3-2-1网页脚本病毒分析

Virus计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-2网页脚本病毒防治网页脚本病毒特点网页脚本病毒简介网页脚本病毒现象及清除第一讲网页脚本病毒分析计算机病毒与防治课程小组网页脚本操作实验网页脚本病毒简介计算机病毒与防治课程小组网页脚本病毒通过浏览网页侵入，难以识别，难以防范。网页病毒的工作过程如下：第一步:网页病毒大多由恶意代码、病毒体(通常是经过伪装成正常图片文件后缀的.exe文件)和脚本文件或JAVA小程序组成，病毒制作者将其写入网页源文件中。第二步:用户浏览上述网页，病毒体和脚本文件以及正常的网页内容一起进入计算机的临时文件夹中。第三步:脚本文件在显示网页内容的同时开始运行，要么直接运行恶意代码，要么直接执行病毒程序，要么将伪装的文件还原为.exe文件后再执行，执行任务包括:完成病毒入驻，修改注册表，嵌入系统进程，修改硬盘分区属性等。第四步:网页病毒完成入侵，在系统重启后病毒体自我更名、复制、再伪装，接下来的破坏依病毒的性质正式开始。网页脚本病毒简介计算机病毒与防治课程小组网页病毒的工作过程或称其为遗传结构是简单的，但变异也是相当快的。（1）可以通过杀毒软件杀灭，但遗憾的是杀毒软件总是慢半拍，尤其对网页病毒，杀毒软件几乎跟不上趟。（2）只要禁止脚本文件执行则网页病毒就无法完成入侵，但是这么一来大部分的网页特效也将无法展示，网页将失去生动华丽、光彩照人的魅力。（3）使用杀毒软件的脚本监控功能,从系统的底层监视浏览器的网页执行,并产生提示信息，由用户自己决定取舍，这一方法在使用中显然不合常理，因此并未得到用户的广泛认可。（4）采用恶意网页代码清除技术，这一方法在使用中仅仅解决极少数早先被截获的恶意网页代码在IE中的修复问题，效果极差。（5）采用屏蔽自定义的恶意网站列表的方法，这一做法太弱智，恶意网站层出不穷，无法能靠屏蔽自定义列表解决。（6）某些第三方管理软件的设计工程师不但采用脚本监控技术，而且对脚本服务模块进行多层次处理，一方面保障脚本文件在所有浏览器中正常启用，一方面切断脚本文件携带病毒入侵的一切可能路径。在这方面做得较好的软件有：白猫清理工、优化大师、超级兔子等，配合软件中的禁止IE自动弹出窗口功能，基本可以不再惧怕恶意网站。网页脚本病毒简介网页脚本病毒的技术原理计算机病毒与防治课程小组病毒形成的罪魁祸首就是WSH和MicrosoftInternetExplorer漏洞。WSH架构于ActiveX之上，是在Windows平台上独立于语言的脚本运行环境，可以实现Windows上的各种控制操作。在网页中使用JAVASCRIPT、VBSCRIPT、ACTIVEX等网页脚本语言，结合WSH的功能，利用多种网络漏洞实现病毒代码的嵌入。（1）IE的漏洞：错误的MIME（MultipurposeInternetMailExtentions），多用途的网际邮件扩充协议头，MicrosoftInternetExplorer浏览器弹出窗口，Object类型验证漏洞等。（2）网页组件漏洞：JavaApplet、JavaScript、ActiveX等组件网页脚本病毒的技术原理网页脚本病毒特点计算机病毒与防治课程小组页面特征（1）诱惑的网络名称以及利用浏览者的无知。（2）利用浏览者的好奇心。（3）无意识的浏览。技术特征（1）隐藏性强。（2）传播性广。（3）病毒变种多。网页脚本病毒的特征网页脚本病毒现象及清除计算机病毒与防治课程小组现象：默认的主页被修改成某一网站的地址。比如，IE浏览器的默认主页被修改成为***.com，而且收藏夹中也加入了一些非法的站点。IE浏览器被修改后的主页，是一些黄色或非法站点，打开IE后会不断打开下一级网页，还有一些广告窗口，使计算机资源耗尽。清除方法：1.首先我们要看一下被病毒修改后的主页地址是多少，记录下来，如***.com。2.打开“控制面板”中的“Internet选项”，在“Internet选项”-“常规”中，找到“Internet临时文件”菜单，选择“删除Cookies（I）”和“删除文件（F）”菜单，将IE的临时文件和所有的Cookies删除。3.在“开始”菜单中的“运行”中输入“Regedit”打开注册表编辑器，打开键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run选项，在右面空白处查找加载的***.com选项并删除。最后在注册表编辑器中，使用查找命令，查找***.com键值并删除。重新查找整个注册表中的***.com键值并删除，然后退出注册表编辑器。默认主页被修改网页脚本病毒现象及清除现象：这种病毒将IE浏览器主页设置禁用。表现为：IE的主页被修改为***.com，IE浏览器“Internet选项”-“常规”选项中的“主页”变成了灰色，无法更改当前的主页。清除方法：在“开始”菜单的“运行”中输入“Regedit”打开注册表编辑器，查找：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。主页设置被屏蔽锁定，且设置选项无效不可更改网页脚本病毒现象及清除计算机病毒与防治课程小组现象：IE标题栏被添加垃圾信息，或添加非法网站的介绍。清除方法：打开注册表编辑器，找到如下路径的键值项：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainHKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main将两项下的WindowTitle值改为“InternetExplorer”。IE标题栏被更改现象：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止；在IE中点击右键毫无反应。解决办法：将[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions]下的“NoBrowserContextMenu”项改为“0”。按F5键刷新生效。鼠标右键弹出菜单被禁用网页脚本病毒现象及清除计算机病毒与防治课程小组现象：有时某些病毒修改了注册表设置，禁用了注册表编辑功能，这时使用注册表编辑器直接修改就不行了。实际上这种病毒是将[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]下的“DistableRegistryTools”设为“1”了。清除方法：（1）可以使用编程工具编一个应用程序，通过程序调用系统API函数修改注册表值，将[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]下的“DistableRegistryTools”设为“0”。（2）使用注册表对对后缀名为“.reg”文件中键值项的直接导入功能处理。新建一个文本文件，录入如下信息：WindowsRegistryEditorVersion5.00[HKEY_CURRENT_USER\Software\Microsoft\CurrrentVersion\Policies\System]“DistableRegistryTools”=dWord:00000000将文本文件另存为.reg的文件。双击此.reg文件，注册表即可解除锁定。注册表被锁定，禁止编辑网页脚本病毒现象及清除计算机病毒与防治课程小组提高缓存网页防范能力如果不小心中了木马或病毒，电脑运行速度变得非常慢。如何躲过那些表面平静、却暗藏病毒的网页陷阱？木马或病毒程序要发作的话总是要执行的，只要把它执行的可能性去掉，木马或病毒就不起作用了。如何去掉木马或病毒执行的可能性呢？先找到这些个可能被执行的地方：“C:\DocumentsandSettings\Administrator\LocalSettings\Temp”和“C:\DocumentsandSettings\Administrator\LocalSettings\TemporaryInternetFiles”，这两个地方是上网时,所有网页病毒到达我们电脑的必经之地。网页脚本病毒现象及清除使用“组策略编辑器”，点击“开始”菜单,选择“运行”,输入“gpedit.msc”并点击确定打开组策略编辑器，在编辑器中依次点击“计算机配置--WINDOWS设置--安全设置--软件限制策略--其他规则”,右击“其他规则”,如下图,点击新路径规则。将“C:\DocumentsandSettings\Administrator\LocalSettings\Temp”和“C:\DocumentsandSettings\Administrator\LocalSettings\TemporaryInternetFiles”这两个地址的安全策略设置为“不允许”。网页脚本病毒现象及清除计算机病毒与防治课程小组给IE附加运行参数可以给IE浏览器指定特殊的运行参数，打开C:\ProgramFiles\InternetExplorer文件夹，右击Iexplore.exe文件，选择“发送到→桌面快捷方式”，再右击桌面上新建的快捷方式，即可在后面添加参数，要注意的是，程序名和参数之间要用空格分开，如果有多个参数，则也必须将多个参数用空格分开。通过给Iexplore运行添加参数的方法可以实现更多附加的处理功能。可以添加如下参数：下页网页脚本病毒现象及清除给IE附加运行参数1.给IE穿上一件免费防弹衣在Iexplore.exe后面添加“-nohome”参数，打开一个空白IE窗口。2.轻松修复IE“-rereg”参数：可重新注册IE组件，轻松修复IE。3.拯救“死掉”的IE“–new”参数：启动另一个IEXPLORE进程。4.其它参数“-k”参数可以让IE工作在全屏方式下，“-slf”参数会让IE连接到默认的主页，而且会从缓存中打开默认主页。网页脚本病毒现象及清除计算机病毒与防治课程小组1、IE莫名跳窗应该是恶意广告程序作怪，可以按以下方法修复：重新注册IE项，修复IE注册。从“开始-运行”输入命令regsvr32actxprxy.dll确定，再输入命令regsvr32shdocvw.dll确定。2、跳窗网页可能保留在HOSTS，一经上网就先触发该网址为默认网址，跳窗网页就会自动打开。检查HOSTS：用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS在里面检查有没有网址，有则删除。或在前面加127.0.0.1保存后屏蔽掉即可。跳窗网页病毒，可重新注册IE组件网页脚本病毒现象及清除计算机病毒与防治课程小组有些网页病毒或木马只要调高IE的安全级别，或者禁用脚本，该网页脚本程序就不起作用了。第一步：在IE浏览器的菜单栏上选择“工具→Internet选项”打开“Internet选项”对话框。第二步：在“安全”选项卡上，在Internet和本地Internet区域，分别把滑块移动到最高，或者点击“自定义级别”，在打开的对话框上禁用脚本，禁用ActiveX控件。提高IE的安全级别，禁用脚本和ActiveX控件脚本及恶意网页病毒实验计算机病毒与防治课程小组1．通过网页在本地建立文件，使用CreateTextFile命令可实现。将以下网页代码录入文本文件中并以保存为一个扩展名为.Html的网页文件：HTMLHEADTITLE创建文件c:\TEST.HTM/TITLESCRIPTLANGU