智恒联盟:常见网页木马识别防范20招

第11招：IE 窗口定时弹出现象描述:中网页木马的机器每隔一段时间就弹出IE 窗口，地址指向网络注氓的个人主页。

解决办法:点击"开始-运行-输入msconfig",选择"启动"，把里面后缀为hta 的都勾掉，重启。

第12招：比如网络上流行 的木马 smss.exe 现象描述:这个是其中一种木马的主体 潜伏在 98/winme/xp c:windows 目录下 2000 c:winnt .....

解决办法：假 如你中了这个木马 首先我们用进程管理器结束正在运行的木马smss.exe然后在C:windows 或 c:winnt 目录下 创建一个价的 smss.exe 并设置为只读属性~(2000/XP NTFS 的磁盘格式的话那就更好 可以用“安全设置” 设置为读取)经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15 个防病毒会报警，另外5 个防病毒没有反映，而机器没有添加出来新的EXE 文件，也没有新的进程出现，只不过有些木马的残骸留在了IE 的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理临时文件夹和IE。

第13招：初步防御。预 备阶段这一阶段，我还是建议大家首先试一下各种杀毒工具，把基本的能杀的病毒都给先杀了，以减轻自己的工作量。比如IE 病毒专杀工具如360，以及金山毒霸，瑞星，江民等常见杀毒工具。你需要在预备阶段做的工作就是利用一些杀毒工具把常见的大部分病毒都给杀除了。另外，如 果不能杀除，你可以再尝试在系统启动时按F8进入安全模式在这个情况下再启动杀毒工具和IE 修复工具进行查杀。

第14招：反击病毒。扫 描进程进行查杀笔者的电脑就曾经CPU 滚烫无比，发现RUNDLL32.EXE 这个文件运行了99%的CPU 资源，而这个文件是WINDOWS 下的SYSTEM32 文件夹里的，不应该是病毒。而最大的可能，它就是被用来运行了某些病毒的DLL 文件。而造成严重损害的。针对进程问题，首先大家可以用最简单的方法先进行表面清楚，就是在“开始”里点“运行”，键入MSCONFIG，然后进入启动项 设置，看到不正常的启动项，比如各种莫名奇妙的名字，以及特别是在非WINDOWS 系统文件夹下的(可以直接删除都没事)，以及各种奇怪的可执行文件，.exe 的，给予坚决取消启动。并可找到那个文件的位置，给予删除，如果非系统文件夹下的，你大可以放心删除。另外，推荐大家一款免费的进程扫描工具 hijackthis,大家可以找它的汉化版的，用来扫描进程。尤其是隐藏在SYSTEM32 文件夹下的，某些异常的.exe 文件，以及它的上级文件夹。不要怕，进入c:/windows/system32,进去之后，找到那个文件，以及它的父文件夹。有时候，你会很惊讶的发 现，这个可执行文件病毒就被你发现了，有的病毒执行程序，你查看属性时，竟然写到是某某广告公司,这些病毒往往都是一个单的可执行文件，放在 SYSTEM32 下或者一个文件夹里。马上彻底删除!有的无法删除，正在运行的，你要借助一些文件粉碎机来删除。而好象SP2 的WINXP 自带粉碎文件功能。就这样，你根据可疑进程，特别是扩展名为.exe 的文件，找到它隐藏的文件夹，看它的属性和修改日期，有的是往往是发生病毒情况的那一天的，很容易就发现它是病毒，直接封杀!有的更“牛”一点，在父文件 夹里还带着一些广告网站的.ini 文本文件和其它文件夹，这个没事，你打开看看那些文件夹里都是啥，有时候你能发现这些.ini 文件里就写着骚扰你的恶意网站或者其它广告网站的地址。发现了就好，然后再看看这个文件夹的修改时间，如果是发生病毒时候的，还等什么?整个这个异常文件 夹一下子删除!就这样，你可以通过进程扫描，寻根求底的方法，找到隐藏的系统文件下，通过查阅文件夹以及异常文件属性等，直接手工删除!

第15招:主动出击。根 除残留病毒有时候，某些病毒并不是在运行，而是在你打IE 之后的某个时间或者激发了某些事件，它们才会运行。有的还是某些.DLL 文件，隐藏在系统文件夹下，很难发现，而且往往误认为是系统文件而不敢查杀。这些成为最顽固的病毒，不用怕。这些也都可以通过第三招而杀除。最常用的方法 是根据文件夹和文件修改创建时间。首先你把文件夹属性调整为查阅所有文件，包括隐藏文件和系统文件。然后右健，再通过查看文件方式选择为查看详细信息，则 会出现详细信息列表，你可以通过选择最近时间排列，而看到最新创建的一些文件夹和一些文件。如果你记得你病毒发作的那第一天时间，直接可以发现那些异常文 件夹的创建时间和病毒发作时大概相同，直接进去查看，有时候往往发现这些文件夹里果然包含着广告网站的信息等或者其它异常内容。不管有没有，直接删除这些 文件夹吧!有的如果是你最近装过的软件的话，你自己也会清楚，如果不是的，那就是病毒创建的文件夹了。删除这些新创建的对你系统运行也没有损失。

第16招：用插件管理来定位流氓软件的位置。第 一步：打开"IE"- 工具- internet 选项- 程序- 管理加载项然后会列出很多IE 插件，我们要做的只是观察插件的发行者，如果看到发行者前面有个“未验证”的话，我推荐别管它起什么作用，禁用，然后把不是microsoft的都禁用 了，不用担心会关闭某些有用的插件，比方说播放网页中flash 的插件，就算我们关闭了，以后IE 会提示你。在状态栏上有个齿轮的符号，双击打开，然后它会提示你需要哪个插件，你到时候再恢复也不迟。 第二步：记录下刚才被基本怀疑为流氓软件的插件(Dll文件)的名字，然后到搜索中对系统进行搜索，一般来说，大部分流氓软件都会安装到 x:\ProgramFiles\下面，找到流氓软件安装的文件夹，先尝试删除，应该是没办法删除的，系统会跳出个窗口——“某文件正在被使用”，那么说 明你刚才光在IE 里清除是不够的，因为流氓软件已经将其自己加载到rundll32.exe 进程中了。 第三步：我们要使用icesword进行操作了。打开icesword，然后选进程，找到rundll32.exe(有时候可能会有几个，如果有多个的 话，一个一个操作)，点右键选择“模块信息”，在模块里找到你刚才没办法删除的dll 文件，现在强行结束这个rundll32.exe 进程，然后回到ProgramFiles 下，先别急着删除。现在打开regedit.exe 开始搜索dll 插件(就是你刚才在rundll32 模块里找到的那个流氓软件的插件)，找到一处就点右键删除注册键值，然后按F3 继续搜索，直到跳出个窗口说搜索完毕了，那就说明你已经很干净地清除了流氓软件，删除刚才找到的文件夹，重新启动电脑吧!

注册表的操作有几个注意点：

1、不要乱删键值，如果不小心删除了某个重要的数据，电脑可能会发生问题的。

2、regedit.exe 里搜索时候，先点最顶端的我的电脑(注意：是注册表编辑器里的“我的电脑”)，这样注册表搜索能搜索得最彻底。

注意：流氓软件有时候会同时用两个或以上的dll 文件对IE 进行捆绑，所以要把刚才的步骤做几次，一个一个的解除dll 文件对IE 的捆绑。

第17招：重新覆盖网站所有代码。如 果是自己运行的服务器被别人入侵攻击后挂马，最直接的方法就是重新覆盖网站所有代码，更新系统补丁和帐号密码等信息;其次，可以查看编写程序代码缺陷，如 果利用网站自动生成系统，查看该系统的补丁程序;另外，可以配置WebGuard 网页防篡改保护系统进行网站保护，该系统可以实时检测网页文件变化，即刻恢复到原始状态，并发现哪些文件被修改。

第18招：采用掘马网页木马检测系统。该系统除了可以进行网页木马定位，可以定位到某一行代码，帮助网管人员在数以万计的代码中查找出隐藏的木马，还可以做文件更新对比发现，可以发现哪些文件做了更新，这可以迅速定位到某个文件。

第19招：部署SUS 系统，或者桌面管理系统。如 果您是局域网的网络管理人员，可以对局域网部署SUS 系统，或者桌面管理系统，该系统可以帮助大家进行补丁实时更新。当然了特别要关注浏览器更新内容，建议大家使用firefox 或者maxthon 等浏览器，并配置浏览器禁用脚本，如果能禁用图片或动画文件那也是比较安全的做法。

第20招：时刻警惕：不要浏览陌生人发的网站链接或具有诱惑性的网站链接!