网页脚本病毒分析.ppt

Virus计算机病毒与防治计算机病毒与防治重庆电子工程职业学院重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-2 网页脚本病毒防治 网页脚本病毒特点 网页脚本病毒简介 网页脚本病毒现象及清除第一讲第一讲 网页脚本病毒分析网页脚本病毒分析计算机病毒与防治课程小组 网页脚本操作实验网页脚本病毒简介计算机病毒与防治课程小组网页脚本病毒通过浏览网页侵入，难以识别，难以防范网页病毒的工作过程如下：第一步:网页病毒大多由恶意代码、病毒体(通常是经过伪装成正常图片文件后缀的.exe文件)和脚本文件或JAVA小程序组成，病毒制作者将其写入网页源文件中第二步:用户浏览上述网页，病毒体和脚本文件以及正常的网页内容一起进入计算机的临时文件夹中第三步:脚本文件在显示网页内容的同时开始运行，要么直接运行恶意代码，要么直接执行病毒程序，要么将伪装的文件还原为.exe文件后再执行，执行任务包括:完成病毒入驻，修改注册表，嵌入系统进程，修改硬盘分区属性等第四步:网页病毒完成入侵，在系统重启后病毒体自我更名、复制、再伪装，接下来的破坏依病毒的性质正式开始 网页脚本病毒简介计算机病毒与防治课程小组网页病毒的工作过程或称其为遗传结构是简单的，但变异也是相当快的。

1）可以通过杀毒软件杀灭，但遗憾的是杀毒软件总是慢半拍，尤其对网页病毒，杀毒软件几乎跟不上趟2）只要禁止脚本文件执行则网页病毒就无法完成入侵，但是这么一来大部分的网页特效也将无法展示，网页将失去生动华丽、光彩照人的魅力3）使用杀毒软件的脚本监控功能,从系统的底层监视浏览器的网页执行,并产生提示信息，由用户自己决定取舍，这一方法在使用中显然不合常理，因此并未得到用户的广泛认可（4）采用恶意网页代码清除技术，这一方法在使用中仅仅解决极少数早先被截获的恶意网页代码在IE中的修复问题，效果极差5）采用屏蔽自定义的恶意网站列表的方法，这一做法太弱智，恶意网站层出不穷，无法能靠屏蔽自定义列表解决6）某些第三方管理软件的设计工程师不但采用脚本监控技术，而且对脚本服务模块进行多层次处理，一方面保障脚本文件在所有浏览器中正常启用，一方面切断脚本文件携带病毒入侵的一切可能路径在这方面做得较好的软件有：白猫清理工、优化大师、超级兔子等，配合软件中的禁止IE自动弹出窗口功能，基本可以不再惧怕恶意网站网页脚本病毒简介网页脚本病毒的技术原理计算机病毒与防治课程小组病毒形成的罪魁祸首就是WSH和Microsoft Internet Explorer漏洞。

WSH 架构于 ActiveX 之上，是在Windows平台上独立于语言的脚本运行环境，可以实现Windows上的各种控制操作在网页中使用JAVASCRIPT、VBSCRIPT、ACTIVEX等网页脚本语言，结合WSH的功能，利用多种网络漏洞实现病毒代码的嵌入1）IE的漏洞：错误的MIME（Multipurpose Internet Mail Extentions），多用途的网际邮件扩充协议头，Microsoft Internet Explorer浏览器弹出窗口，Object类型验证漏洞等2）网页组件漏洞：JavaApplet、JavaScript、ActiveX等组件网页脚本病毒的技术原理网页脚本病毒特点计算机病毒与防治课程小组p页面特征（1）诱惑的网络名称以及利用浏览者的无知2）利用浏览者的好奇心3）无意识的浏览p技术特征（1）隐藏性强2）传播性广3）病毒变种多网页脚本病毒的特征网页脚本病毒现象及清除计算机病毒与防治课程小组现象：默认的主页被修改成某一网站的地址比如，IE浏览器的默认主页被修改成为http://www.***.com，而且收藏夹中也加入了一些非法的站点IE浏览器被修改后的主页，是一些黄色或非法站点，打开IE后会不断打开下一级网页，还有一些广告窗口，使计算机资源耗尽。

清除方法：1.首先我们要看一下被病毒修改后的主页地址是多少，记录下来，如http://www.***.com2.打开“控制面板”中的“Internet选项”，在“Internet选项”-“常规”中，找到“Internet临时文件”菜单，选择“删除Cookies（I）”和“删除文件（F）”菜单，将IE的临时文件和所有的Cookies删除 3.在“开始”菜单中的“运行”中输入“Regedit”打开注册表编辑器，打开键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run选项，在右面空白处查找加载的http://www.***.com选项并删除最后在注册表编辑器中，使用查找命令，查找http://www.***.com键值并删除重新查找整个注册表中的http://www.***.com键值并删除，然后退出注册表编辑器默认主页被修改网页脚本病毒现象及清除现象：这种病毒将IE浏览器主页设置禁用表现为：IE的主页被修改为http://www.***.com，IE浏览器“Internet选项”-“常规”选项中的“主页”变成了灰色，无法更改当前的主页。

清除方法：在“开始”菜单的“运行”中输入“Regedit”打开注册表编辑器，查找：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效主页设置被屏蔽锁定，且设置选项无效不可更改网页脚本病毒现象及清除计算机病毒与防治课程小组现象：IE标题栏被添加垃圾信息，或添加非法网站的介绍清除方法：打开注册表编辑器，找到如下路径的键值项：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MainHKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main将两项下的Window Title值改为“Internet Explorer”IE标题栏被更改现象：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止；在IE中点击右键毫无反应解决办法：将[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]下的“NoBrowserContextMenu”项改为“0”。

按F5键刷新生效鼠标右键弹出菜单被禁用网页脚本病毒现象及清除计算机病毒与防治课程小组现象：有时某些病毒修改了注册表设置，禁用了注册表编辑功能，这时使用注册表编辑器直接修改就不行了实际上这种病毒是将[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]下的“DistableRegistryTools”设为“1”了清除方法：（1）可以使用编程工具编一个应用程序，通过程序调用系统API函数修改注册表值，将[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]下的“DistableRegistryTools”设为“0”2）使用注册表对对后缀名为“.reg”文件中键值项的直接导入功能处理新建一个文本文件，录入如下信息：Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\CurrrentVersion\Policies\System]“DistableRegistryTools”=dWord:00000000将文本文件另存为.reg的文件。

双击此.reg文件，注册表即可解除锁定 注册表被锁定，禁止编辑网页脚本病毒现象及清除计算机病毒与防治课程小组提高缓存网页防范能力如果不小心中了木马或病毒，电脑运行速度变得非常慢如何躲过那些表面平静、却暗藏病毒的网页陷阱？木马或病毒程序要发作的话总是要执行的，只要把它执行的可能性去掉，木马或病毒就不起作用了如何去掉木马或病毒执行的可能性呢？先找到这些个可能被执行的地方：“C:\Documents and Settings\Administrator\Local Settings\Temp”和“C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files”，这两个地方是上网时,所有网页病毒到达我们电脑的必经之地网页脚本病毒现象及清除使用“组策略编辑器”，点击“开始”菜单,选择“运行”,输入 “gpedit.msc”并点击确定打开组策略编辑器，在编辑器中依次点击“计算机配置--WINDOWS设置--安全设置--软件限制策略--其他规则”,右击“其他规则”,如下图,点击"新路径规则"将“C:\Documents and Settings\Administrator\Local Settings\Temp”和“C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files”这两个地址的安全策略设置为“不允许”。

网页脚本病毒现象及清除计算机病毒与防治课程小组给IE附加运行参数可以给IE浏览器指定特殊的运行参数，打开C:\Program Files\Internet Explorer文件夹，右击Iexplore.exe文件，选择“发送到→桌面快捷方式”，再右击桌面上新建的快捷方式，即可在后面添加参数，要注意的是，程序名和参数之间要用空格分开，如果有多个参数，则也必须将多个参数用空格分开通过给Iexplore运行添加参数的方法可以实现更多附加的处理功能可以添加如下参数：下页网页脚本病毒现象及清除给IE附加运行参数1.给IE穿上一件免费防弹衣在Iexplore.exe后面添加“ -nohome”参数， 打开一个空白IE窗口2.轻松修复IE“ -rereg”参数：可重新注册IE组件，轻松修复IE3.拯救“死掉”的IE“ –new”参数：启动另一个IEXPLORE进程4.其它参数“-k”参数可以让IE工作在全屏方式下，“-slf”参数会让IE连接到默认的主页，而且会从缓存中打开默认主页 网页脚本病毒现象及清除计算机病毒与防治课程小组1、IE莫名跳窗应该是恶意广告程序作怪，可以按以下方法修复：重新注册IE项，修复IE注册。

从“开始->运行”输入命令regsvr32 actxprxy.dll确定，再输入命令regsvr32 shdocvw.dll确定2、跳窗网页可能保留在HOSTS，一经上网就先触发该网址为默认网址，跳窗网页就会自动打开检查HOSTS：用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS在里面检查有没有网址，有则删除或在前面加127.0.0.1保存后屏蔽掉即可跳窗网页病毒，可重新注册IE组件网页脚本病毒现象及清除计算机病毒与防治课程小组有些网页病毒或木马只要调高IE的安全级别，或者禁用脚本，该网页脚本程序就不起作用了第一步：在IE浏览器的菜单栏上选择“工具→Internet选项”打开“Internet选项”对话框第二步：在“安全”选项卡上，在Internet和本地Internet区域，分别把滑块移动到最高，或者点击“自定义级别”，在打开的对话框上禁用脚本，禁用ActiveX控件 提高IE的安全级别，禁用脚本和ActiveX控件脚本及恶意网页病毒实验计算机病毒与防治课程小组 1．通过网页在本地建立文件，使用CreateTextFile命令可实现将以下网页代码录入文本文件中并以保存为一个扩展名为.Html的网页文件：在IE中浏览此文件后，可见在C盘下创建了一个名为“Test.HTM”的文件。

实验1 磁盘文件对象的使用脚本及恶意网页病毒实验计算机病毒与防治课程小组2.通过网页方式修改文件内容，网页代码如下： 脚本及恶意网页病毒实验计算机病毒与防治课程小组3．通过网页方式把文件复制到指定的目录，示例代码如下： 脚本及恶意网页病毒实验计算机病毒与防治课程小组4．通过网页方式删除文件，示例代码如下： 脚本及恶意网页病毒实验计算机病毒与防治课程小组1.通过网页方式写注册表，示例代码如下：实验2 注册表恶意修改脚本及恶意网页病毒实验计算机病毒与防治课程小组2.通过网页方式删除注册表项目，示例代码如下： 本讲小结网页脚本病毒特点网页脚本病毒现象及清除网页脚本中文件对象实验 网页脚本病毒技术原理分析病毒现象及清除网页脚本编程计算机病毒与防治课程小组 网页脚本注册表操作实验Virus。