禁用Scripting Host 防范网页黑手
<P><BR> 来自网络的攻击手段越来越多了,一些恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌</P><P>入在网页HTML超文本标记语言内的Java Applet小应用程序、javaScript脚本语言程序、ActiveX软件部件</P>
<P>交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非</P>
<P>法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。 </P>
<P><BR> 目前来自网页黑手的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏</P>
<P>Windows系统。前者一般会修改IE浏览器的标题栏、默认主页等,关于此方面的文章比较多。下面就来介</P>
<P>绍一些针对破坏Windows系统的网页黑手的防范方法。 </P>
<P> 黑手之一 格式化硬盘 </P>
<P> 这是一种非常危险的网页黑手,它会通过IE执行ActiveX部件并调用Format.com或Deltree.exe将硬盘</P>
<P>格式化或者删除文件夹。在感染此类破坏程序后,会出现一个信息提示框,提示:“当前的页面含有不完</P>
<P>全的ActiveX,可能会对你造成危害,是否执行?yes,no”,如果单击“是”,那么硬盘就会被迅速格式</P>
<P>化,而这一切都是在后台运行的,不易被察觉。 </P>
<P> 防范的方法是:将本机的Format.com或Deltree.exe命令改名字。另外,对于莫名出现的提示问题,</P>
<P>不要轻易回答“是”。可以按下[Ctrl+Alt+Del]组合键在弹出的“关闭程序”窗口中,将不能确认的进</P>
<P>程中止执行。 </P>
<P> 黑手之二 耗尽系统资源 </P>
<P> 这种网页黑手会执行一段Java Script代码并产生一个死循环,以至不断消耗本机系统资源,最后导</P>
<P>致系统死机。它们会出现在一些恶意网站或者邮件的附件中,只要打开附件程序后,屏幕上就会出现无数</P>
<P>个IE窗口,最后只有重新启动计算机。 </P>
<P> 防范的方法是:不要轻易进入不了解的网站,也不要随便打开陌生人发来的E-mail中的附件,比如扩</P>
<P>展名是VBS、HTML、HTM、DOC、EXE的文件。 </P>
<P> 黑手之三 非法读取文件 </P>
<P> 此类黑手会通过对ActiveX、JavaScript和WebBrowser control的调用来达到对本地文件进行读取。</P>
<P>它还可以利用浏览器漏洞实现对本地文件的读取,避免此类攻击可以关闭禁用浏览器的JavaScript功能。 </P>
<P> 黑手之四 获取控制权限 </P>
<P> 此类黑手会利用IE执行Actives时候发生,虽然说IE提供对于“下载已签名的ActiveX控件”进行提示</P>
<P>的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻</P>
<P>击者就会取得对系统的控制权限。如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支: </P>
<P> 解决方法是在注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX </P>
<P>Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 </P>
<P>{6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键</P>
<P>Compatibility,并设定键值为0x00000400即可。 </P>
<P> 对于来自网上的种种攻击,在提高防范意识的同时,还需做好预防工作。 </P>
<P> 1.设定安全级别 </P>
<P> 鉴于很多攻击是通过包含有恶意脚本实现攻击,可以提高IE的级别。在IE中执行“工具/Internet选</P>
<P>项”命令,然后选择“安全”选项卡,选择“Internet”后单击[自定义级别]按钮,在“安全设置”对</P>
<P>话框中,将“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”,另外设定安全级别为“</P>
<P>高”。需要注意的是,如果选择了“禁用”,一些需要使用ActiveX和脚本的网站可能无法正常显示。 </P>
<P> 2.过滤指定网页 </P>
<P> 对于一些包含有恶意代码的网页,可以将其屏蔽,执行“工具/Internet选项”命令,选择内容选项</P>
<P>卡,在“分级审查”中单击[启用]按钮,打开“分级审查”对话框,选择“许可站点”选项卡,输入需</P>
<P>要屏蔽网址,然后单击[从不]按钮,再单击[确定]按钮。 </P>
<P> 3.卸载或升级WSH </P>
<P> 有些利用VBScript编制的病毒、蠕虫病毒,比如 “I LOVE YOU”和“Newlove”,它们都包含了一个</P>
<P>以 VBS为后缀名的附件,打开附件后,用户就会被感染。这些病毒会利用Windows内嵌的 Windows </P>
<P>Scripting Host 即WSH进行启动和运行。也就是说,如果将WSH禁用,隐藏在VB脚本中的病毒就无法被激</P>
<P>活了。 </P>
<P> 在Windows 98中禁用WSH,打开“添加/删除”程序,选择“Windows 设置/附件”,并单击“详细资</P>
<P>料”,取消“Windows Scripting Host”选项,完成后单击[确定]按钮即可。 </P>
<P> 在Windows 2000中禁用WSH的方法是,双击“我的电脑”图标,然后执行“工具/文件夹选项”命令,</P>
<P>选择“文件类型”选项卡,找到“VBS VBScript Script File”选项,并单击[删除]按钮,最后单击[</P>
<P>确定]即可。 </P>
<P> 另外,还可以升级WSH 5.6,IE浏览器可以被恶意脚本修改,就是因为IE 5.5以前版本中的WSH允许攻</P>
<P>击者利用JavaScript中的Getobject函数以及htmlfilr ActiveX对象读取浏览者的注册表,可以在</P>
<P><A href="http://www.microsoft.com">www.microsoft.com</A>下载最新版本的WSH。 </P>
<P> 4.禁用远程注册表服务 </P>
<P> 在Windows 2000/XP中,可以点击“控制面板/管理工具/服务”,用鼠标右键单击“Remote Registry</P>
<P>”,然后在弹出的快捷方式中选择“属性”命令,在“常规”选项卡中单击[停止]按钮,这样可以拦截</P>
<P>部分恶意脚本代码。 </P>
<P> 5.安装防火墙和杀毒软件 </P>
<P> 安装防火墙和杀毒软件可以拦截部分恶意代码程序,比如可以安装瑞星杀毒软件。</P>
页:
[1]