小问题最难缠 主页修改已陷僵局

俗话说的好:“烈女怕缠郎”,事情不怕困难,就怕遇到难缠的。在防病毒领域,技术几经更新,各种厉害的病毒都已经烟消云散,唯有一个问题,历经数年一直没有解决,那就是浏览器主页篡改。你装了杀毒软件,装了360安全卫士、金山网盾等安全辅助软件,但结果却令人吃惊――“主页又被改了”!这么小的一个问题,至今却如此难缠,真的无计可施吗?其实,战斗从来就未停止过!

第一回合 先发制人 恶意软件损招百出

话说几年前,各种软件相安无事,浏览器里设定着自己喜欢的主页,每次打开,都先访问这个网站上的东西,其乐融融。但这种安静却被一位“聪明人”的私欲打破了:“如果每个浏览器的主页都设置成我的网站,那我网站上的广告就可以卖出大价钱了!”有了这个念头,他就开始了采用各种招数,强迫大家修改主页。

招数1:直接修改

开发或购买一些软件,在软件里加入一些注册表写入动作,修改注册表中相关键值,达到修改主页的目的(见下表)。

招数2 间接替换

恶意软件先通过修改注册表的方法来隐藏或者删除IE快捷方式,定位到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\],将[NewStartPanel]的键值{871C5380-42A0-1069-A2EA-08002B30309D}设置为1或者直接删除。然后新建一个IE快捷方式,再修改目标属性,在IE快捷方式后面添加恶意网站。

招数3 另类诱导

恶意软件还会换种思路,修改桌面IE快捷方式或其他图标(比如我的电脑、回收站)的NameSpace值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace],然后在注册表的[HKEY_CLASSES_ROOT\CLSID\]下找到对应的字串进行修改,造成图标原来的作用丢失,而转而打开恶意网址。例如,当你看到如图1所示的回收站一定会非常奇怪,双击的话,会打开指定的网页。

小提示:

有不少恶意软件采用了Rootkit技术,Rootkit程序的驱动可以完全隐藏自身,在系统已经运行的情况下,想找到它的程序文件、进程可不是件轻松的事。例如,检查相应注册表键的访问权限,会发现类似如图2所示的改变,目的是增加用户手工修复注册表的难度。

第二回合 见招拆招,修复、防护各有神通

虽然这些修改都可以通过手工编辑注册表的方法来修复,但普通用户要改的地方太多,改错了还会有很多麻烦。可以协助修复的工具也比较多,恶意软件清理助手、金山急救箱、超级兔子、优化大师、360安全卫士等。原理也比较简单,依次检查上面的几个注册表键值是否有改动,如果有,就利用库中的数据将注册表恢复到正常系统的默认状态,并且如果发现设置了权限限制,那么就自动修改对应权限,完成后续修复。当然,这里只是修复,是亡羊补牢,而要实现真正的对抗,那就要在前期禁止其修改。常见方法有3类:

1.开启杀毒软件或360安全卫士的注册表监控功能,一旦有修改就会立即提醒。

2.使用金山网盾等专门的主页防控软件(见图3、4),例如,使用金山网盾强行将主页锁定为用户需要的设置,并且遇到某恶意软件强行将主页锁定为某个用户不想要的网址,网盾还可以直接将此地址强行屏蔽。

3.动手能力强的朋友还可以用组策略来保护自己的主页:在“运行”输入gpedit.msc,打开组策略编辑器,在管理模版Windows Components找到Internet Explorer禁用更改主页设置,输入你想设置的网页,然后单击“已启用”应用修改。这时候再打开IE属性就会看到主页设置变成灰色,不可更改。但是这个办法对恶意软件将我的电脑、回收站改成IE浏览器,再修改快捷方式属性的做法无效。

第三回合 恶意反扑

流氓软件狡猾逃避

道高一尺,魔高一丈。黑色产业链的从业者,因为利益的驱动,从不甘心被剿杀而恶意软件会采用rootkit程序隐藏自己,防止被检测到。有的恶意软件入侵用户电脑折腾完IE之后,就立即完成自删除。这种“自杀式袭击”的方式很难捕捉样本,让安全厂商非常头痛。还有的用了损招,比如感染IE主程序,或者将IE快捷方式的目标文件指向一个假IE(如将Internet Explorer改为Internet Exp1orer),通过假的IE去调用正常IE,这样,在用户端就不容易找到问题所在。较多的用户会使用傲游、360浏览器、搜狗浏览器,这些恶意软件除了修改IE属性外,还会强行修改第三方浏览器的首页。更有甚至,直接针对安全软件或主页防控软件,进行编写可以绕过监控的流氓软件,其中最出名的就是IE锁了。它针对流行的杀毒软件、防护软件都专门做了处理,下面我们就以360安全卫士为例,来说说曝光他们的行径。

1.破坏软件存活

通过分析360安全卫士对注册表的监控模式,寻找软件漏洞。例如,先获取系统进程的一个快照,然后找到360的安装文件夹,去破坏正常的程序,让360安全卫士无法运行监控。或者修改系统注册表,让监控程序失败。

2.隐藏监控

通过特殊的程序,去监控360安全卫士的弹窗提示,找到弹窗的句柄,将其隐藏掉。这样即使监控到了主页修改,用户也看不到弹窗,也就无法选择禁止修改了。更保险的做法,就是再细致监控,找到弹窗提示中的“允许”按钮,仿冒用户单击这个按钮,实现顺利修改的目的。

3.技术绕行

恶意软件绕过杀毒软件防御的方法较多,比较流行的方法是使用BAT或JS编写脚本,因脚本程序调用的都是系统文件,系统文件通常又在杀毒软件的白名单里,这类程序执行时,很难触发杀毒软件的防御机制。