网页木马深度剖析以及手工清除

来源： 作者： 出处：巧巧读书 2006-07-03 进入讨论组

关 键 词：.net  asp  cpu  dos  flash  

　　前 言
　　杀毒软件风靡全球的今天，各式各样的病毒仍然在网络上横行，其形式的多样化，自身之隐蔽性都大大的提高。其中，网页病毒、网页木马就是这个新型病毒大军中危害面最广泛，传播效果最佳的。之所以会出此篇，也是在考虑到太多的人都在网页病毒中“应声倒下”，却不知自己是如何中毒，以及中毒后如何去处理。就此问题，我们开始以下，对网页病毒、网页木马这一“新概念”做个详细的剖析。
注：为什么会用这么大的篇幅去介绍网页病毒、网页木马的常识和运行机理，而非机械地去介绍如何如何做，大家在通读全文后便有个新的了解。

第一章 恶意网页的基本常识

第一节 什么是网页病毒

　　网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其实是使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防。
目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。
而在我们分析网页病毒前，先叫我们知道促使病毒形成的罪魁祸首：Windows 脚本宿主 和Microsoft Internet Explorer漏洞利用

第二节 Windows 脚本宿主，Internet Explorer漏洞以及相关

　　WSH，是“Windows Scripting Host”的缩略形式，其通用的中文译名为“Windows 脚本宿主”。对于这个较为抽象的名词，我们可以先作这样一个笼统的理解：它是内嵌于 Windows 操作系统中的脚本语言工作环境。
　　Windows Scripting Host 这个概念最早出现于 Windows 98 操作系统。大家一定还记得 MS-Dos 下的批处理命令，它曾有效地简化了我们的工作、带给我们方便，这一点就有点类似于如今大行其道的脚本语言。但就算我们把批处理命令看成是一种脚本语言，那它也是 98 版之前的 Windows 操作系统所唯一支持的“脚本语言”。而此后随着各种真正的脚本语言不断出现，批处理命令显然就很是力不从心了。面临这一危机，微软在研发 Windows 98 时，为了实现多类脚本文件在 Windows 界面或 Dos 命令提示符下的直接运行，就在系统内植入了一个基于 32 位 Windows 平台、并独立于语言的脚本运行环境，并将其命名为“Windows Scripting Host”。WSH 架构于 ActiveX 之上，通过充当 ActiveX 的脚本引擎控制器，WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。
　　WSH也有它的不足之处，任何事物都有两面性，WSH 也不例外。应该说，WSH 的优点在于它使我们可以充分利用脚本来实现计算机工作的自动化；但不可否认，也正是它的这一特点，使我们的系统又有了新的安全隐患。许多计算机病毒制造者正在热衷于用脚本语言来编制病毒，并利用 WSH 的支持功能，让这些隐藏着病毒的脚本在网络中广为传播。借助WSH的这一缺陷，通过JAVASCRIPT，VBSCRIPT，ACTIVEX等网页脚本语言，就形成了现在的“网页危机”。
促使这一问题发生的还有问题多多Internet Explorer 的自身漏洞。比如：“错误的MIME?Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头”，“Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞”。而以下介绍的几个组件存在的问题或漏洞或是在安全问题上的过滤不严密问题，却又造成了“网页危机”的另外一个重要因素。
l Java语言可以编写两种类型的程序：应用程序(Application)和小应用程序(Applet)。应用程序是可以独立运行的程序，而Applet不能独立运行，需要嵌入HTML文件,遵循一套约定，在支持Java的浏览器(如：Netscape Navigator 2.02版本以上，HotJava,Microsoft Internet Explorer 3.0版本以上)运行，是Java一个重要的应用分支，也是当时Java最令人感兴趣的地方(它一改网页呆板的界面)，就是在WWW网页(Home Page / Pages)设计中加入动画、影像、音乐等，而要达到这些效果使用最多的是Java Applet和Java Script (这是一种Java的命令语言)。
l JavaScript是一种基于对象(Object)和事件驱动(Event Driven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互作用。从而可以开发客户端的应用程序等。它是通过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷，它是Java与HTML折衷的选择，具有基于对象、简单、安全、动态、跨平台性等特性。
l ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。在Applet中可以使用ActiveX技术，如直接嵌入ActiveX控制，或者以ActiveX技术为桥梁，将其它开发商提供的多种语言的程序对象集成到Java中。与Java的字节码技术相比，ActiveX提供了“代码签名”(Code Signing)技术保证其安全性。

第三节 网页病毒的攻击方式

　　既然是网页病毒，那么很简单的说，它就是一个网页，甚至于制作者会使这个特殊网页与其他一般的网页别无他样，但在这个网页运行与本地时，它所执行的操作就不仅仅是下载后再读出，伴随着前者的操作背后，还有这病毒原体软件的下载，或是木马的下载，然后执行，悄悄地修改你的注册表，等等…那么，这类网页都有什么特征呢？
§ 1.美丽的网页名称，以及利用浏览者的无知.
不得不承认，很多恶意网页或是站点的制作者，他们对浏览者的心理分析是下功夫的，对域名的选择和利用绝对是很到位的。很多上网的男性网民大都对MM照片感兴趣，这就是他们利用的一个渠道。如你看到了一个域名：www.lovemm.com，或是http://plmm.yeah.net等等. 你会动心去看么。如果不会，再看这个域名：/Article/UploadFiles/200603/20060301160330179.gif 这个地址你会去看么？很显然，咋一看，图片！一张可能是MM的图片，又有懂点安全知识的人说了，放心它不可能是BMP图片木马，你用这个地址打开一定是张.GIF格式的图片。好，你可以去尝试一下。再看另外一个域名，很显然是经过构造的。/Article/UploadFiles/200603/20060301160331961.gif 你还能“火眼金睛”吗？不知道结果是什么，那你就放心的去点击它看看。

§ 2.利用浏览者的好奇心
在这里我要说一句，这样的人中毒也是自找。对什么都要好奇这可不是个好习惯。有些东西不是你想看就可以去看的。[作者注]有这个习惯的都改改.^_^!

§ 3.无意识的浏览者
这类人，对他们的同情，我们表示遭遇。^_^! 

　　在我们基本了解了网页病毒、网页木马的运行机体环境后，让我们开始重点分析一下网页病毒是如何对我们的计算机进行攻击，并染毒，并自我保护的。

 

第二章 网页病毒、网页木马机理深度剖析

第一节 网页病毒、网页木马的制作方式

Ⅰ.Javascript.Exception.Exploit
利用JS+WSH的完美结合，来制作恶意网页的方法几乎是所有恶意站点必有的“功能”。

Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.
几乎是现在网页木马流行利用的基本趋势，这个漏洞在IE5.0到IE6.0版本中都有，对这么一个全能的漏洞，大家怎能不重视？

Ⅲ..EXE to .BMP + Javascritp.Exception.Exploit
具体的.EXE转化到.BMP的文章我想大家都见到过，而且不只一次。应用方法很简单：诱骗浏览者上当。

Ⅳ. iframe 漏洞的利用
当微软的IE窗口打开另一个窗口时，如果子窗口是另一个域或安全区的话，安全检查应当阻止父窗口访问子窗口。但事实并非如此，父窗口可以访问子窗口文档的frame，这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或IFrame的URL。这会带来严重的安全问题，通过设置URL指向javascript协议，父窗口能在子域环境下运行脚本代码，包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。

Ⅴ.通过安全认证的CAB,COX
此类方法就是在.CAB文件上做手脚，使证书.SPC和密钥.PVK合法
原理：IE读文件时会有文件读不出，就会去“升级”这样它会在网页中指定的位置找 .cab 并在系统里写入个CID读入.cab里的文件。 
方法：.cab是WINDOWS里的压缩文件，我们知道IE里所用的安全文件是用签名的CAB也不例外，所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击，只所以每次都能入侵我的脑，是因为它通过的是IE认证下的安全攻击，这样不管我怎么做都没办法。 

Ⅵ.EXE文件的捆绑
现在的网页木马捆绑机几乎是开始泛滥了，多的数不胜数。再将生成的MHT文件进行加密，好，这样一来，连我们最信任的杀毒软件也无效了。

第二节 网页病毒、网页木马的运行机理分析

Ⅰ.Javascript.Exception.Exploit
精华语句：
Function destroy(){ 
try 
{ 
//ActiveX initialization 初始化ActiveX，为修改注册表做准备 
a1=document.applets[0]; 
//获取applet运行对象，以下语句指向注册表中有关IE的表项
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); 
a1.createInstance(); 
Shl = a1.GetObject(); 
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}"); 
a1.createInstance(); 
FSO = a1.GetObject(); 
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}"); 
a1.createInstance(); 
Net = a1.GetObject(); 
try 
{
开始做坏事
}
} 
catch(e) 
{} 
} 
catch(e) 
{} 
} 
function do() 
{ 
//初始化函数，并每隔一秒执行修改程序
setTimeout("destroy()", 1000); //设定运行时间1秒
}
Do() //坏事执行函数指令

　　全部是JS编写，没有什么高深的技术，但它却可以把你的计算机注册表改的是乱78糟，在你的计算机里留下各式各样的垃圾，甚至于连声招呼都不打就G了你的硬盘。所列出的整段函数看起来简单明了，声明函数，初始化环境，取得注册对象，执行读，写，删权限，定义操作时间（快得叫你连反映都没有）。

Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头.
精华语句：
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====B===="
--====B====
Content-Type: multipart/alternative;
boundary="====A===="
--====A====
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

--====A====--
--====B====
Content-Type: audio/x-wav;
name="run.exe"
Content-Transfer-Encoding: base64
Content-ID: ---以下省略AAAAA N+1个---

　　把run.exe的类型定义为audio/x-wav，这下清楚了，这是利用客户端支持的 MIME(多部 
分网际邮件扩展，Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件 
的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，，结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上，即使是用鼠标点击下载下来的 x.eml，或是拷贝粘贴，都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding: base64 Content-ID: 从这我们可以看出，由于定义后字符格式为base64，那么一下的代码全部为加密过的代码，里面可以是任何执行的命令：
〈script language=vbs〉 
On Error Resume Next?　容错语句，避免程序崩溃 
set aa=CreateObject（"WScript.Shell"）?建立WScript对象 
Set fs = CreateObject（"Scripting.FileSystemObject"）?建立文件系统对象 
Set dir1 = fs.GetSpecialFolder（0）?得到Windows路径 
Set dir2 = fs.GetSpecialFolder（1）?得到System路径 
……省略……
　　下面代码该做什么各位都该清楚吧.这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因，也是很多杀毒软件的一个通病。病毒监控只杀当时查到的，新建的却置之不理。

Ⅲ. iframe 漏洞的利用
㈠

　　多方便的办法，浏览者的COOKIES就这样轻松的被取走。

㈡

〈iframe src=run.eml width=0 height=0〉〈/iframe〉
　　常见的木马运用格式，高度和宽度为0的一个框架网页，我想你根本看不到它。除非你的浏览器不支持框架！

㈢

　　又是一个框架引用的新方式，对type="text/x-scriptlet" 的调整后，就可以实现和eml格式文件同样的效果，更是防不胜防。

 

Ⅳ. Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞 漏洞的利用
精华代码：

----- code cut start for run.asp -----

 

----- code cut end for run.asp -----
[作者注] 我想，这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说：IE6.0+SP1也不是万能的。呵呵，是不是想改用mozilla了？

总结：
　　几乎所有类型的网页病毒都有一个特性，就是再生，如何再生，让我们从注册表中的启动项开始分析：注册表中管理启动的主键键值分别为：
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices] 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce] 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce] 
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce] 
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]
确认主键下没有加载任何分键值.另外，在启动配置器里的autoexec.bat ,win.ini,system.ini以及在WIN 9X下的winstart.ini文件，其中的存在LOAD=键的，它的值是空，不是空格，只有=号。Autoexec.bat没有加载任何程序，在「开始」菜单/程序/启动 文件夹下不存在任何程序，那样才能有效的去掉一个病毒的再生功能。不叫它开机运行，或者不在运行，那我们就可以把它从计算机上请出去。

 

第三节 网页病毒、网页木马的运行效果分析

第一、电脑中的默认主页会被无故更改，并且IE工具栏内的修改功能被屏蔽掉； 
第二、在电脑桌面上无故出现陌生网站的链接，无论怎么删除，每次开机都依旧会出现，如果单击鼠标右键，出现的工具栏中有也会有大量陌生网站的链接； 
第三、开机后，无法进入DOS实模式； 仅对WIN 9X 系统
第四、电脑桌面及桌面上的图标被隐藏； 
第五、注册表编辑器被告知“已锁定”，从而无法修改注册表； 
第六、上网之前，系统一切正常，下网之后系统就会出现异常情况，如系统盘丢失、硬盘遭到格式化等，查杀病毒后仍无济于事； 
第七、上陌生网站后，出现提示框“您已经被XX病毒攻击”，之后系统出现异常；
第八、登陆站点后，发现一个窗口迅速打开后又消失，自己的计算机系统文件夹内多了几个未知的好象是系统文件的新文件。
第九、发现系统的进程中多了几个未知进程，而且杀不掉，重起后又会出现。
第十、自己的计算机CPU利用率一直是高居100%，好象是在运行什么占用内存的东西。
第十一、登陆某站点后，杀毒监控软件报警，并删除病毒文件，位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八，第九，第十中的现象。
第十二、发现中毒后，反复杀毒，病毒反复复发，根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕，但重新启动后又出现问题。
第十三、会不定时的弹出广告。
第十四、自己的私有帐号无故丢失。

 

 

第三章 网页病毒、网页木马的基本预防手段

l 要避免被网页恶意代码感染，首先关键是不要轻易去一些自己并不十分知晓的站点，尤其是一些看上去非常美丽诱人的网址更不要轻易进入，否则往往不经易间就会误入网页代码的圈套。
l 由于该类网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
　　具体方法是：在IE窗口中点击"工具→Internet选项，在弹出的对话框中选择"安全"标签，再点击"自定义级别"按钮，就会弹出"安全设置"对话框，把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
l 对于Windows98用户，请打开 C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP， 把其中的“ActiveXComponent.class”删掉；对于WindowsMe用户，请打开C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP， 把其中的"ActiveXComponent.class"删掉。请放心，删除这个组件不会影响到你正常浏览网页的.
l 对Win2000用户，还可以通过在Win2000下把服务里面的远程注册表操作服务"Remote Registry Service"禁用，来对付该类网页。具体方法是：点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)"，将这一项禁用即可。 
l 升级你的IE为6.0版本并装上所有的SP以及追加的几个小补丁，可以有效防范上面这些症状。
l 下载微软最新的Microsoft Windows Script 5.6
l 安装病毒防火墙，一般的杀毒软件都自带.打开网页监控和脚本监控.
l 虽然经过上述的工作修改回了标题和默认连接首页，但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点：
打开IE属性，点击“工具”→ “Internet选项 ”→“安全”→“受限站点”，一定要将“安全级别”定为“高”，再点击“站点”，在“将Web站点添加到区域中”添加自己不想去的网站网址，再点击“添加”，然后点击“应用”和“确定”即可正常浏览网页了。
l 在注册表
[HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatiblity]下为
[Active Setup controls]创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值：[Compatibility Flags 0x00000400] 
可以间接的防止网页木马问题。
l 请经常升级你的杀毒软件病毒库，让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。
l 推荐安装：IE6.0.2800.1106 + SP1 + 4个IE专项补丁

 

 

第四章 网页病毒、网页木马的清理和手工清理

第一节 网页病毒、网页木马的一般清理

　　在病毒防治和查杀的第一选择，我们首当其冲的就是杀毒软件。不定期的升级你的病毒库，关注你所用的操作系统和浏览器的漏洞信息以及相关补丁的安装。当你进入一个恶意站点后注册表被改时，首先要做的不是盲目的去找杀毒工具，而是确认一下你自己所中的毒是否只是简单的修改注册表，如果是木马的话，你还在网络上飞来飞去，想想能不丢东西么？这就是为什么在文章的开头部分我们花了一部分篇幅进行恶意网页机理的介绍和说明。为的就是叫大家从道理上明白，所谓的恶意网页是通过什么样的途径，运行了什么样的代码执行出了什么样的效果。当然，你没必要去理解代码的全部含义，至少在查看一个页面原码时发现它，也知道它是做什么，而不去访问此页。再提一点，这样做并非是让每人个人都去理解，去记忆。在这里我们也采用“让少数人先富起来的”政策。这样，那些GG才能在MM面前显示自己的“才能”。开个玩笑，转入整题，如何一般性的清理病毒？
1.到“网上助手”去清理. 地址是：http://magic.3721.com
2.使用杀毒软件杀毒. 用你自己的杀毒软件来清除。记得要先升级。
3.使用一些专杀工具查杀. 到一些杀毒软件站点去下载杀毒工具吧。
4.到本站的专业IE维护，是针对现在几个流行的网页病毒，网页木马站点修改注册表键值精心制作的.地址是：http://ie.e3i5.net
　　[作者注]请在使用网页IE修复时，最好进行两次修复，我们的修复器采用的是_Dll插件+Javascript+ActiveX制作的，对系统的键值有检测功能，如果你的注册表项没有更改，修复系统会自动退出。

第二节 网页病毒、网页木马的一般手工清理

　　一般在网络不通或者不能上网的情况，你可能会需要修改回你的注册表。这时以上的方法可能帮不上你任何的忙，怎么办？尝试我们推荐的办法，手工清理。

1.清除每次开机时自动弹出的网页
　　其实清除每次开机时自动弹出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器（方法是在点击“开始”菜单，之后点击“运行”，在运行框中输入regedit命令进入注册表编辑器），分别定位到：

　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。不过网页恶意代码的编写者有时也是非常的狡猾，他会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。遇到这种情况，你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”，在“查找”对话框内输入开机时自动打开的网址，然后点击“查找下一个”，将查找到的值项删除。另外，如果你是使用Windows 98的用户，可在“开始”菜单中的“运行”对话框内输入“msconfig”，点击确定，打开“系统配置实用程序”并打开“启动”选项卡，检查其中是否有非常可疑的启动项，如果有的话请将其禁用(在程序前的打上勾)，然后重启机器就可以了。如果你所使用的是Windows NT/2000的用户，可以把Windows 98下的“系统配置实用程序”复制过来并运行进行查找清除。

2. IE标题栏被修改
具体说来受到更改的注册表项目为：
　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title
　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title

　　解决办法：
　　①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；
　　②展开注册表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等你喜欢的名字； 
　　③同理，展开注册表到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
　　然后按②中所述方法处理。
　　④退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题被解决了！

3. IE分级审查密码的清除
1.打开“开始”菜单，单击“运行”，在运行框中输入regedit命令（这是打开注册表编辑表的命令）。
　　2.在注册表编辑器中有五个主要的键值，请您按照下面顺序一步一步打开下面的文件（在所指的文件夹上双击或单击在文件夹前面的十字符号）。
　　3.具体顺序是：
　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion
/Policies/Ratings
　　在您打到Ratings文件夹后会看到在右面的窗口中有key键值，直接在这个键上点右键，之后选删除，然后关闭注册表编辑器即可。
　　下面的这个图是最后一个文件夹及其右面的提示，只要将上面显示的key键删除也就可以清除IE分级审查的密码了。如图：

4. 篡改IE的默认页
具体说就是以下注册表项被修改：
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL
　　“Default_Page_URL”这个子键的键值即起始页的默认页。
　　解决办法：
　　运行注册表编辑器，然后展开上述子键，将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了，或者将其设置为IE的默认值。

5. 修复被锁定的注册表
可以自己动手制作一个解除注册表锁定的工具，就是用记事本编辑一个任意名字的.reg文件，比如recover.reg，内容如下： 
窗体顶端
　　REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
窗体底端
　　要特别注意的是：如果你用这个方法制作解除注册表锁定的工具，一定要严格按照上面的书写格式进行，不能遗漏更不能修改（其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可）；完成上述工作后，点击记事本的文件菜单中的“另存为”项，文件名可以随意，但文件扩展名必须为.reg（切记）,然后点击“保存”。这样一个注册表解锁工具就制作完成了，之后你只须双击生成的工具图标，其会提示你是否将这个信息添加进注册表，你要点击“是”，随后系统提示信息已成功输入注册表，再点击“确定”即可将注册表解锁了。

6. 修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：

　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
　　"Settings"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
　　"Links"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
　　"SecAddSites"=dword:1
　　解决办法：上面这些DWORD值改为“0”即可恢复功能。

7. IE的默认首页灰色按扭不可选
　这是由于注册表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel
　　下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改后为“1”（即为灰色不可选状态）。
　　解决办法：将“homepage”的键值改为“0”即可。

8. IE右键菜单被修改
受到修改的注册表项目为：
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt
下被新建了网页的广告信息，并由此在IE右键菜单中出现！
　　解决办法：
　　打开注册标编辑器，找到
　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt
　　删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉，这两个可是“正常”的，除非你不想在IE的右键菜单中见到它们。

9. IE默认搜索引擎被修改
出现这种现象的原因是以下注册表被修改：
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
　　解决办法：
　　运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可

10. 查看“源文件”菜单被禁用
恶意网页修改了注册表，具体的位置为：
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer
下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：
“NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。

　　在注册表
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。　通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。
　　解决办法：
　　将以下内容另存为后缀名为.reg的注册表文件，比如说unlock.reg，双击unlock.reg导入注册表，不用重启电脑，重新运行IE就会发现IE的功能恢复正常了。 
　　REGEDIT4 
　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions
　　“NoViewSource”=dword:00000000 
　　"NoBrowserContextMenu"=dword:00000000 
　　HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions
　　“NoViewSource”=dword:00000000 
　　“NoBrowserContextMenu”=dword:00000000 

11. 系统启动时弹出对话框
受到更改的注册表项目为：
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon
在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！
　　解决办法：
　　打开注册表编辑器，找到
　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon
　　这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。

12. IE默认连接首页被修改
受到更改的注册表项目为：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Start Page
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
　　通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“http://url.url.com ”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。
　　解决办法：
　　①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键； 
　　②展开注册表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可； 
　　③同理，展开注册表到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
　　在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。
　　④退出注册表编辑器，重新启动计算机，一切OK了！
　　特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。
　　解决办法：运行注册表编辑器regedit.exe，然后依次展开
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run
　　主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:/Program Files/registry.exe，最后从IE选项中重新设置起始页。

 

13. IE中鼠标右键失效
解决办法：
1.右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼MenuExt，删除相关的广告条文。
2.右键功能失效。打开注册表编辑器，展开到
HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼
Internet Explorer＼Restrictions，将其DWORD值"NoBrowserContextMenu"的值改为0。

 

第三节 未知网页病毒、网页木马的高级手工清理

　　我想，文章到这里应该算是高潮了吧，我们所遇到任何棘手的病毒都是未知的。也正式杀毒软件管不了的，也没有专杀工具的干涉，一般的IE修复也是无能为力，那怎么办？只有靠自己动手将病毒或木马请出你的计算机。动手前还是要做一件事。就是确认一下，你是不是真的染毒了，如果是类QQ病毒那样的有明显的征兆的你当然可以直接进行以下的操作，如果没呢？就要养成一个谨慎的态度。当发现你的计算机速度这几天突然速度很慢，你的文件夹或是文件多出几个，进程里无缘无故的多出几个新的进程文件，计算机CPU利用率总是高居不下，一打开某种类型的文件就出错，或者是无故的死机、蓝屏，那么你该注意了，你的爱机可能已经中毒了。开始你的手工查杀工作吧。（这时最好是先用升级后杀毒软件查一次，如果没有任何发现，再进行以下操作）。
　　情况一，你是明确知道你的计算机已经中毒了，比如说是QQ上出现自动发出信息的问题。但你发现你所发的网址并非是以前文章上介绍过的地址，那么这个站点感染的病毒可能是另外一种植入方式，如加载的文件不同，启动方式也不同等等。既然已经中毒了，那就不怕什么了，再次深入虎穴吧。但我们没必要那样做，我们某种意义上的深入虎穴，为的是得到这个站点网页的病毒原码，如何得到，我想不用我说也大家也清楚。现在很多站点都提供原代码查看的网页，用它就可以完全实现不用访问该页而提取到原码（不要太天真哦，用这个办法那个页面也会到你IE缓存内，但你不必PaPa，这个不会对你够成任何威胁）.如果实在找不到，那你可以到http://www.e3i5.com/bbs/ 找我，我给你临时做一个查看页。（什么？找不到怎么办？那就没办法了，你就真的再次深入虎穴，用工具栏上的查看选项去看原码吧。呵呵~ ^_^!）为什么要查原码，主要是看一下，网页的运行机制是怎么样的？又回到我们文章一开始的话题了，为什么要花些文章在介绍网页病毒、网页木马的常识和运行机理上。学以必用的道理大家比我还清楚。分析出网页病毒、木马的机理我们再来进行本地机的清理工具将是一个很好的前提条件。

　　情况二，你根本不知道你是不是中毒了，怎么办？要从计算机最基本的开始查，进程表。这个一般是查出问题的关键之处。一般都要使用第三方软件来查看，如 windows优化大师的进程管理器，柳叶擦眼等。查看进程表，那些标识为系统文件的进程你可以不看，而那些非系统进程你要注意了。象一些仿系统文件的进程则是我们重点关心的对象，发现即禁止掉，然后到相应的路径改名。（由于是非系统进程，终止掉它到下次重新启动也不会影响计算机的正常运行）然后，查看该文件的属性，尤其是查看“创建时间”如果和你的中毒时间相仿或是差不多远，那就说明这个文件十之八九就为病毒文件。一般的系统文件创建时间都是很早哦，大约要比当前时间早一到两年，甚至三年五年的。按如此办法我们就可以逐一的找出可疑的文件，然后按以下的方法进行病毒的清理。

清理工作的开始：
⒈准备工作：
下载进程管理软件：柳叶擦眼 没有的请到以下地址下载：
http://www.e3i5.com/soft/SoftView.Asp?SoftID=361 
　　这里我推荐使用 柳叶擦眼 因为它是个绿色软件，不需要安装，下载解压后该怎么用就怎么用，方便。
进行手工杀毒的准备工作，先关闭你能关闭的所有软件，包括杀毒软件，防火墙，宽带连接等等一切能生成进程的东西.只保留必要的系统进程，这样会使以后的操作带来很多方便。
⒉查看系统进程：除了显示系统文件外，将所有无关的进程杀掉。
如：查看进程表定位文件。intneter.exe c:/windows/system/intneter.exe 这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件，我们应马上结束这个进程，并删除对应的文件，注意一些文件是隐藏的，在查找时应用"文件夹选项"打开对隐藏文件的查看.

　　如果不知道相关的进程，你可以这样尝试，
将进程软件下载后，断网，关闭运行的软件，打开进程管理软件，软件显示的系统进程你不要理，如果你不知道你以前正常的软件进程名是什么的话，将所有非系统的进程全部杀死，（注意除了进程查看软件之外的哦，我要是不说一定有人连它一起杀了.）并记下他们的文件路径，并记录下来。由于不知道是否是非法文件暂时改名，也记录下来，以便修改。

⒊修改注册表
开始 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找
查找
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices] 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce] 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce] 
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce] 
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主键下所有的键都为空，如果不为空，全部清理为空.使系统启动不加载任何程序。（一般的来说，驱动程序除了一些显示驱动会保留在启动项里，其他重要的很少了）如果你知道你常用软件所在RUN以及相关键下的值，当然更好，你就可以选择性的进行清理。对以后的整理工作会更方便些。
修改以下注册表关联项目：
[HKEY_CLASSES_ROOT/ chm.file/ shell/ open/ command "(默认)" "%windir%/hh.exe" %1 ]
[HKEY_CLASSES_ROOT/ exefile/ shell/ open/ command "(默认)" "%1" %* ]
[HKEY_CLASSES_ROOT/ inifile/ shell/ open/ command "(默认)" %windir%/NOTEPAD.EXE %1 ]
[HKEY_CLASSES_ROOT/ regfile/ shell/ open/ command "(默认)" regedit.exe "%1" ]
[HKEY_CLASSES_ROOT/ scrfile/ shell/ open/ command "(默认)" "%1" /S ]
[HKEY_CLASSES_ROOT/ txtfile/ shell/ open/ command "(默认)" %windir%/NOTEPAD.EXE %1]

⒋清理启动项配置文件
1.进入配置管理，除WIN 2K外都为MSCONFIG.
开始 ------ > 运行 ------ > MSCONFIG
WIN 9X用户注意：将启动配置里所有带*.hta,的去掉。HTA的特性就是隐藏掉窗体,然后一段时间就弹出网页.
进入：system.ini
修改[BOOT]
shell=Explorer.exe //注意：后面没东西了，再有什么，改成和前面一样的。
进入：WIN.INI
修改[WINDOWS]
//注意load键后面除了=号什么也没有。空格都不行。
LOAD=
NULLPORT=NONE
修改：autoexec.bat 内容为空
WIN 2K 直接进入启动编辑器。
　　修改以上三个文件.
　　记得这三个文件里没有任何为空的指令命令，有就删除。
　　任何值如果为空的话就是什么都没有，甚至于空格都不存在。有之，改！

⒌清理注册表垃圾信息
开始 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找
将开机运行的那个站点进行搜索找到即删除.

⒍清理缓存 [这点最重要]
　　一定要把你的IE缓冲区清理干净，以及TEMP文件夹的临时文件和垃圾文件清理干净。
　　好了，将你记录的路径的文件保存，然后重新启动计算机。
⒎清理校验
1.启动计算机后，再次打开柳叶擦眼，查看进程，看除了系统进程是否还有其他进程存在。如果没有，说明手工清理完成。如果还发现异常的进程请重复以上步骤。
2.确认杀毒完成后，你开始逐一的启动各类软件，检查你所改名的文件是否会影响到软件运行，如果没有异常发生，请删除或放入你杀毒软件的隔离区，(为什么要选择后者毕竟我们还不清楚这是不是病毒文件，即使是在隔离区的文件系统是不会再次运行的).
[注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件，依照上面的文件逐一的进行检查.
3.逐一恢复了所有的进程后，重新启动计算机，再做最后一次检测。以防万一。
4.到此为止，你已经完成了你的全部手工清理过程，病毒已经被你请出你的计算机了。

 

总结：
　　不论怎么说，自己亲自清理过一次网页病毒后，你会觉得网页病毒其实也并非那样可怕，最难的是挑战自我的勇气。我个人并不推荐计算机出了问题就是格盘、重装，这并非是一个解决问题的途径。我们建议大家首先先简单的认识恶意网页的代码机理为的就是从根本上来解决问题。但，我们更强调的是动手能力。当然我的意思也并非完全抛弃杀毒和防毒软件，但，毕竟是个工具。俗话讲得好：事在人为。

 

[新问题]
　　最近在写一个特殊效果页的时候，发现一个新问题，页面在执行了几个特殊函数后，整个页面被锁死，以下所有的JS全部失效，打开进程查看，发现有一个svchost.exe一直在监视这个页面进程，而在WINDOWS的标准进程管理中看不到，只有借助第三方软件才能终止此进程，即使终止了网页进程，这个svchost.exe的监视进程还在。与好友LuoLuo商量了一段时间后，猜测可能是由于页面中的某部分代码引起了缓冲区溢出，导致IE崩溃，而不能执行页面指令。多次测试只后我们还是找不到原因，到底是哪部分函数引起了这个问题我们还在研究中，出现的问题就是非常非常的隐蔽，如果在页面锁死后可以注入一些恶意代码或是木马那不是没救了？IE啊…用MOZILLA算了，呵呵~

 

 

后 记

　　全文到这里基本上结束了。通篇文章涉及到网页病毒代码分析，中毒机理分析，预防手段，以及一般的查杀、手工查杀 四大部分的介绍。我尽量做到详细的将问题以最简单易懂的方式说明。归结到一点就是，希望大家能从网页病毒的本质出发来面对它，解决它。仔细想想现在含各式病毒站点越来越多，而他们利用的也不仅仅是代码的威力以及系统或是浏览器上漏洞，也上在利用大家在浏览网页的安全意识不健全的基础上。另外，我还想说明的一点就是：不要完全依靠杀毒软件，现在国内的一些杀毒软件做的并完善，杀毒不彻底，很容易残留一些病毒遗体到你计算机内，当你一不小心运行了它，病毒又死灰复燃了；还有就是一部分杀毒软件虽然能及时的预警，但在杀毒上却稍逊一筹.杀掉了缓存内的病毒原体，却留下了病毒自动生成的新文件。这也似乎成了国内软件的一个通病，功能有，但不强大。面对着如此格局，除了自己伸手帮自己，还能有什么办法？相信自己，遇到问题自己动手解决. 更多内容请看安全频道  病毒/木马/恶意软件  病毒/木马/蠕虫专题，或进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：驱除危害如何防范看不见的网页病毒

较新的文章：Nyxem.E蠕虫今日爆发专删Office文件