乔装成DLL文件的新型恶意网页病毒
2008-02-23 06:53:16来源:互联网 阅读 ()
运行“注册表编辑器”,以“www.ok9.net”为关键词查找出所有被恶意网页修改的内容,并全部更改回原来的值。但重启系统并启动IE后,又自动打开了那个恶意网站,而且其他地方也被修改了,看来这个恶意网站一定还在系统启动时做了什么手脚!
于是在“运行”中输入“msconfig”,打开系统配置实用程序,逐项查找System.ini、Win.ini以及“启动”项中的所有自启动项目,终于在“启动”项中发现了两个极为可疑的键值。虽然一个是默认键值,一个键值名称为“win”,但两者的键值数据都是“regedit -s c:\windows\win.dll”。其中“-s”参数表示让这个导入操作在后台默默进行,不会有任何提示,这个相信不少读者已经了解,但奇怪的是导入的是“Win.dll”文件,怎么会是一个动态链接库文件呢?试着用记事本打开该文件,发现原来这是一个文本格式的文件,只不过被修改了扩展名而已。我分析了一下这个“Win.dll”文件,原来系统总是自动被恶意修改就是它在起作用。
找到了症结所在,解决方法当然就是删除这个键值,并删除“Win.dll”文件,接着进入“注册表编辑器”将恶意修改的键值改回来,这样恶意网页病毒全部清除。
小提示
巧用“病毒”治病毒
上面提到进入“注册表编辑器”来改回默认键值,但这样操作起来有些麻烦,其实你完全可以利用那个“Win.dll”来自动还原被恶意修改的键值。可以将其内容修改成这样:
REGEDIT4
[空一行]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
rcx
保存修改后的“Win.dll”文件,然后运行一下命令“regedit -s c:\windows\win.dll”,重启后,所有的恶意修改一下子就全部被恢复了,你还可以保存着这个文件,如果再遇到这个恶意网页,只需要用这个文件恢复一下就可以了,非常方便。
关于恶意网页修改注册表以及IE的问题我们已经说过了很多次。究其原理,其实都是通过“脚本”这样一个双刃剑修改注册表来达到目的的。不过这个“乔装成DLL文件的新型恶意网页病毒”又给了我们一点新的启示:用regedit导入到注册表中的文件不仅可以是文本类型的文件,还可以是其他扩展名的文件。如果你觉得用手工修改的方法来恢复比较麻烦的话,这里另外提供两个比较简单的方法:访http://assistant.3721.com/,然后点击“安全与修复”链接进行在线修复,用小工具“IE修复专家”,它也能轻松解决这类恶意脚本引起的诸多问题。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:安全防范之彻底防范恶意网页
下一篇:老外讲经验:保护自己不受钓鱼攻击
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash