标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-2251] 作者: 凉笙 发表于: [2018-12-28]
本文共 [269] 位读者顶过
网页虽然能让网络用户更方便、快捷地了解外面的世界,但是它也导致了恶意代码的出现,可能用户在打开或浏览某一网页时就会导致计算机遭受恶意代码的入侵,因此了解如何防范恶意代码攻击本地计算机就显得尤为重要。 [出自:jiwo.org] 一、认识恶意代码 恶意代码又称为网页病毒、恶意软件,它的编写大多是出于商业或者探测资料的目的。例如宣传某个产品、提供网络收费服务或者对他人电脑直接进行有意破坏等。这类代码比较特殊。因此用户首先需要了解恶意代码的特征、传播方式以及遭受恶意代码攻击后的常见症状。 1、恶意代码有哪些特征? 恶意代码主要有3大特征:恶意的目的、本身是程序以及通过执行发生作用。 当用户稍不留神打开一个含有恶意代码的网页时就可能被感染,轻者被篡改浏览器地址栏文字,定时弹出IE浏览器窗口,重者将自动运行木马程序,甚至自动格式化磁盘分区。 恶意的目的 恶意的目的是指黑客在编写恶意代码时是带着恶意的目的进行编写的,例如出于破坏对方系统的成就感、出于经济利益等。目前Internet中出现恶意代码的目的更多是为了经济利益。某些广告类代码可以通过用户的上网习惯以提高广告点击率来获取经济利益。更直接的是通过窃取网上信用卡、银行卡密码等直接对用户进行经济侵犯。Internet中出现了一类潜伏性的恶意代码,这类代码能够在攻击目标计算机时不被用户发现,进而可以通过窃取目标计算机上的账号密码来达到获取经济利益的目的。 本身是程序 恶意代码是一种程序,它可以在不被察觉的情况下嵌入到另一个程序中。通过运行别的程序而使恶意代码运行,从而达到破坏被感染计算机数据、程序以及窃取用户隐私信息的目的。 通过执行发生作用 恶意代码就像地雷一样,只要有人触碰了它,它就会自动运行,破坏目标计算机中的数据,或者收集目标计算机中的隐私信息,然后将其发送给攻击者。 非过滤性病毒 在恶意代码中,有一类代码叫做非滤过性病毒,这类代码破坏性很大,它包括谍件、口令性破解软件、键盘输入记录软件、Zombies和逻辑时间炸弹等,攻击者经常利用这些软件来获取密码、侦察网络通信等。 2、恶意代码的传播方式有哪些? 恶意代码的传播方式主要有两种:利用软件漏洞传播和利用电子邮件传播。 在Internet中,有些恶意代码是自启动的蠕虫和嵌入脚本,它们本身是软件,这类恶意代码对用户的活动没有要求。而有些恶意代码则像特洛伊木马、电子邮件蠕虫等,攻击者利用用户的心理操纵他们执行不安全的代码;还有一些是哄骗用户关闭保护措施来安装恶意代码。 利用软件漏洞传播 利用软件漏洞传播恶意代码最常见的是利用商业软件的漏洞进行传播。它们完全依赖商业软件产品的缺陷和弱点,例如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web服务缺陷的攻击代码有Code Red、Nimda, Linux和Solaris上的蠕虫也利用了远程计算机的缺陷。 利用电子邮件传播 利用电子邮件传播恶意代码最常见的手法是把含有恶意代码的邮件伪装成其他恶意代码受害者的感染报警邮件,恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中Web页的用户,这样做可以尽可能地吸引用户的注意力。一些攻击者还表现了高度的心理操纵能力,LoveLetter就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕,而攻击者也设计一些诱饵引起用户的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断,攻击者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型,将公共的执行文件类型压缩成zip文件等。 恶意代码的传播趋势 虽然恶意代码的特征和传播手段多种多样,但是其传播趋势却越来越明确,主要表现在以下几个方面。 种类更模糊:恶意代码的传播不单纯依赖软件漏洞或者社会工程中的某一种,而可能是它们的混合。比如蠕虫产生寄生的文件病毒、特洛伊程序、口令窃取程序、后门程序,进一步模糊了蠕虫、病毒和特洛伊的区别。 多平台攻击:有些恶意代码对不兼容的平台都能够起作用。来自Windows的蠕虫可以利用Apache的漏洞,而Linux蠕虫会派生exe格式的特洛伊。 同时攻击服务器和客户机:对于恶意代码来说,服务器和客户机的区别越来越模糊,客户机和服务器如果运行同样的应用程序,也将受到恶意代码的攻击。像IIS服务是一个操作系统默认的服务,因此该服务程序的缺陷是各台计算机共有的,Code Red的影响也只不限于服务器,还会影响到众多的客户机。 3、遭受恶意代码攻击后的症状有哪些? 遭受恶意代码攻击后的症状有IE默认主页被篡改、IE浏览器标题栏被篡改以及格式化磁盘。 黑客将恶意代码放置在网页中或者邮件中,一旦目标计算机用户打开含有恶意代码的网页或者运行含有恶意代码的邮件,计算机就会遭受恶意代码的攻击。 IE默认主页被篡改 IE默认主页被篡改的主要原因是恶意代码修改了注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page两项中的"Start Page"键值。 IE浏览器标题栏被篡改 在正常情况下,IE浏览器的标题栏后面都会有"Microsoft Internet Explorer"的字样,如果用户发现IE浏览器的标题栏后面跟着其他信息时,很可能是恶意代码利用注册表将其修改成网址或一些广告信息。 格式化磁盘 当浏览带有此类恶意代码的网页时,浏览器可能会自动弹出警告“当前的页面含有不安全的ActiveX,可能会对用户造成危害”之类的提示对话框,让用户选择是否继续。如果选择了“是”,则很可能导致硬盘被格式化,而格式化时的操作都是最小化进行的,等发现时后悔也来不及了。 二、利用漏洞攻击网页 提到漏洞,用户可能会想到操作系统和应用软件,其实网页中也存在漏洞,这些漏洞同样可以被黑客抓住并实施入侵,黑客一旦掌握了网页中存在的漏洞,就会采取各种手段发起攻击,例如在网页中植入木马或者获取网页管理员账户密码等,因此用户不仅要掌握常见的网站漏洞,还需要了解黑客是如何获取网站管理员账户密码的。 常见的网站漏洞有哪些? 常见的网站漏洞有上传漏洞、暴库、注入、旁注和COOKIE诈骗五种。 漏洞不仅仅是操作系统和应用软件才有的,Internet中的不少网站同样存在漏洞,黑客可以利用这些漏洞在网页中植入木马、病毒或恶意代码,一旦用户打开或浏览这些网页,计算机就会遭到入侵。 上传漏洞 该漏洞以前被黑客们广泛利用以获取Webshell,危害等级超高。如果在浏览器地址栏中的网址后加上/upfile.asp,若显示“上传格式不正确”或“重新上传”这样的字样,则很有可能就是有上传漏洞了,找个可以上传的工具直接可以得到Webshell。 WebShell WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起,完成后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的,可以上传下载文件,查看数据库,执行任意程序命令等。 暴库 暴库是指攻击者通过向网站提交字符得到数据库文件后,直接获取该网站站点的前/后台权限。 注入 该漏洞是现在应用最广泛,杀伤力也很大的漏洞。注入漏洞是由于字符过滤不严禁所造成的,可以利用注入漏洞得到管理员的账号密码等相关资料。 旁注 攻击者无法直接入侵比较坚固的网站时,可能就会找出和这个网站同一服务器的站点,然后通过该站点用提权、嗅探等方法来入侵前面较坚固的网站。例如A和B是住在一个楼的,A家很安全,而B家却漏洞百出,现在有个贼想进入A家,他对A家做了监视(扫描),发现没有什么可以利用的东西,但是这个贼发现B家和A家一个楼,而B家很容易就能进去,因此贼会先进入B家,然后通过B家得到整个楼的钥匙(系统权限),这样就自然得到A家的钥匙了,就可以进入A家(网站)了。 Cookies诈骗 Cookies就是指将自己电脑的ID和MD5密码(MD5是加密后的一个16位的密码)更换成某个网站管理员的ID和MD5密码,让系统误以为自己是管理员,从而获取管理权限。 Cookies Cookies一词用在程序设计中是指一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。当用户浏览某网站时,由Web服务器置于电脑硬盘上的一个非常小的文本文件,它可以记录用户的用户ID、密码、浏览过的网页、停留的时间等信息。当用户再次来到该网站时,网站通过读取Cookies,得知用户的相关信息,就可以做出相应的动作,如在页面显示欢迎你的标语,或者让用户不用输入ID、密码就直接登录等。 三、防范恶意代码的攻击 恶意代码一旦被攻击者植入网页中,该网页就是危险性网页,用户一旦打开或浏览该网页,就会使得计算机遭受恶意代码的攻击,目前的杀毒软件并不能查杀所有的恶意代码,因此用户需要提高IE浏览器的安全系数来防范恶意代码攻击,另外还需要学会利用注册表来清理已成功入侵的恶意代码,确保个人信息的安全。 1、如何提高IE浏览器的安全系数? 可以采取两种有效措施来提高IE浏览器的安全系数:定期清理Internet临时文件和取消自动记忆网页密码。 浏览器是访问网页的重要窗口,在Windows系统中,IE是默认的浏览器,随着Internet中病毒、恶意代码以及木马的泛滥,用户需要提高IE浏览器的安全系数确保自己的计算机不被恶意代码攻击。 定期清理Internet临时文件 用户在浏览网页后,浏览器会自动在特定的目录中保留所浏览的网页内容,这些内容就是Internet临时文件,这些临时文件可以提高网页的打开时间,但是由于这些临时文件中含有用户的隐私信息,因此很可能会造成这些隐私信息的泄露,所以用户需要养成定期清理Internet临时文件的习惯。 步骤1:单击“Internet选项”选项,打开IE浏览器窗口,单击右侧的“工具”按钮,在展开的列表中单击“Internet选项”选项。 步骤2:单击“删除”按钮,弹出“Internet选项”对话框,在“浏览历史记录”选项组中单击“删除”按钮,若想在关闭浏览器后自动删除历史记录,则可勾选“退出时删除浏览历史记录”复选框。 步骤3:选择要删除的历史记录,弹出“删除浏览的历史记录”对话框,取消勾选“保留收藏夹和网站数据”复选框,然后在下方选择要删除的数据,建议全部勾选,选中后单击“确定”按钮即可删除所选的历史记录。 利用第三方软件清理IE历史痕迹 如果用户觉得手动清理IE浏览器的历史痕迹很麻烦,还可以采用其他软件来清理历史痕迹,在Internet中,常用的第三方软件有Windows 优化大师、360安全卫士等软件。 取消自动记忆网页密码 IE浏览器具有自动记录网页密码的功能,如果用户使用的电脑安装了防火墙和杀毒软件,则可以考虑不取消该功能,若是公用的计算机,最好将该功能取消,以免造成不必要的损失。 步骤1:单击“设置”按钮,打开“Internet选项”对话框,切换至“内容”选项卡,在“自动完成”选项组中单击“设置”按钮。 步骤2:取消自动记录网页密码功能,弹出“自动完成设置”对话框,在“自动完成功能应用于”列表框中取消勾选所有的复选框,然后单击“确定”按钮保存退出。 添加可信站点和受限站点 IE浏览器提供了添加可信站点和受限站点的功能,用户可以将自己信任的网站添加到可信站点中,可以将非法的、不安全的网页添加到“受限站点”中,即直接利用IE将其屏蔽。 步骤1:单击“站点”按钮,打开“Internet选项”对话框,切换至“安全”选项卡,在列表框中单击“可信站点”选项,然后单击“站点”按钮。 步骤2:添加可信站点,弹出“可信站点”对话框,在“将该网站添加到区域”文本框中输入可信的网站网址,单击“添加”按钮。 步骤3:查看添加的可信站点,此时可看见网址已添加到“网站”列表框中,即成功添加可信站点,单击“关闭”按钮。 步骤4:选择受限站点,返回“Internet选项”对话框,单击“受限站点”选项,然后单击“站点”按钮。 步骤5:添加受限站点,弹出“受限站点”对话框,在“将该网站添加到区域”文本框中输入受限的网站网址,单击“添加”按钮。 步骤6:查看添加的受限站点,此时可看见网址已添加到“网站”列表框中,即成功添加受限站点,单击“关闭”按钮,最后单击“确定”按钮保存退出。 2、如何利用注册表清理恶意代码? 利用注册表清理恶意代码就是修改注册表中对应键值项的值,该操作可以清除自动弹出的网页和对话框,还可以修复IE浏览器的默认首页和标题栏显示信息。 注册表在整个Windows系统中起着核心的作用,它是恶意代码攻击的主要对象,一旦恶意代码修改了注册表信息,轻则导致Windows系统的启动过程出现异常,重则导致整个系统无法正常启动,当计算机中出现了上述症状时,可以手动清理或者修改注册信息。 清除自动弹出的网页和对话框 用户在上网的过程中经常会遇到自动弹出的网页和对话框,这些网页和对话框不但会影响用户上网的心情,而且还可能会让计算机感染病毒,因此用户最好手动清除对应的注册表信息。 步骤1:输入regedit命令,按【WIN+R】组合键,打开“运行”对话框,输入regedit命令,单击“确定”按钮。 步骤2:找到Run子键,在打开的“注册表编辑器”窗口左侧单击HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run子键。 步骤3:删除目标键值项,在右边窗格中选中url、htm、html、asp和php等网址属性的键值项,右击任意选中的键值项,在弹出的快捷菜单中单击“删除”命令。 步骤4:确定永久删除,弹出“确认数值删除”对话框,提示用户删除某些注册表值将会引起系统的不稳定,直接单击“是”按钮,确定永久删除这些数值,使得用户在浏览网页时不再弹出其他网页。 步骤5:找到Winlogon子键,在“注册表编辑器”窗口的左侧找到并单击HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子键。 步骤6:删除目标键值项,在该子键的右边窗格中选中Legal NoticeCaption和LegalNoticeText两个键值项,右击任意选中的键值项,在弹出的快捷菜单中单击“删除”命令。 步骤7:确定永久删除,弹出“确认数值删除”对话框,单击“是”按钮,确定永久删除这些数值,使得用户在浏览网页时不再自动弹出对话框。 修改Legal NoticeCaption和LegalNoticeText键值 在设置不自动弹出对话框时,用户除了直接删除Winlogon子键下的Legal NoticeCaption和LegalNoticeText两个键值项之外,还可以通过删除它们的键值(但保留键值项)来实现,同样可以达到不自动弹出对话框的目的。 还原IE浏览器的默认首页和标题栏显示信息 恶意代码会通过修改注册表信息来达到修改IE浏览器默认主页和标题栏内容的目的,一旦发现IE浏览器的默认主页和标题栏被篡改,用户可以通过修改注册表信息来还原IE浏览器的默认主页和标题栏。 步骤1:找到MAIN子键,打开“注册表编辑器”窗口,在左侧找到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\MAIN子键。 步骤2:双击Start Page键值项,若要修改IE浏览器的默认首页,则在右侧双击Start Page键值项。 步骤3:修改IE默认首页网址,弹出“编辑字符串”对话框,在“数值数据”文本框中输入首页网址,如输入about:blank,单击“确定”按钮。 步骤4:双击Window Title键值项,返回“注册表编辑器”窗口,双击Window Title键值项,查看IE浏览器标题栏的显示信息。 步骤5:修改IE标题栏的显示信息,弹出“编辑字符串”对话框,在“数值数据”文本框中输入Microsoft Internet Explorer,单击“确定”按钮。 步骤6:找到Main子键,在“注册表编辑器”窗口的左侧找到并单击HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main子键。 步骤7:双击Start Page键值项,仅仅修改HKEY_LOCAL_MACHINE根键下的Main子键是不够的,还需要修改HKEY_CURRENT_USER根键下的Main子健,在右侧双击Start Page键值项。 步骤8:修改IE默认首页网址,弹出“编辑字符串”对话框,在“数值数据”文本框中输入about:blank,然后单击“确定”按钮。 步骤9:双击Window Title键值项,返回“注册表编辑器”窗口,双击Window Title键值项。 步骤10:修改IE标题栏的显示信息,弹出“编辑字符串”对话框,在“数值数据”文本框中输入Microsoft Internet Explorer,单击“确定”按钮保存退出。 |