IE瀏覽器的攻擊與防范

在上網沖浪的時候，IE瀏覽器經常會成為病毒、木馬的攻擊對象，被攻擊之后的IE瀏覽器，可能會被修改得面目全非，無法用手工修復，或者勉強能夠被修復成功，但是重新啟動計算機系統后，又會恢復到被攻擊時的不正常狀態。那么網絡病毒究竟是如何攻擊IE瀏覽器的呢?IE瀏覽器又是如何被惡意修改的呢?面對IE瀏覽器被攻擊現象時，我們又該采取什么措施進行應對呢?

攻擊現象一、IE快捷方式被修改

雙擊Windows系統桌面中的IE快捷圖標時，IE瀏覽器會直接打開病毒網頁，而不是事先指定的網站頁面。這種現象表明IE瀏覽器的桌面快捷圖標已經被病毒強行修改，病毒通過控制IE快捷圖標的啟動參數，來強制IE瀏覽器訪問病毒指定的惡意站點，從而達到傳播病毒或攻擊系統的目的。

攻擊原理：病毒控制IE瀏覽器的啟動參數，主要通過兩種方法來完成。一是主動修改系統桌面中IE瀏覽器快捷圖標的屬性參數，例如，右擊系統桌面中IE瀏覽器的快捷圖標，切換到快捷方式標簽設置頁面，在“目標”文本框中，輸入“IE瀏覽器的真實路徑+空格+惡意站點頁面地址”，按“確定”按鈕后，用戶日后只要通過IE瀏覽器快捷圖標上網沖浪時，直接訪問的都是惡意站點頁面。二是通過修改系統注冊表中相關鍵值來指定啟動站點，例如，打開注冊表編輯窗口，將鼠標定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼AboutURLs分支下(如圖1所示)，右擊目標分支選項，從彈出的右鍵菜單中依次選擇“新建”、“字符串值”命令，將新創建的字符串鍵值名稱取為“aaa”，同時將其數值設置為“http：／／www.aaa.com”，這樣就能在系統桌面上自動生成一個IE瀏覽器快捷方式，打開該快捷方式的屬性對話框后，我們會看到目標文本框后面除了包含IE瀏覽器的真實路徑，還有“about：aaa”后綴，雙擊這樣的IE瀏覽器快捷方式后，就能強制IE瀏覽器直接訪問“http：／／www.aaa.com”這樣的病毒站點了。當然，為了讓指向病毒站點的IE快捷方式更逼真，病毒程序可能還會打開系統注冊表編輯窗口，定位到HKEY LOCALMACHINE＼SOFTWARE＼Classes＼InternetShortcut分支下(如圖2所示)，將目標分支下的“IsShortcut”鍵值刪除掉，這樣就能把IE快捷方式的小箭頭圖標隱藏起來了，這樣用戶就不會懷疑這個新生成的IE快捷方式了。

應對措施：首先要辨別出系統桌面上的IE快捷圖標究竟是真的還是假的；任進行辨別操作時，用鼠標右鍵單擊IE快捷圖標，點選右鍵菜單中的“屬性”命令，打開IE快捷圖標的屬性對話框，切換到快捷方式標簽設置頁面，檢查“目標”文本框中IE瀏覽器的真實路徑是否正確，如果后面有“about：aaa”、“www.aaa.com”之類的后綴信息時，那基本就能斷定目標IE快捷圖標是假圖標。其次用鼠標右鍵單擊假的IE快捷圖標，從右鍵菜單中選擇“刪除”命令，將它從系統桌面中清除干凈即可。

攻擊現象二、生成假的IE桌面圖標

有的時候，通過查看IE桌面圖標的屬性參數，根本無法辨別出對應圖標的真假，但是雙擊IE桌面圖標后，IE瀏覽器打開的仍然是病毒網站，這種IE桌面圖標其實是病毒程序煞費苦心制作的假圖標。

攻擊原理：病毒程序可以通過添加或修改CLSID的方式，來制造假的IE桌面圖標。病毒程序只要打開系統注冊表編輯窗口，將鼠標定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Desktop＼NameSpace分支以及HKEY-CLASSES ROOT＼CLSID分支下同時創建CLSID({871C5380-42A0-1069-A2EA-08002B303099})，之后在目標CLSID下分別創建“open”、“屬性”子項，并將“open”子項的默認值設置為“打開主頁”，再在“open”、“屬性”下面各創建一個“command”子項，同時將它們的默認值依次設置為“C：＼Program Files＼InternetExploer＼IexpIore.exe http：／／www.aaa.com”、“rund1132.exe shell32.dll，Control RunDllinetcpl.cpl”(如圖3所示)，其中“http：／／www.aaa.com”為病毒程序指定的惡意站點，這樣系統桌面上就出現了假的IE桌面圖標了。

應對措施：可以采取兩種方法刪除假的IE桌面圖標。一是打開系統注冊表編輯窗口，定位到上述兩個注冊表分支上，找到病毒程序自行創建的CLSID，并采用手工方法將它們刪除掉，不過這種方法有一定的難度，普通用戶往往無法識別出哪個CLSID是病毒創建的；對于無法識別的CLSID，可以通過上網搜索查詢，一般都能知道每個系統組件的CLSID，對于陌生的CLSID，必需及時將它從系統中刪除干凈。二是登錄進入一臺健康的計算機系統，打開系統注冊表編輯窗口，定位到上面兩個分支，并依次單擊“文件”|“導出”命令，將它們導出保存為兩個注冊表文件，之后再將它們導入到本地計算機系統，就能解決上述問題了。

攻擊現象三、IE首頁設置無法修改

很多病毒攻擊IE瀏覽器時，會通過修改注冊表中HKEYCURRENT-USER＼Software＼Microsoft＼Internet Explorer＼Main分支下的“StartPage”鍵值，來隨意篡改IE首頁設置，即使用戶打開IE瀏覽器的Internet選項設置對話框，嘗試手工修改IE首頁設置時，往往也無法取得成功。

攻擊原理：病毒在進行這種攻擊時，先是打開系統注冊表編輯窗口，定位到HKEY-CLASSES-ROOT＼CLSID＼{871C5380-42A0-1069-A2EA-08002830309D}＼shell＼OpenHomePage＼Command分支上(如圖4所示)，在目標分支下將默認值設置為“C：＼Program Files＼Internet ExploerXIexplore.exe‘www.aaa.com’”，這么一來用戶無論在Internet選項設置對話框中，將IE首頁設置成什么網站地址，IE瀏覽器都會直接訪問病毒事先指定的“www.aaa.com”站點頁面。

應對措施：既然病毒是通過修改HKEY-CLASSES ROOT＼CLSID＼{871C5380-42A0-1069-A2EA-08002830309D}＼shell＼OpenHomePage＼Command分支下的默認鍵值阻止用戶修改IE首頁設置的，那么我們只要再次定位到目標分支下，打開默認值的屬性對話框，將最后的“www.aaa.com”內容給刪除掉即可。為了防止下次再發生類似的攻擊，我們可以對目標分支的訪問權限進行調整，僅讓可信任用戶能修改該分支下的鍵值內容，其他人都無法進行修改。

攻擊現象四、IE重啟后又不正常了

當IE設置被病毒修改，用戶嘗試手工恢復后，瀏覽器的工作狀態恢復正常了，可是重新啟動瀏覽器后，它的工作狀態又不正常了。

攻擊原理：病毒可以采用兩種方法實現上述攻擊目的。一是利用關機事件，創建能夠自動重啟病毒的運行腳本，并將腳本程序添加到系統注冊表的HKEY-LOCAL-MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group Policy＼State＼Machine＼Scripts分支下，這樣系統每次關機之前都會自動執行目標腳本程序，那么IE瀏覽器的設置又會被病毒自行修改了。二是通過desktop.ini文件，來啟動運行VBS腳本程序，而在腳本程序中寫入強行啟動病毒程序的代碼，那么系統日后每次開機啟動時，病毒程序將會自動發作運行，修改IE瀏覽器的設置。

應對措施：檢查HKEYLOCAL-MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group Policy＼State＼Machine＼Scripts分支、HKEYCLASSES-ROOTXinifile＼shellex分支下的關機腳本和啟動病毒程序的VBS腳本是否存在，如果存在的話，只要手工將它們刪除，就能避免上述攻擊現象再次發生了。除了檢查注冊表外，還應該檢查系統組策略中的注銷、關機、登錄等事件腳本，確保沒有自動啟動病毒程序的惡意腳本存在。

預防IE瀏覽器遭遇攻擊

IE瀏覽器遭遇病毒攻擊的話，輕則影響用戶的上網沖浪，重則能導致系統發生癱瘓，甚至還能引發安全事故。為此，我們必需要迅速行動，采取針對性措施預防IE瀏覽器遭遇攻擊：

關閉Remote Registry服務

默認狀態下，Windows系統會允許遠程用戶修改本地計算機中的注冊表設置，這樣很多病毒就能將一些惡意代碼植入到注冊表中，以便達到遠程攻擊的目的，此時只要關閉RemoteRegistry服務，就能徹底禁止遠程修改注冊表的功能了，那么病毒程序自然也就無法通過修改注冊表的方法IE瀏覽器了。在關閉Remote Registry服務時，可以按照如下步驟來進行：

首先依次單擊“開始”|“設置”|“控制面版”選項，逐一雙擊系統控制面板窗口中的“管理工具”|“服務”圖標，在右側列表界面中雙擊“Remote Registry”服務選項，彈出如圖5所示的選項設置窗口；

其次在“常規”標簽頁面中，點擊“停止”按鈕，暫停目標系統服務的運行狀態，再將“啟動類型”參數選擇為“已禁用”，這樣就能徹底禁止遠程修改注冊表的功能了。日后，病毒程序無法再遠程修改本地系統的注冊表，那么IE瀏覽器自然也就不會被隨意篡改了。

嚴格控制運行權限

一些病毒、木馬程序可能會自動下載保存到本地系統，再將運行代碼寫入到注冊表的“Run”分支下，實現病毒木馬的自動運行，給本地IE瀏覽器造成安全危害。為了預防病毒、木馬程序修改本地注冊表，實現自動運行發作目的，我們可以進行如下設置操作，來關閉病毒、木馬的運行權限：

首先打開本地計算機的“開始”菜單，選擇“運行”命令，輸入“regedit”命令，按回車之后，切換到系統注冊表編輯窗口；依次展開該編輯窗口左側區域中的“HKEY CURRENTMACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”分支，并用鼠標選中該分支選項；

其次逐一點選“編輯”、“權限”選項，打開如圖6所示的權限設置界面，添加導入everyone帳號，并將該賬號訪問權限設置為“讀取”；同樣地，要將除系統管理員以外的其他帳號權限統統設置為“讀取”，而不能設置為“完全控制”，再按“確定”按鈕返回；

考慮到一些病毒程序會以服務方式來運行，因此再選中注冊表窗口中的“HKEYCURRENT-MACHINE＼SYSTEMX＼CurrentControlSet＼Services”選項，依次選擇“編輯”|“權限”選項，在彈出的權限設置界面中，將除了系統管理員以外的其他帳號權限也設置為“只讀”。

啟用IE增強安全功能

為了保護IE瀏覽器的安全性，Win2008系統設計出了IE增強安全功能，借助該功能能大幅提高IE安全區域上的缺省安全等級，從而降低IE瀏覽器遭遇潛在攻擊的暴露程度。在啟用IE增強安全功能時，可以按照如下步驟來執行：

首先關閉所有IE瀏覽器窗口，之后打開Win2008系統的“開始”菜單，依次選擇“程序”|“管理工具”|“服務器管理器”選項，打開服務器管理器窗口，單擊“安全信息”位置處的“配置IE ESC”選項，彈出如圖7所示的IE增強安全對話框；

其次將“管理員”、“用戶”位置處的“啟用”選項選中，再按“確定”按鈕，這樣一來Win2008系統就能將IE增強安全功能啟用成功了。日后要想關閉IE增強安全功能時，只要選中“管理員”或“用戶”下的“禁用”選項即可了。

控制寫入關機腳本

某些病毒程序會通過寫入關機腳本的方式，來達到自動重啟病毒的目的，因此我們有必要控制寫入關機腳本的權限，禁止病毒通過關機事件來反復修改IE瀏覽器的設置，下面就是具體的控制步驟：

首先依次單擊“開機”、“運行”選項，在彈出的系統運行對話框中，輸入“regedit”命令，切換到系統注冊表編輯窗口；將鼠標定位到該編輯窗口左側的“HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group PoHcy＼State＼Machine＼Scripts”分支上，如圖8所示；

其次逐一點選“編輯”、“權限”命令，彈出權限設置對話框，在這里將除了系統管理員以外的其他賬號權限設置為“只讀”，再單擊“確定”按鈕保存設置操作，最后重新啟動計算機系統，這樣病毒就無法隨意向本地系統寫入關機腳本了。

控制病毒自動下載

一些病毒、木馬程序相當“狡猾”，有時沒有經過用戶的允許，就會自動從網上下載并安裝到本地硬盤中了；如果這些病毒木馬破壞性強的話，那么IE瀏覽器就可能遭受嚴重破壞。為此，我們可以控制自動下載功能，來預防這些破壞性極大的病毒、木馬程序自動下載到本地系統中，下面就是具體的控制步驟：

首先依次單擊“開始”|“運行”選項，輸入“gpedit.msc”命令，彈出組策略編輯窗口；展開“用戶配置”分支，逐一單擊“管理模板”|“windows組件”|“Internet Explorer”|“安全功能”|“限制文件下載”分支，在目標分支下面雙擊“Internet Explorer進程”選項，打開目標選項設置對話框(如圖9所示)；選中“已啟用”選項，同時按“確定”按鈕返回，這樣IE瀏覽器日后就會限制任何文件執行自動下載操作了。