告訴你惡意代碼是什么網絡安全 Web安全與網絡安全的區別 瀏覽網頁會感染“病毒”，瀏覽網頁會感染木馬，你相信嗎？大約半年前就有人使用這種技術來進行攻擊了！惡意代碼具有比較大的隱蔽性，到目前為止，還沒有什么病毒防火墻能很好地阻止惡意代碼的攻擊，大多數甚至根本就不能發現。

　　一、切身體驗

　　在打開多種病毒防火墻的情況下進入該網站后都沒有報警，可鼠標馬上變慢，當離開該網站時，突然彈開了無數個IE新窗口，馬上用“Alt+F4”關掉所有窗口，可緊接著Win 98報錯，按任何鍵都沒有反應，按動“Ctrl+Alt+Del”關閉沒有反應的程序，但是馬上出現藍屏、死機。重啟機器，出現：“歡迎你來萬花谷，你中了‘萬花病毒'請與QQ：4040465聯系”的提示，按“確定”按鈕，可以進入Win 98，不過桌面上已空空蕩蕩，點擊“開始”菜單，發現“關機”、“運行”兩項都消失了，再次重啟機器依然如此。

　　二、解決辦法

　　如果你不小心中招，可以用下面三個辦法來解決：

　　方法一：

　　1.A盤啟動，在DOS環境下找到C:目錄(注意：sysbckup目錄是隱藏屬性，應先用attrib命令去掉其隱藏屬性)，可以找rb000.cab～rb004.cab這五個文件，這是最近的五個注冊表備份文件，選rb004.cab拷貝出來。

　　2.在另外的機子上用ZIP解壓rb004.cab得到四個文件，把該四個文件復制到C:下覆蓋原文件。

　　3.安全模式下啟動電腦，運行Msconfig，在“啟動”標簽中找到HA.hta，把多選框前面的“√”去掉。

　　4.重啟動機器一切OK。

　　方法二：在DOS下用scanreg/restore注冊表，然后再刪除啟動組中的HA.hta即可。

　　方法三：利用“超級兔子”系統軟件或者“Windows優化大師”恢復。

　　“超級兔子”可以恢復對Windows系統的權限設置。打開快捷欄上的IE圖標(因為系統鎖死了“資源管理器”，也可運行“查找”功能)。

　　在IE地址欄輸入需要進入的目標盤，如“E:u8221，找到超級兔子，打開“ms98.exe”。首先在工具選項里，點擊“高級隱藏”，在隱藏磁盤欄里去掉“C:”前面的鉤；然后點擊“桌面與圖標”，在“顯示圖標在桌面上”選項前加鉤。保存后，再點擊“安全與多用戶”，去掉在“啟動時要顯示的標題”和“啟動時要顯示的信息”欄里的文字。在工具選項里點擊“IE 4/5”，“在IE標題”欄里去掉文字，保存后OK！

　　特別要說明的是，當打開該頁面時，它自動更改了瀏覽器的默認頁，所以改回Windows設置后一定要修改瀏覽器的默認頁，不然下次上網又會進入萬花頁面。

　　三、預防辦法：

　　1.不要輕易去一些自己并不了解的站點。

　　2.在IE設置中將ActiveX插件和控件、Java腳本等全部禁止。方法是：在IE窗口中點擊“工具→Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及Java相關全部選擇“禁用”即可。在Win 2000下把服務里面的遠程注冊表操作服務“Remote Registry Service”禁用就可以了。方法是點擊“管理工具→服務→Remote Registry Service(允許遠程注冊表操作)”，將這一項禁用。

　　3. 既然“萬花谷”是通過修改注冊表來破壞我們的系統，那么我們可以把注冊表加鎖，禁止修改注冊表，這樣就可以達到預防的目的。

　　加鎖方法如下：

　　(1)運行注冊表編輯器regedit.exe；

　　(2)到“HKEY＿CURRENT＿USER”下，新建一個名為“DisableRegistryTools”的DWORD值，并將其值改為“1”，即可禁止使用注冊表編輯器regedit.exe。

　　解鎖方法如下：

　　用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內容如下：

　　REGEDIT4

　　[HKEY＿CURRENT＿USER] “DisableRegistryTools”=dword:00000000

　　存盤退出。如果要使用注冊表編輯器，則雙擊“unlock.reg”即可。要注意的是，在“REGEDIT4”后面一定要空一行，并且“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則將前功盡棄！

　　4. 對于所有用戶，可以通過升級到最新的KVW3000病毒庫，上網時打開KVW3000病毒防火墻來預防該類惡意網頁的侵害(注意：必須是6月28日以后的病毒庫方可)。

　　編者按：上期我們介紹的是“萬花谷”病毒攻防戰，其實互聯網上類似的網站還很多，只要有帶新的病毒的網站出現，我們就有義務告知大家。如果大家有網絡安全方面的稿件，請發xiongjie@cpcw．com信箱，我們將以最快速度把實用性強的文章刊登出來。

　　一、切身體驗

　　在進入木馬網頁的過程中，鼠標奇怪地變成沙漏形狀，看來的確是有程序在運行。打開計算機的任務管理器，可以看到多了一個wincfg．exe的進程。進程對應的文件在Win2000下是c＼winnt＼wincfg．exe，在Win98下是c＼windows＼wincfg．exe。

　　運行注冊表編輯器regedit，在“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVerion＼Run”下發現wincfg．exe，原來它將自己登記在注冊表開機啟動項中，這樣每次開機都會自動運行wincfg．exe。(如圖)

　　注：給你下套的人可以自己設定這個木馬的啟動鍵名和注冊文件名，注冊文件名也就是運行時進程里的名稱，因此大家看到的結果可能不相同。

　　運行金山毒霸，報告發現“backdoor bnlite”，哦，原來是木馬bnlite服務端改名為wincfg．exe。別看這個木馬服務端程序不大(僅有6．5K)，但它的功能可不少：具有ICQ通報功能、遠程刪除服務端功能、設定端口和運行名稱、上傳下載……如果你中了該木馬，那么木馬控制端完全可以通過這個木馬在你的電腦上建立一個隱藏的FTP服務器，別人就有最大權限進入你的電腦了！這樣控制你的電腦將非常容易！

　　木馬是如何下載到瀏覽了該主頁的計算機中、并運行起來的呢？在IE中點擊“工具”→“Internet選項”→“安全”→“自定義安全級別”，將ActiveX相關選項全部都禁用，再瀏覽該網頁，wincfg．exe還是下載并運行了！看來這和ActiveX無關。在“自定義安全級別”中有關文件下載的選項都禁止，再瀏覽該網頁，這回wincfg．exe不再下載了。

　　二、問題揭示

　　我們來看看wincfg．exe是如何下載到瀏覽者計算機上的，在該網頁上點擊鼠標右鍵，選擇其中的“查看源代碼”，在網頁代碼最后面發現了可疑的語句：

　　＜iframe src=wincfg．eml width=1 height=1＞

　　注意到其中的“wincfg．eml”了嗎？大家都知道eml為郵件格式，網頁中要eml文件干什么呢？非常可疑！在IE瀏覽器中輸入：http//shirf．51．net/wincfg．eml，再看看任務管理器，wincfg．exe進程又回來了，原來問題就在這個文件上！既然問題在這文件上，當然得想辦法得到這個文件看看了。用螞蟻把文件下載下來，鼠標剛點上去，wincfg．exe又被執行了，真是陰魂不散啊！

　　打開wincfg．eml，發現其關鍵內容如下：

　　Content-Type audio/x-wav name=“wincfg．exe” ★這一句定義了文件名稱，在此為wincfg．exe

　　Content-Transfer-Encoding base64 ★定義了代碼格式為base64

　　Content-ID ＜THE-CID＞ ★從這里開始才是代碼的起步

　　TVqQAAMAAAAEAAAA//8AAL……以下刪掉一大節　 ★這些是wincfg．exe經過base64編碼的內容

　　上面加了“★”的部分為注釋內容。這個以base64方式編碼的文件，會在你瀏覽網頁時編譯成wincfg．exe文件并運行，這就是瀏覽該網頁會中木馬的原因！至此我就明白了，其實，所謂的瀏覽網頁會中木馬，只是網頁制作者利用了微軟IE瀏覽器中存在的漏洞進行攻擊的一個案例而已，說白了就是利用了錯誤的MIMEMultipurpose Internet Mail Extentions，多用途的網際郵件擴充協議　頭進行攻擊。

　　三、真相大白

　　現在，再回過頭來看看我所中的木馬是怎么回事。其實，wincfg．exe這個文件在這里相當于郵件的附件，從我們所列的代碼中可以看到，攻擊者把wincfg．exe的類型定義為audio/x-wav，由于郵件的類型為audio/x-wav時，IE存在的這個錯誤的MIME頭漏洞會將附件認為是音頻文件，并自動嘗試打開，結果導致郵件文件wincfg．eml中的附件wincfg．exe(木馬)被執行。在Win2000下，即使是用鼠標點擊下載下來的wincfg．eml，或是拷貝粘貼該文件，都會導致wincfg．eml中的附件被運行，微軟的這個漏洞可真是害人不淺啊。現在看來，原先那些攻擊者想方設法欺騙被攻擊目標執行修改過的木馬等后門程序，是多么落后的手段啊！如今，利用微軟“創造”的這個大漏洞來進行攻擊，是多么簡單、多么容易啊！唯一的條件就是被攻擊目標使用IE5．0及以上版本中的一種，使用IE瀏覽器的用戶到底有多少呢？看看你身邊的朋友就知道答案了！

　　四、解決辦法

　　1　點擊“開始”→“運行”，在彈出的對話框中輸入“regedit”，回車。然后展開注冊表到“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”下刪除wincfg．exe；

　　2　到你的計算機的系統目錄下，刪除其中的wincfg．exe文件；

　　3　重新啟動機器，就一切OK了！

　　五、預防方法

　　1．IE和Outlook的用戶。

　　1　在IE的“工具→Internet選項→安全→Internet區域的安全級別”，把安全極別由“中”改為“高”。

　　2　點擊“自定義級別”按鈕，在彈出的窗口中，禁用“對標記為可安全執行腳本的ActiveX控件執行腳本”、“活動腳本”和“文件下載”功能。

　　3　禁用所有的ActiveX控制和插件。

　　4　將資源管理器設置成“始終顯示擴展名”。

　　5　禁止以WEB方式使用資源管理器。

　　6　取消“下載后確認打開”這種擴展名屬性設置。

　　2．不要受陌生人的誘惑打開別人給你的URL，如果確實想看，可以通過一些下載工具把頁面下載下來，然后用記事本等一些文本編輯工具打開查看代碼。

　　3．微軟公司為該漏洞提供了一個補丁，趕快到下面所列出的URL去看看吧!