來自網絡的攻擊手段越來越多了,一些惡意網頁會利用軟件或系統操作平台等的安全漏洞,通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程序、JavaScript腳本語言程序、ActiveX軟件部件交互技術支持可自動執行的代碼程序,強行修改用戶操作系統的注冊表及系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬盤、感染木馬程序的目的。
目前來自網頁黑手的攻擊分為兩種:一種是通過編輯的腳本程序修改IE浏覽器;另外一種是直接破壞Windows系統。前者一般會修改IE浏覽器的標題欄、默認主頁等,關於此方面的文章比較多。下面就來介紹一些針對破壞Windows系統的網頁黑手的防范方法。
黑手之一 格式化硬盤
這是一種非常危險的網頁黑手,它會通過IE執行ActiveX部件並調用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序後,會出現一個信息提示框,提示:“當前的頁面含有不完全的ActiveX,可能會對你造成危害,是否執行?yes,no”,如果單擊“是”,那麼硬盤就會被迅速格式化,而這一切都是在後台運行的,不易被察覺。
防范的方法是:將本機的Format.com或Deltree.exe命令改名字。另外,對於莫名出現的提示問題,不要輕易回答“是”。可以按下[Ctrl Alt Del]組合鍵在彈出的“關閉程序”窗口中,將不能確認的進程中止執行。
黑手之二 耗盡系統資源
這種網頁黑手會執行一段Java Script代碼並產生一個死循環,以至不斷消耗本機系統資源,最後導致系統死機。它們會出現在一些惡意網站或者郵件的附件中,只要打開附件程序後,屏幕上就會出現無數個IE窗口,最後只有重新啟動計算機。
防范的方法是:不要輕易進入不了解的網站,也不要隨便打開陌生人發來的E-mail中的附件,比如擴展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法讀取文件
此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調用來達到對本地文件進行讀取。它還可以利用浏覽器漏洞實現對本地文件的讀取,避免此類攻擊可以關閉禁用浏覽器的JavaScript功能。
黑手之四 獲取控制權限
此類黑手會利用IE執行Actives時候發生,雖然說IE提供對於“下載已簽名的ActiveX控件”進行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執行ActiveX控件程序,而這時惡意攻擊者就會取得對系統的控制權限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然後展開如下分支:
[iduba_page]
解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創建一個基於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然後在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,並設定鍵值為0x00000400即可。
對於來自網上的種種攻擊,在提高防范意識的同時,還需做好預防工作:
1、設定安全級別
鑒於很多攻擊是通過包含有惡意腳本實現攻擊,可以提高IE的級別。在IE中執行“工具/Internet選項”命令,然後選擇“安全”選項卡,選擇“Internet”後單擊[自定義級別]按鈕,在“安全設置”對話框中,將“ActiveX控件和插件”、“腳本”中的相關選項全部選擇“禁用”,另外設定安全級別為“高”。需要注意的是,如果選擇了“禁用”,一些需要使用ActiveX和腳本的網站可能無法正常顯示。
2、過濾指定網頁
對於一些包含有惡意代碼的網頁,可以將其屏蔽,執行“工具/Internet選項”命令,選擇內容選項卡,在“分級審查”中單擊[啟用]按鈕,打開“分級審查”對話框,選擇“許可站點”選項卡,輸入需要屏蔽網址,然後單擊[從不]按鈕,再單擊[確定]按鈕。
3、卸載或升級WSH
有些利用VBScript編制的病毒、蠕蟲病毒,5自學網,比如 “I LOVE YOU”和“Newlove”,它們都包含了一個以 VBS為後綴名的附件,打開附件後,用戶就會被感染。這些病毒會利用Windows內嵌的 Windows Scripting Host 即WSH進行啟動和運行。也就是說,如果將WSH禁用,隱藏在VB腳本中的病毒就無法被激活了。
在Windows 98中禁用WSH,打開“添加/刪除”程序,選擇“Windows 設置/附件”,並單擊“詳細資料”,取消“Windows Scripting Host”選項,完成後單擊[確定]按鈕即可。
在Windows 2000中禁用WSH的方法是,雙擊“我的電腦”圖標,然後執行“工具/文件夾選項”命令,選擇“文件類型”選項卡,5自學網,找到“VBS VBScript Script File”選項,並單擊[刪除]按鈕,最後單擊[確定]即可。
另外,還可以升級WSH 5.6,IE浏覽器可以被惡意腳本修改,就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr ActiveX對象讀取浏覽者的注冊表,可以在microsoft.com下載最新版本的WSH。
4、禁用遠程注冊表服務
在Windows 2000/XP中,可以點擊“控制面板/管理工具/服務”,用鼠標右鍵單擊“Remote Registry”,然後在彈出的快捷方式中選擇“屬性”命令,在“常規”選項卡中單擊[停止]按鈕