详谈挂马危害!瑞星技术先锋03期(视频）

　　卷首语：用了这么多年的电脑，你中过病毒吗？知道中毒后，到底什么样吗？总是说很恐怖，但到底有多恐怖呢？进程瞬间成百上千，磁盘空间被吞噬殆尽。这些科幻电影里面才有的恐怖画面，在现实中也真正存在从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了，《ZOL&瑞星技术先锋》是ZOL软件事业部和瑞星公司联手打造的安全技术分享栏目，每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……

---

　　同时，您在使用瑞星安全软件过程中，遇到什么问题，希望得到解答，可以前往ZOL软件论坛安全板块，或致信ZOL软件事业部个人资讯组，与编辑进行联系，您的问题我们将通过筛选反馈给瑞星技术专家，同时如果您的问题非常不错，还有机会赢得瑞星公司提供的精美礼品，同时还有机会成为当月的提问明星(ZOL软件论坛“技术先锋问答帖” | ZOL软件公共邮箱：zolsoft@staff.zol.com.cn）。

　　马上访问：ZOL瑞星杀毒软件专区

　　下载：瑞星杀毒软件2009下载版 21.40

详谈“挂马”站危害!瑞星技术先锋03期

　　上一期的《谈挂马站点原理 瑞星技术先锋09第二期》在上线之后，网友反映强烈，且回复质量出色，能够看到瑞星公司的安全工程师亲自“坐堂”，也让很多网友感到亲切，而在本期ZOL&瑞星技术先锋栏目中，我们将继续邀请瑞星公司的瑞星公司高级安全工程师唐威，为我们继续谈安全，谈挂马网站对我们造成的威胁，特别是一些实际案例和一些用户在访问挂马页后，触目惊心的遭遇。

什么情况？怎么回事？如何预防？怎么补救？

　　在本期ZOL&瑞星技术先锋栏目中，唐威工程师将为我们讲解挂马网站所带来的威胁，特别包括用户中“挂马”站后，到底会出现何种情况？通过视频可以有所了解,下面，便是一段用户在访问挂马网站后，所遭遇的危害。

用户不慎访问“挂马”网站后带来的危害（触目惊心）

　　上面的视频非常“恐怖”，相信大家已经基本了解到了挂马网站会带来的危害，这个案例也提醒大家，一定不可轻视挂马网站带来的危害。下一页中，我们将为大家讲解目前较为常见的网页“挂马”方式和执行方式，同时包括一些传统意义上的清除方法和如何真正有效拦截木马信息。

　　瑞星“技术先锋”往期回顾：

　　携手共建“云安全“01期  |  “挂马”网站原理谈 02期 |  ZOL软件事业部荣誉出品

　　若想预防挂马，则首先要了解到挂马的方式。之所以在网页中挂载，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。为达到目的首先要将木马下载到本地。根据上图的流程，常见的方式有以下几种：

　　1.将木马伪装为页面元素。木马则会被浏览器自动下载到本地。

　　2.利用脚本运行的漏洞下载木马

　　3.利用脚本运行的漏洞释放隐含在网页脚本中的木马

　　4.将木马伪装为缺失的组件，或和缺失的组件捆绑在一起（例如：flash播放插件）。这样既达到了下载的目的，下载的组件又会被浏览器自动执行。

　　5.通过脚本运行调用某些com组件，利用其漏洞下载木马。

开启“木马入侵拦截”有效防护木马植入

　　6.在渲染页面内容的过程中利用格式溢出释放木马（例如：ani格式溢出漏洞）

　　7.在渲染页面内容的过程中利用格式溢出下载木马（例如：flash9.0.115的播放漏洞）

　　在完成下载之后，执行木马的方式有以下几种：

　　1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马

　　2.利用脚本运行的漏洞执行木马

　　3.伪装成缺失组件的安装包被浏览器自动执行

　　4.通过脚本调用com组件利用其漏洞执行木马。

　　5.利用页面元素渲染过程中的格式溢出直接执行木马。

　　6.利用com组件与外部其他程序通讯，通过其他程序启动木马（例如：realplayer10.5存在的播放列表溢出漏洞）

　　在与网马斗争的过程中，为了躲避杀毒软件的检测，一些网马还具有了以下行为：

　　1.修改系统时间，使杀毒软件失效

　　2.摘除杀毒软件的HOOK挂钩，使杀毒软件检测失效

　　3.修改杀毒软件病毒库，使之检测不到恶意代码。

　　4.通过溢出漏洞不直接执行恶意代码，而是执行一段调用脚本，以躲避杀毒软件对父进程的检测。

　　网页挂马的检测

　　传统的检测防御方式：

　　1.特征匹配。将网页挂马的脚本按脚本病毒处理进行检测。但是网页脚本变形方、加密方式比起传统的PE格式病毒更为多样，检测起来也更加困难。

　　2.主动防御。当浏览器要做出某些动作时，做出提示，例如：下载了某插件的安装包，会提示是否运行，比如浏览器创建一个暴风影音播放器时，提示是否允许运行。在多数情况下用户都会点击是，网页木马会因此得到执行。

　　3.检查父进程是否为浏览器。这种方法可以很容易的被躲过且会对很多插件造成误报。

　　最为“全面”的检测防御方式：

　　通过瑞星全功能安全软件可以有效拦截木马入侵，下面则是一段实际拦截视频，效果非常出色。

通过瑞星可有效拦截“挂马”网站 防止悲剧发生

　　瑞星全功能安全软件为用户提供了丰富的防挂马设置，可以自由调节等级，同时还能够轻松设定相关内容，包括黑白名单等等，极为方便。

用户可轻松调节安全等级，自由选择提示和处理方式

自定白名单，选择规则应用对象并妥善保护

　　相信大家通过视频已经可可以看出，挂马网站并不可怕，通过特征匹配等方法，借助瑞星全功能安全软件，可以有效将其拦截，效果出色（视频为证）。

　　讲完本期的相关主题，下一页中，技术专家还为大家讲解本周的安全形势，并进行深度分析，大家可以进行参考和有效预防。

　　本周风云:房产网多被挂马

　　据瑞星“云安全”系统统计，本周瑞星共截获了154万个挂马网址。本周挂马网站针对的都是一些国内知名高校、房产和家居类网站。由于这些网站的访问人数非常多，并且有些网站连续多天一直被挂马，所以用户在访问过程中要格外小心，并及时更新补丁或进行手工修复。在本周的挂马网站中截获了一个病毒值得注意，它是“QQ通行证木马变种EIW”，该病毒会盗取QQ和网络游戏的账号密码信息，并发给黑客。

　　本周关注的被挂马网站：

　　“中国石油大学”、“北京外国语大学亚非学院”、“大连天健网”、“大河楼市网”、“广捷居网址大全”的部分页面被黑客挂马。黑客利用被挂马网站的服务器漏洞和不安全设置进行入侵。用户访问这些页面后，可能会感染蠕虫下载器和大量木马病毒。

通过瑞星全功能安全软件可有效拦截挂马网站

通过瑞星全功能软件拒绝“QQ通行证木马病毒”侵袭

　　本周关注病毒：

　　“QQ通行证木马变种EIW（Trojan.PSW.Win32.QQPass.eiw）”警惕程度★★★

　　该病毒运行后会将自身复制到系统目录，然后调用CMD命令自我删除，病毒会将生产的文件注入到系统进程中，随后添加注册表项，以达到开机自动启动的目的。最后通过查找窗口、键盘鼠标记录等方法，截获用户输入的账号和密码信息，并将信息打包发送给黑客指定的网址，导致网游玩家的经济利益受损。

　　赵小姐问：前几天电脑中毒了，病毒杀了以后，我的电脑中的“文件夹选项”没有了，这个问题该怎么解决？

　　答：这个问题的原因是注册表中的关键键值被修改或是系统的组策略被修改导致的，可能是中毒以后产生的现象。

　　有两种解决方法，1、通过修改注册表键值来解决，进入注册表（开始-运行-输入regedit-回车），查找：[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
Explorer]，在右侧窗口中找到“NoFileMenu”键，将键值修改为“0”，或者删除该键，然后重启计算机；2、设置组策略来解决，进入组策略（开始-运行-输入gpedit.msc-回车），展开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”，然后在右侧找到“从‘工具’菜单删除‘文件夹选项’菜单”选项，双击打开该选项，在属性对话框中切换到“设置”，把该选项设置为“未配置”或“已禁用”，点击“确定”按钮，就可以了。

　　朱小姐问：我的电脑是dell的D630，瑞星从08版升级到09版以后，重启电脑后瑞星的监控没有启动，请问这个问题如何解决？

　　答：这个问题是瑞星09版与dell的程序存在冲突导致的问题。

在瑞星卡卡启动项中清除相关选项

　　打开卡卡上网安全助手-高级功能-系统启动项管理：在“登录项”里，删除DocumentManager项。

　　在“应用程序初始化动态链接库”里，删除wxvault项。

　　在“本地安全授权”里，删除wvauth项。

　　注意：是删除上述三项，而不是取消钩选，删除后，直接重启计算机。

　　马先生问：您好，我的电脑感染病毒后，注册表编辑器和任务管理器无法打开了，提示没有权限，请联系系统管理员，这个问题应该怎么解决？

　　答：注册表编辑器和任务管理器在默认状态下是可以打开的，如果没有自己没有进行设置无法打开，说明是由于注册表被恶意修改导致的。目前有部分病毒会存在这个问题，给隐患使用带来不便。

定期使用瑞星进行扫描可有效清除病毒和威胁

　　用户可以用瑞星杀毒软件升级到最新版本，对硬盘进行全面扫描。然后使用瑞星卡卡上网安全助手，点击“IE及系统修复”选项页，检测到“允许使用注册表编辑器”和“允许使用任务管理器”为异常项，勾选异常项，并点击“修复”按钮进行修复，修复后，就可以正常使用了。

　　编辑点评：

　　在本期ZOL&瑞星技术先锋栏目中，唐威工程师为我们讲解了关于“挂马网站”的危害，同时解答了网友关于瑞星和一些程序的兼容性等三个日常电脑使用过程中所遇到的问题。如果您也遇到过类似情况，那么相信能够给予您启迪和参照。特别是本期的相关演示视频，非常强大，让大家进一步了解到瑞星全功能安全软件带给你的全面保护。

　　作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。