论文部分内容阅读
互联网上的事情总是稀奇古怪,今天在朋友的电脑上就碰到一件奇怪的事情——朋友的IE浏览器被恶意流氓软件劫持,每次打开IE浏览器时,都会自动跳转到某个网页中去。后来笔者干脆一气之下,把IE主页设置成了“空白”页,哪知道打开空白网页时,居然也会跳到指定的网页中去!经过一番分析研究,终于发现了“空白”网页中的秘密!……
无耻的流氓老外
朋友系统中的IE主页被修改,笔者将其修改恢复成百度和Google等常用的主页,但是每次打开时,依然还是强制打开某个国外网站“http://asecuremask.com/”。同时,在IE工具条上多出了一个“SecurityToolbar7.1”的工具条,在关闭了IE的情况下,时不时会弹出一些广告网页窗口。光弹广告窗口还罢了,它还时不时的弹出一些虚张时势的安全警告窗口。提示用户系统中有漏洞,红色的警告很显眼,让不知情的用户真以为自己的系统有多少漏洞呢!
另外,在系统托盘区处不时有黄色警告图标提示闪动,用户点击时,会弹出一个英文的木马扫描工具界面。其实这是一个伪装过的木马程序,它会发出虚假的安全警报,告诉用户系统中扫描出了木马病毒。这些病毒木马根本就是恶意软件自己带进系统中的,而且是要清除的话,你就必须去花钱注册。很显然,这是一个流氓到了极点的软件,不仅骚扰用户,甚至还想骗钱。看来老外的流氓软件比国产流氓软件,更流氓、更黑!
清除随“流氓”而来的木马
碰到流氓软件,首先当然是用最简单的方法,使用超级兔子或者360安全卫士之类的流氓软件清除工具,自动完成流氓的清除工作。以360安全卫士为例:
运行360安全卫士后,点击“常用”→“清理恶评软件及系统插件”选项页,点击“开始扫描”按钮。扫描整个系统后,发现了一款“恶意插件”和两款“好评插件”。“恶评插件”是一款名为“Pedect Codec”的木马程序,这是流氓软件带进系统中的。勾选木马后,点击“立即清理”按钮,顺利的将其删除掉。
点击“好评插件”项目,发现了两款标记为“未知”的BHO插件,这肯定就是流氓插件。勾选未知插件后,点击“立即清理”按钮,只能删除掉一款未知插件,还剩下一款未知插件,怎么也删除不掉。于是换用瑞星卡卡、超级兔子等工具,结果也是一样,无法清除掉;有的流氓清除工具,甚至检测不到这款插件。许多用户也许因此也就算了,并不继续深究追查,但是事实上流氓并未彻底清除干净,还需继续进行下面的步骤。
小提示
由于系统此时已经不再弹出广告网页窗口了,系统右下角托盘区的黄色警告图标也消失了,因此许多用户,包括笔者在内,都认为这只是流氓留下的残骸,对系统没有多少危害。
奇怪的“空白”网页
流氓“残骸”存在的系统,依然可以继续使用,但是会有一个奇怪的现象:将IE主页修改恢复后,每次启动IE,同样又会打开网站“http://asecuremask.com/”。无论将主页改成别的什么网址链接,都是同样的结果。甚至将IE主页设置为“使用空白页面about:blank”,也同样会在打开空白页后不到1秒钟,又转到了流氓网站。
出现设置了空白首页,但却打开某个流氓网页的原因,是由于流氓软件修改劫持了系统中的RES协议所致。下面我们就来看看怎么进行修复,还空白网页一个清白。
揪出空白页中的木马
可以打开windows进程管理器,可以发现有几个未知的进程名:有5个“iesmn.exe”进程和1个“imsman.exe”进程,就是这些进程对刚才的“未知”流氓插件进行了保护,因此无法用360安全卫士进行清除。
结束流氓进程
由于进程是互相守护的,因此只有同时结束这几个进程。才能避免进程死灰复燃。用Windows进程管理器无法同时结束多个进程,可在360安全卫士界面中,选择“高级”→“系统进程状态”功能页。查看勾选当前系统中的所有可疑进程,选择将这6个进程结束掉。才返回刚才的“常用”→“清理恶评软件及系统插件”选项页,扫描后即可彻底清除流氓插件。
删除流氓文件及启动项目
此时,再次打开空白页面about:blank,不会再发生跳转了,但是如果重启系统后,有可能再次出现空白网页不空白的情况。这是由于流氓进程又重新加载运行了。还需删除流氓软件启动项目和文件。
打开注册表编辑器,展开“HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicesExploreRun”项目,在其下可看到两个注册表键值:“user32.dll”和“rare”。流氓插件就是通过这两个键值,以IE浏览器加载运行的,直接将其删除掉。
再打开资源管理器,将“C:Program FilesImageActiveX Access”文件夹及其中的所有流氓插件文件删除。有时会提示无法删除文件,可以安装“Unlockerv1.85”工具,右键点击此文件夹,在弹出菜单中选择“Unlocker”命令。在弹出对话框中,选择操作为“Delete”,点击OK按钮,即可成功删除流氓文件。
修复注册表空白网页项目
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet EXPlorer/AboutURLs”项目,查看其中的“blank”键值数据是否为“res://mshtml.dll/blank.htm”。不是的话,将其恢复为默认键值,或者直接删除掉。另外,以下几个注册表键值数据也需要修改恢复:
[HKEY_LOCAL_MACHINESOFTWAPEMicrosoftInternet ExplorerAboutURLs]
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdodc.dll/navcaacl.htm"
"OfflineInfomation"="res://shdoclc.dll/offcancl.htm"
"Home"=dword:0000010e
"blank"="res://msbtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
小提示
"AboutURLs"是用于定义"About:"协议的,假设我们在其中新建一个注册表键值"zhangli",对应数据为"http://www.baidu.com"。那么就可以直接在E浏览器中输入"About:zhangli",打开"http://www.baidu.com"网页。同样的,流氓软件和木马,可以通过修改"blank"数据,将原来的空白网页"about:blank",指向任意网页。
重启系统后,空白网页终于恢复清白之身了。一般来说,空白网页主要通过流氓进程劫持调用,以及修改注册表相应键值,这两种方式来实现空白网页转向的。由于空白网页转向的方式非常隐蔽巧妙,许多杀毒软件和安全工具都留下了这个死角,不对其进行检查和修复。以后碰到空白网页时,我们把住这两个途径,就再也不必为奇怪的空白网页而心烦!
无耻的流氓老外
朋友系统中的IE主页被修改,笔者将其修改恢复成百度和Google等常用的主页,但是每次打开时,依然还是强制打开某个国外网站“http://asecuremask.com/”。同时,在IE工具条上多出了一个“SecurityToolbar7.1”的工具条,在关闭了IE的情况下,时不时会弹出一些广告网页窗口。光弹广告窗口还罢了,它还时不时的弹出一些虚张时势的安全警告窗口。提示用户系统中有漏洞,红色的警告很显眼,让不知情的用户真以为自己的系统有多少漏洞呢!
另外,在系统托盘区处不时有黄色警告图标提示闪动,用户点击时,会弹出一个英文的木马扫描工具界面。其实这是一个伪装过的木马程序,它会发出虚假的安全警报,告诉用户系统中扫描出了木马病毒。这些病毒木马根本就是恶意软件自己带进系统中的,而且是要清除的话,你就必须去花钱注册。很显然,这是一个流氓到了极点的软件,不仅骚扰用户,甚至还想骗钱。看来老外的流氓软件比国产流氓软件,更流氓、更黑!
清除随“流氓”而来的木马
碰到流氓软件,首先当然是用最简单的方法,使用超级兔子或者360安全卫士之类的流氓软件清除工具,自动完成流氓的清除工作。以360安全卫士为例:
运行360安全卫士后,点击“常用”→“清理恶评软件及系统插件”选项页,点击“开始扫描”按钮。扫描整个系统后,发现了一款“恶意插件”和两款“好评插件”。“恶评插件”是一款名为“Pedect Codec”的木马程序,这是流氓软件带进系统中的。勾选木马后,点击“立即清理”按钮,顺利的将其删除掉。
点击“好评插件”项目,发现了两款标记为“未知”的BHO插件,这肯定就是流氓插件。勾选未知插件后,点击“立即清理”按钮,只能删除掉一款未知插件,还剩下一款未知插件,怎么也删除不掉。于是换用瑞星卡卡、超级兔子等工具,结果也是一样,无法清除掉;有的流氓清除工具,甚至检测不到这款插件。许多用户也许因此也就算了,并不继续深究追查,但是事实上流氓并未彻底清除干净,还需继续进行下面的步骤。
小提示
由于系统此时已经不再弹出广告网页窗口了,系统右下角托盘区的黄色警告图标也消失了,因此许多用户,包括笔者在内,都认为这只是流氓留下的残骸,对系统没有多少危害。
奇怪的“空白”网页
流氓“残骸”存在的系统,依然可以继续使用,但是会有一个奇怪的现象:将IE主页修改恢复后,每次启动IE,同样又会打开网站“http://asecuremask.com/”。无论将主页改成别的什么网址链接,都是同样的结果。甚至将IE主页设置为“使用空白页面about:blank”,也同样会在打开空白页后不到1秒钟,又转到了流氓网站。
出现设置了空白首页,但却打开某个流氓网页的原因,是由于流氓软件修改劫持了系统中的RES协议所致。下面我们就来看看怎么进行修复,还空白网页一个清白。
揪出空白页中的木马
可以打开windows进程管理器,可以发现有几个未知的进程名:有5个“iesmn.exe”进程和1个“imsman.exe”进程,就是这些进程对刚才的“未知”流氓插件进行了保护,因此无法用360安全卫士进行清除。
结束流氓进程
由于进程是互相守护的,因此只有同时结束这几个进程。才能避免进程死灰复燃。用Windows进程管理器无法同时结束多个进程,可在360安全卫士界面中,选择“高级”→“系统进程状态”功能页。查看勾选当前系统中的所有可疑进程,选择将这6个进程结束掉。才返回刚才的“常用”→“清理恶评软件及系统插件”选项页,扫描后即可彻底清除流氓插件。
删除流氓文件及启动项目
此时,再次打开空白页面about:blank,不会再发生跳转了,但是如果重启系统后,有可能再次出现空白网页不空白的情况。这是由于流氓进程又重新加载运行了。还需删除流氓软件启动项目和文件。
打开注册表编辑器,展开“HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicesExploreRun”项目,在其下可看到两个注册表键值:“user32.dll”和“rare”。流氓插件就是通过这两个键值,以IE浏览器加载运行的,直接将其删除掉。
再打开资源管理器,将“C:Program FilesImageActiveX Access”文件夹及其中的所有流氓插件文件删除。有时会提示无法删除文件,可以安装“Unlockerv1.85”工具,右键点击此文件夹,在弹出菜单中选择“Unlocker”命令。在弹出对话框中,选择操作为“Delete”,点击OK按钮,即可成功删除流氓文件。
修复注册表空白网页项目
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet EXPlorer/AboutURLs”项目,查看其中的“blank”键值数据是否为“res://mshtml.dll/blank.htm”。不是的话,将其恢复为默认键值,或者直接删除掉。另外,以下几个注册表键值数据也需要修改恢复:
[HKEY_LOCAL_MACHINESOFTWAPEMicrosoftInternet ExplorerAboutURLs]
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdodc.dll/navcaacl.htm"
"OfflineInfomation"="res://shdoclc.dll/offcancl.htm"
"Home"=dword:0000010e
"blank"="res://msbtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
小提示
"AboutURLs"是用于定义"About:"协议的,假设我们在其中新建一个注册表键值"zhangli",对应数据为"http://www.baidu.com"。那么就可以直接在E浏览器中输入"About:zhangli",打开"http://www.baidu.com"网页。同样的,流氓软件和木马,可以通过修改"blank"数据,将原来的空白网页"about:blank",指向任意网页。
重启系统后,空白网页终于恢复清白之身了。一般来说,空白网页主要通过流氓进程劫持调用,以及修改注册表相应键值,这两种方式来实现空白网页转向的。由于空白网页转向的方式非常隐蔽巧妙,许多杀毒软件和安全工具都留下了这个死角,不对其进行检查和修复。以后碰到空白网页时,我们把住这两个途径,就再也不必为奇怪的空白网页而心烦!