斬斷伸向IE主頁的黑手

■

IE的主頁信息實際上保存在注冊表中，惡意程序通常會對其進行非法修改，來實現(xiàn)控制IE主頁的目的。運行“regedit.exe”程序，在注冊表編輯器中打開“HKEY_C U R R E N T_U S E RS o f t w a r eM i c r o s o f tInternet ExplorerMain”分支，在右側(cè)窗口檢查“Start Page”鍵值名，判斷其內(nèi)容是否為默認的“about:blank”。如果包含非法網(wǎng)址，將其刪除即可。打開“HKEY_U S E R SS-1-5-2 1-842925246-1580818891-682003330-500SoftwareM i c r o s o f tI n t e r n e t ExplorerMain”分支，檢測其中的“Start Page”鍵值名是否被非法修改。

注意:其中的以“S-1-5-21”啟示的字符串每臺主機可能不同。

當然，直接的方法是點擊“Ctrl+F3”鍵，輸入惡意網(wǎng)址內(nèi)容，對注冊表進行全面搜索，來發(fā)現(xiàn)并清除隱藏惡意網(wǎng)站的鍵值。此外，應該注意惡意網(wǎng)址可能會被進行加密處理，例如對于“www.xxx.com”網(wǎng)址來說，經(jīng)過加密后，會變成“http://%77%77%77%2E%78%78%78%2E%63%6F%6D/”字樣，隱藏在特定的注冊表鍵值中，則很難搜索到。為此可以運行Sreng這款安全工具。在其主界面左側(cè)點擊“智能搜索”按鈕和“掃描”按鈕，操作完畢后，將掃描結(jié)果保存為獨立的文件。在該文件中的“瀏覽器加載項”部分就很容易發(fā)現(xiàn)加密后的惡意網(wǎng)址，以及對應的注冊表位置，進入可以將其找到并清除。

當在IE屬性窗口的“主頁”欄中并沒有發(fā)現(xiàn)惡意網(wǎng)址，也不能掉以輕心，因為惡意程序可能將桌面上的正常IE圖標刪除，之后新建一個IE快捷方式，在其屬性窗口中的“目標”欄中的IE運行路徑后面添加包含惡意網(wǎng)址的參數(shù)。解決方法是將該非法IE快捷方式刪除。如果桌面上的虛假IE圖標無法刪除，可以在注冊表中 打 開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace”分支，在其下檢測是否有可以子健，默認只有5個子健，包括回收站、搜索文件夾等。找到非法項目（例如{xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxx}）后，將其刪除。并在“HKEY_CLASSES_ROOTCLSID”分支中搜索該項目名稱，并將搜索到的子健刪除，就可以刪除桌面上的非法IE圖標了。

此外，在注冊表中打開“HKEY_CLASSES_ROOTCLSID{871C5380-4 2 A 0-1 0 6 9-A 2 E A-0 8 0 0 2 B 3 0 3 0 9 D}shellOpenHomePageCommand”，可以看到 IE 的運行路徑，如果惡意程序在其路徑后面添加惡意網(wǎng)址，那么在啟動IE時進入惡意網(wǎng)站，為此，只需將其后面跟隨的惡意網(wǎng)址刪除。不過，有時惡意程序為了迷惑用戶，會將惡意網(wǎng)站進行加密處理，其手法很簡單，例如對于某網(wǎng)址來說，可以將其IP轉(zhuǎn)換為十六進制，然后再將其轉(zhuǎn)換為十進制，得到看起來不太惹眼的數(shù)值，例如1089060423等，將其附加在IE路徑后面，對于警惕性不高的人來說，很容易讓其蒙混過關(guān)。遇到這樣的情況，最好將IE路徑后面的“尾巴”清除，不讓惡意網(wǎng)站劫持IE。

圖1 使用AutoRuns檢測驅(qū)動信息

除了通過注冊表修改IE主頁外，惡意程序還會通過更加高級的手段，來對IE主頁進行篡改。例如，現(xiàn)在的“主流”惡意程序會采用創(chuàng)建驅(qū)動程序的手法，從底層侵入系統(tǒng)，這樣，當系統(tǒng)啟動后，就會自動加載該不法驅(qū)動模塊，當其被激活后，就會對IE主頁以及其它配置項目進行篡改，即使您對注冊表進行全面搜索，也無法發(fā)現(xiàn)其蹤跡。為此，可以運行AutoRuns這款安全工具，在其中可以查看所有的啟動項目。打開“驅(qū)動”面板（如圖1所示），可以顯示所有的驅(qū)動模塊。對于可疑模塊，AutoRuns會以黃色進行標識。對于危險性高的模塊，AutoRuns會以紅色進行標識，對其進行比較分析，可以很容易發(fā)現(xiàn)其中的不法分子，對于拿不準的模塊，可以在其右鍵菜單上點擊“在線搜索”項，對其進行詳細分析。

對于確認的不法驅(qū)動模塊，可以在其右鍵菜單上點擊“刪除”項，將其清除。為了防止出錯，可以先點擊“跳轉(zhuǎn)到文件夾”項，將對應的驅(qū)動文件復制出來，如果刪除出錯可以及時恢復。同AutoRuns相比，Security Autorun的功能更加強大，堪稱啟動項大管家。例如，在其“Driver List”面板中毫無遺漏地顯示全部驅(qū)動模塊，包括其名稱、描述信息、狀態(tài)、關(guān)聯(lián)的文件路徑等信息。對于可疑模塊，在其右鍵菜單中點 擊“Disable Items”項，禁用該模塊，點擊“Delete Items”項，刪除該模塊。點擊“Jump”項，可以跳轉(zhuǎn)到目標路徑或者注冊表分支中。點擊“Properties”項，可以查看相關(guān)文件的屬性。

除了通過加載驅(qū)動模塊的方法來篡改IE主頁外，惡意程序還會利用加載DLL動態(tài)庫的伎倆，將自身注入到IE進程中，來動態(tài)綁架IE主頁。對于這樣的方法，在注冊表中是搜索不到相關(guān)線索的，而且桌面上IE圖標不管是外觀還是運行參數(shù)都沒有任何可疑之處。例如，筆者就曾經(jīng)遇到過這樣的情況，剛開始按照常規(guī)方法沒有發(fā)現(xiàn)問題所在。后來打開安裝的某款主動防御安全工具提供的日志文件時，在其中發(fā)現(xiàn)了相關(guān)線索，日志提示在IE的進程自動生成了某個來歷不明的EXE文件，該程序又在“C:Windowssystem32”文件夾下生成了某個DLL文件。運行Wsyschk這款安全工具，在“進程管理”面板中選擇“iexplorer.exe”，在窗口底部的“模塊路徑”欄中仔細查找，果然找到了該DLL文件。

筆者先關(guān)閉了IE，然后 在“C:Windowssystem32”路徑中找到了該DLL文件并對其更名，之后再次運行IE，在Wsyschk程序中就沒有發(fā)現(xiàn)其蹤跡，說明該DLL文件的確注入到了IE進程中，進而篡改主頁的。將該DLL刪除，并在注冊表中搜索和該DLL相關(guān)的鍵值，之后刪除并重啟系統(tǒng)，問題得以徹底解決。但是殺毒軟件地沒有檢測到該DLL文件，說明其經(jīng)過了免殺處理。

當然，惡意程序往往比較狡猾，并非單純地使用上述某種方式來綁架IE，而是采用多種手段聯(lián)合使用的伎倆，來達到引誘用戶誤入惡意網(wǎng)站的目的。

例如，當惡意程序滲透進入系統(tǒng)后，會在桌面創(chuàng)建幾個快捷方式，以桌面美化、休閑游戲等名稱來迷惑用戶，其圖標看起來也比較吸引人，一旦用戶誤擊了這些圖標，就會落入陷阱之中。

所以，不僅要使用上述方法恢復IE主頁的本來面目，而且要跟蹤追擊，將暗中破壞的病毒木馬等惡意程序一并清除，才可以從根本上解決問題。

有時，當您在修改IE快捷方式各項屬性時，系統(tǒng)會彈出“無法將所做的改動保存 到 Internet Explorer.lnk 拒絕訪問”的提示，表明惡意程序?qū)⒃摽旖莘绞皆O置成了只讀屬性，只需將其屬性恢復到正常狀態(tài)，就可以進行所需的調(diào)整操作了。此外，惡意程序也可能將相關(guān)路徑的屬性設置為只讀，例如 將“C:Documents and SettingsAdministrator桌面”、“C:Documents and SettingsAdministratorA p p l i c a t i o n D a t aM i c r o s o f tI n t e r n e t ExplorerQuick Launch”等特殊文件夾設置為只讀屬性，同樣可以阻擋用戶恢復IE快捷方式的相關(guān)屬性。如果出現(xiàn)無法取消只讀屬性的問題，說明權(quán)限設置被惡意修改。在文件夾選項窗口中取消“使用簡單文件共享”項選擇狀態(tài)，在上述文件夾屬性窗口中的“安全”面板檢查當前用戶是否擁有對該文件夾的完全控制和修改等權(quán)限，設置好合適的權(quán)限后，再對其進行修改。

如果對注冊表進行修改時（例如刪除非法鍵值等），系統(tǒng)彈出錯誤提示的話，這說明惡意程序?qū)ο嚓P(guān)注冊表鍵值的權(quán)限進行了封鎖，為此可以在對應子健的右鍵菜單上點擊“權(quán)限”項，查看當前用戶是否擁有完全控制權(quán)限，如果沒有的話將其添加進來，就可以對其進行修改了。一般來說，需要針對當前賬戶啟用“完全控制”和“讀取”兩項權(quán)限。如果惡意程序?qū)斍百~戶從權(quán)限列表中刪除，則需要“高級”按鈕，之后添加當前賬戶，然后賦予其權(quán)限即可。此外，如果在Windows 7等系統(tǒng)中遇到桌面上IE圖標無法刪除和修改，而且在注冊表等地方也查不出什么異常的話，就需要注意共享設置方面是否存在問題了。例如，有些流氓軟件可能會將IE快捷方式設置為共享狀態(tài)，而處于共享狀態(tài)的快捷方式是無法被刪除的。檢測的方法很簡單，在IE快捷方式的右鍵菜單上查看是否有“共享”項，如果有的話，進入其共享設置界面，將其共享屬性消除，然后就可以對其進行修改或者刪除了。