警惕恶意网页修改IE的另外一招

　　沧浪客

　　对于浏览恶意网页导致IE设置被修改的现象，大家已经屡见不鲜了。有IE标题栏被修改的，有IE起始主页被修改的，有IE默认搜索引擎被修改的，有IE右键菜单被修改的，还有浏览网页注册表被禁用的……更有浏览网页后“开始”菜单被修改的，导致“运行”、“关闭系统”等消失，硬盘被隐藏等，如著名的恶意网页“万花谷”就是这样干的。今天我遇到的却不是以上这种情形，到目前为止还没有报刊杂志介绍过，也没有听说哪为朋友遇到过（怎么我就这么倒霉，偏偏让我遇到了），但是对此却不可不防。

　　那天浏览过某个网页后，发现IE的“工具”菜单中被不良网站加入了指向该网站链接，如图所示：

　　同时在IE工具栏上也出现了带有该网站名字的按钮，如图所示。点击该按钮，自动连接到该网站。看来又是修改注册表达到目的的。

　　我们知道，IE工具按钮的下拉菜单里的内容在注册表：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Extensions下。这个文件夹里有几项由字母和数字组成的键值，例如：c95fe080-8f5d-11d2-a20b-00aa003c157a就是下拉菜单中“显示相关站点”选项。如果下拉菜单的内容被不良网站更改了，在这里会找到相应的键值，只需逐一点击………………这类的键值，若右边显示出被不良网站添加的内容，就删除之！然后重新启动电脑，问题解决啦。

　　看到这里，大家可能觉得这样的恶意修改虽然很讨厌，但并不是很可怕。如果你是这么想的，那你就危险了。我们假设该网页的主要代码不变（还是那个恶意网页），但是这回它的目标变为工具栏上的网络蚂蚁（一般说来，网友们的机器中都装有它的，其实，只要有三分之一的网友装有它就危险了），恶意网页将网络蚂蚁的图标不变，将按钮对应的执行程序给改变了，比方说将目标指向该恶意网页的下载中的某个恶意程序，如硬盘终结者、江民炸弹之类的程序。这样当你打开IE上网下载软件时，自然会想到用网络蚂蚁下载，如果是直接点击IE工具栏上的网络蚂蚁按钮，就会链接到那个恶意程序——硬盘终结者或江民炸弹等，刹那间你的硬盘数据就都没有了，而且也无法从硬盘引导系统了。当然了，如果你的网速如果不是很快的话，如果你够机警发觉点击按钮后网络蚂蚁没有运行，赶紧点击“停止”或直接断线就不会有什么事了。但就怕你不够警惕或点击网络蚂蚁按钮后又去忙别的事了，那你就真的惨了。

　　预防办法

　　1、不去自己不熟悉网站，不要随便点击论坛中别人贴出的网址。

　　2、对于Windows98用户，请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”删掉；对于WindowsMe用户，请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”删掉。请放心，删除这个组件不会影响到你正常浏览网页的。

　　3、对于所有用户，都建议安装NortonAntiVirus2002杀毒软件，此软件已经把这类恶意修改注册表的代码定义为Trojan.Offensive，并增加了tBlocking功能，它会对此类恶作剧进行监控并予以拦截。另外，下载安装超级兔子魔法设置软件，如果出现问题，可以用它来恢复。

　　4、既然这类网页是通过修改注册表来破坏我们的系统，那么我们可以事先把注册表加锁：禁止修改注册表，这样就可以达到预防的目的。不过，自己要使用注册表编辑器该怎么办呢？因此我们还要在此前事先准备一把“钥匙”，以便打开这把“锁”！

　　加锁方法如下：

　　1、运行注册表编辑器regedit.exe；

　　2、展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一个键值名为DisableRegistryTools的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑。

　　解锁方法如下：

　　用记事本编辑一个任意名字的.reg文件，比如unlock.reg，内容如下：

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]DisableRegistryTools=dword:00000000

　　存盘，你就有了一把解锁的钥匙了！如果要使用注册表编辑器，则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”写为WindowsRegistryEditor Version 5.00。

　　6、对Win2000/XP用户，还可以通过在Win2000/XP下把服务里面的远程注册表操作服务“RemoteRegistryService”禁用，来对付该类网页。具体方法是：点击“控制面板”→“管理工具”→“服务”中右键单击RemoteRegistryService(允许远程注册表操作)”，在弹出选单中选择“属性”，打开属性对话框，在“General”内将“Startuptype”设为“Disabled”，将这一项禁用即可。

　　7、在IE窗口中点击“工具→Internet选项，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件选择“禁用”即可。

　　8、卸载或升级WSH

　　WSH是Windows tingHost的缩写，Windows9x系统把它设为默认的安装项。据微软中文官方网站介绍：WSH支持的ActiveX脚本体系结构“可让用户能使用强大的诸如VisualBasict和t之类的脚本语言，同时也支持MS-DOS命令脚本”，并且“能使脚本直接在Windows桌面或命令控制台上执行”。由此可知，利用WSH结合脚本程序可以写出极具杀伤力的病毒来。因此建议经常上网的普通计算机用户可以考虑卸载WSH。

　　卸载方法：进入“控制面板”，选择“添加/删除程序”，切换到“Windows安装程序”，选择“附件”，再选择“详细资料”中的WindowstingHost，最后点击“确定”即可卸载。

　　此外，您还有一个更好的选择，升级到WSH5.6。IE浏览器可以被恶意脚本修改，原因就是IE5.5以及以前版本中的WSH允许攻击者利用t中的Gett函数以及htmlfilrActivex对象读取浏览者的注册表。微软最新的MicrosoftWindows t 5.6已经修正了这个问题。

　　WSH 5.6 For Win9x/NT官方下载

　　WSH 5.6 For Win2000官方下载

　　对于恶意网页的恶意修改，防胜于治！来源：太平洋电脑网