来源:CFAN
■LY
呆瓜
√网上流传的恶意网站悉数曝光
√对恶意网站“杀一儆百”
不知你发现没有,随着宽带技术日益普及,篡改IE主页地址、自动下载木马程序的恶意网站保持着增长的势头。据相关统计显示,截止到2005年2月初,中国大约有1200个恶意网站,比较流行的木马约有6500个,后门软件约有4000个,间谍广告约3100个,每天有70%的网民受到恶意网站、恶意程序的攻击。
这些恶意网站一般通过带有诱人内容的图片及游戏链接吸引用户点击,或是利用一些著名软件的下载作诱饵等方式,欺骗用户安装它们的带有恶意攻击性质的程序或插件。今天,就让我们给这些恶意网站归归类,一步一步将它们赶出电脑。
一、小心这些名字!
下面是上网助手统计的2004十大恶意网站,它们的共同特点都是篡改用户IE主页,今后凡是看到这些网站的名称,一定要警惕!
(!!!以下做成表格!!!!)
1
福建网址 篡改用户主页,该网站包括多个变种恶意程序。
2 邂逅情缘音乐网 篡改用户主页,发送QQ尾巴信息。
3
DD88 篡改用户主页,下载恶意程序。
4 彩秀 篡改用户主页,下载恶意程序。该恶意程序会建立TXT文件关联。
5 新年快乐 该网站会修改用户主页,发送QQ尾巴信息来强行推广自己的网站。
6
免费成人电影 篡改用户主页,在注册表中添加自己的启动项。
7 我365网址 当出现找不到服务器的情况,会自动跳转到该网站。
8
免费注册5位数QQ靓号 篡改用户主页,修改IE标题栏,锁定注册表,结束瑞星、天网等多个安全软件进程,关闭部分系统服务,造成系统异常。
9 久久情缘 篡改用户主页,修改IE标题栏,禁用注册表编辑,添加链接到用户收藏夹。
10
酷彩网 篡改用户主页。
注:此统计结果仅是收集的一些恶意网站,不代表所有如此命名的网站都为恶意网站。
你知道吗?
如何让恶意网站永不骚扰我
对于已知的恶意网站,可以在IE中把它“屏蔽”起来,具体的设置方法如下:打开IE,单击菜单“工具→Internet选项→安全→受限制的站点”,单击“站点”按钮,在弹出的窗口中将所有的恶意网站地址添加进来,最后“确定”返回上层设置窗口,然后再单击“自定义级别”按钮将该区域站点的限制级别设置最高,这样就可以在一定程度上保护你的系统。
二、直击犯罪现场──恶意网站解析
绝大多数的情况下,我们并不能预知哪个是恶意网站,所以对于这些防不胜防的恶意网站,还得学会一些自救的方法!为此我们请来资深的网络巡警LY同志,他将从IE被攻击或绑架的第一现场来讲解是用的防御或自救的方法。注意:下文中的网址多是恶意网站,在做好安全措施之前请勿访问!
网上流传着一些朋友们总结的恶意网站黑名单,我们在其中选择一些较为典型的恶意网站作为访问对象,然后通过IE被攻击或绑架的情况来给大家演示解决的方法。这里使用的是Windows
XP
SP2简体中文版系统,这个是现在大家用得比较多的一个操作系统,也是选择它作为测试系统的原因。同时,为了方便IE被感染,没有打开防火墙和杀毒软件。(特别提醒一下:这是为了方便测试才这么做,请大家不要轻易尝试哦!)好了,让我们开始进入“犯罪第一现场”吧!
案发现场一:http://www.yysky.net
案情:QQ尾巴
危害程度:★★★☆
案情分析:进入http://www.yysky.net的网站后,发现域名转向了http://www.yy240.com,打开网页后系统并没明显的异常。启动QQ软件,打开对聊窗口,发现每发一句话都会自动地附带一个有HTTP链接的消息,这就是大家所熟息的“QQ尾巴”了。当然,这样初次感染的机会不是很多,而大部分QQ尾巴病毒都是二次感染的,也就是点击了网友发送过来的带有QQ尾巴的链接,而这些链接具有一定的诱惑性,再包括自己的不小心,使得感染“QQ尾巴”病毒几率相当大。自己受罪还得连累网友,这才是最让人恼火的。
来源:CFAN
清除难度:容易
侦破结果:
一般的“QQ尾巴”是比较容易清除的,它的专杀工具也很多,这里笔者推荐的是瑞星的QQ病毒专杀工具,下载地址为http://download.rising.com.cn/zsgj/RavQQMsender.exe。下载后双击运行此工具,单击“杀毒”即可(见图1
)。
第一个QQ尾巴病毒出现至今已经有2年时间了,它的变种也很多,不过防范起来还是很容易的,只要及时打上系统、浏览器等的补丁,不要随意点开接收信息中的HTTP链接。同时,尽可能地使用高版本的QQ软件即可。
案发现场二:http://www.yan88.com
案情: 域劫持
危害程度:★★★
案情分析:只要浏览了http://www.yan88.com网页后关闭该网页,似乎没有任何异常。不过假设这时假设你要打开太平洋电脑网,输入域名www.pconline.com.cn后,域名自动转向http://www.zui8.com这个网站,而zui8.com就是www.yan88.com的另一个域名,而太平洋电脑网就无法访问了!这个是一个很典型的域名转向故障。
侦破结果:根据初步判断为域名转向故障,那么很有可能是host文件被修改了,打开%Windir%\system32\drivers\etc目录,用记事本打开host文件(此文件为隐藏文件,记得在“工具→文件夹选项”中将系统设置为显示隐藏文件),发现很多域名都被定向到218.85.139.121这个IP(见图2),在IE中输入此IP,就会自动访问http://www.zui8.com了,它就是最愧祸首了!
来源:CFAN
知道了原因,解决就比较简单了。把host文件中所有包含218.85.139.121这个IP的项目删除,然后打开IE属性,在“常规”标签下单击“删除cookies”和“删除文件”;切换到“安全”标签,将该IP添加到“受限制站点”的列表中,这样以后就不会再中它的标了。
案发现场三:http://www.jixian.net
案情:修改IE主菜单
危害程度:★
案情分析:其实这个网站并不是什么恶意网站,只不过它可能在不知觉的情况下给IE上安装一个“网址”的菜单(见图3
04wzyweb03),而其官方并没有提供卸载程序,手动删除还比较麻烦,这样对于不喜欢这个“网址”功能的用户讨厌它。
侦破结果:官方没有直接的卸载程序,不过某热心的网友专门为其写了一个卸载程序,下载地址为http://www.newhua.com/cfan/2005../wzjxUninst.rar。
小提示:
有些网站也是通过自动运行恶意脚本,从而修改收藏夹目录,你会发现收藏夹多了一些陌生的网址。手法很一般,它利用我们对自己收藏夹的信任达到目的。修改收藏夹的手法可能不太一样,不过大多数情况都可以通过IE修复软件来解决。
案发现场四:http://www.sunvod.com
案情:网页木马
危害程度:★★★★★
案情分析:这个网站比较可恶,它是采用了套嵌网页的方式加载网页木马,通过分析其源文件得知,实际的带有木马的网页为http://www.51t.cn/cyindex.htm。在IE中进入http://www.sunvod.com后,IE很快进入假死状态,并弹出一个无法关闭“服务器正在运行中”的窗口,等待大约2分钟后会弹出“超简单网页木马”的窗口,不管选择“是”与“否”系统运行都很慢,而且任务管理器被禁用(见图4)。
来源:CFAN
侦破结果:
(1)这时通过重启计算机释放系统资源。重启后打开记事本,输入以下的内容,然后另存为REG文件,双击合并到注册表中,这时任务管理器就可以使用了。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]
"DisableTaskmgr"=dworD:00000000
(2)打开任务管理器,没有发现可以的程序;在开始运行中输入打开msconfig,打开启动项管理程序,检查启动项目,没有异常项目。
(3)上面我们没有发现异常,最后是通过杀毒软件查杀该木马。
其实,对于这种简单的网页木马只要我们打开杀毒软件的监控系统,它们一般是无机可乘的,所以防范的方法也很简单,打开杀毒软件的监控系统即可。有些朋友可能不太喜欢打开这个,因为监控一般都要占用不少的系统资源,不过对与现在电脑的配置,用那一点资源换安全还是很有必要的。
二、其他IE劫持分析
主持人:谢谢LY的现场精彩的案例分析!掌声鼓励一下!
LY:谢谢!下面,我提几个黑名单中没能找到类似IE劫持的案例来给大家分析一下。
1.修改URL前缀
当在浏览器的地址栏输入一个网址而没有输入其前缀(比如http://或ftp://)时,浏览器会试图使用默认的前缀(默认为http://)。比如改为http://www.AA.BB/?那么当输入一个网址如www.cfan.com.cn时,实际打开的网址变成了──http://www.AA.BB/?www.cfan.com.cn
侦破结果:
(1)如果中了木马CoolWebSearch就可能造成此现象。建议使用CoolWebSearch的专杀──CoolWebSearch
Shredder (下载地址http://nj.onlinedown.net/soft/32676.htm)来修复。如果使用CWShredder.exe发现了问题但却无法修复(Fix),请在安全模式使用CWShredder.exe再次修复(Fix)。
(2)如果使用CWShredder.exe后仍然无法修复或者根本未发现异常,再使用HijackThis来扫描修复。
2.BHO模块
BHO,即Browser Helper
Objects,指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、Goolge等都可能出现在这里。通常可以用软件Hijackthis结合微软的反间谍软件来解决,Hijackthis下载地址为http://nj.onlinedown.net/soft/37094.htm和微软的反间谍软件下载地址为http://www.onlinedown.net/soft/37452.htm。
小提示:关于这两款软件的相关用法请参看本刊2004年第9期的《赶走劫持浏览器的强盗》。
3.巧妙避免误进假网银
前阵子,网络上出现了假的中国工商银行网站、假的中国银行网站,给众多使用网上银行的用户们蒙上了层疑云般的惆怅。大家都担心自己在使用网上银行时也将遭遇不测,主要原因是因为搜索引擎中、Email中的银行网站地址有可能是假的。这里教你一招,让你永远也不会误进假网上银行网站了。
首先,到http://dl.3721.net/download/assist4.exe下载最新的上网助手程序,将其安装到系统后并重新启动。然后,打开IE浏览器,在IE地址栏中直接输入正确的银行中文名称(例如:中国农业银行),回车后,IE浏览器就会自动打开该银行的网上银行网站页面,不必担心被骗的结果了。
4.“about blank”劫持
打开一个 空白的网页,地址栏中显示为“about
blank”,原本空白的网页显示为一个标志为“Search for”的页面(见图5
04wzyweb05)。这是由于电脑感染了“搜索引擎木马”的新变种造成的。
侦破结果:只要我们经常更新杀毒软件病毒库,并把系统的补丁打全了,一般都能防范类似的病毒。
小编有话说:恶意网站就好像街头的小广告一样难以禁止。由于我国目前在反恶意网站、程序管理上尚存在法律空白和技术难度,以至于恶意网站、木马程序、间谍广告的大量孳生,所以大家自己要注意提高安全意识,比如经常更新Windows、升级杀毒软件病毒库,上网的时候记得开防火墙和反病毒软件,同时注意做好系统的备份工作,这样一旦出现问题而无法解决,还可以通过恢复系统的办法来解决。
