当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 阴险的58q.com

安全基础
U盘病毒预防的一个小技巧
微软漏洞补丁阻止防溢出者病毒
“网游盗号木马”将成为新毒王
IE浏览器RealPlayer的安全漏洞
网上购物 网络购物陷阱要预防
预先付费骗局让聪明人更容易相信
非法程序传播垃圾邮件的防范方法
汇款时收到只有卡号的短信
黑客入侵网站的常用方法
EXE可执行文件无法打开的解决方法
关于Gmail可能不知道的几个功能
微软官方提供的密码强度在线测试工具
网页代码中的“隐形杀手”分类
关闭无用服务保证Windows系统安全
网络信息安全与保密的6个技术目标
简单几招对付捆绑木马的技巧
让企业远离四处潜伏的众多安全威胁
有助于拨号上网用户预防黑客入侵的方法
工行专家建议的网上交易的安全性
网吧上网养成上网后清除个人信息的习惯

安全基础 中的 阴险的58q.com


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 50 ::
收藏到网摘: n/a

相信很多的朋友都上网有用过搜索引擎的经历,其中搜索东西的时候有时候的会链到一个叫www.58q.com的网站,咋一看这个网站很普通,类似于包罗万象的超链集合网站,但是其中的玄机就在这里了:在关闭这个页面的时候会问你是不是把这个网站作为首页。一般我们都会按“否”,此时系统如果有“实时文件保护系统的时候”(例:诺顿服务器8.1)会提示winsys.vbs发现木马并已经隔离成功,当然没装病毒防护的自然什么提示都没有了,如果进行到这里,通常我们会认为这个网页有病毒并且已经被杀掉了,系统一切平安。但是恰恰当我们再次打开IE或其他浏览器的时候却是把网站www.58q.com作为首页了。我身边的好些朋友反映,这个默认主页怎么改都改不回去,一直死缠着系统。

通常我们IE设置这样的修改改不回去的时候,会把焦点集中到注册表。的确,运行regedit并搜索注册表内的www.58q.com的时候,我们会发现很多字段。当然可以把这些字段都改成about:blank或者自己习惯的默认主页。然而当再次打开浏览器的时候又会发现默认主页又变回了www.58q.com。想想明明是清理干净了注册表怎么又回回去呢?

www.58q.com的制造者确实很“阴”,在我们访问网站回答“否”的时候,他的winsys.vbs已经被执行了一把。而且偷偷在我们的系统盘上建立了一个非常类似于NT,2K,XP系统补丁目录的目录(够狠!),例如:$NtUninstallQ5588565$

由于文件夹被其设置了“隐藏”和“系统”属性,我们通常需要把“显示所有文件和文件夹”选项和“隐藏受保护的操作系统文件”都打开方能显示这个文件夹。

而由于每次修改后重新启动又被改回去默认设置,这不的不让我们怀疑我们的启动选项。我们可以用msconfig来观察注册表的启动选项,这样又可以发现两个如regedit -s $NtUninstallQ5588565$\winsys.cer 的启动选项。

至此,这个“幽灵”的布局基本明朗,我们也开始可以给系统动手术了:系统盘上的$NtUninstallQ5588565$文件夹与其下的winsys.cer(如果您没装病毒防护那还会多一个winsys.vbs),把这个文件夹彻底删除。注册表内就比较热闹了:首先在启动选项里有关winsys.cer的选项都删除,然后用F3搜索其它有关winsys.cer的项并将其键值清除。注意,搜索时候会遇到一个sys32项内的winsys.cer,只需要将键值清除,不要将整个项删除(可能因为操作系统不同而会有所差异,注意不要连累其他“键值”就好)。其次就是用F3搜索注册表内所有http://www.58q.com键值并改回自己的默认主页。ok!手术完成,重启一下看手术是否成功。