恶意代码与网络安全(1) 小蓉 2001年 29期 【编者按】 浏览网页会感染“病毒”,浏览网页会感染木马,你相信吗?大约半年前就有人使用这种技术来进行攻击了!恶意代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止恶意代码的攻击,大多数甚至根本就不能发现。   《电脑报》今年25期D4版曾介绍了一个叫Gohip的网站,可以修改浏览器的默认网址,使其指向Gohip网站。其实这还算客气的了,如果你去浏览了一个叫“万花谷”的网站,你就会感觉到Gohip算“仁慈”了。   #1一、切身体验   在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开了无数个IE新窗口,马上用“Alt+F4”关掉所有窗口,可紧接着Win 98报错,按任何键都没有反应,按动“Ctrl+Alt+Del”关闭没有反应的程序,但是马上出现蓝屏、死机。重启机器,出现:“欢迎你来万花谷,你中了‘万花病毒’请与QQ:4040465联系”的提示,按“确定”按钮,可以进入Win 98,不过桌面上已空空荡荡,点击“开始”菜单,发现“关机”、“运行”两项都消失了,再次重启机器依然如此。   #1二、解决办法   如果你不小心中招,可以用下面三个办法来解决:   方法一:   1.A盘启动,在DOS环境下找到C:\windows\sysbckup目录(注意:sysbckup目录是隐藏属性,应先用attrib命令去掉其隐藏属性),可以找rb000.cab~rb004.cab这五个文件,这是最近的五个注册表备份文件,选rb004.cab拷贝出来。   2.在另外的机子上用ZIP解压rb004.cab得到四个文件,把该四个文件复制到C:\Windows下覆盖原文件。   3.安全模式下启动电脑,运行Msconfig,在“启动”标签中找到HA.hta,把多选框前面的“√”去掉。   4.重启动机器一切OK。   方法二:在DOS下用scanreg/restore注册表,然后再删除启动组中的HA.hta即可。   方法三:利用“超级兔子”系统软件或者“Windows优化大师”恢复。   “超级兔子”可以恢复对Windows系统的权限设置。打开快捷栏上的IE图标(因为系统锁死了“资源管理器”,也可运行“查找”功能)。   在IE地址栏输入需要进入的目标盘,如“E:\”,找到超级兔子,打开“ms98.exe”。首先在工具选项里,点击“高级隐藏”,在隐藏磁盘栏里去掉“C:”前面的钩;然后点击“桌面与图标”,在“显示图标在桌面上”选项前加钩。保存后,再点击“安全与多用户”,去掉在“启动时要显示的标题”和“启动时要显示的信息”栏里的文字。在工具选项里点击“IE 4/5”,“在IE标题”栏里去掉文字,保存后OK!   特别要说明的是,当打开该页面时,它自动更改了浏览器的默认页,所以改回Windows设置后一定要修改浏览器的默认页,不然下次上网又会进入万花页面。   #1三、预防办法:   1.不要轻易去一些自己并不了解的站点。   2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用。   3. 既然“万花谷”是通过修改注册表来破坏我们的系统,那么我们可以把注册表加锁,禁止修改注册表,这样就可以达到预防的目的。   加锁方法如下:   (1)运行注册表编辑器regedit.exe;   (2)到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”下,新建一个名为“DisableRegistryTools”的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。   解锁方法如下:   用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:   REGEDIT4   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=dword:00000000   存盘退出。如果要使用注册表编辑器,则双击“unlock.reg”即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!   4. 对于所有用户,可以通过升级到最新的KVW3000病毒库,上网时打开KVW3000病毒防火墙来预防该类恶意网页的侵害(注意:必须是6月28日以后的病毒库方可)。