,不用怕。這些也都可以通過第三招而殺除。最常用的方法是根據(jù)文件夾和文件修改創(chuàng)建時(shí)間。首先你把文件夾屬性調(diào)整為查閱所有文件,包括隱藏文件和系統(tǒng)文件。然后右健,再通過查看文件方式選擇為查看詳細(xì)信息,則會(huì)出現(xiàn)詳細(xì)信息列表,你可以通過選擇最近時(shí)間排列,而看到最新創(chuàng)建的一些文件夾和一些文件。如果你記得你病毒發(fā)作的那第一天時(shí)間,直接可以發(fā)現(xiàn)那些異常文件夾的創(chuàng)建時(shí)間和病毒發(fā)作時(shí)大概相同,直接進(jìn)去查看,有時(shí)候往往發(fā)現(xiàn)這些文件夾里果然包含著廣告網(wǎng)站的信息等或者其它異常內(nèi)容。不管有沒有,直接刪除這些文件夾吧!有的如果是你最近裝過的軟件的話,你自己也會(huì)清楚,如果不是的,那就是病毒創(chuàng)建的文件夾了。刪除這些新創(chuàng)建的對(duì)你系統(tǒng)運(yùn)行也沒有損失。
第16招:用插件管理來定位流氓軟件的位置。第一步:打開"IE"- 工具- internet 選項(xiàng)- 程序- 管理加載項(xiàng)然后會(huì)列出很多IE 插件,我們要做的只是觀察插件的發(fā)行者,如果看到發(fā)行者前面有個(gè)“未驗(yàn)證”的話,我推薦別管它起什么作用,禁用,然后把不是microsoft的都禁用了,不用擔(dān)心會(huì)關(guān)閉某些有用的插件,比方說播放網(wǎng)頁中flash 的插件,就算我們關(guān)閉了,以后IE 會(huì)提示你。在狀態(tài)欄上有個(gè)齒輪的符號(hào),雙擊打開,然后它會(huì)提示你需要哪個(gè)插件,你到時(shí)候再恢復(fù)也不遲。 第二步:記錄下剛才被基本懷疑為流氓軟件的插件(Dll文件)的名字,然后到搜索中對(duì)系統(tǒng)進(jìn)行搜索,一般來說,大部分流氓軟件都會(huì)安裝到x:\ProgramFiles\下面,找到流氓軟件安裝的文件夾,先嘗試刪除,應(yīng)該是沒辦法刪除的,系統(tǒng)會(huì)跳出個(gè)窗口——“某文件正在被使用”,那么說明你剛才光在IE 里清除是不夠的,因?yàn)榱髅ボ浖呀?jīng)將其自己加載到rundll32.exe 進(jìn)程中了。 第三步:我們要使用icesword進(jìn)行操作了。打開icesword,然后選進(jìn)程,找到rundll32.exe(有時(shí)候可能會(huì)有幾個(gè),如果有多個(gè)的話,一個(gè)一個(gè)操作),點(diǎn)右鍵選擇“模塊信息”,在模塊里找到你剛才沒辦法刪除的dll 文件,現(xiàn)在強(qiáng)行結(jié)束這個(gè)rundll32.exe 進(jìn)程,然后回到ProgramFiles 下,先別急著刪除,F(xiàn)在打開regedit.exe 開始搜索dll 插件(就是你剛才在rundll32 模塊里找到的那個(gè)流氓軟件的插件),找到一處就點(diǎn)右鍵刪除注冊鍵值,然后按F3 繼續(xù)搜索,直到跳出個(gè)窗口說搜索完畢了,那就說明你已經(jīng)很干凈地清除了流氓軟件,刪除剛才找到的文件夾,重新啟動(dòng)電腦吧!
注冊表的操作有幾個(gè)注意點(diǎn):
1、不要亂刪鍵值,如果不小心刪除了某個(gè)重要的數(shù)據(jù),電腦可能會(huì)發(fā)生問題的。
2、regedit.exe 里搜索時(shí)候,先點(diǎn)最頂端的我的電腦(注意:是注冊表編輯器里的“我的電腦”),這樣注冊表搜索能搜索得最徹底。
注意:流氓軟件有時(shí)候會(huì)同時(shí)用兩個(gè)或以上的dll 文件對(duì)IE 進(jìn)行捆綁,所以要把剛才的步驟做幾次,一個(gè)一個(gè)的解除dll 文件對(duì)IE 的捆綁。
第17招:重新覆蓋網(wǎng)站所有代碼。如果是自己運(yùn)行的服務(wù)器被別人入侵攻擊后掛馬,最直接的方法就是重新覆蓋網(wǎng)站所有代碼,更新系統(tǒng)補(bǔ)丁和帳號(hào)密碼等信息;其次,可以查看編寫程序代碼缺陷,如果利用網(wǎng)站自動(dòng)生成系統(tǒng),查看該系統(tǒng)的補(bǔ)丁程序;另外,可以配置WebGuard 網(wǎng)頁防篡改保護(hù)系統(tǒng)進(jìn)行網(wǎng)站保護(hù),該系統(tǒng)可以實(shí)時(shí)檢測網(wǎng)頁文件變化,即刻恢復(fù)到原始狀態(tài),并發(fā)現(xiàn)哪些文件被修改。
第18招:采用掘馬網(wǎng)頁木馬檢測系統(tǒng)。該系統(tǒng)除了可以進(jìn)行網(wǎng)頁木馬定位,可以定位到某一行代碼,幫助網(wǎng)管人員在數(shù)以萬計(jì)的代碼中查找出隱藏的木馬,還可以做文件更新對(duì)比發(fā)現(xiàn),可以發(fā)現(xiàn)哪些文件做了更新,這可以迅速定位到某個(gè)文件。
第19招:部署SUS 系統(tǒng),或者桌面管理系統(tǒng)。如果您是局域網(wǎng)的網(wǎng)絡(luò)管理人員,可以對(duì)局域網(wǎng)部署SUS 系統(tǒng),或者桌面管理系統(tǒng),該系統(tǒng)可以幫助大家進(jìn)行補(bǔ)丁實(shí)時(shí)更新。當(dāng)然了特別要關(guān)注瀏覽器更新內(nèi)容,建議大家使用firefox 或者maxthon 等瀏覽器,并配置瀏覽器禁用腳本,如果能禁用圖片或動(dòng)畫文件那也是比較安全的做法。
第20招:時(shí)刻警惕:不要瀏覽陌生人發(fā)的網(wǎng)站鏈接或具有誘惑性的網(wǎng)站鏈接!
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:拓步ERP資訊:常見網(wǎng)頁木馬識(shí)別防范20招