IE浏览器攻击与防范.docVIP

IE浏览器攻击与防范 　　在上网冲浪的时候，IE浏览器经常会成为病毒、木马的攻击对象，被攻击之后的IE浏览器，可能会被修改得面目全非，无法用手工修复，或者勉强能够被修复成功，但是重新启动计算机系统后，又会恢复到被攻击时的不正常状态。那么网络病毒究竟是如何攻击IE浏览器的呢?IE浏览器又是如何被恶意修改的呢?面对IE浏览器被攻击现象时，我们又该采取什么措施进行应对呢? 　　攻击现象一、IE快捷方式被修改 　　双击Windows系统桌面中的IE快捷图标时，IE浏览器会直接打开病毒网页，而不是事先指定的网站页面。这种现象表明IE浏览器的桌面快捷图标已经被病毒强行修改，病毒通过控制IE快捷图标的启动参数，来强制IE浏览器访问病毒指定的恶意站点，从而达到传播病毒或攻击系统的目的。 　　攻击原理：病毒控制IE浏览器的启动参数，主要通过两种方法来完成。一是主动修改系统桌面中IE浏览器快捷图标的属性参数，例如，右击系统桌面中IE浏览器的快捷图标，切换到快捷方式标签设置页面，在“目标”文本框中，输入“IE浏览器的真实路径+空格+恶意站点页面地址”，按“确定”按钮后，用户日后只要通过IE浏览器快捷图标上网冲浪时，直接访问的都是恶意站点页面。二是通过修改系统注册表中相关键值来指定启动站点，例如，打开注册表编辑窗口，将鼠标定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼AboutURLs分支下(如图1所示)，右击目标分支选项，从弹出的右键菜单中依次选择“新建”、“字符串值”命令，将新创建的字符串键值名称取为“aaa”，同时将其数值设置为“http：／／www.省略”，这样就能在系统桌面上自动生成一个IE浏览器快捷方式，打开该快捷方式的属性对话框后，我们会看到目标文本框后面除了包含IE浏览器的真实路径，还有“about：aaa”后缀，双击这样的IE浏览器快捷方式后，就能强制IE浏览器直接访问“http：／／www.省略”这样的病毒站点了。当然，为了让指向病毒站点的IE快捷方式更逼真，病毒程序可能还会打开系统注册表编辑窗口，定位到HKEY LOCALMACHINE＼SOFTWARE＼Classes＼InternetShortcut分支下(如图2所示)，将目标分支下的“IsShortcut”键值删除掉，这样就能把IE快捷方式的小箭头图标隐藏起来了，这样用户就不会怀疑这个新生成的IE快捷方式了。 　　应对措施：首先要辨别出系统桌面上的IE快捷图标究竟是真的还是假的；任进行辨别操作时，用鼠标右键单击IE快捷图标，点选右键菜单中的“属性”命令，打开IE快捷图标的属性对话框，切换到快捷方式标签设置页面，检查“目标”文本框中IE浏览器的真实路径是否正确，如果后面有“about：aaa”、“www.省略”之类的后缀信息时，那基本就能断定目标IE快捷图标是假图标。其次用鼠标右键单击假的IE快捷图标，从右键菜单中选择“删除”命令，将它从系统桌面中清除干净即可。 　　攻击现象二、生成假的IE桌面图标 　　有的时候，通过查看IE桌面图标的属性参数，根本无法辨别出对应图标的真假，但是双击IE桌面图标后，IE浏览器打开的仍然是病毒网站，这种IE桌面图标其实是病毒程序煞费苦心制作的假图标。 　　攻击原理：病毒程序可以通过添加或修改CLSID的方式，来制造假的IE桌面图标。病毒程序只要打开系统注册表编辑窗口，将鼠标定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Desktop＼NameSpace分支以及HKEY-CLASSES ROOT＼CLSID分支下同时创建CLSID({871C5380-42A0-1069-A2EA-08002B303099})，之后在目标CLSID下分别创建“open”、“属性”子项，并将“open”子项的默认值设置为“打开主页”，再在“open”、“属性”下面各创建一个“command”子项，同时将它们的默认值依次设置为“C：＼Program Files＼InternetExploer＼IexpIore.exe http：／／www.省略”、“rund1132.exe shell32.dll，Control RunDllinetcpl.cpl”(如图3所示)，其中“http：／／www.省略”为病毒程序指定的恶意站点，这样系统桌面上就出现了假的IE桌面图标了。 　　应对措施：可以采取两种方法删除假的IE桌面图标。一是打开系统注册表编辑窗口，定位到上述两个注册表分支上，找到病毒程序自行创建的CLSID，并采用手工方法将它们删除掉，不过这种方法有一定的难度，普通用户往往无法识别出哪