预防网页中的隐形杀.txt

BBS的精华之处

发信人: zanwilson (flyingeagle), 信区: Windows 
标  题: 预防网页中的隐形杀 
发信站: 哈工大紫丁香 (2001年11月09日19:43:30 星期五), 转信 
  
随着计算机及网络应用的扩展，电脑信息安全所面临的危险和已造成的损失也在成倍地 
增长，特别是各种黑客的增多，一些个人用户也时常遭到不同手段的攻击，这不得不引 
起我们的重视。 
对于个人用户来说，除了病毒和木马，网页中的隐形代码也开始严重地威胁着我们的安 
全，但大多数人却缺乏自我保护意识，对隐形代码的危害认识不够，甚至在自己不知情 
的情况下被别人窃取了重要资料。因为隐形代码具有比较大的隐蔽性，到目前为止，还 
没有什么病毒防火墙能很好地阻止隐形代码的攻击，大多数甚至根本就不能发现。所以 
我们更应该高度警惕网页代码中的隐形杀手。一般来说网页代码中的“隐形杀手”大致 
分为以下几类： 
隐形杀手1 占用CPU 
通过不断地消耗本机的系统资源，最终导致CPU占用率高达100%，使计算机不能再处理其 
他用户的进程。 
“隐形杀手1”代码的典型恶作剧是通过JavaScript产生一个死循环。这类代码可以是在 
有恶意的网站中出现，也可以以邮件附件的形式发给你。现在大多数的邮件客户端程序 
都可以自动调用浏览器来打开HTM/HTML类型的文件。这样只要你一打开附件，屏幕上就 
会出现无数个新开的浏览器窗口。最后让你不得不重新启动计算机。 
避恶方法 对于这类问题，只能是不要随便打开陌生人寄来的邮件的附件，特别是扩展名 
是.vbs、.htm、.doc、.exe的附件。 
隐形杀手2 非法读取本地文件 
这类代码典型的作法是在网页中通过对Activex、JavaScript和WebBrowser control的调 
用来读本地文件。 
“隐形杀手2”的代码较之“隐形杀手1”的特点就是表现方式较隐蔽，一般的人不容易 
发现隐形代码正在读取自己硬盘上的文件。“隐形杀手2”还能利用浏览器自身漏洞来实 
现其杀招，如IE5.0的IFrame漏洞。很简单的几行代码就可以读取你本地硬盘上的任何I 
E可以打开的文件。 
避恶方法 可以通过关闭JavaScript并随时注意微软的安全补丁来解决。 
隐形杀手3 Web欺骗 
攻击者通过先攻入负责目标机域名解析的DNS服务器，然后把DNS-IP地址复位到一台他已 
经拿下超级用户权限的主机。 
这类攻击目前在国内很少出现，但如果成功的话危害却非常大。而且可能会损失惨重。 
其攻击方法是：在他已经拿下超级用户权限的那台主机上伪造一个和目标机完全一样的 
环境，来诱骗你交出你的用户名和密码。比如说我们的邮件甚至网上的银行账号和密码 
。因为你面对的是一个和昨天一样的环境，在你熟练的敲入用户名和密码的时候。根本 
没有想到不是真正的主机。 
避恶方法 上网时，最好关掉浏览器的JavaScript，使攻击者不能隐藏攻击的迹象，只有 
当访问熟悉的网站时才打开它，虽然这会减少浏览器的功能，但我想这样做还是值得的 
。还有就是不要从自己不熟悉的网站上链接到其他网站，特别是链接那些需要输入个人 
账户名和密码的网站。 
隐形杀手4 控制用户机 
目前这类问题主要集中在IE对Actives的使用上。 
我们现在可以看一看自己IE的安全设置，对于“下载已签名的ActiveX控件”，现在的选 
项是“提示”。但你可能不知道，IE仍然有特权在无需提示的情况下下载和执行程序。 
这是一个严重的安全问题，我们可能在不知情的情况下被别人完全控制。 
避恶方法 在注册表HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Internet Explorer\Act 
iveX Compatiblity”下为“Active Setup controls”创建一个基于CLSID的新建{6E44 
9683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值：Compatibilit 
y Flags 0x00000400。 
隐形杀手5 非法格式化本地硬盘 
这类代码的危害较大。只要你浏览了它的网页，你的硬盘就会被格式化。 
这并不是耸人听闻，其实IE可以通过执行ActiveX而使硬盘被格式化并不是什么新漏洞， 
早在去年就有国外黑客发现这一问题，并公布了源代码，只是当时公布的漏洞源代码是 
对西班牙版的Windows，如果直接Copy下来的话对于中文版的Windows并没有什么用。但 
最近已经在国内的个别个人主页里发现了对中文版Windows的格式化本地硬盘的代码。你 
如果浏览含有这类代码的网页，浏览器只会出一个警告说：“当前的页面含有不完全的 
ActiveX，可能会对你造成危害”，问你是否执行。如果你选择“是”的话，你的本机硬 
盘就会被快速格式化，而且因为格式化时窗口是最小化的，你可能根本就没注意，等发 
现已悔之晚矣。 
避恶方法 对于在浏览网页时出现的类似提示，除非你知道自己是在做什么，否则不要随 
便回答“是”。而且上述提示信息还可以被修改，如改成“Windows正在删除本机的临时 
文件，问你是否继续”，所以千万要注意！另：把本机的format.com、deltree.exe等危 
险命令改名也是一个办法。因为我们在Windows中要真正用到这些DOS命令的情况并不是 
很多，而很多宏病毒或危险代码就是直接调用这些DOS命令，如有名的国产宏病毒“七月 

杀手”，就是在Autoexec.bat中加入了deltree c:\ /y。 
-- 
路漫漫其修远兮，吾将上下而求索。