七、网页木马运行后特征分析
1.系统的默认主页被更改,并且IE工具栏内的修改功能被屏蔽掉;
2.在系统的桌面上无故出现陌生网站的链接,无论怎么删除,每次开机都依旧会出现,如果单击鼠标右键,出现的工具栏中有也会有大量陌生网站的链接;
3.系统桌面及桌面上的图标被隐藏;
4.注册表编辑器被锁定,从而无法修改注册表;
5.上网之前,系统一切正常,下网之后系统就会出现异常情况,如系统盘丢失、硬盘遭到格式化等;
6.上陌生网站后,出现提示框“您已经被XX病毒攻击”,之后系统出现异常;
7.登陆站点后,出现一个窗口迅速打开后又消失的现象,系统文件夹内出现异常文件;
8.系统的进程中出现未知进程,而且无法终止,终止后会自动重新出现;
9.系统CPU占用率高;
10.登陆某站点后,杀毒监控软件报警,并删除病毒文件,位置在IE的缓冲区。重新启动计算机后发现IE默认设置被修改。
11.自动弹出广告;
12.信用卡,QQ帐号丢失等;
八、网页木马的预防
1. 避免浏览包含不健康内容的网页;
2. 由于网页木马是含有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。
具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样在网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
3.对Windows 2000和WINDOWS XP用户,还可以通过在服务里,禁用远程注册表操作服务"Remote Registry Service",来对付该类网页。具体方法是:点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)",禁用即可。
4.升级浏览器到IE6.0并及时安装升级补丁。
5.下载微软最新的Microsoft Windows Script
6. 安装反病毒软件以及防火墙,打开网页监控和脚本监控.
后记:
网页木马,目前的发展方向,是利用操作系统,浏览器存在的溢出漏洞,来下载Trojan-Downloader类木马,达到传播病毒的目的。而网页木马的传播方式,目前,主要是黑客攻击知名网站,在代码中填加恶意脚本,从而达到,利用知名网站,访问量高的特点,快速传播的目的。网页木马本身的危害巨大,但它带来的最大影响,是可能传播恶性的病毒,造成极大的危害。
通过最近的这些病毒分析,现在越来越多的入侵者采取网页挂马,来达到控制更多的“肉鸡”从而达到,靠流量和贩卖“肉鸡”来达到收入最大话,通过网站钓鱼,来捕获受害人的信用卡帐号以及个人隐私,更有甚者进行非法交易,出卖给一些商业间谍等,以后的病毒防范和研究工作还将继续进行下去,任重而道远。
欢迎大家和我交流,我们一同来打一场反黑反病毒的持久战,同时在这里我还是要感谢安天实验室的全体cert组成员,能全力支持我,配合我来更快更好的完成病毒分析工作,也同样感谢我的两个助手-----王清,王琪,以及诚信网安的全体成员,谢谢你们对我工作的支持和帮助。
京公网安备 11010802021500号