主页 > 经验 >
告诉你恶意代码是什么网络安全 Web安全与网络安全的区别
告诉你恶意代码是什么网络安全 Web安全与网络安全的区别 浏览网页会感染“病毒”,浏览网页会感染木马,你相信吗?大约半年前就有人使用这种技术来进行攻击了!恶意代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止恶意代码的攻击,大多数甚至根本就不能发现。
一、切身体验
在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开了无数个IE新窗口,马上用“Alt+F4”关掉所有窗口,可紧接着Win 98报错,按任何键都没有反应,按动“Ctrl+Alt+Del”关闭没有反应的程序,但是马上出现蓝屏、死机。重启机器,出现:“欢迎你来万花谷,你中了‘万花病毒'请与QQ:4040465联系”的提示,按“确定”按钮,可以进入Win 98,不过桌面上已空空荡荡,点击“开始”菜单,发现“关机”、“运行”两项都消失了,再次重启机器依然如此。
二、解决办法
如果你不小心中招,可以用下面三个办法来解决:
方法一:
1.A盘启动,在DOS环境下找到C:目录(注意:sysbckup目录是隐藏属性,应先用attrib命令去掉其隐藏属性),可以找rb000.cab~rb004.cab这五个文件,这是最近的五个注册表备份文件,选rb004.cab拷贝出来。
2.在另外的机子上用ZIP解压rb004.cab得到四个文件,把该四个文件复制到C:下覆盖原文件。
3.安全模式下启动电脑,运行Msconfig,在“启动”标签中找到HA.hta,把多选框前面的“√”去掉。
4.重启动机器一切OK。
方法二:在DOS下用scanreg/restore注册表,然后再删除启动组中的HA.hta即可。
方法三:利用“超级兔子”系统软件或者“Windows优化大师”恢复。
“超级兔子”可以恢复对Windows系统的权限设置。打开快捷栏上的IE图标(因为系统锁死了“资源管理器”,也可运行“查找”功能)。
在IE地址栏输入需要进入的目标盘,如“E:u8221,找到超级兔子,打开“ms98.exe”。首先在工具选项里,点击“高级隐藏”,在隐藏磁盘栏里去掉“C:”前面的钩;然后点击“桌面与图标”,在“显示图标在桌面上”选项前加钩。保存后,再点击“安全与多用户”,去掉在“启动时要显示的标题”和“启动时要显示的信息”栏里的文字。在工具选项里点击“IE 4/5”,“在IE标题”栏里去掉文字,保存后OK!
特别要说明的是,当打开该页面时,它自动更改了浏览器的默认页,所以改回Windows设置后一定要修改浏览器的默认页,不然下次上网又会进入万花页面。
三、预防办法:
1.不要轻易去一些自己并不了解的站点。
2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用。
3. 既然“万花谷”是通过修改注册表来破坏我们的系统,那么我们可以把注册表加锁,禁止修改注册表,这样就可以达到预防的目的。
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)到“HKEY_CURRENT_USER”下,新建一个名为“DisableRegistryTools”的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER] “DisableRegistryTools”=dword:00000000
存盘退出。如果要使用注册表编辑器,则双击“unlock.reg”即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!
4. 对于所有用户,可以通过升级到最新的KVW3000病毒库,上网时打开KVW3000病毒防火墙来预防该类恶意网页的侵害(注意:必须是6月28日以后的病毒库方可)。
编者按:上期我们介绍的是“万花谷”病毒攻防战,其实互联网上类似的网站还很多,只要有带新的病毒的网站出现,我们就有义务告知大家。如果大家有网络安全方面的稿件,请发xiongjie@cpcw.com信箱,我们将以最快速度把实用性强的文章刊登出来。
一、切身体验
在进入木马网页的过程中,鼠标奇怪地变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在Win2000下是c\winnt\wincfg.exe,在Win98下是c\windows\wincfg.exe。
运行注册表编辑器regedit,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下发现wincfg.exe,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe。(如图)
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(仅有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马,那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器,别人就有最大权限进入你的电脑了!这样控制你的电脑将非常容易!
木马是如何下载到浏览了该主页的计算机中、并运行起来的呢?在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,这回wincfg.exe不再下载了。
一、切身体验
在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开了无数个IE新窗口,马上用“Alt+F4”关掉所有窗口,可紧接着Win 98报错,按任何键都没有反应,按动“Ctrl+Alt+Del”关闭没有反应的程序,但是马上出现蓝屏、死机。重启机器,出现:“欢迎你来万花谷,你中了‘万花病毒'请与QQ:4040465联系”的提示,按“确定”按钮,可以进入Win 98,不过桌面上已空空荡荡,点击“开始”菜单,发现“关机”、“运行”两项都消失了,再次重启机器依然如此。
二、解决办法
如果你不小心中招,可以用下面三个办法来解决:
方法一:
1.A盘启动,在DOS环境下找到C:目录(注意:sysbckup目录是隐藏属性,应先用attrib命令去掉其隐藏属性),可以找rb000.cab~rb004.cab这五个文件,这是最近的五个注册表备份文件,选rb004.cab拷贝出来。
2.在另外的机子上用ZIP解压rb004.cab得到四个文件,把该四个文件复制到C:下覆盖原文件。
3.安全模式下启动电脑,运行Msconfig,在“启动”标签中找到HA.hta,把多选框前面的“√”去掉。
4.重启动机器一切OK。
方法二:在DOS下用scanreg/restore注册表,然后再删除启动组中的HA.hta即可。
方法三:利用“超级兔子”系统软件或者“Windows优化大师”恢复。
“超级兔子”可以恢复对Windows系统的权限设置。打开快捷栏上的IE图标(因为系统锁死了“资源管理器”,也可运行“查找”功能)。
在IE地址栏输入需要进入的目标盘,如“E:u8221,找到超级兔子,打开“ms98.exe”。首先在工具选项里,点击“高级隐藏”,在隐藏磁盘栏里去掉“C:”前面的钩;然后点击“桌面与图标”,在“显示图标在桌面上”选项前加钩。保存后,再点击“安全与多用户”,去掉在“启动时要显示的标题”和“启动时要显示的信息”栏里的文字。在工具选项里点击“IE 4/5”,“在IE标题”栏里去掉文字,保存后OK!
特别要说明的是,当打开该页面时,它自动更改了浏览器的默认页,所以改回Windows设置后一定要修改浏览器的默认页,不然下次上网又会进入万花页面。
三、预防办法:
1.不要轻易去一些自己并不了解的站点。
2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用。
3. 既然“万花谷”是通过修改注册表来破坏我们的系统,那么我们可以把注册表加锁,禁止修改注册表,这样就可以达到预防的目的。
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)到“HKEY_CURRENT_USER”下,新建一个名为“DisableRegistryTools”的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER] “DisableRegistryTools”=dword:00000000
存盘退出。如果要使用注册表编辑器,则双击“unlock.reg”即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!
4. 对于所有用户,可以通过升级到最新的KVW3000病毒库,上网时打开KVW3000病毒防火墙来预防该类恶意网页的侵害(注意:必须是6月28日以后的病毒库方可)。
编者按:上期我们介绍的是“万花谷”病毒攻防战,其实互联网上类似的网站还很多,只要有带新的病毒的网站出现,我们就有义务告知大家。如果大家有网络安全方面的稿件,请发xiongjie@cpcw.com信箱,我们将以最快速度把实用性强的文章刊登出来。
一、切身体验
在进入木马网页的过程中,鼠标奇怪地变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在Win2000下是c\winnt\wincfg.exe,在Win98下是c\windows\wincfg.exe。
运行注册表编辑器regedit,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerion\Run”下发现wincfg.exe,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe。(如图)
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(仅有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、上传下载……如果你中了该木马,那么木马控制端完全可以通过这个木马在你的电脑上建立一个隐藏的FTP服务器,别人就有最大权限进入你的电脑了!这样控制你的电脑将非常容易!
木马是如何下载到浏览了该主页的计算机中、并运行起来的呢?在IE中点击“工具”→“Internet选项”→“安全”→“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来这和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,这回wincfg.exe不再下载了。
- 最近发表
- 赞助商链接