3-2-1网页脚本病毒分析幻灯片.pptVIP

Virus 计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3-2 网页脚本病毒防治 网页脚本病毒特点 网页脚本病毒简介 网页脚本病毒现象及清除 第一讲 网页脚本病毒分析 计算机病毒与防治课程小组 网页脚本操作实验 网页脚本病毒简介 计算机病毒与防治课程小组 网页脚本病毒通过浏览网页侵入，难以识别，难以防范。网页病毒的工作过程如下： 第一步:网页病毒大多由恶意代码、病毒体(通常是经过伪装成正常图片文件后缀的.exe文件)和脚本文件或JAVA小程序组成，病毒制作者将其写入网页源文件中。 第二步:用户浏览上述网页，病毒体和脚本文件以及正常的网页内容一起进入计算机的临时文件夹中。 第三步:脚本文件在显示网页内容的同时开始运行，要么直接运行恶意代码，要么直接执行病毒程序，要么将伪装的文件还原为.exe文件后再执行，执行任务包括:完成病毒入驻，修改注册表，嵌入系统进程，修改硬盘分区属性等。 第四步:网页病毒完成入侵，在系统重启后病毒体自我更名、复制、再伪装，接下来的破坏依病毒的性质正式开始。 网页脚本病毒简介 计算机病毒与防治课程小组 网页病毒的工作过程或称其为遗传结构是简单的，但变异也是相当快的。 （1）可以通过杀毒软件杀灭，但遗憾的是杀毒软件总是慢半拍，尤其对网页病毒，杀毒软件几乎跟不上趟。 （2）只要禁止脚本文件执行则网页病毒就无法完成入侵，但是这么一来大部分的网页特效也将无法展示，网页将失去生动华丽、光彩照人的魅力。 （3）使用杀毒软件的脚本监控功能,从系统的底层监视浏览器的网页执行,并产生提示信息，由用户自己决定取舍，这一方法在使用中显然不合常理，因此并未得到用户的广泛认可。 （4）采用恶意网页代码清除技术，这一方法在使用中仅仅解决极少数早先被截获的恶意网页代码在IE中的修复问题，效果极差。 （5）采用屏蔽自定义的恶意网站列表的方法，这一做法太弱智，恶意网站层出不穷，无法能靠屏蔽自定义列表解决。 （6）某些第三方管理软件的设计工程师不但采用脚本监控技术，而且对脚本服务模块进行多层次处理，一方面保障脚本文件在所有浏览器中正常启用，一方面切断脚本文件携带病毒入侵的一切可能路径。在这方面做得较好的软件有：白猫清理工、优化大师、超级兔子等，配合软件中的禁止IE自动弹出窗口功能，基本可以不再惧怕恶意网站。 网页脚本病毒简介 网页脚本病毒的技术原理 计算机病毒与防治课程小组 病毒形成的罪魁祸首就是WSH和Microsoft Internet Explorer漏洞。 WSH 架构于 ActiveX 之上，是在Windows平台上独立于语言的脚本运行环境，可以实现Windows上的各种控制操作。 在网页中使用JAVASCRIPT、VBSCRIPT、ACTIVEX等网页脚本语言，结合WSH的功能，利用多种网络漏洞实现病毒代码的嵌入。 （1）IE的漏洞：错误的MIME（Multipurpose Internet Mail Extentions），多用途的网际邮件扩充协议头，Microsoft Internet Explorer浏览器弹出窗口，Object类型验证漏洞等。 （2）网页组件漏洞：JavaApplet、JavaScript、ActiveX等组件 网页脚本病毒的技术原理 网页脚本病毒特点 计算机病毒与防治课程小组 页面特征 （1）诱惑的网络名称以及利用浏览者的无知。 （2）利用浏览者的好奇心。 （3）无意识的浏览。 技术特征 （1）隐藏性强。 （2）传播性广。 （3）病毒变种多。 网页脚本病毒的特征 网页脚本病毒现象及清除 计算机病毒与防治课程小组 现象： 默认的主页被修改成某一网站的地址。比如，IE浏览器的默认主页被修改成为http://www.***.com，而且收藏夹中也加入了一些非法的站点。IE浏览器被修改后的主页，是一些黄色或非法站点，打开IE后会不断打开下一级网页，还有一些广告窗口，使计算机资源耗尽。 清除方法： 1.首先我们要看一下被病毒修改后的主页地址是多少，记录下来，如http://www.***.com。 2.打开“控制面板”中的“Internet选项”，在“Internet选项”-“常规”中，找到“Internet临时文件”菜单，选择“删除Cookies（I）”和“删除文件（F）”菜单，将IE的临时文件和所有的Cookies删除。 3.在“开始”菜单中的“运行”中输入“Regedit”打开注册表编辑器，打开键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run选项，在右面空白处查找加载的http://www.***.com选项并删除。 最后在注册表编辑器中，使用查找命令，查找