当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 阴险的58q.com

安全基础
蜜罐技术:消除防火墙局限和脆弱
“网络隔离”技术安全要素 发展方向概述
分析并解决局域网内盗用IP的安全问题
防止全局钩子的侵入
安全编程: 避免竞争条件(1)
安全编程: 避免竞争条件(2)
安全编程: 避免竞争条件(3)
安全编程: 避免竞争条件(4)
安全编程: 避免竞争条件(5)
银行系统使用指纹识别技术的利弊
CLR 中代码访问安全检测实现原理(1)
CLR 中代码访问安全检测实现原理(2)
CLR 中代码访问安全检测实现原理(4)
CLR 中代码访问安全检测实现原理(5)
木马经典十大藏身地点大搜查(1)
木马经典十大藏身地点大搜查(2)
菜鸟必读:网站被入侵后需做的检测(1)
菜鸟必读:网站被入侵后需做的检测(2)
红客必学:Windows下的权限设置详解(1)
红客必学:Windows下的权限设置详解(2)

安全基础 中的 阴险的58q.com


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 87 ::
收藏到网摘: n/a

相信很多的朋友都上网有用过搜索引擎的经历,其中搜索东西的时候有时候的会链到一个叫www.58q.com的网站,咋一看这个网站很普通,类似于包罗万象的超链集合网站,但是其中的玄机就在这里了:在关闭这个页面的时候会问你是不是把这个网站作为首页。一般我们都会按“否”,此时系统如果有“实时文件保护系统的时候”(例:诺顿服务器8.1)会提示winsys.vbs发现木马并已经隔离成功,当然没装病毒防护的自然什么提示都没有了,如果进行到这里,通常我们会认为这个网页有病毒并且已经被杀掉了,系统一切平安。但是恰恰当我们再次打开IE或其他浏览器的时候却是把网站www.58q.com作为首页了。我身边的好些朋友反映,这个默认主页怎么改都改不回去,一直死缠着系统。

通常我们IE设置这样的修改改不回去的时候,会把焦点集中到注册表。的确,运行regedit并搜索注册表内的www.58q.com的时候,我们会发现很多字段。当然可以把这些字段都改成about:blank或者自己习惯的默认主页。然而当再次打开浏览器的时候又会发现默认主页又变回了www.58q.com。想想明明是清理干净了注册表怎么又回回去呢?

www.58q.com的制造者确实很“阴”,在我们访问网站回答“否”的时候,他的winsys.vbs已经被执行了一把。而且偷偷在我们的系统盘上建立了一个非常类似于NT,2K,XP系统补丁目录的目录(够狠!),例如:$NtUninstallQ5588565$

由于文件夹被其设置了“隐藏”和“系统”属性,我们通常需要把“显示所有文件和文件夹”选项和“隐藏受保护的操作系统文件”都打开方能显示这个文件夹。

而由于每次修改后重新启动又被改回去默认设置,这不的不让我们怀疑我们的启动选项。我们可以用msconfig来观察注册表的启动选项,这样又可以发现两个如regedit -s $NtUninstallQ5588565$\winsys.cer 的启动选项。

至此,这个“幽灵”的布局基本明朗,我们也开始可以给系统动手术了:系统盘上的$NtUninstallQ5588565$文件夹与其下的winsys.cer(如果您没装病毒防护那还会多一个winsys.vbs),把这个文件夹彻底删除。注册表内就比较热闹了:首先在启动选项里有关winsys.cer的选项都删除,然后用F3搜索其它有关winsys.cer的项并将其键值清除。注意,搜索时候会遇到一个sys32项内的winsys.cer,只需要将键值清除,不要将整个项删除(可能因为操作系统不同而会有所差异,注意不要连累其他“键值”就好)。其次就是用F3搜索注册表内所有http://www.58q.com键值并改回自己的默认主页。ok!手术完成,重启一下看手术是否成功。