当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 阴险的58q.com

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 阴险的58q.com


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 40 ::
收藏到网摘: n/a

相信很多的朋友都上网有用过搜索引擎的经历,其中搜索东西的时候有时候的会链到一个叫www.58q.com的网站,咋一看这个网站很普通,类似于包罗万象的超链集合网站,但是其中的玄机就在这里了:在关闭这个页面的时候会问你是不是把这个网站作为首页。一般我们都会按“否”,此时系统如果有“实时文件保护系统的时候”(例:诺顿服务器8.1)会提示winsys.vbs发现木马并已经隔离成功,当然没装病毒防护的自然什么提示都没有了,如果进行到这里,通常我们会认为这个网页有病毒并且已经被杀掉了,系统一切平安。但是恰恰当我们再次打开IE或其他浏览器的时候却是把网站www.58q.com作为首页了。我身边的好些朋友反映,这个默认主页怎么改都改不回去,一直死缠着系统。

通常我们IE设置这样的修改改不回去的时候,会把焦点集中到注册表。的确,运行regedit并搜索注册表内的www.58q.com的时候,我们会发现很多字段。当然可以把这些字段都改成about:blank或者自己习惯的默认主页。然而当再次打开浏览器的时候又会发现默认主页又变回了www.58q.com。想想明明是清理干净了注册表怎么又回回去呢?

www.58q.com的制造者确实很“阴”,在我们访问网站回答“否”的时候,他的winsys.vbs已经被执行了一把。而且偷偷在我们的系统盘上建立了一个非常类似于NT,2K,XP系统补丁目录的目录(够狠!),例如:$NtUninstallQ5588565$

由于文件夹被其设置了“隐藏”和“系统”属性,我们通常需要把“显示所有文件和文件夹”选项和“隐藏受保护的操作系统文件”都打开方能显示这个文件夹。

而由于每次修改后重新启动又被改回去默认设置,这不的不让我们怀疑我们的启动选项。我们可以用msconfig来观察注册表的启动选项,这样又可以发现两个如regedit -s $NtUninstallQ5588565$\winsys.cer 的启动选项。

至此,这个“幽灵”的布局基本明朗,我们也开始可以给系统动手术了:系统盘上的$NtUninstallQ5588565$文件夹与其下的winsys.cer(如果您没装病毒防护那还会多一个winsys.vbs),把这个文件夹彻底删除。注册表内就比较热闹了:首先在启动选项里有关winsys.cer的选项都删除,然后用F3搜索其它有关winsys.cer的项并将其键值清除。注意,搜索时候会遇到一个sys32项内的winsys.cer,只需要将键值清除,不要将整个项删除(可能因为操作系统不同而会有所差异,注意不要连累其他“键值”就好)。其次就是用F3搜索注册表内所有http://www.58q.com键值并改回自己的默认主页。ok!手术完成,重启一下看手术是否成功。