网页病毒应对方法-计算机安全

网页病毒应对方法-计算机安全 网页病毒应对方法 近日，江民反病毒中心监测到，在该中心近期截获的新病毒中，越来越多的病毒 开始刻意隐藏自身的行踪，在电脑用户毫无知觉的情况下完成破坏过程。专家特 别提醒，电脑用户应谨防病毒低调面孔掩护下隐藏的更深杀机。 江民反病毒专家介绍，与去年"熊猫烧香"发作后在电脑中生成无处不在的熊猫图 案不同，现在的病毒作者在编写病毒时更加注重自身的隐蔽。病毒作者主要采用 三大隐身术，通过RootKit技术隐藏病毒进程、病毒文件、隐藏数据传输端口以 及注册内键值;通过篡改注册表相关键值屏蔽显示隐藏文件的功能;使用IEFO重定向劫持技术禁止杀毒软件运行。 其中，RootKit 技术是今年病毒普遍使用的技术。Rootkit 是"Root"和"Kit"两个单词构成的合成词，直译为系统管理员工具箱，该技术最早在UNIX 下出现。用于替换一些重要的系统文件，以来迷惑管理员对系统信息的察看。现在该技术 现在已经移植到Windows平台上，并已经广泛使用，现在人们通常把具有隐藏进 程，隐藏文件，隐藏端口等功能的后门叫做RootKit 。 很多病毒都采用了RootKit技术进行编写，如灰鸽子(Backdoor/Huigezi)后门病毒、友好客户(Backdoor/PcClient)后门病毒，以及部分版本的网游大盗 (Trojan/PSW.GamePass)木马等，都采用该技术进行编写，以达到隐藏自身，躲 避检测，躲避查杀的目的。 病毒隐身术之二是通过恶意修改注册表中 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\Advanced\Folder] 里面的相关键值，来屏蔽显示隐藏文 件功能，这样无论用户在系统设置中如何显示隐藏文件，都无法看见病毒体，这 就给用户的样本提取和上报带来了难度。 IEFO重定向劫持技术也是今年病毒普遍采用的一个隐身功能，病毒通过修改注 册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]，来禁止常见的杀毒软件、防火墙软件和安全工具的运行，从而达到躲避查杀，隐藏自身的目的。 江民反病毒专家建议，面对日益狡猾的病毒，电脑用户更应当注意提前防范，安 装一款具有智能主动防御以及网页防马墙功能的杀毒软件(如江民KV2008)，及 时阻挡病毒于系统之外。如果万一不慎中毒，也可以使用江民杀毒软件KV2008 的系统诊断功能，该功能可以使病毒隐藏的踪迹露出原形，还可以导出诊断 上报给江民反病毒中心以获得技术支持。 随着计算机及网络应用的扩展，电脑信息安全所面临的危险和已造成的损失也在 成倍地增长，特别是各种黑客的增多，一些个人用户也时常遭到不同手段的攻击， 这不得不引起我们的重视。 对于个人用户来说，除了病毒和木马，网页中的隐形代码也开始严重地威胁着我 们的安全，但大多数人却缺乏自我保护意识，对隐形代码的危害认识不够，甚至 在自己不知情的情况下被别人窃取了重要资料。因为隐形代码具有比较大的隐蔽 性，到目前为止，还没有什么病毒防火墙能很好地阻止隐形代码的攻击，大多数 甚至根本就不能发现。所以我们更应该高度警惕网页代码中的隐形杀手。一般来 说网页代码中的“隐形杀手”大致分为以下几类。 隐形杀手1 占用cpu 通过不断地消耗本机的系统资源，最终导致cpu占用率高达100%，使计算机不能再处理其他用户的进程。 “隐形杀手1”代码的典型恶作剧是通过javascript产生一个死循环。这类代码可以是在有恶意的网站中出现，也可以以邮件附件的形式发给你。现在大多数 的邮件客户端程序都可以自动调用浏览器来打开htm/html类型的文件。这样只要你一打开附件，屏幕上就会出现无数个新开的浏览器窗口。最后让你不得不重 新启动计算机。 避恶方法 对于这类问题，只能是不要随便打开陌生人寄来的邮件的附件。 隐形杀手2 非法读取本地文件 这类代码典型的作法是在网页中通过对activex、javascript和webbrowser control的调用来读本地文件。 “隐形杀手2”的代码较之“隐形杀手1”的特点就是表现方式较隐蔽，一般的 人不容易发现隐形代码正在读取自己硬盘上的文件。“隐形杀手2”还能利用浏览器自身漏洞来实现其杀招，如ie5.0的8))e漏洞。很简单的几行代码就可以 读取你本地硬盘上的任何ie可以打开的文件。 避恶方法 可以通过关闭javascript并随时注意微软的安全补丁来解决。 隐形杀手3 web欺骗 攻击者通过先攻入负责目标机域名解析的dns服务器，然后把dns-ip地址复位到一台他已经拿下超级用户权限的主机。 这类攻击目前在国内很少出现，但如果成功的话危害却非常大。而且可能会损失 惨重。其攻击方法是：在他已经拿下超级用户权限的那台主机上伪造一个和目标 机完全一样的环境，来诱骗你交出你的用户名和密码。比如说我们的邮件甚至网 上的银行账号和密码。因为你面对的是一个和昨天一样的环境，在你熟练的敲入 用户名和密码的时候。根本没有想到不是真正的主机。 避恶方法 上网时，最好关掉浏览器的javascript，使攻击者不能隐藏攻击的迹象，只有当访问熟悉的网站时才打开它，虽然这会减少浏览器的功能，但我想这 样做还是值得的。还有就是不要从自己不熟悉的网站上链接到其他网站，特别是 链接那些需要输入个人账户名和密码的网站。 隐形杀手4 控制用户机 目前这类问题主要集中在ie对actives的使用上。 我们现在可以看一看自己ie的安全设置，对于“下载已签名的activex控件”， 现在的选项是“提示”。但你可能不知道，ie仍然有特权在无需提示的情况下下载和执行程序。这是一个严重的安全问题，我们可能在不知情的情况下被别人 完全控制。避恶方法在注册表 hkey-local-machinesoftwaremicrosoftinternet exploreractivex compatiblity” 下为“active setup controls”创建一个基于clsid的新建{6e449683-c509-11cf-aafa-00aa00 b6015c}在新建下创建regdword类型的值：compatibility flags 0x00000400。 隐形杀手5 非法格式化本地硬盘 这类代码的危害较大。只要你浏览了它的网页，你的硬盘就会被格式化。 这并不是耸人听闻，其实ie可以通过执行activex而使硬盘被格式化并不是什么新漏洞，早在去年就有国外黑客发现这一问题，并公布了源代码，只是当时公 布的漏洞源代码是对西班牙版的windows，如果直接copy下来的话对于中文版 的windows并没有什么用。但最近已经在国内的个别个人主页里发现了对中文版 windows的格式化本地硬盘的代码。你如果浏览含有这类代码的网页，浏览器只 会出一个警告说：“当前的页面含有不完全的activex，可能会对你造成危害”，问你是否执行。如果你选择“是”的话，你的本机硬盘就会被快速格式化，而且 因为格式化时窗口是最小化的，你可能根本就没注意，等发现已悔之晚矣。