当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 阴险的58q.com

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 阴险的58q.com


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 53 ::
收藏到网摘: n/a

相信很多的朋友都上网有用过搜索引擎的经历,其中搜索东西的时候有时候的会链到一个叫www.58q.com的网站,咋一看这个网站很普通,类似于包罗万象的超链集合网站,但是其中的玄机就在这里了:在关闭这个页面的时候会问你是不是把这个网站作为首页。一般我们都会按“否”,此时系统如果有“实时文件保护系统的时候”(例:诺顿服务器8.1)会提示winsys.vbs发现木马并已经隔离成功,当然没装病毒防护的自然什么提示都没有了,如果进行到这里,通常我们会认为这个网页有病毒并且已经被杀掉了,系统一切平安。但是恰恰当我们再次打开IE或其他浏览器的时候却是把网站www.58q.com作为首页了。我身边的好些朋友反映,这个默认主页怎么改都改不回去,一直死缠着系统。

通常我们IE设置这样的修改改不回去的时候,会把焦点集中到注册表。的确,运行regedit并搜索注册表内的www.58q.com的时候,我们会发现很多字段。当然可以把这些字段都改成about:blank或者自己习惯的默认主页。然而当再次打开浏览器的时候又会发现默认主页又变回了www.58q.com。想想明明是清理干净了注册表怎么又回回去呢?

www.58q.com的制造者确实很“阴”,在我们访问网站回答“否”的时候,他的winsys.vbs已经被执行了一把。而且偷偷在我们的系统盘上建立了一个非常类似于NT,2K,XP系统补丁目录的目录(够狠!),例如:$NtUninstallQ5588565$

由于文件夹被其设置了“隐藏”和“系统”属性,我们通常需要把“显示所有文件和文件夹”选项和“隐藏受保护的操作系统文件”都打开方能显示这个文件夹。

而由于每次修改后重新启动又被改回去默认设置,这不的不让我们怀疑我们的启动选项。我们可以用msconfig来观察注册表的启动选项,这样又可以发现两个如regedit -s $NtUninstallQ5588565$\winsys.cer 的启动选项。

至此,这个“幽灵”的布局基本明朗,我们也开始可以给系统动手术了:系统盘上的$NtUninstallQ5588565$文件夹与其下的winsys.cer(如果您没装病毒防护那还会多一个winsys.vbs),把这个文件夹彻底删除。注册表内就比较热闹了:首先在启动选项里有关winsys.cer的选项都删除,然后用F3搜索其它有关winsys.cer的项并将其键值清除。注意,搜索时候会遇到一个sys32项内的winsys.cer,只需要将键值清除,不要将整个项删除(可能因为操作系统不同而会有所差异,注意不要连累其他“键值”就好)。其次就是用F3搜索注册表内所有http://www.58q.com键值并改回自己的默认主页。ok!手术完成,重启一下看手术是否成功。