恶意代码与网络安全

浏览网页真的会被感染病毒吗？是的，这并非空谈。大约半年前，一种恶意代码已经开始利用网页进行攻击，其隐蔽性极高，以至于现有的病毒防火墙难以有效防范。

曾经有一个名为Gohip的网站，它可以通过修改浏览器默认来实现对用户的引导。但这仅仅是温和的示例。有一个名为“万花谷”的网站，其影响力更为恶劣。进入该网站的用户会发现，他们的电脑突然变得异常缓慢，IE新窗口如雨后春笋般涌现。尝试关闭时，系统可能无响应，甚至出现蓝屏和死机。重启后，屏幕上会出现提示，声称用户已中“万花病毒”，并要求与特定QQ号联系。桌面可能已变得空空如也，基本的系统功能也可能受到严重影响。

如果你不幸遭遇这种情况，不必过于担心。有几种解决方案可以尝试：

1. 从备份中恢复：在A盘启动，进入DOS环境，找到C:目录中的sysbckup目录，这里隐藏了最近的五个注册表备份文件。选择其中之一，比如rb004.cab，将其解压出来的四个文件复制到C:下以恢复原始设置。

2. 在安全模式下操作：启动电脑并进入安全模式，运行Msconfig，在“启动”标签中找到并取消HA.hta的勾选。

3. 使用专业软件恢复：可以利用“超级兔子”或“Windows优化大师”等系统软件进行恢复，这些工具能够调整Windows系统的权限设置。

预防这种攻击的关键在于提高警惕：

1. 避免访问不了解的站点。

2. 在IE设置中禁用ActiveX插件、控件和Java脚本，以减少风险。如果你使用的是Win 2000，还可以禁用远程注册表操作服务“Remote Registry Service”。

3. 由于“万花谷”等网站通过修改注册表来破坏系统，因此可以考虑对注册表加锁，以阻止非法修改。

需要注意的是，当访问某些网站时，它们可能会自动更改浏览器默认页。在更改Windows设置后，一定要同时修改浏览器的默认页，以避免再次陷入类似的困境。

一、亲身体验与介绍

当我亲自体验了这种木马网页的入侵过程，我发现鼠标在此时会变成沙漏形状，表明有程序正在运行。通过打开任务管理器，我发现了一个名为wincfg．exe的进程。无论是Windows 2000还是Windows 98系统，这个进程对应的文件都在特定的系统文件夹下。

当我打开注册表编辑器regedit，在相应的注册项下也发现了wincfg．exe的存在。原来，这个木马程序将自己的启动项设置在了注册表的开机启动项中，这意味着每次开机时，它都会自动运行。尽管这个木马服务端程序看似很小（只有6.5K），但它的功能却相当强大，包括ICQ通报、远程删除服务端功能等。如果电脑中了这个木马，那么木马控制端完全可以通过它在你的电脑上建立一个隐藏的FTP服务器，让他人轻松进入你的电脑。

那么，这个木马是如何下载到浏览者的计算机上的呢？即使禁用了ActiveX相关选项，浏览该网页时，wincfg．exe仍然会下载并运行。通过查看网页源代码，我发现了可疑的语句，其中包括一个指向wincfg．eml文件的语句。这个eml文件实际上是邮件格式，网页中引用它非常可疑。进一步发现，只要打开这个eml文件，wincfg．exe进程就会启动。

二、问题的揭示与真相的

通过深入研究，我发现wincfg．eml文件是关键。这个文件中包含了定义文件名称（在这里为wincfg．exe）和代码格式为base64的内容。当使用IE浏览器访问某个特定并尝试下载wincfg．eml文件时，wincfg．exe进程会再次启动。这意味着问题就出在这个文件上。当我尝试下载这个文件时，wincfg．exe总是被执行，真是难以根除。

通过分析wincfg．eml文件的内容，我发现其中定义了文件类型为audio/x-wav，并附带了base64编码的内容。这个以base64方式编码的文件，会在浏览网页时编译成wincfg．exe文件并运行，这就是浏览该网页会中木马的原因。其实，这是网页制作者利用了微软IE浏览器中存在的MIME漏洞进行攻击的一个案例。所谓的浏览网页会中木马，只是网页制作者利用了微软的漏洞进行的攻击行为。

三. 总结与启示：揭示真相的重要性与防范措施的必要性

通过这个经历，我深刻认识到网络安全的重要性以及防范网络攻击的必要措施。木马程序的制作者利用微软IE浏览器中的漏洞进行攻击的行为令人震惊。我们必须时刻保持警惕并采取必要的措施来保护我们的计算机安全。建议大家在上网时打开的KVW3000病毒防火墙以预防此类恶意网页的侵害。如果有关于网络安全方面的稿件或经验分享，欢迎发送到我们的（xiongjie@cpcw），我们将尽快把实用性强的文章刊登出来与大家共享。让我们共同努力维护网络安全环境！曾经，攻击者绞尽脑汁地尝试欺骗目标执行修改过的木马等后门程序，如今看来，这些手段似乎显得过于繁琐和落后。当下，利用微软的一个大漏洞进行攻击已经成为一种简便易行的策略。更令人震惊的是，这一方法的攻击目标，仅需要使用的是IE5.0及以上版本的浏览器。那么，使用IE浏览器的用户数量有多少呢？看看周围的朋友，你就会得到答案。

四、解决方案

你需要打开“运行”窗口，输入“regedit”进入注册表。然后展开注册表到“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”下，删除名为wincfg．exe的文件。

接着，在系统目录下找到并删除wincfg．exe文件。完成以上两步后，重新启动你的机器，问题应该就能得到解决。

五、预防措施

对于IE和Outlook的用户，有以下预防措施建议：

1. 在IE的“工具”选项中，选择“Inter选项”，然后进入“安全”选项，将“Inter区域的安全级别”设置为“高”。

2. 在弹出的窗口中，禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”、“活动脚本”和“文件下载”功能。

3. 禁用所有的ActiveX控制和插件。

4. 将文件资源管理器设置成“始终显示扩展名”，这样可以防止恶意文件伪装成其他文件类型。

5. 禁止以WEB方式使用资源管理器。

6. 对于下载的文件，建议设置为“下载后确认打开”，避免自动执行未知来源的文件。

对于陌生人的链接或URL，不要轻易点击。如果你确实想查看其内容，可以通过下载工具将页面下载下来，然后用记事本等文本编辑工具打开查看代码。微软公司已经为这个漏洞提供了补丁，建议到相关网站下载并安装。狼蚁网站SEO优化列出的URL就是一个很好的资源，赶快去看看吧，保护你的网络安全！