当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 阴险的58q.com

安全基础
漏洞问题 RPC服务器安全配制
活用ftp自动上传文件至肉鸡
利用cmd躲过肉鸡防火墙方法
校园网方便的上网时段控制法
手把手教你穿透ADSL路由入侵内网
利用测试网站检测出你的浏览器安全级别
妙用你的hosts文件过滤插件和广告
个人隐私 你的系统文件保护好了吗
P2P中保障Windows网络安全的五大步骤
消除威胁 通过防火墙堵住VPN安全漏洞
天下无贼 两招解决IP地址盗用问题
DDoS防范和全局网络安全网络的应对
用Windows 2000安全审核让入侵者显形
宽带用户易被攻击 用户需注意七大方面
日志分析两部曲:充分利用日志保护网络
安全设置Windows组策略 有效阻止黑客
Win2000/XP中的自启动“后门”
小心 MSHTA漏洞为黑客大开远程控制之门
如何增强活动目录安全性的五个步骤
各种操作系统中密码文件的位置

安全基础 中的 阴险的58q.com


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 66 ::
收藏到网摘: n/a

相信很多的朋友都上网有用过搜索引擎的经历,其中搜索东西的时候有时候的会链到一个叫www.58q.com的网站,咋一看这个网站很普通,类似于包罗万象的超链集合网站,但是其中的玄机就在这里了:在关闭这个页面的时候会问你是不是把这个网站作为首页。一般我们都会按“否”,此时系统如果有“实时文件保护系统的时候”(例:诺顿服务器8.1)会提示winsys.vbs发现木马并已经隔离成功,当然没装病毒防护的自然什么提示都没有了,如果进行到这里,通常我们会认为这个网页有病毒并且已经被杀掉了,系统一切平安。但是恰恰当我们再次打开IE或其他浏览器的时候却是把网站www.58q.com作为首页了。我身边的好些朋友反映,这个默认主页怎么改都改不回去,一直死缠着系统。

通常我们IE设置这样的修改改不回去的时候,会把焦点集中到注册表。的确,运行regedit并搜索注册表内的www.58q.com的时候,我们会发现很多字段。当然可以把这些字段都改成about:blank或者自己习惯的默认主页。然而当再次打开浏览器的时候又会发现默认主页又变回了www.58q.com。想想明明是清理干净了注册表怎么又回回去呢?

www.58q.com的制造者确实很“阴”,在我们访问网站回答“否”的时候,他的winsys.vbs已经被执行了一把。而且偷偷在我们的系统盘上建立了一个非常类似于NT,2K,XP系统补丁目录的目录(够狠!),例如:$NtUninstallQ5588565$

由于文件夹被其设置了“隐藏”和“系统”属性,我们通常需要把“显示所有文件和文件夹”选项和“隐藏受保护的操作系统文件”都打开方能显示这个文件夹。

而由于每次修改后重新启动又被改回去默认设置,这不的不让我们怀疑我们的启动选项。我们可以用msconfig来观察注册表的启动选项,这样又可以发现两个如regedit -s $NtUninstallQ5588565$\winsys.cer 的启动选项。

至此,这个“幽灵”的布局基本明朗,我们也开始可以给系统动手术了:系统盘上的$NtUninstallQ5588565$文件夹与其下的winsys.cer(如果您没装病毒防护那还会多一个winsys.vbs),把这个文件夹彻底删除。注册表内就比较热闹了:首先在启动选项里有关winsys.cer的选项都删除,然后用F3搜索其它有关winsys.cer的项并将其键值清除。注意,搜索时候会遇到一个sys32项内的winsys.cer,只需要将键值清除,不要将整个项删除(可能因为操作系统不同而会有所差异,注意不要连累其他“键值”就好)。其次就是用F3搜索注册表内所有http://www.58q.com键值并改回自己的默认主页。ok!手术完成,重启一下看手术是否成功。