网页木马的防范只靠杀毒软件和防火墙是远远不够的,因为一旦黑客使用了反弹端口的个人版木马(个人反汇编的一些杀毒软件无法识别的木马),那么杀毒软件和防火墙就无可奈何,所以,网页木马的防范要从它的原理入手,从根子上进行防范。
㈠即时安装安全补丁
网页木马都是利用IE漏洞进行传播的,我们拿冰狐浪子的网页木马(用“冰狐浪子网页木马生成器”制作的网页木马)来说吧,该网页能绕过IE的安全设置,当用户连接到该网页时,它能在普通用户不知情的情况下在后台下载一个木马并运行(安装)该木马。所以,经常到微软网站去下载并安装最新的安全补丁是防范网页木马比较有效的办法。
㈡改名或卸载(反注册)最不安全的ActiveXObject(IE插件)
在系统中有些ActiveXObject会运行EXE程序,比如本文中“自动运行程序”代码中的Shell.application控件,这些控件一旦在网页中获得了执行权限,那么它就会变为木马运行的“温床”,所以把这些控件改名或卸载能彻底防范利用这些控件的网页木马。但是ActiveXObject是为了应用而出现的,而不是为了攻击而出现的,所有的控件都有它的用处,所以在改名或卸载一个控件之前,你必须确认这个控件是你不需要的,或者即使卸载了也不关大体的。
⒈卸载(反注册)ActiveXObject
第一步:在“开始”菜单上单击“运行”,输入“CMD”命令打开命令提示符窗口。
第二步:在命令提示符下输入“regsvr32.exe shell32.dll /u/s”,然后回车就能将Shell.application控件卸载。
如果日后我们希望继续使用这个控件的话,可以在命令提示符窗口中输入“regsvr32.exe shell32.dll /i/s”命令将它们重新安装(注册)。在上述命令中:“regsvr32.exe”是注册或反注册OLE对象或控件的命令,[/u]是反注册参数,[/s]是寂静模式参数,[/I]为安装参数。
⒉改名ActiveXObject
需要说明的是,改名一个控件时,控件的名称和CLSID(Class ID)都要改,并且要改彻底了。下面仍以Shell.application为例来介绍方法。
第一步:打开注册表编辑器,查找“Shell.application”。用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。
第二步:把{13709620-C279-11CE-A49E-444553540000}改为{13709620-C279-11CE-A49E-444553540001},注意,不要和系统中的其它CLSID重复。