浅谈木马技术与网站恶意代码防护

浅谈木马技术与网站恶意代码防护.doc 浅谈木马技术与网站恶意代码防护 【摘要】网页木马是利用网页来进行破坏的病毒，它包含在恶意网页之中，使用脚本语言编写恶意代码，依靠系统的漏洞，如IE浏览器存在的漏洞来实现病毒的传播。当用户登陆了包含网页病毒的恶意网站时，网页木马便被激活，受影响的系统一旦感染网页病毒，就会遭到破坏，轻则浏览器首页被修改，标题改变，系统自动弹出广告，重则被装上木马，感染病毒，使用户无法进行正常的使用。甚至会引起系统崩溃，敏感信息丢失等严重后果。由于脚本语言易于掌握，所以网页木马非常容易编写和修改，造成很难提取特征值，增加了杀毒软件查杀以及用户预防的困难。本文重点对网站恶意代码传播方式进行分析，并重点介绍了网站恶意代码传播防护的保护与防范。 【关键词】木马;网站;防范 一、特洛伊木马 这种病毒是根据古希腊神话中的木马来命名的，它从表面上看没有什么，但实际却隐含着恶意程序。一部分木马会通过覆盖系统中已存在的文件的方式存隐藏于系统之中，它还可以携带恶意代码，还有一些木马通过一个软件的身份出现(例如:一个可以下载的游戏)，但是实际上它是一个窃取密码的工具。这种病毒通常不易被用户发现，因为它通常以一个正常的程序的身份在系统中运行。特洛伊木马可以分成三种模式: (1)一般隐藏在正常的程序应用中，携带执行独立的恶意操作 (2)一般隐藏在正常的程序应用中，但会更改正常的程序进行恶意操作 (3)完全覆盖了正常的程序应用，并执行恶意操作 大部分木马都能使木马控制者登录上被感染的计算机上，并且拥有绝大多数管理员级的控制权限。为达到此目的，木马一般包括一个客户端和一个服务器端客户端放在木马控制者的计算机中，服务器端放置在被入侵计算机中，木马控制者通过客户端与被入侵的计算机中的服务器端建立远程连接。一旦连接成功，木马控制者就可以通过对被入侵的电脑发送指令来传输并修改文件。一般木马所具有的另一个是发动DdoS(拒绝服务)的攻击。 二、浏览器端网站恶意代码防护 1.要避免被网页恶意代码感染，首先关键是不要轻易去一些并不信任的站点，尤其是一些带有美女图片等的网址。但是这个并不能真正防止网页恶意代码的攻击，因为这些恶意代码有可能在任何地方出现。所以也可以参考进行以下步骤的设置。 2.运行IE时，点击“工具?Internet选项?安全?Internet区域的安全级别”，把安全级别由“中”改为“高”。网页恶意代码主要是含有恶意代码的ActiveX或Applet、javascript的网页文件，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以减少被网页恶意代码感染的几率。具体是:在IE窗口中点击“工具”?“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件 以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。而对于使用Windows98的计算机用户，请打开C:,WINDOWS,JAVA,Packages,CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”删掉;对于使用Windows Me的计算机用户，请打开C:,WINDOWS,JAVA,Packages,5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”删掉。这个也只是一种折中的方案，我们可以有其它方法(如下)来保证IE的安全。 3.一定要在计算机上安装网络防火墙，并要时刻打开“实时监控功能”。 4.设置注册表编辑器中的相关项值: (1)运行打开注册表编辑器命令regedit.exe进入注册表; (2)KEY_CURRENT_USER,Software,.....,CurrentVersion,Policies,System下，增加名为DisableRegistryTools的DWORD值项，将其值改为“1”，即可禁止使用注册表编辑器命令regedit.exe。因为特殊原因需要修改注册表，可应用如下解锁方法: 用记事本编辑一个任意名的.reg文件，其中的内容如下: REGEDIT4 HKEY_CURRENT_USER,Software,Microsoft,Windows,CurrentVersion , Policies,System 00000000 “DisableRegistryTools”=dword: 双击运行recover.reg即可。 5.随时升级IE浏览器的补丁。 三、服务端网站恶意代码传播防护 据介绍，现在网页挂马不仅仅通过嵌入恶意特征代码，还会利用很多应用软件的漏洞来进行传播。由于使用这些应用软件的用户群比较多，受到恶意木马入侵的机会就会增大，因此恶意攻击者常常会把目标锁定在利用这些应用软件的漏洞来传播恶意木马程序。一些防范措施如下: 1.网站管理者要加强网站的监督管理 网站管理者要加强网站的监督管理，定期对上传的Web网页文件进行比对，包括文件的创建、更新时间，文件大小等，一旦发现异常文件，应立即删除并更新。定期维护升级网站服务器，检查服务器所存在的漏洞和安全隐患。 2.务必打开计算机系统中防病毒软件 网站管理者在Web网页时，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。 四、结论 当今网络，反病毒软件日益增多，使用的反病毒技术越来越先进，查杀病毒的能力逐渐提高，但病毒制作者并不会罢休，反查杀手段不断升级，新的病毒层出不穷，形式也越来越多样化，为了躲避查杀，病毒自身的隐蔽性越来越高，针对反病毒软件对传统的病毒传播途径的监控能力提高，造成病毒传播困难的问题，越来越多的病毒，利用多数反病毒软件产品对恶意脚本监控能力的缺陷，开始利用网页木马这一危害面最广泛，传播效果最佳的方式来传播。所以根据目前的发展现状，对网站恶意代码的传播方式进行分析是很有必要的。本文通过一个 实例研究了网站恶意代码传播、危害以及解决方法。本文还会继续努力深入去研 究网站恶意代码传播方式以及防护办法，为互联网打造一个健康的休闲、工作、 娱乐平台。