网页文件附加代码清除工具

网页文件附加代码清除工具

利用漏洞的网页恶意代码，是网上病毒重要的传播途径之一。而病毒作者们为了达到使病毒迅速大规模传播的目的，往往希望把这个传播途径的功用运用到最大，让用户无时无刻不处于恶意网页的威胁之中。

就前段时间而论，从“熊猫烧香”病毒的中后期变种，到最近我们刚刚报道的牛X下载者生成器生成的下载者，感染（捆绑）型病毒，或是下载者病毒，越来越多地采用这样一种手法：在中毒电脑上的网页文件中加入iframe框架代码或其他指向恶意网页的代码。

这样做的效果是明显的。对于单机用户，即使病毒体被成功清除，如果本地保存的网页中被加入的代码没有及时清理的话，用户在打开这些网页时，依然有再次中毒的危险。而对于一些网站服务器来说，这又成了一种新的威胁来源。一旦网站的服务器中毒，服务器上所有网页即被挂上了恶意代码。甚至于还有一种不得不提到的可能：如果网站编辑的电脑中毒，那么他（她）编辑后上传到网站服务器上的页面，就将带有恶意代码，就将对成千上万浏览这个网页的网民的电脑产生潜在的威胁。

对于感染型病毒而言，添加网页代码只是它们另一个令人厌恶的行为。而对于原本纯文件型的木马下载器而言，清除被添加的网页代码就成为了查杀过程中最艰巨的部分。最后用户往往只能先通过添加HOSTS列表等手段，屏蔽代码指向的网站，然后静等杀毒软件哪一天更新之后可以将这段代码清除。

为了应对此种情况日益增多的现状，CSI计算机安全资讯网提供网页文件中此类代码的清除工具。

文件名：iframekill.exe
大小：223 KB (228864 字节)
MD5：99a5418481ae1da91f255ac362c5e225
程序标题为随机10位数字和大写字母组合。加了UPX壳，以缩小文件体积。

使用方法：

本程序由用户自己指定要在网页文件中清除的代码内容。当用户通过网上的病毒查杀方案获知，或自己打开本机网页源文件，找到被添加的代码内容之后，复制或输入程序的文本框中。
如代码为"<iframe
src=……></iframe>"，则将引号内内容包括iframe标记全部复制到工具的文本框中，注意后面不要加上回车换行号或空格等多余的字符。
按下“全盘扫描”，即可全盘扫描包含有指定的代码内容的网页文件，并清除其中的这段代码。
按下“扫描特定路径”，则可以指定要扫描的文件夹路径。
按下以上任一键后，该键的文字变为“停止扫描”，在扫描未完成时可随时再按下此键停止扫描。
*如勾选“创建备份”复选项，则扫描时会将需要清除代码的网页先进行备份保存。

*备份保存路径默认位于C:\!iframekill\路径下，如原C:\test\1.htm文件，备份文件路径将为C:\!iframekill\C\test\1.htm.rename。如需恢复备份，只需到备份文件夹中将相应.rename文件改名移回原位置即可。

*如扫描尚未结束前，用户已按下关闭程序按钮，则程序将提示用户确认是否要退出程序。如用户选择“确定”，则程序会自动结束扫描后退出，如用户选择“取消”，则忽略此次操作。
标*的为1.1版新增内容。
注意事项：
1. 由于是用户自己指定要清除的代码内容，因此我们假定用户在输入内容时足够小心，不会误输入原本正常的网页内容。
2. 考虑到病毒加入多行代码或多次加入的可能性很小，而且用户输入多行代码时输入出错的可能性更大，目前该工具只支持一次清除一行代码。如果同一个文件中，同样的代码加了多行，扫描时会连续提示多次清除成功。
3. 由于扫描磁盘遍历文件时线程工作量大，会占用比较多的资源，所以使用时请尽量关闭其他占用资源较大的应用程序。
4. 如果硬盘文件较多，已使用容量较大，建议不要使用“全盘扫描”，而最好使用“扫描特定路径”功能分开扫描每个盘，以避免扫描时间过长，以及因此出现的不稳定因素。