IE浏览器的攻击与防范

在上网冲浪的时候，IE浏览器经常会成为病毒、木马的攻击对象，被攻击之后的IE浏览器，可能会被修改得面目全非，无法用手工修复，或者勉强能够被修复成功，但是重新启动计算机系统后，又会恢复到被攻击时的不正常状态。那么网络病毒究竟是如何攻击IE浏览器的呢?IE浏览器又是如何被恶意修改的呢?面对IE浏览器被攻击现象时，我们又该采取什么措施进行应对呢?

攻击现象一、IE快捷方式被修改

双击Windows系统桌面中的IE快捷图标时，IE浏览器会直接打开病毒网页，而不是事先指定的网站页面。这种现象表明IE浏览器的桌面快捷图标已经被病毒强行修改，病毒通过控制IE快捷图标的启动参数，来强制IE浏览器访问病毒指定的恶意站点，从而达到传播病毒或攻击系统的目的。

攻击原理：病毒控制IE浏览器的启动参数，主要通过两种方法来完成。一是主动修改系统桌面中IE浏览器快捷图标的属性参数，例如，右击系统桌面中IE浏览器的快捷图标，切换到快捷方式标签设置页面，在“目标”文本框中，输入“IE浏览器的真实路径+空格+恶意站点页面地址”，按“确定”按钮后，用户日后只要通过IE浏览器快捷图标上网冲浪时，直接访问的都是恶意站点页面。二是通过修改系统注册表中相关键值来指定启动站点，例如，打开注册表编辑窗口，将鼠标定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼AboutURLs分支下(如图1所示)，右击目标分支选项，从弹出的右键菜单中依次选择“新建”、“字符串值”命令，将新创建的字符串键值名称取为“aaa”，同时将其数值设置为“省略”，这样就能在系统桌面上自动生成一个IE浏览器快捷方式，打开该快捷方式的属性对话框后，我们会看到目标文本框后面除了包含IE浏览器的真实路径，还有“about：aaa”后缀，双击这样的IE浏览器快捷方式后，就能强制IE浏览器直接访问“省略”这样的病毒站点了。当然，为了让指向病毒站点的IE快捷方式更逼真，病毒程序可能还会打开系统注册表编辑窗口，定位到HKEY LOCALMACHINE＼SOFTWARE＼Classes＼InternetShortcut分支下(如图2所示)，将目标分支下的“IsShortcut”键值删除掉，这样就能把IE快捷方式的小箭头图标隐藏起来了，这样用户就不会怀疑这个新生成的IE快捷方式了。

应对措施：首先要辨别出系统桌面上的IE快捷图标究竟是真的还是假的；任进行辨别操作时，用鼠标右键单击IE快捷图标，点选右键菜单中的“属性”命令，打开IE快捷图标的属性对话框，切换到快捷方式标签设置页面，检查“目标”文本框中IE浏览器的真实路径是否正确，如果后面有“about：aaa”、“www.省略”之类的后缀信息时，那基本就能断定目标IE快捷图标是假图标。其次用鼠标右键单击假的IE快捷图标，从右键菜单中选择“删除”命令，将它从系统桌面中清除干净即可。

攻击现象二、生成假的IE桌面图标

有的时候，通过查看IE桌面图标的属性参数，根本无法辨别出对应图标的真假，但是双击IE桌面图标后，IE浏览器打开的仍然是病毒网站，这种IE桌面图标其实是病毒程序煞费苦心制作的假图标。

攻击原理：病毒程序可以通过添加或修改CLSID的方式，来制造假的IE桌面图标。病毒程序只要打开系统注册表编辑窗口，将鼠标定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Desktop＼NameSpace分支以及HKEY-CLASSES ROOT＼CLSID分支下同时创建CLSID({871C5380-42A0-1069-A2EA-08002B303099})，之后在目标CLSID下分别创建“open”、“属性”子项，并将“open”子项的默认值设置为“打开主页”，再在“open”、“属性”下面各创建一个“command”子项，同时将它们的默认值依次设置为“C：＼Program Files＼InternetExploer＼IexpIore.exe 省略”、“rund1132.exe shell32.dll，Control RunDllinetcpl.cpl”(如图3所示)，其中“省略”为病毒程序指定的恶意站点，这样系统桌面上就出现了假的IE桌面图标了。

应对措施：可以采取两种方法删除假的IE桌面图标。一是打开系统注册表编辑窗口，定位到上述两个注册表分支上，找到病毒程序自行创建的CLSID，并采用手工方法将它们删除掉，不过这种方法有一定的难度，普通用户往往无法识别出哪个CLSID是病毒创建的；对于无法识别的CLSID，可以通过上网搜索查询，一般都能知道每个系统组件的CLSID，对于陌生的CLSID，必需及时将它从系统中删除干净。二是登录进入一台健康的计算机系统，打开系统注册表编辑窗口，定位到上面两个分支，并依次单击“文件”|“导出”命令，将它们导出保存为两个注册表文件，之后再将它们导入到本地计算机系统，就能解决上述问题了。

攻击现象三、IE首页设置无法修改

很多病毒攻击IE浏览器时，会通过修改注册表中HKEYCURRENT-USER＼Software＼Microsoft＼Internet Explorer＼Main分支下的“StartPage”键值，来随意篡改IE首页设置，即使用户打开IE浏览器的Internet选项设置对话框，尝试手工修改IE首页设置时，往往也无法取得成功。

攻击原理：病毒在进行这种攻击时，先是打开系统注册表编辑窗口，定位到HKEY-CLASSES-ROOT＼CLSID＼{871C5380-42A0-1069-A2EA-08002830309D}＼shell＼OpenHomePage＼Command分支上(如图4所示)，在目标分支下将默认值设置为“C：＼Program Files＼Internet ExploerXIexplore.exe‘www.省略’”，这么一来用户无论在Internet选项设置对话框中，将IE首页设置成什么网站地址，IE浏览器都会直接访问病毒事先指定的“www.省略”站点页面。

应对措施：既然病毒是通过

修改HKEY-CLASSES ROOT＼CLSID＼{871C5380-42A0-1069-A2EA-08002830309D}＼shell＼OpenHomePage＼Command分支下的默认键值阻止用户修改IE首页设置的，那么我们只要再次定位到目标分支下，打开默认值的属性对话框，将最后的“www.省略”内容给删除掉即可。为了防止下次再发生类似的攻击，我们可以对目标分支的访问权限进行调整，仅让可信任用户能修改该分支下的键值内容，其他人都无法进行修改。

攻击现象四、IE重启后又不正常了

当IE设置被病毒修改，用户尝试手工恢复后，浏览器的工作状态恢复正常了，可是重新启动浏览器后，它的工作状态又不正常了。

攻击原理：病毒可以采用两种方法实现上述攻击目的。一是利用关机事件，创建能够自动重启病毒的运行脚本，并将脚本程序添加到系统注册表的HKEY-LOCAL-MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group Policy＼State＼Machine＼Scripts分支下，这样系统每次关机之前都会自动执行目标脚本程序，那么IE浏览器的设置又会被病毒自行修改了。二是通过desktop.ini文件，来启动运行VBS脚本程序，而在脚本程序中写入强行启动病毒程序的代码，那么系统日后每次开机启动时，病毒程序将会自动发作运行，修改IE浏览器的设置。

应对措施：检查HKEYLOCAL-MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group Policy＼State＼Machine＼Scripts分支、HKEYCLASSES-ROOTXinifile＼shellex分支下的关机脚本和启动病毒程序的VBS脚本是否存在，如果存在的话，只要手工将它们删除，就能避免上述攻击现象再次发生了。除了检查注册表外，还应该检查系统组策略中的注销、关机、登录等事件脚本，确保没有自动启动病毒程序的恶意脚本存在。

预防IE浏览器遭遇攻击

IE浏览器遭遇病毒攻击的话，轻则影响用户的上网冲浪，重则能导致系统发生瘫痪，甚至还能引发安全事故。为此，我们必需要迅速行动，采取针对性措施预防IE浏览器遭遇攻击：

关闭Remote Registry服务

默认状态下，Windows系统会允许远程用户修改本地计算机中的注册表设置，这样很多病毒就能将一些恶意代码植入到注册表中，以便达到远程攻击的目的，此时只要关闭RemoteRegistry服务，就能彻底禁止远程修改注册表的功能了，那么病毒程序自然也就无法通过修改注册表的方法IE浏览器了。在关闭Remote Registry服务时，可以按照如下步骤来进行：

首先依次单击“开始”|“设置”|“控制面版”选项，逐一双击系统控制面板窗口中的“管理工具”|“服务”图标，在右侧列表界面中双击“Remote Registry”服务选项，弹出如图5所示的选项设置窗口；

其次在“常规”标签页面中，点击“停止”按钮，暂停目标系统服务的运行状态，再将“启动类型”参数选择为“已禁用”，这样就能彻底禁止远程修改注册表的功能了。日后，病毒程序无法再远程修改本地系统的注册表，那么IE浏览器自然也就不会被随意篡改了。

严格控制运行权限

一些病毒、木马程序可能会自动下载保存到本地系统，再将运行代码写入到注册表的“Run”分支下，实现病毒木马的自动运行，给本地IE浏览器造成安全危害。为了预防病毒、木马程序修改本地注册表，实现自动运行发作目的，我们可以进行如下设置操作，来关闭病毒、木马的运行权限：

首先打开本地计算机的“开始”菜单，选择“运行”命令，输入“regedit”命令，按回车之后，切换到系统注册表编辑窗口；依次展开该编辑窗口左侧区域中的“HKEY CURRENTMACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”分支，并用鼠标选中该分支选项；

其次逐一点选“编辑”、“权限”选项，打开如图6所示的权限设置界面，添加导入everyone帐号，并将该账号访问权限设置为“读取”；同样地，要将除系统管理员以外的其他帐号权限统统设置为“读取”，而不能设置为“完全控制”，再按“确定”按钮返回；

考虑到一些病毒程序会以服务方式来运行，因此再选中注册表窗口中的“HKEYCURRENT-MACHINE＼SYSTEMX＼CurrentControlSet＼Services”选项，依次选择“编辑”|“权限”选项，在弹出的权限设置界面中，将除了系统管理员以外的其他帐号权限也设置为“只读”。

启用IE增强安全功能

为了保护IE浏览器的安全性，Win2008系统设计出了IE增强安全功能，借助该功能能大幅提高IE安全区域上的缺省安全等级，从而降低IE浏览器遭遇潜在攻击的暴露程度。在启用IE增强安全功能时，可以按照如下步骤来执行：

首先关闭所有IE浏览器窗口，之后打开Win2008系统的“开始”菜单，依次选择“程序”|“管理工具”|“服务器管理器”选项，打开服务器管理器窗口，单击“安全信息”位置处的“配置IE ESC”选项，弹出如图7所示的IE增强安全对话框；

其次将“管理员”、“用户”位置处的“启用”选项选中，再按“确定”按钮，这样一来Win2008系统就能将IE增强安全功能启用成功了。日后要想关闭IE增强安全功能时，只要选中“管理员”或“用户”下的“禁用”选项即可了。

控制写入关机脚本

某些病毒程序会通过写入关机脚本的方式，来达到自动重启病毒的目的，因此我们有必要控制写入关机脚本的权限，禁止病毒通过关机事件来反复修改IE浏览器的设置，下面就是具体的控制步骤：

首先依次单击“开机”、“运行”选项，在弹出的系统运行对话框中，输入“regedit”命令，切换到系统注册表编辑窗口；将鼠标定位到该编辑窗口左侧的“HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group PoHcy＼State＼Machine＼Scripts”分支上，如图8所示；

其次逐一点选“编辑”、“权限”命令，弹出权限设置对话框，在这里将除了系统管理员以外的其他账号权限设置为“只读”，再单击“确定”按钮保存设置操作，最后重新启动计算机系统，这样病毒就无法随意向本地系统写入关机脚本了。

控制病毒自动下载

一些病毒、木马程序相当“狡猾”，有时没有经过用户的允许，就会自动从网上下载并安装到本地硬盘中了；如果这些病毒木马破坏性强的话，那么IE浏览器就可能遭受严重破坏。为此，我们可以控制自动下载功能，来预防这些破坏性极大的病毒、木马程序自动下载到本地系统中，下面就是具体的控制步骤：

首先依次单击“开始”|“运行”选项，输入“gpedit.msc”命令，弹出组策略编辑窗口；展开“用户配置”分支，逐一单击“管理模板”|“windows组件”|“Internet Explorer”|“安全功能”|“限制文件下载”分支，在目标分支下面双击“Internet Explorer进程”选项，打开目标选项设置对话框(如图9所示)；选中“已启用”选项，同时按“确定”按钮返回，这样IE浏览器日后就会限制任何文件执行自动下载操作了。