如何识别和防御Web网页木马
网页木马就是网页恶意软件威胁的罪魁祸首,和大家印象中的不同,准确的说,网页木马并不是木马程序,而应该称为网页木马“种植器”,也即一种通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞,向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。常见的网页木马攻击手段有哪些?用户应该如何识别及防御来自网页木马的攻击?
本文将为大家细细道来:
攻击者常用的网页木马攻击手段按照用户交互程度,可以分为主动攻击和被动攻击两种。
主动攻击方式:
就是攻击者通过各种欺骗,引诱等手段,诱使用户访问放置有网页木马的网站,如果用户不小心访问了该恶意网站,就有可能感染恶意软件。这种攻击方式常见的案例有,攻击者在各种论坛、聊天室、博客留言等用户集中的区域发布各种色情内容的连接、在各种在线游戏的聊天频道中发布各种中奖抽奖信息、使用各种即时通讯软件手动或通过之前被感染的用户自动向联系人发送带欺骗性质的网站链接等。
被动攻击方式:
是指攻击者通过入侵互联网上访问量大的站点,并在其页面中插入网页木马的代码,目前在IDC机房和企业内网中流行的通过ARP欺骗插入恶意网页链接也属于被动攻击方式,这种攻击方式属于广撒网的攻击方式,访问到该网站的用户都有可能感染其所带网页木马种植的恶意软件。
虽然没有具体的统计结果,不过从最近的各安全公司发布的攻击趋势来看,网页木马主动攻击和被动攻击的发起频率差不多。如果用户不慎访问了有可能带有网页木马的网站,如何识别正在发生的网页木马攻击?用户可以根据以下的几个最常见的现象来判断:
系统反应速度:
目前攻击者构建网页木马所使用的IE浏览器漏洞,包括最新的MS07004 VML漏洞,都是利用构造大量数据溢出浏览器或组件的缓冲区来执行攻击代码的,因此,用户遭受溢出类的网页木马的攻击时,通常系统的反应会变得十分缓慢,CPU占用率很高,浏览器窗口没有响应,也无法使用任务管理器强行关闭。另外,在一些内存小于512M的系统上,溢出类的网页木马攻击时,系统会频繁的对磁盘进行读写操作(物理内存不够用,系统自动扩大虚拟内存)。
进程变化情况:
有少数的IE浏览器漏洞不属于缓冲区溢出的漏洞,比如去年初出现的MS06014 XML漏洞,用户在遭受使用它所构造的网页木马的攻击时,系统反应不会有明显的变化或者磁盘读写,顶多有时会短暂出现系统等待的沙漏图标,不过时间很短,用户一不留意就会错过。这种情况下,用户可以打开任务管理器或使用Process Explorer,查看是否有非用户启动的Iexplore.exe进程、名字比较奇怪的进程等来判断是否遭受了网页木马的攻击。
浏览器显示:
攻击者在使用网页木马的被动攻击方式时,通常会在被其控制的合法网站上使用HTML中的iframe语句或java script方式来调用网页木马,如果用户在打开某个合法网站时,发现IE浏览器左下角的状态栏一直显示一个和当前浏览网站一点关系都没有的地址,同时系统响应变得很慢,或者是鼠标指针变成沙漏形状,便有可能正在遭受网页木马的攻击。
安全软件报警:
安全软件报警也许是对用户来说最安全的一种网页木马攻击迹象,但目前市面上有相当多的反病毒软件检测不出用java script和vbscript 进行过加密的网页木马,因此反病毒软件不报警不一定说明网站就是安全的。
攻击手法花样翻新,网页木马防不胜防,处于技术弱势地位的用户如何进行防御:
1、 系统补丁要及时更新,绝大部分的网页木马受害者都忽略了自己所使用的系统及应用软件的补丁升级。毕竟只有极少数的攻击者会使用昂贵的0day 浏览器漏洞来做网页木马,及时更新系统及软件的安全补丁可以防御大部分的网页木马。
2、 安装并及时更新反病毒软件,用户可尽量选择网页木马查杀能力较强的反病毒软件,并及时更新病毒特征库,这样的话,即使网页木马使用了最新的加密技术躲过反病毒软件的检测,但较新的病毒特征库也能尽可能用户免受紧跟网页木马而来的恶意软件的损害。
3、 使用第三方浏览器,由于目前互联网上常见的网页木马所使用的是针对IE浏览器及其ActiveX控件的漏洞,因此,使用Firefox/Opera等非IE内核的第三方浏览器可以从源头上堵住网页木马的攻击,不过第三方浏览器在页面兼容性上稍逊IE浏览器,而且一些特别的网页,如各种使用ActiveX密码登陆控件的网上银行不能使用第三方浏览器登陆,用户在浏览这类网页时可使用IE浏览器。
4、 养成安全的网站浏览习惯,用户应该养成安全的网站浏览习惯,不要随便点击各种来源不明,说明带有引诱语言的链接,防止落入攻击者的陷阱;遇到合法网站被攻击者攻陷并挂上网页木马,用户也应该站管理员。
关于自动弹出网页的解决方法(一)
自动弹出网页,介绍的很多,现总结如下:
首先针对情况,如果是一开机自动弹出网页,应按第一种情况执行,修改启动项。也可用系统自带的msconfig或者优化大事等。但我也遇到了另外一种情况,无意中安装了广告公司的程序。我最近的计算机windows/system32/msibm/web下安装了好多广告页,最后还是用该文件夹内的 uninstall程序去掉的。此从方式广告页循环播放,和其他自动弹出页面方式不同。下面修改hosts文件的'方法,可以追踪和屏蔽广告页。//本文来自电脑软硬件应用网www.45it.com
问:我发现电脑一开机就会自动弹出IE并打开一些无聊的网站,另外在浏览网页时也经常会弹出IE窗口。请问我该如何去除它们,还电脑一个干净呢?
答:这类情况一般都是你的电脑被恶意网站修改,在开机启动中加入了非法启动项,并修改了注册表所造成的。由于修改注册表过于复杂且易造成系统崩溃,因此我们建议安装修复软件来恢复系统,比如“IE修复专家”、“注册表IE修复器”“msconfig”命令等软件都可以帮你清理干净。
还可以修改注册表。打开注册表编辑器(方法是在点击“开始”菜单,之后点击“运行”,在运行框中输入regedit命令进入注册表编辑器),分别定位到: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。
问:浏览网页时经常碰到弹出淘宝网的广告,奇怪的是,屏蔽广告软件对这种弹出广告没有任何效果。请问如何禁止它弹出呢?
答:这类弹出广告的原理是利用浏览器的IE内核来调用IE窗口。据悉,淘宝网是由www.unionsky.cn网站代理的,各种弹出窗口也都是通过这个网站中转到淘宝网的,我们只需在Hosts文件中禁止这个网站即可。在 C:WINDOWSsystem32driversetc下找到hosts文件,用记事本打开它,加入“127.0.0.1 www.unionsky.cn”,然后以ANSI编码的形式保存到原来位置。这一招不但在这里起作用,对诸多弹出窗口都可以起到禁止的作用,你只要将弹出网页的地址以“0.0.0.0 网页地址”的形式依次加入就可以禁止想要禁止的弹出网页了。
问:电脑总是莫名其妙地弹出信使服务窗口,内容都是一些无用的非法广告,只要一上线就会出现,请问用什么方法可以根除?
答:Windows 2000/XP操作系统在开机时,自动启动了自带的Messenger服务,可以接收、发送弹出消息给其他电脑。这个功能被人恶意利用,造成了信使广告满天飞的现象。我们可以通过以下方法来禁止:依次选择“控制面板→管理工具→服务”,在出现的“服务”窗口中找到“Messenger”项并双击,接着在弹出的“Messenger属性”对话框中选择“常规”选项卡,将“启动类型”改为“已禁止”并单击“停止”按钮即可。
问:电脑经常自动弹出一些非法广告页面,用禁止弹出窗口等诸多软件也无法禁止,查杀病毒也未发现任何异常,我是没辙了,请问有什么方法可以解决吗?
答:这是共享版的FlashGet加入的广告,你一定是运行了 FlashGet才会出现的,注册软件后广告即可消失。另外还有一个方法可以对付它,如果你安装的是Wi
ndows 2000/XP/2003操作系统且处于NTFS分区格式下,那么可以使用文件夹权限来禁止,以Windows XP为例,首先退出FlashGet,找到C:WindowsCache277文件夹(这个文件夹用于存放广告文件)。鼠标右击该文件夹,在弹出的快捷菜单中选择“属性”命令,切换至“安全”选项卡,将权限角色删除掉,接着单击“高级”按钮,然后取消勾选“允许将来自父系的可继承权限传播给对象”复选框,这样以后任何用户都无法访问这个文件夹了,当然FlashGet对它也不起作用了。
如何使用杀毒软件的五个注意事项(一)
电脑使用的时间久了,难免会碰到各种各样的故障问题,在日常使用电脑当中遇到中毒的现象也是最常见的,而杀毒软件的使用成为计算机用户日常工作中必不可少的措施,有些用户虽然安装了杀毒软件,但是由于使用不当,从而影响了查杀病毒的效果。下面我们来谈谈电脑用户在使用“杀毒软件”过程中应该注意哪问题,请看以下介绍的如何使用杀毒软件的五个注意事项。
一、忌偷懒不升级
杀毒软件升级,是必须的!有些用户认为购买了杀毒软件,安装在自己的计算机中,就万事大吉了,其实他们忽略了最为关键的一环,那就是——注册升级。一旦有新的病毒发作,杀毒厂商会第一时间对病毒进行剖析,扩展自己的病毒库。所以,如果用户仅凭买来的杀毒软件来杀毒,肯定在成效上大打折扣。换句话说,杀毒软件中的病毒库是动态的,随时会添加新的病毒查杀程序,如果用户不及时升级,那就有问题了。
用户不升级大多是怕麻烦,其实,随着反病毒技术的不断提高,软件升级已经不再像以往那么繁琐了。以瑞星杀毒软件2002版为例,只要在功能设置中把升级时间设置好,以后它就会自动从瑞星主页上下载升级程序,根本不需要用户的其他操作。另外,它的“智能升级”技术,是一种增量升级,每次用户只下载与本机上不同的文件就可以了,这样一来,大大减少了文件的下载量,每次下载的文件大小只有几十kb。
二、忌忽略对邮件的保护
病毒通过电子邮件进行传播,早已不是新闻。而邮件又是我们生活和工作中必需的工具,对邮件良好的实时监控就显得格外重要了。
使用瑞星杀毒软件2011版的用户会发现,邮件监控代理、静态邮箱扫描、邮件文件查杀三项功能,相辅相成,共同组成了一道针对邮件病毒的坚固防线。邮件监控代理程序,针对邮件中附件型、正文型、漏洞型三种类型的邮件病毒。静态扫描可以对用户的所有邮箱(包括outlook、outlook express、foxmail、netscape等)中的邮件进行扫描,并且能够直接清除其中的病毒。所以,一旦出现上述的情况,都可以通过静态扫描来解决。邮件病毒有时会变幻形式,以eml、nws、mht的后缀出现,当用户在资源管理器中预览这些文件时,邮件中携带的正文型和漏洞型的邮件病毒也能够被自动执行,感染用户计算机。此时,邮件病毒以文件的形式存在,而邮件文件查杀技术就可解决这一问题,它能够分辨出邮件文件与普通文件的区别,能够将隐藏在邮件文件中的病毒代码找出来并清除。
三、忌疏忽设置各项功能
目前的杀毒软件,都有许多的备选功能,忽略了杀毒软件的各种设置,就会使杀毒软件的功效大打折扣。例如:在瑞星杀毒软件2002版中就可以进行定时查杀病毒、查杀未知病毒、实时监控等多项功能,如果用户在使用软件前能够很好地设置好相关的功能,会大大提高对病毒的防范能力。
四、忌轻信网络的安全性
任何一个网络都不是绝对安全的,正确使用防火墙的功能,可以加强网络的安全性。个人防火墙能有效地监控任何网络连接,如isdn接入、普通modem 拨号上网、代理等等,通过过滤不安全的服务,极大地提高网络安全和减少主机被攻击的风险,使系统具有抵抗外来非法入侵的能力,保护数据的安全。它启动后能自动防御绝大部分已知的恶意攻击,如冰河等木马,或icmp、igmp洪水攻击,igmp nuke攻击,igmp碎片攻击等等。
五、忌轻视数据备份
硬盘上的程序和数据对于每一个电脑使用者来说都是十分重要的,硬盘数据的丢失无疑会造成损失。尤其在病毒日益猖獗的今天,许多病毒都选择硬盘作为破坏目标,如幽灵病毒和cih病毒,在发作时会顷刻间毁掉所有数据,这样硬盘的备份和恢复显得更为重要。为了保护用户
的硬盘数据,在杀毒软件中开始增添了有关硬盘保护的功能,如瑞星的2002版中的硬盘数据备份的工具,用户可以设置定期数据备份的时间,杀毒软件可以自动完成用户数据的备份工作。
防患于未然,才能高枕无忧。病毒防治,重在防范。好的杀毒软件固然重要,但我们要掌握正确的使用方法,才能最大限度地发挥杀毒软件的功效。
文件boot.ini非法警告的原因,如何解决boot.ini非法警告
最近笔者一好朋友电脑开机总会弹出boot.ini文件非法的警告框,虽然不去理会对电脑使用似乎影响不大,但每次开机都弹出警告框,难免会令人对系统安全担忧,很多朋友可能会选择重新安装系统来解决此问题,其实找到原因的根源的话并不需要那么麻烦,简单修复下boot.ini文件即可解决该问题,下面分享下如何解决boot.ini非法警告的方法。
其实遇到boot.ini文件非法的警告,多数是由于该文件可能存在配置错误导致的,我们只需要找到boot.ini文件检查错误,并修改该问题即可。首先先为大家介绍下boot.ini是什么文件。
boot.ini 是操作系统启动配置文件,在电脑启动中很重要。尤其是如果你有多个操作系统的话,它可以帮你你选择启动哪一个系统。如果配置文件损坏,就会提示boot.ini文件非法。但不影响系统的正常运做。修复方法也比较简单,如手工修复,也可以用系统盘或网上下载boot.ini文件修复均可。
下面介绍下简单的手动修复boot.ini文件非法的方法:
手动修复boot.ini文件非法的方法
用记事本打开boot.ini配置文件后改称默认初始值:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
注意:boot.ini文件在C盘根目录,具有SHR三种属性,可以用DOS命令去掉相关属性后再修改,修改后再恢复该文件的相关属性。或者原文件丢失,手工建立后,加上这些属性,有助于保护文件。
去掉属性:attrib -s -h -r boot.ini
加上属性:attrib +s +h +r boot.ini
另外,可以在命令行状态下执行bootcfg.exe。执行bootcfg.exe /?命令以查看相关参数功能。
保存之后重新启动电脑,boot.ini文件非法的提示一般就消失了。当然你也可以直接网上下载boot.ini文件,然后替换掉C盘windows 目录下的boot.ini文件即可,不过手动修复也比较简单,下载替换的话,需要知道boot.ini文件在哪。
为什么关闭浏览器网页时电脑出现卡屏?
大家看完浏览器上面的网页或者任何窗口时,当您关闭浏览器或者关闭刚才看的窗口时,浏览器已经关闭了,但是在电脑屏幕上还有显示着刚才所看窗口和浏览器的影子卡在上面,无法看到桌面和进行桌面操作。简单来说就是关闭浏览器网页时电脑出现卡屏的情况,这是怎么回事呢?
为什么关闭浏览器网页时电脑出现卡屏?主要原因有以下这些:
1、电脑配置不高
2、浏览器问题
3、电脑开启的占用程序太多
4、电脑感染了病毒
最佳解决方法推荐:
首先打开‘注册表编辑器’,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorer],在右侧窗格创建一个名为“Max Cached Icons”的字符串值, 设置它的值为“8192”(注意:最大只能设为8192),重启系统后即可生效了。
网页自动关闭的解决办法
网页自动消失的案例:
从事美术设计的小聂同志,前几天通过搜索引擎找破解版的photoshop软件,在某个下载吧找到了想要的 ps软件,但是下载完后,发现桌面出现很多垃圾图标,ie主页被修改,然后他使用杀毒软件杀毒,杀完毒后果很糟糕,网页莫名其妙的自动关闭,便向身边的网友和朋友求助“网页自动关闭怎么回事网页自动消失为什么网页自动关闭”,但是都得不到满意的回答。
为什么网页自动关闭:
近期各大IT网站以及论坛,各大问答平台(如百度知道,soso问问,天涯问答,天涯来吧新浪爱问等)里有大量网友求助网页自动关闭怎么回事网页自动消失为什么网页自动关闭,但是网友给的答案很冗长,普通用户不知道自己如何操作,并且网友推荐的杀毒软件也无法解决问题,经过金山安全专家对求助用户的电脑检查分析后,导致网页自动关闭的原因如下:
1.绑架型木马,ie浏览器是绑架型木马绑架最多的应用软件,他通过绑架ie浏览器,使浏览器主页被修改,搜索引擎被篡改。篡改ie组件的相关设置或者文件。请使用金山卫士进行木马快速查杀。电脑非常卡,开机好长时间到桌面,程序运行很缓慢,主流杀毒软件无法正常打开,并且重装系统也无法解决问题。某些安全杀毒软件把系统文件被感染当病毒杀掉以后,提示找不到相应的dll或者系统功能不正常。例如 rpcss.dll,ddraw.dll。QQMSNTM账号被盗,《天龙八部》、《剑网3》、《QQ地下城与勇士》、《穿越火线》《魔兽世界》等游戏账号被盗。你的电脑桌面上出现了很多垃圾图标,而且还删不掉。电脑不自动弹出游戏网页,或者弹出一些假冒qq中奖的信息。
2.由于浏览器版本过低,导致某些网页脚本运行失败导致的,请升级你的浏览器到最新版。
3.浏览器网页打开太多,打开网页越多,占用内存就越大,建议你一般打开5个ie网页窗。
4.某些插件与浏览器不兼容造成的。,建议你禁止导致浏览器自动关闭的插件电脑组装。
网页自动关闭怎么办:
绑架木马经常篡改ie组件,但是某些安全杀毒软件只对病毒文件杀掉不给与修复,导致网页自动关闭。请立即使用金山卫士进行木马查杀,还可以修复病毒木马对ie组件进行的破坏。
1、进入主界面进入【查杀木马】
2、然后点击【快速扫描】即可
3.如果不是病毒木马引起的,那就打开ie浏览器选项,然后点击“程序”标签,打开“管理加载项”,然后禁用可能导致网页自动关闭的插件。
如果该方法无效,就采取ie重置,打开ie浏览器选项,然后点击“高级”标签,然后点击“重置”按钮。
4.如果上述方法无效,那就升级你的浏览器到最新版或者下载比较好的浏览器。
【如何识别和防御Web网页木马】相关文章: