网页脚本病毒防治一法~~
看到网友们常中网页脚本病毒
给大家推荐一个简单实用的预防办法:
开始--运行--输入:regedit
打开注册表
查找:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B
然后这一项全部删除
注意不是字段,是项!该段在注册表中对99.99%的用户没有任何作用!尽可放心删除!
当然装有正版杀毒软件的就不需要这样了,要记得定期更新哦。
相信每个上网者都有过被恶意代码修改过注册表的经历吧,恢复好了以后你会采取措施来保护你的注册表不再被修改呢
1.备份注册表文件
2.用软件免疫
3.禁用js
显然这些方法都不怎么理想,其实有一招简单的方法是可以永远免疫的,就是在注册表中删除恶意代码会用到的一个id就可以了,那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了,那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它再注册表里面的路径是HKEY_CLASSES_ROOT\\CLSID\\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},找到后把整个项删掉就可以了,这个项删掉不会对系统有任何影响,请放心删除.
这里再介绍几个对系统安全有隐患的ID
HKEY_CLASSES_ROOT\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228},网页代码可以利用他在硬盘里面生成文件
HKEY_CLASSES_ROOT\\CLSID\\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},可以生成命令格式,比如格式化硬盘,执行任何程序.
HKEY_CLASSES_ROOT\\CLSID\\{B83FC273-3522-4CC6-92EC-75CC86678DA4},这个好像是3721中文网址的,我发现很多朋友都觉得3721很霸道,删了就不用管它了.
要真正了解这个问题,你必须去学注册表。
这里我先简单说一下
网页病毒主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序,javascript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。
打个比方吧:
如更改IE及系统设置
有一段代码如下
<SCRIPT language=javascript>
document.write(\"<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>\");
function f(){
try
{
//ActiveX初始化过程(为达到修改用户注册表所必须的准备程序 )
a1=document.applets[0];
a1.setCLSID(\"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\");< br>a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID(\"{0D43FE01-F093-11CF-8940-00A0C9054228}\");
a1.createI nstance();
FSO = a1.GetObject();
a1.setCLSID(\"{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}\");
a1.createI nstance();
Net = a1.GetObject();
try
{
以下代码略
再说一下网页木马原理
要实现网页木马功能,那么必须要解决木马的下载与运行问题,运行就可以想到<object id=wsh
classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B></object>
,关键是木马的下载。
从以上2个列子不难看出所要筛除的项与网页病毒的关系。
F935DC22-1CF0-11D0-ADB9-00C04FD58A0B还可以被利用生成命令格式,比如格式化硬盘,执行任何程序
这里随便再介绍几个对系统安全有隐患的
HKEY_CLASSES_ROOT\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228},网页代码可以利用他在硬盘里面生成文件
HKEY_CLASSES_ROOT\\CLSID\\{B83FC273-3522-4CC6-92EC-75CC86678DA4},这个是3721中文网址的,我是很多朋友反映以后都觉得3721很霸道,删了就不用管它了
|
发表于 2004-5-12 16:59:22
