计算机病毒检测与防治.zip

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <title>计算机病毒检测与防治</title> </head> <body background="picture/Bg.gif"> <p align="center"><font size="5"><b>§3.2 网页病毒</b></font></p> <p><font size="+1">　　网页病毒是目前比较流行的一类病毒，由病毒隐含在网页中而得名。网页病毒既有可能是网页的编制者自己插入的，也有可能是被黑客强行挂上去的。</font></p> <p><font size="+1"> 1、什么是网页病毒<br> <br> 　　 网页病毒主要是利用IE浏览器或操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的Applet小应用程序、JavaScript/VBScript脚本语言程序或是ActiveX控件等可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。 </font></p> <p><font size="+1">由于Applet设计时已经考虑到安全问题，所以实际上至今未发现纯粹由Applet设计出的网页病毒。而JavaScript/VBScript脚本语言本身也有一定的安全机制，所以它们多半要依靠调用ActiveX控件来实现病毒代码。</font></p> <p><font size="+1">下面有两个小例子，演示了网页病毒是如何工作的。</font></p> <p><font size="+1">例子1 创建一个ActiveX对象，执行本地的记事本程序</font></p> <table width="595" border="1"> <tr> <td width="630"><font color="#000099" size="+1">&lt;html&gt;<br> &lt;HTA:APPLICATION caption=&quot;no&quot; border=&quot;none&quot; windowState=&quot;minimize&quot; visiable=&quot;no&quot;&gt;<br> &lt;body&gt;<br> 说明：可以自己加入其他代码或控件<br> &lt;object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'&gt;&lt;/object&gt; <br> &lt;script language=javascript&gt;<br> wsh.Run(&quot;notepad.exe&quot;);//打开记事本程序,可改为自己要执行的程序<br> window.close();//关闭hta文件<br> &lt;/script&gt;<br> &lt;/body&gt;<br> &lt;/html&gt;</font></td> </tr> </table> <p><font size="+1"> 　　用IE打开这个网页后，如果IE的安全规则没有禁用ActiveX，将会询问用户是否执行ActiveX。用户如果选择“是”，记事本将会运行。</font></p> <p><font size="+1">例子2 利用默认的ActiveX对象，执行本地的记事本程序</font></p> <table width="592" border="1"> <tr> <td width="582"><font color="#0000CC" size="+1">&lt;html&gt;<br> &lt;body&gt;<br> &lt;SCRIPT LANGUAGE=&quot;javascript&quot; type=&quot;text/javascript&quot;&gt; var shell=new ActiveXObject(&quot;shell.application&quot;); shell.namespace(&quot;c:\\Windows\\&quot;).items().item(&quot;Notepad.exe&quot;).invokeverb(); &lt;/SCRIPT&gt; <br> &lt;/body&gt;<br> &lt;/html&gt;</font></td> </tr> </table> <p><font size="+1">　　如果IE6.0没有打补丁，那么它会在没有任何提示的情况下，自动运行记事本。</font></p> <p><font size="+1">　　如果将上面两个网页中的记事本改成任何恶意程序，这就是一个典型的网页病毒。</font></p> <p><font size="+1">2、网页病毒的性质及特点</font></p> <p><font size="+1">　　相对于PE病毒而言，网页病毒较少是纯粹的恶作剧，多半都掺杂了明确的经济利益在里面。它的恶意破坏代码少，主要表现为劫持IE浏览器，使用户每次启动浏览器后自动连接到病毒指定的网站上，增加该网站的流量。<br> <br> <br> 3、网页病毒的危害：</font></p> <p><font size="+1">（1）默认主页被修改<br> 　　　　 <br> 　　1.破坏特性：默认主页被自动改为某网站的网址。<br> 　　　　 <br> 　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。<br> 　　　　 <br> 　　3.清除方法：采用手动修改注册表法，开始菜单－&gt;运行－&gt;regedit-&gt;确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。<br> 　　　　 <br> 　　危害程度：一般<br> 　　　　 <br> （2）默认首页被修改<br> 　　　　 <br> 　 1.破坏特性：默认首页被自动改为某网站的网址。<br> 　　　　 <br> 　 2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。<br> 　　　　 <br> 　 3.清除方法：采用手动修改注册表法，开始菜单－&gt;运行－&gt;regedit-&gt;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。<br> 　　　　 <br> 　 危害程度：一般<br> 　　　　 <br> （3）默认的微软主页被修改<br> 　　　　 <br> 　　1.破坏特性：默认微软主页被自动改为某网站的网址。<br> 　　　　 <br> 　　2.表现形式：默认微软主页被篡改。<br> 　　　　 <br> 　　3.清除方法：<br> 　　　　 <br> 　　 手动修改注册表法：开始菜单－&gt;运行－&gt;regedit-&gt;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。<br> 　　　　 <br> 　　 自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。<br> 　　　　 <br> 　　　　 REGEDIT4<br> 　　　　 <br> 　　　　 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] <br> 　　　　 &quot;default_page_url&quot;=&quot;http://www.microsoft.com/windows/ie_intl/cn/start/&quot; <br> 　　　　 <br> 　　　　 危害程度：一般<br> 　　　　 <br> （4）主页设置被屏蔽锁定，且设置选项无效不可更改<br> 　　　　 <br> 　　 1.破坏特性：主页设置被禁用。<br> 　　　　 <br> 　　 2.表现形式：主页地址栏变灰色被屏蔽。<br> 　　　 <br> 　　 3.清除方法：</font></p> <p><font size="+1"> 　　　手动修改注册表法：开始菜单－&gt;运行－&gt;regedit-&gt;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。<br> 　　　　 <br> 　　　自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。<br> 　　　　 <br> 　　　　 REGEDIT4<br> 　　　　 <br> 　　　　 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] <br> 　　　　 &quot;HomePage&quot;=dword:00000000<br> 　　　　 <br> 　　　　 危害程度：轻度<br> 　　　　 <br> （５）默认的IE搜索引擎被修改<br> 　　　　 <br> 　　1.破坏特性：将IE的默认微软搜索引擎更改。<br> 　　　　 <br> 　　2.表现形式：搜索引擎被篡改。<br> 　　　　 <br> 　　3.清除方法：</font></p> <p><font size="+1">　　手动修改注册表法：开始菜单－&gt;运行－&gt;regedit-&gt;确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。<br> 　　　　 <br> 　　自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。<br> 　　　　 <br> 　　　　 REGEDIT4<br> 　　　　 <br> 　　　　 [HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search] <br> 　　　　 &quot;SearchAssistant&quot;=&quot;http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm&quot; <br> 　　　　 &quot;CustomizeSearch&quot;=&quot;http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm&quot; <br> 　　　　 <br> 　　　　 危害程度：一般</font></p> <p><font size="+1"> （６）IE标题栏被添加非法信息<br> 　　1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。<br> 　　　　 <br> 　　2.表现形式：在IE顶端蓝色标题栏上多出了什么“正点网，即使正点网！ http://www.zhengdian.com &quot;尾巴。<br> 　　　　 <br> 　　3.清除方法：</font></p> <p><font size="+1">　　手动