当前位置：亲亲女性网>职场>传播病毒的恶意网页工作原理

传播病毒的恶意网页工作原理

时间：2023-11-27 21:09:45 职场我要投稿

　　传播病毒的恶意网页工作原理1

　　其实我们大家都有过被网页病毒侵犯的经历，比如某次网上漫游之后，发觉IE浏览器的主页被改成了一个恶意网站，而且浏览器默认搜索引擎也被改为该恶意网站的搜索引擎，“导航者”被恶意网页病毒侵袭了。

　　从网上下载了很多病毒专杀工具，检查结果都提示“您的注册表已经被修改”。按下“修复”键，将IE设置修复如初。不想再次启动计算机后发现IE主页及搜索引擎又变回该恶意网站。难道是感染了什么恶性病毒?

　　分析一下：既然每次重新启动计算机恶意网页病毒出现，问题肯定和启动有关了。运行“Msconfig”程序查看启动项，里面基本上都是系统启动时需要的系统文件，好像没什么。突然有一项引起我的注意，项目名为“System”，项目值为“regedit /s c:/system.reg”，连忙回到C盘根目录下找到“System.reg”，用记事本打开它，内容如下：

　　就是它!伪装成系统文件，在“Msconfig”的启动项中将“System.reg”前的“√”去掉(比较彻底的做法是进入注册表，把“HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的'“System”项删除)，将C盘根目录下的“System.reg”删除。

　　至此我们的问题就得到了解决了，重新启动计算机后“导航者”设置不再被篡改。

　　经验总结：

　　1. 要常备反病毒软件及清除恶意网页病毒工具;

　　2. 一旦被这类“驱之不散”的恶意网页病毒感染，用“Msconfig”工具(Windows 2000用户可将Windows 98的System目录中“Msconfig.exe”文件拷贝到Windows 2000的System32目录中即可使用)查看系统启动时有无异常项目;

　　3. 查找硬盘有无创建时间为误入这些恶意网站时间的文件，特别是C盘根目录、Program Files目录及操作系统目录下。

　　传播病毒的恶意网页工作原理2

　　网页恶意代码的十一大危害及其解决方案

　　（一）如何在注册表被锁定的情况下修复注册表

　　注册表被锁定这一招是比较恶毒的，它使普遍用户即使会简单修改注册表使其恢复的条件下，困难又多了一层。症状是在开始菜单中点击“运行”，在运行框中输入regedit命令时，注册表不能够使用，并发现系统提示你没有权限运行该程序，然后让你联系系统管理员。

　　这是由于注册表编辑器：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“0”即可恢复注册表的使用。

　　解决办法:

　　（1）可以自己动手制作一个解除注册表锁定的工具，就是用记事本编辑一个任意名字的reg文件，比如recover.reg，内容如下：

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

　　"DisableRegistryTools"=dword:00000000

　　要特别注意的是：如果你用这个方法制作解除注册表锁定的工具，一定要严格按照上面的书写格式进行，不能遗漏更不能修改（其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可）；完成上述工作后，点击记事本的文件菜单中的“另存为”项，文件名可以随意，但文件扩展名必须为.reg（切记）,然后点击“保存”。这样一个注册表解锁工具就制作完成了，之后你只须双击生成的工具图标，其会提示你是否将这个信息添加进注册表，你要点击“是”，随后系统提示信息已成功输入注册表，再点击“确定”即可将注册表解锁了。

　　(2)也可以直接下载下面这个解锁工具，下载完成运行后可直接解锁注册表编辑器：

　　http://it.rising.com.cn/antivirus/net_virus/spiteful/enable.reg

　　（二）篡改IE的默认页

　　有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改了。具体说就是以下注册表项被修改：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

　　“Default_Page_URL”这个子键的键值即起始页的默认页。

　　解决办法：

　　运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就行了，或者将其设置为IE的默认值。

　　（三）修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改

　　主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：

　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

　　"Settings"=dword:1

　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

　　"Links"=dword:1

　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

　　"SecAddSites"=dword:1

　　解决办法：

　　将上面这些DWORD值改为“0”即可恢复功能。

　　（四）IE的默认首页灰色按扭不可选

　　这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

　　下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改后为“1”（即为灰色不可选状态）。

　　解决办法：

　　将“homepage”的键值改为“0”即可。

　　（五）IE标题栏被修改

　　在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值Window Title下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。

　　具体说来受到更改的注册表项目为：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

　　解决办法：

　　①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

　　②展开注册表到

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等你喜欢的名字；

　　③同理，展开注册表到

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　然后按②中所述方法处理。

　　④退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题被解决了！

　　（六）IE右键菜单被修改

　　受到修改的注册表项目为：

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

　　下被新建了网页的广告信息，并由此在IE右键菜单中出现！

　　解决办法：

　　打开注册标编辑器，找到

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

　　删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉，这两个可是“正常”的，除非你不想在IE的右键菜单中见到它们。

　　（七）IE默认搜索引擎被修改

　　在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

　　解决办法：

　　运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。

　　（八）系统启动时弹出对话框

　　受到更改的注册表项目为：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！

　　解决办法：

　　打开注册表编辑器，找到

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。

　　（九）IE默认连接首页被修改

　　IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。

　　受到更改的注册表项目为：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

　　通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com ”，即便是出于给自己的主页做广告的'目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。

　　解决办法：

　　①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

　　②展开注册表到

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击，将Start Page的键值改为“about:blank”即可；

　　③同理，展开注册表到

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。

　　④退出注册表编辑器，重新启动计算机，一切OK了！

　　特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

　　解决办法：运行注册表编辑器regedit.exe，然后依次展开

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

　　主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页。

　　（十）IE中鼠标右键失效

　　浏览网页后在IE中鼠标右键失效，点击右键没有任何反应！

　　有的网络流氓为了达到其恶意宣传的目的，将你的右键弹出的功能菜单进行了修改，并且加入了一些乱七八糟的东西，甚至为了禁止你下载，将IE窗口中单击右键的功能都屏蔽掉。

　　解决办法：

　　1.右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼MenuExt，删除相关的广告条文。

　　2.右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Restrictions，将其DWORD值"NoBrowserContextMenu"的值改为0。

　　（十一）查看“源文件”菜单被禁用

　　在IE窗口中点击“查看”→“源文件”，发现“源文件”菜单已经被禁用。

　　恶意网页修改了注册表，具体的位置为：

　　在注册表

　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

　　下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：

　　“NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。

　　在注册表

　　HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

　　下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。

　　通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。

　　解决办法：

　　将以下内容另存为后缀名为.reg的注册表文件，比如说unlock.reg，双击unlock.reg导入注册表，不用重启电脑，重新运行IE就会发现IE的功能恢复正常了。

　　REGEDIT4

　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

　　“NoViewSource”=dword:00000000

　　"NoBrowserContextMenu"=dword:00000000

　　HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

　　“NoViewSource”=dword:00000000

　　“NoBrowserContextMenu”=dword:00000000

　　传播病毒的恶意网页工作原理3

　　局域网病毒入侵原理及防范方法

　　计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染，使整个公司网络瘫痪无法正常运做，其损失是无法估计的。

　　一、局域网病毒入侵原理及现象

　　一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。

　　（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；

　　（2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；

　　（3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中

　　（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说，由于其并非真的"无盘"（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，因此无盘工作站也是病毒孽生的温床。

　　由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。

　　（1）感染速度快

　　在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

　　（2）扩散面广

　　由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。

　　（3）传播的形式复杂多样

　　计算机病毒在网络上一般是通过"工作站"到"服务器"到"工作站"的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。

　　（4）难于彻底清除e.

　　单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。

　　（5）破坏性大

　　网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。

　　（6）可激发性

　　网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。

　　（7）潜在性

　　网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85％的网络在30天内会被再次感染。

　　例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含"DOC"和"eml"文件的目录中，当用户通过Word、写字板、Outlook打开"DOC"和"eml"文档时，这些应用程序将执行 Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。

　　二、局域网病毒防范方法

　　以"尼姆达"病毒为例，个人用户感染该病毒后，使用单机版杀毒软件即可清除；然而企业的网络中，一台机器一旦感染"尼姆达"，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。

　　计算机病毒形式及传播途径日趋多样化，因此，大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单，而需要建立多层次的'、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护对病毒的防护策略。

　　一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的，应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。

　　（1）增加安全意识

　　杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传播。

　　（2）小心邮件

　　随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90％的病毒通过邮件进行传播。

　　尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。例如，如果所有的Windows用户都关闭了VB脚本功能，像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。

　　（3）挑选网络版杀毒软件

　　选择一个功力高深的网络版病毒"杀手"就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。

【传播病毒的恶意网页工作原理】相关文章：

智能体重秤原理详解智能体重秤的工作原理10-21