以牙還牙!巧妙防治惡意的 網頁病毒

2022-03-06 22:23:30 字數 1457 閱讀 6523

單位的一台公用電腦接入了internet網際網路,沒多久,就被乙個惡意網頁病毒感染了,出現如下症狀:開啟ie瀏覽器,會自動進入乙個名為「久好**之家」的**大全類的**,開啟「internet選項」,發現主頁被設定為「www.ok9.net」(如圖1),當使用「搜尋」功能時,發現搜尋也被修改指向「www.ok9.net」,真是令人厭煩。

圖1惡意網頁修改了主頁位址

於是我執行登錄檔編輯器,利用「查詢」功能,以「www.ok9.net」為關鍵詞找出所有被惡意網頁修改的內容,並全部更改回原來的值。誰知重新啟動系統後,開啟ie瀏覽器,發現又自動開啟了那個惡意**,而且其他地方也被修改了,看來事情並不是想像的那麼簡單,這個惡意**一定還在系統啟動時做了什麼手腳!

圖2被修改的鍵值

於是在「執行」中輸入「msconfig」,開啟系統配置實用程式,逐項查詢system.ini、win.ini以及「啟動」項中的所有自啟動專案,終於在「啟動」項中發現了兩個極為可疑的鍵值。雖然乙個是預設鍵值,乙個鍵值名稱為「win」,但兩者的鍵值資料都是「regedit -s c:\windows\win.dll」(如圖2)。通過查詢regedit的相關命令得知,這個命令的功能是匯入乙個登錄檔指令碼檔案,「-s」引數則是讓它後台自動匯入,不過這後面匯入的是「win.dll」檔案,怎麼會是乙個動態鏈結庫檔案呢?難道這只是乙個表面現象,於是用記事本開啟這個「win.dll」檔案,發現原來這是乙個文字格式的檔案(如圖3),只不過被修改了副檔名而已。

圖3神秘的檔案

我分析了一下這個「win.dll」檔案,原來系統總是自動被惡意修改就是它在起作用。找到了癥結,當然解決方法就是刪除這個鍵值,並刪除「win.dll」檔案,不過我忽然想到既然惡意**可以利用這個檔案來新增鍵值資料,為什麼我不再利用一下這個檔案,以牙還牙,讓它還自動還原被惡意修改的鍵值呢?於是我將該檔案修改如下:

regedit4

[空一行]

[hkey_current_user\software\microsoft\windows\currentversion\run]

[hkey_local_machine\software\microsoft\windows\currentversion\run]

"win"=-

[hkey_current_user\software\microsoft\internet explorer\main]

"start page"=""

"first home page"=""

[hkey_local_machine\software\microsoft\internet explorer\main]

"start page"=""

"first home page"=""

rcx儲存修改後的「win.dll」檔案,然後執行一下命令「regedit -s c:\windows\win.dll」,重新啟動一下系統,你會發現所有的惡意修改一下子就全部被恢復了,你還可以儲存著這個檔案,如果再遇到這個惡意網頁的話,只需要用這個檔案恢復一下就可以了,非常方便。

以牙還牙!巧妙防治惡意的 網頁病毒

單位的一台公用電腦接入了internet網際網路,沒多久,就被乙個惡意網頁病毒感染了,出現如下症狀 開啟ie瀏覽器,會自動進入乙個名為 久好 之家 的 大全類的 開啟 internet選項 發現主頁被設定為 www.ok9.net 如圖1 當使用 搜尋 功能時,發現搜尋也被修改指向 www.ok9....

以牙還牙!巧妙防治惡意的 網頁病毒

單位的一台公用電腦接入了internet網際網路,沒多久,就被乙個惡意網頁病毒感染了,出現如下症狀 開啟ie瀏覽器,會自動進入乙個名為 久好 之家 的 大全類的 開啟 internet選項 發現主頁被設定為 www.ok9.net 如圖1 當使用 搜尋 功能時,發現搜尋也被修改指向 www.ok9....

以牙還牙!巧妙防治惡意的 網頁病毒

單位的一台公用電腦接入了internet網際網路,沒多久,就被乙個惡意網頁病毒感染了,出現如下症狀 開啟ie瀏覽器,會自動進入乙個名為 久好 之家 的 大全類的 開啟 internet選項 發現主頁被設定為 www.ok9.net 如圖1 當使用 搜尋 功能時,發現搜尋也被修改指向 www.ok9....