- 相關推薦
如何識別和防御Web網頁木馬
網頁木馬就是網頁惡意軟件威脅的罪魁禍首,和大家印象中的不同,準確的說,網頁木馬并不是木馬程序,而應該稱為網頁木馬“種植器”,也即一種通過攻擊瀏覽器或瀏覽器外掛程序(目標通常是IE瀏覽器和ActiveX程序)的漏洞,向目標用戶機器植入木馬、病毒、密碼盜取等惡意程序的手段。常見的網頁木馬攻擊手段有哪些?用戶應該如何識別及防御來自網頁木馬的攻擊?
本文將為大家細細道來:
攻擊者常用的網頁木馬攻擊手段按照用戶交互程度,可以分為主動攻擊和被動攻擊兩種。
主動攻擊方式:
就是攻擊者通過各種欺騙,引誘等手段,誘使用戶訪問放置有網頁木馬的網站,如果用戶不小心訪問了該惡意網站,就有可能感染惡意軟件。這種攻擊方式常見的案例有,攻擊者在各種論壇、聊天室、博客留言等用戶集中的區域發布各種色情內容的連接、在各種在線游戲的聊天頻道中發布各種中獎抽獎信息、使用各種即時通訊軟件手動或通過之前被感染的用戶自動向聯系人發送帶欺騙性質的網站鏈接等。
被動攻擊方式:
是指攻擊者通過入侵互聯網上訪問量大的站點,并在其頁面中插入網頁木馬的代碼,目前在IDC機房和企業內網中流行的通過ARP欺騙插入惡意網頁鏈接也屬于被動攻擊方式,這種攻擊方式屬于廣撒網的攻擊方式,訪問到該網站的用戶都有可能感染其所帶網頁木馬種植的惡意軟件。
雖然沒有具體的統計結果,不過從最近的各安全公司發布的攻擊趨勢來看,網頁木馬主動攻擊和被動攻擊的發起頻率差不多。如果用戶不慎訪問了有可能帶有網頁木馬的網站,如何識別正在發生的網頁木馬攻擊?用戶可以根據以下的幾個最常見的現象來判斷:
系統反應速度:
目前攻擊者構建網頁木馬所使用的IE瀏覽器漏洞,包括最新的MS07004 VML漏洞,都是利用構造大量數據溢出瀏覽器或組件的緩沖區來執行攻擊代碼的,因此,用戶遭受溢出類的網頁木馬的攻擊時,通常系統的反應會變得十分緩慢,CPU占用率很高,瀏覽器窗口沒有響應,也無法使用任務管理器強行關閉。另外,在一些內存小于512M的系統上,溢出類的網頁木馬攻擊時,系統會頻繁的對磁盤進行讀寫操作(物理內存不夠用,系統自動擴大虛擬內存)。
進程變化情況:
有少數的IE瀏覽器漏洞不屬于緩沖區溢出的漏洞,比如去年初出現的MS06014 XML漏洞,用戶在遭受使用它所構造的網頁木馬的攻擊時,系統反應不會有明顯的變化或者磁盤讀寫,頂多有時會短暫出現系統等待的沙漏圖標,不過時間很短,用戶一不留意就會錯過。這種情況下,用戶可以打開任務管理器或使用Process Explorer,查看是否有非用戶啟動的Iexplore.exe進程、名字比較奇怪的進程等來判斷是否遭受了網頁木馬的攻擊。
瀏覽器顯示:
攻擊者在使用網頁木馬的被動攻擊方式時,通常會在被其控制的合法網站上使用HTML中的iframe語句或java script方式來調用網頁木馬,如果用戶在打開某個合法網站時,發現IE瀏覽器左下角的狀態欄一直顯示一個和當前瀏覽網站一點關系都沒有的地址,同時系統響應變得很慢,或者是鼠標指針變成沙漏形狀,便有可能正在遭受網頁木馬的攻擊。
安全軟件報警:
安全軟件報警也許是對用戶來說最安全的一種網頁木馬攻擊跡象,但目前市面上有相當多的反病毒軟件檢測不出用java script和vbscript 進行過加密的網頁木馬,因此反病毒軟件不報警不一定說明網站就是安全的。
攻擊手法花樣翻新,網頁木馬防不勝防,處于技術弱勢地位的用戶如何進行防御:
1、 系統補丁要及時更新,絕大部分的網頁木馬受害者都忽略了自己所使用的系統及應用軟件的補丁升級。畢竟只有極少數的攻擊者會使用昂貴的0day 瀏覽器漏洞來做網頁木馬,及時更新系統及軟件的安全補丁可以防御大部分的網頁木馬。
2、 安裝并及時更新反病毒軟件,用戶可盡量選擇網頁木馬查殺能力較強的反病毒軟件,并及時更新病毒特征庫,這樣的話,即使網頁木馬使用了最新的加密技術躲過反病毒軟件的檢測,但較新的病毒特征庫也能盡可能用戶免受緊跟網頁木馬而來的惡意軟件的損害。
3、 使用第三方瀏覽器,由于目前互聯網上常見的網頁木馬所使用的是針對IE瀏覽器及其ActiveX控件的漏洞,因此,使用Firefox/Opera等非IE內核的第三方瀏覽器可以從源頭上堵住網頁木馬的攻擊,不過第三方瀏覽器在頁面兼容性上稍遜IE瀏覽器,而且一些特別的網頁,如各種使用ActiveX密碼登陸控件的網上銀行不能使用第三方瀏覽器登陸,用戶在瀏覽這類網頁時可使用IE瀏覽器。
4、 養成安全的網站瀏覽習慣,用戶應該養成安全的網站瀏覽習慣,不要隨便點擊各種來源不明,說明帶有引誘語言的鏈接,防止落入攻擊者的陷阱;遇到合法網站被攻擊者攻陷并掛上網頁木馬,用戶也應該站管理員。
關于自動彈出網頁的解決方法(一)
自動彈出網頁,介紹的很多,現總結如下:
首先針對情況,如果是一開機自動彈出網頁,應按第一種情況執行,修改啟動項。也可用系統自帶的msconfig或者優化大事等。但我也遇到了另外一種情況,無意中安裝了廣告公司的程序。我最近的計算機windows/system32/msibm/web下安裝了好多廣告頁,最后還是用該文件夾內的 uninstall程序去掉的。此從方式廣告頁循環播放,和其他自動彈出頁面方式不同。下面修改hosts文件的方法,可以追蹤和屏蔽廣告頁。//本文來自電腦軟硬件應用網www.45it.com
問:我發現電腦一開機就會自動彈出IE并打開一些無聊的網站,另外在瀏覽網頁時也經常會彈出IE窗口。請問我該如何去除它們,還電腦一個干凈呢?
答:這類情況一般都是你的電腦被惡意網站修改,在開機啟動中加入了非法啟動項,并修改了注冊表所造成的。由于修改注冊表過于復雜且易造成系統崩潰,因此我們建議安裝修復軟件來恢復系統,比如“IE修復專家”、“注冊表IE修復器”“msconfig”命令等軟件都可以幫你清理干凈。
還可以修改注冊表。打開注冊表編輯器(方法是在點擊“開始”菜單,之后點擊“運行”,在運行框中輸入regedit命令進入注冊表編輯器),分別定位到: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce下,看看在該子項下是否有一個以這個網址為值的值項,如果有的話,就將其刪除,之后重新啟動計算機。這樣在下一次開機的時候就不再會有網頁彈出來了。
問:瀏覽網頁時經常碰到彈出淘寶網的廣告,奇怪的是,屏蔽廣告軟件對這種彈出廣告沒有任何效果。請問如何禁止它彈出呢?
答:這類彈出廣告的原理是利用瀏覽器的IE內核來調用IE窗口。據悉,淘寶網是由www.unionsky.cn網站代理的,各種彈出窗口也都是通過這個網站中轉到淘寶網的,我們只需在Hosts文件中禁止這個網站即可。在 C:WINDOWSsystem32driversetc下找到hosts文件,用記事本打開它,加入“127.0.0.1 www.unionsky.cn”,然后以ANSI編碼的形式保存到原來位置。這一招不但在這里起作用,對諸多彈出窗口都可以起到禁止的作用,你只要將彈出網頁的地址以“0.0.0.0 網頁地址”的形式依次加入就可以禁止想要禁止的彈出網頁了。
問:電腦總是莫名其妙地彈出信使服務窗口,內容都是一些無用的非法廣告,只要一上線就會出現,請問用什么方法可以根除?
答:Windows 2000/XP操作系統在開機時,自動啟動了自帶的Messenger服務,可以接收、發送彈出消息給其他電腦。這個功能被人惡意利用,造成了信使廣告滿天飛的現象。我們可以通過以下方法來禁止:依次選擇“控制面板→管理工具→服務”,在出現的“服務”窗口中找到“Messenger”項并雙擊,接著在彈出的“Messenger屬性”對話框中選擇“常規”選項卡,將“啟動類型”改為“已禁止”并單擊“停止”按鈕即可。
問:電腦經常自動彈出一些非法廣告頁面,用禁止彈出窗口等諸多軟件也無法禁止,查殺病毒也未發現任何異常,我是沒轍了,請問有什么方法可以解決嗎?
答:這是共享版的FlashGet加入的廣告,你一定是運行了 FlashGet才會出現的,注冊軟件后廣告即可消失。另外還有一個方法可以對付它,如果你安裝的是Wi
ndows 2000/XP/2003操作系統且處于NTFS分區格式下,那么可以使用文件夾權限來禁止,以Windows XP為例,首先退出FlashGet,找到C:WindowsCache277文件夾(這個文件夾用于存放廣告文件)。鼠標右擊該文件夾,在彈出的快捷菜單中選擇“屬性”命令,切換至“安全”選項卡,將權限角色刪除掉,接著單擊“高級”按鈕,然后取消勾選“允許將來自父系的可繼承權限傳播給對象”復選框,這樣以后任何用戶都無法訪問這個文件夾了,當然FlashGet對它也不起作用了。
如何使用殺毒軟件的五個注意事項(一)
電腦使用的時間久了,難免會碰到各種各樣的故障問題,在日常使用電腦當中遇到中毒的現象也是最常見的,而殺毒軟件的使用成為計算機用戶日常工作中必不可少的措施,有些用戶雖然安裝了殺毒軟件,但是由于使用不當,從而影響了查殺病毒的效果。下面我們來談談電腦用戶在使用“殺毒軟件”過程中應該注意哪問題,請看以下介紹的如何使用殺毒軟件的五個注意事項。
一、忌偷懶不升級
殺毒軟件升級,是必須的!有些用戶認為購買了殺毒軟件,安裝在自己的計算機中,就萬事大吉了,其實他們忽略了最為關鍵的一環,那就是——注冊升級。一旦有新的病毒發作,殺毒廠商會第一時間對病毒進行剖析,擴展自己的病毒庫。所以,如果用戶僅憑買來的殺毒軟件來殺毒,肯定在成效上大打折扣。換句話說,殺毒軟件中的病毒庫是動態的,隨時會添加新的病毒查殺程序,如果用戶不及時升級,那就有問題了。
用戶不升級大多是怕麻煩,其實,隨著反病毒技術的不斷提高,軟件升級已經不再像以往那么繁瑣了。以瑞星殺毒軟件2002版為例,只要在功能設置中把升級時間設置好,以后它就會自動從瑞星主頁上下載升級程序,根本不需要用戶的其他操作。另外,它的“智能升級”技術,是一種增量升級,每次用戶只下載與本機上不同的文件就可以了,這樣一來,大大減少了文件的下載量,每次下載的文件大小只有幾十kb。
二、忌忽略對郵件的保護
病毒通過電子郵件進行傳播,早已不是新聞。而郵件又是我們生活和工作中必需的工具,對郵件良好的實時監控就顯得格外重要了。
使用瑞星殺毒軟件2011版的用戶會發現,郵件監控代理、靜態郵箱掃描、郵件文件查殺三項功能,相輔相成,共同組成了一道針對郵件病毒的堅固防線。郵件監控代理程序,針對郵件中附件型、正文型、漏洞型三種類型的郵件病毒。靜態掃描可以對用戶的所有郵箱(包括outlook、outlook express、foxmail、netscape等)中的郵件進行掃描,并且能夠直接清除其中的病毒。所以,一旦出現上述的情況,都可以通過靜態掃描來解決。郵件病毒有時會變幻形式,以eml、nws、mht的后綴出現,當用戶在資源管理器中預覽這些文件時,郵件中攜帶的正文型和漏洞型的郵件病毒也能夠被自動執行,感染用戶計算機。此時,郵件病毒以文件的形式存在,而郵件文件查殺技術就可解決這一問題,它能夠分辨出郵件文件與普通文件的區別,能夠將隱藏在郵件文件中的病毒代碼找出來并清除。
三、忌疏忽設置各項功能
目前的殺毒軟件,都有許多的備選功能,忽略了殺毒軟件的各種設置,就會使殺毒軟件的功效大打折扣。例如:在瑞星殺毒軟件2002版中就可以進行定時查殺病毒、查殺未知病毒、實時監控等多項功能,如果用戶在使用軟件前能夠很好地設置好相關的功能,會大大提高對病毒的防范能力。
四、忌輕信網絡的安全性
任何一個網絡都不是絕對安全的,正確使用防火墻的功能,可以加強網絡的安全性。個人防火墻能有效地監控任何網絡連接,如isdn接入、普通modem 撥號上網、代理等等,通過過濾不安全的服務,極大地提高網絡安全和減少主機被攻擊的風險,使系統具有抵抗外來非法入侵的能力,保護數據的安全。它啟動后能自動防御絕大部分已知的惡意攻擊,如冰河等木馬,或icmp、igmp洪水攻擊,igmp nuke攻擊,igmp碎片攻擊等等。
五、忌輕視數據備份
硬盤上的程序和數據對于每一個電腦使用者來說都是十分重要的,硬盤數據的丟失無疑會造成損失。尤其在病毒日益猖獗的今天,許多病毒都選擇硬盤作為破壞目標,如幽靈病毒和cih病毒,在發作時會頃刻間毀掉所有數據,這樣硬盤的備份和恢復顯得更為重要。為了保護用戶
的硬盤數據,在殺毒軟件中開始增添了有關硬盤保護的功能,如瑞星的2002版中的硬盤數據備份的工具,用戶可以設置定期數據備份的時間,殺毒軟件可以自動完成用戶數據的備份工作。
防患于未然,才能高枕無憂。病毒防治,重在防范。好的殺毒軟件固然重要,但我們要掌握正確的使用方法,才能最大限度地發揮殺毒軟件的功效。
文件boot.ini非法警告的原因,如何解決boot.ini非法警告
最近筆者一好朋友電腦開機總會彈出boot.ini文件非法的警告框,雖然不去理會對電腦使用似乎影響不大,但每次開機都彈出警告框,難免會令人對系統安全擔憂,很多朋友可能會選擇重新安裝系統來解決此問題,其實找到原因的根源的話并不需要那么麻煩,簡單修復下boot.ini文件即可解決該問題,下面分享下如何解決boot.ini非法警告的方法。
其實遇到boot.ini文件非法的警告,多數是由于該文件可能存在配置錯誤導致的,我們只需要找到boot.ini文件檢查錯誤,并修改該問題即可。首先先為大家介紹下boot.ini是什么文件。
boot.ini 是操作系統啟動配置文件,在電腦啟動中很重要。尤其是如果你有多個操作系統的話,它可以幫你你選擇啟動哪一個系統。如果配置文件損壞,就會提示boot.ini文件非法。但不影響系統的正常運做。修復方法也比較簡單,如手工修復,也可以用系統盤或網上下載boot.ini文件修復均可。
下面介紹下簡單的手動修復boot.ini文件非法的方法:
手動修復boot.ini文件非法的方法
用記事本打開boot.ini配置文件后改稱默認初始值:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
注意:boot.ini文件在C盤根目錄,具有SHR三種屬性,可以用DOS命令去掉相關屬性后再修改,修改后再恢復該文件的相關屬性。或者原文件丟失,手工建立后,加上這些屬性,有助于保護文件。
去掉屬性:attrib -s -h -r boot.ini
加上屬性:attrib +s +h +r boot.ini
另外,可以在命令行狀態下執行bootcfg.exe。執行bootcfg.exe /?命令以查看相關參數功能。
保存之后重新啟動電腦,boot.ini文件非法的提示一般就消失了。當然你也可以直接網上下載boot.ini文件,然后替換掉C盤windows 目錄下的boot.ini文件即可,不過手動修復也比較簡單,下載替換的話,需要知道boot.ini文件在哪。
為什么關閉瀏覽器網頁時電腦出現卡屏?
大家看完瀏覽器上面的網頁或者任何窗口時,當您關閉瀏覽器或者關閉剛才看的窗口時,瀏覽器已經關閉了,但是在電腦屏幕上還有顯示著剛才所看窗口和瀏覽器的影子卡在上面,無法看到桌面和進行桌面操作。簡單來說就是關閉瀏覽器網頁時電腦出現卡屏的情況,這是怎么回事呢?
為什么關閉瀏覽器網頁時電腦出現卡屏?主要原因有以下這些:
1、電腦配置不高
2、瀏覽器問題
3、電腦開啟的占用程序太多
4、電腦感染了病毒
最佳解決方法推薦:
首先打開‘注冊表編輯器’,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorer],在右側窗格創建一個名為“Max Cached Icons”的字符串值, 設置它的值為“8192”(注意:最大只能設為8192),重啟系統后即可生效了。
網頁自動關閉的解決辦法
網頁自動消失的案例:
從事美術設計的小聶同志,前幾天通過搜索引擎找破解版的photoshop軟件,在某個下載吧找到了想要的 ps軟件,但是下載完后,發現桌面出現很多垃圾圖標,ie主頁被修改,然后他使用殺毒軟件殺毒,殺完毒后果很糟糕,網頁莫名其妙的自動關閉,便向身邊的網友和朋友求助“網頁自動關閉怎么回事網頁自動消失為什么網頁自動關閉”,但是都得不到滿意的回答。
為什么網頁自動關閉:
近期各大IT網站以及論壇,各大問答平臺(如百度知道,soso問問,天涯問答,天涯來吧新浪愛問等)里有大量網友求助網頁自動關閉怎么回事網頁自動消失為什么網頁自動關閉,但是網友給的答案很冗長,普通用戶不知道自己如何操作,并且網友推薦的殺毒軟件也無法解決問題,經過金山安全專家對求助用戶的電腦檢查分析后,導致網頁自動關閉的原因如下:
1.綁架型木馬,ie瀏覽器是綁架型木馬綁架最多的應用軟件,他通過綁架ie瀏覽器,使瀏覽器主頁被修改,搜索引擎被篡改。篡改ie組件的相關設置或者文件。請使用金山衛士進行木馬快速查殺。電腦非常卡,開機好長時間到桌面,程序運行很緩慢,主流殺毒軟件無法正常打開,并且重裝系統也無法解決問題。某些安全殺毒軟件把系統文件被感染當病毒殺掉以后,提示找不到相應的dll或者系統功能不正常。例如 rpcss.dll,ddraw.dll。QQMSNTM賬號被盜,《天龍八部》、《劍網3》、《QQ地下城與勇士》、《穿越火線》《魔獸世界》等游戲賬號被盜。你的電腦桌面上出現了很多垃圾圖標,而且還刪不掉。電腦不自動彈出游戲網頁,或者彈出一些假冒qq中獎的信息。
2.由于瀏覽器版本過低,導致某些網頁腳本運行失敗導致的,請升級你的瀏覽器到最新版。
3.瀏覽器網頁打開太多,打開網頁越多,占用內存就越大,建議你一般打開5個ie網頁窗。
4.某些插件與瀏覽器不兼容造成的。,建議你禁止導致瀏覽器自動關閉的插件電腦組裝。
網頁自動關閉怎么辦:
綁架木馬經常篡改ie組件,但是某些安全殺毒軟件只對病毒文件殺掉不給與修復,導致網頁自動關閉。請立即使用金山衛士進行木馬查殺,還可以修復病毒木馬對ie組件進行的破壞。
1、進入主界面進入【查殺木馬】
2、然后點擊【快速掃描】即可
3.如果不是病毒木馬引起的,那就打開ie瀏覽器選項,然后點擊“程序”標簽,打開“管理加載項”,然后禁用可能導致網頁自動關閉的插件。
如果該方法無效,就采取ie重置,打開ie瀏覽器選項,然后點擊“高級”標簽,然后點擊“重置”按鈕。
4.如果上述方法無效,那就升級你的瀏覽器到最新版或者下載比較好的瀏覽器。
【如何識別和防御Web網頁木馬】相關文章:
如何用Dreamweaver批量做web網頁詳細步驟09-17
如何識別危害和評價風險07-12
web網頁開發筆小知識06-22
怎么防止服務器被ASP網頁木馬威脅07-01
授信企業虛假信息如何識別09-23
如何識別葡萄酒缺陷08-15
我們如何才能識別出真正的客戶09-11
瑞士留學該如何識別學校優劣05-08
如何識別考研英語閱讀的正確選項10-01
如何提高網頁設計的功力07-04