來自網(wǎng)絡(luò)的攻擊手段越來越多了,一些惡意網(wǎng)頁會利用軟件或系統(tǒng)操作平臺等的安全漏洞,通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標(biāo)記語言內(nèi)的Java Applet小應(yīng)用程序、JavaScript腳本語言程序、ActiveX軟件部件交互技術(shù)支持可自動執(zhí)行的代碼程序, 強(qiáng)行修改用戶操作系統(tǒng)的注冊表及系統(tǒng)實(shí)用配置程序,從而達(dá)到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序的目的。
目前來自網(wǎng)頁黑手的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統(tǒng)。前者一般會修改IE瀏覽器的標(biāo)題欄、默認(rèn)主頁等,關(guān)于此方面的文章比較多。下面就來介紹一些針對破壞Windows系統(tǒng)的網(wǎng)頁黑手的防范方法。
黑手之一 格式化硬盤
這是一種非常危險的網(wǎng)頁黑手,它會通過IE執(zhí)行ActiveX部件并調(diào)用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后,會出現(xiàn)一個信息提示框,提示:“當(dāng)前的頁面含有不完全的ActiveX,可能會對你造成危害,是否執(zhí)行?yes,no”,如果單擊“是”,那么硬盤就會被迅速格式化,而這一切都是在后臺運(yùn)行的,不易被察覺。
防范的方法是:將本機(jī)的Format.com或Deltree.exe命令改名字。另外,對于莫名出現(xiàn)的提示問題,不要輕易回答“是”。可以按下[Ctrl+Alt+Del]組合鍵在彈出的“關(guān)閉程序”窗口中,將不能確認(rèn)的進(jìn)程中止執(zhí)行。
黑手之二 耗盡系統(tǒng)資源
這種網(wǎng)頁黑手會執(zhí)行一段Java Script代碼并產(chǎn)生一個死循環(huán),以至不斷消耗本機(jī)系統(tǒng)資源,最后導(dǎo)致系統(tǒng)死機(jī)。它們會出現(xiàn)在一些惡意網(wǎng)站或者郵件的附件中,只要打開附件程序后,屏幕上就會出現(xiàn)無數(shù)個IE窗口,最后只有重新啟動計(jì)算機(jī)。
防范的方法是:不要輕易進(jìn)入不了解的網(wǎng)站,也不要隨便打開陌生人發(fā)來的E-mail中的附件,比如擴(kuò)展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法讀取文件
此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調(diào)用來達(dá)到對本地文件進(jìn)行讀取。它還可以利用瀏覽器漏洞實(shí)現(xiàn)對本地文件的讀取,避免此類攻擊可以關(guān)閉禁用瀏覽器的JavaScript功能。
黑手之四 獲取控制權(quán)限
此類黑手會利用IE執(zhí)行Actives時候發(fā)生,雖然說IE提供對于“下載已簽名的ActiveX控件”進(jìn)行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執(zhí)行ActiveX控件程序,而這時惡意攻擊者就會取得對系統(tǒng)的控制權(quán)限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然后展開如下分支:
[iduba_page]
解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創(chuàng)建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創(chuàng)建一個REG_DWORD 類型的鍵Compatibility,并設(shè)定鍵值為0x00000400即可。
對于來自網(wǎng)上的種種攻擊,在提高防范意識的同時,還需做好預(yù)防工作:
1、設(shè)定安全級別
鑒于很多攻擊是通過包含有惡意腳本實(shí)現(xiàn)攻擊,可以提高IE的級別。在IE中執(zhí)行“工具/Internet選項(xiàng)”命令,然后選擇“安全”選項(xiàng)卡,選擇“Internet”后單擊[自定義級別]按鈕,在“安全設(shè)置”對話框中,將“ActiveX控件和插件”、“腳本”中的相關(guān)選項(xiàng)全部選擇“禁用”,另外設(shè)定安全級別為“高”。需要注意的是,如果選擇了“禁用”,一些需要使用ActiveX和腳本的網(wǎng)站可能無法正常顯示。
2、過濾指定網(wǎng)頁
對于一些包含有惡意代碼的網(wǎng)頁,可以將其屏蔽,執(zhí)行“工具/Internet選項(xiàng)”命令,選擇內(nèi)容選項(xiàng)卡,在“分級審查”中單擊[啟用]按鈕,打開“分級審查”對話框,選擇“許可站點(diǎn)”選項(xiàng)卡,輸入需要屏蔽網(wǎng)址,然后單擊[從不]按鈕,再單擊[確定]按鈕。
3、卸載或升級WSH
有些利用VBScript編制的病毒、蠕蟲病毒,比如 “I LOVE YOU”和“Newlove”,它們都包含了一個以 VBS為后綴名的附件,打開附件后,用戶就會被感染。這些病毒會利用Windows內(nèi)嵌的 Windows Scripting Host 即WSH進(jìn)行啟動和運(yùn)行。也就是說,如果將WSH禁用,隱藏在VB腳本中的病毒就無法被激活了。
在Windows 98中禁用WSH,打開“添加/刪除”程序,選擇“Windows 設(shè)置/附件”,并單擊“詳細(xì)資料”,取消“Windows Scripting Host”選項(xiàng),完成后單擊[確定]按鈕即可。
在Windows 2000中禁用WSH的方法是,雙擊“我的電腦”圖標(biāo),然后執(zhí)行“工具/文件夾選項(xiàng)”命令,選擇“文件類型”選項(xiàng)卡,找到“VBS VBScript Script File”選項(xiàng),并單擊[刪除]按鈕,最后單擊[確定]即可。
另外,還可以升級WSH 5.6,IE瀏覽器可以被惡意腳本修改,就是因?yàn)镮E 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數(shù)以及htmlfilr ActiveX對象讀取瀏覽者的注冊表,可以在microsoft.com下載最新版本的WSH。
4、禁用遠(yuǎn)程注冊表服務(wù)
在Windows 2000/XP中,可以點(diǎn)擊“控制面板/管理工具/服務(wù)”,用鼠標(biāo)右鍵單擊“Remote Registry”,然后在彈出的快捷方式中選擇“屬性”命令,在“常規(guī)”選項(xiàng)卡中單擊[停止]按鈕