网页病毒与木马

网页病毒与木马

前言

作为互联网用户的一员，大部分用户都有过类似的经历，当我们打开电脑，登陆QQ或msn的时候，刚一登陆，就收到离线消息，某个好友发来一个网址 http://www.xxxx.net/，附加着非常诱人的描述“这是我最新的照片，有空别忘了来看看奥”。如果对这样的信息您已经收到过无数次，屡见不鲜，可能你会对“好友”的信息置之不理；如果发送信息的“好友”是您暗恋多年的同学或往昔情人，相信您有时候还是无法抵御“好奇”的诱惑，鼠标轻轻按了下去……如果您用的是IE浏览器，或IE内核的浏览器，比如360，遨游等，那么恭喜您，“中了！”虽然和“中状元”的“中”是同一个字，不过我相信和 “中毒”的“中”更相似。

病毒与木马

病毒与木马是威胁普通个人用户信息安全的两大杀手。下面介绍一下病毒和木马的特点。

病毒：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

木马：全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵 藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载 (Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信 息丢失甚至令系统瘫痪。

病毒入侵的特点就是自我复制性，以各种各样变种的“蠕虫”为例，“蠕虫”病毒通过网络进行复制和传播，传播速度快，杀伤力大，但是杀毒软件厂商能很快做出反应，生存周期短。

木马与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

安全现状

2009年度，木马后门病毒在全部计算机病毒总数中仍然高居85.9%的比例，继续高居计算机病毒榜首；而攻击漏洞的恶意代码则呈现上升趋势，较 2008年增长了100%。网页挂马数量激增，2009年度，江民恶意网页监测系统监测到的常见挂马网页病毒源网址（非挂马网页本身）地址已经达到1万余个，按平均每个恶意网站挂马1000个正常网页计算，2009年度整个互联网被挂马的次数达到1000万次以上，较2008年度增长10倍。

常见的网页木马中招症状

第一、电脑中的默认主页会被无故更改，并且IE工具栏内的修改功 能被屏蔽掉；
第二、在电脑桌面上无故出现陌生网站的链接，无论怎么删除，每次开机都依旧 会出现，如果单击鼠标右键，出现的工具栏中有也会有大量陌生网站的链接
第三、开机后，无法进入DOS实模式；仅对WIN9X系统
第四、电脑桌面及桌面上的图标被隐藏
第五、注 册表编辑器被告知“已锁定”，从而无法修改注册表
第六、上网之前，系统一切正常，下网之后系统就会出现异常情况，如系统盘丢失、硬盘遭到格式 化等，查杀病毒后仍无济于事
第七、上陌生网站后，出现提示框“您已经被XX病毒攻击”，之后系统出现异常
第八、登陆站点后，发现 一个窗口迅速打开后又消失，自己的计算机系统文件夹内多了几个未知的好象是系统文件的新文件
第九、发现系统的进程中多了几个未知进程，而且杀 不掉，重起后又会出现
第十、自己的计算机CPU利用率一直是高居100%，好象是在运行什么占用内存的东西
第十一、登陆某站点 后，杀毒监控软件报警，并删除病毒文件，位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八，第九，第十中的现象
第十二、发现中毒后，反复杀毒，病毒反复复发，根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕，但重新启动后又出现问题。
第十三、会不 定时的弹出广告。
第十四、自己的私有帐号无故丢失。

网页病毒入侵

什么是网页木马或网页病毒？
网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其实是使用一些script语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。当用户登录某 些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防。
下面以介绍一些的常见的漏洞
Windows脚本宿主，InternetExplorer漏洞以及相关。 WSH，是“Windows scripting Host”的缩略形式，其通用的中文译名为“Windows 脚本宿主”。对于这个较为抽象的名词，我们可以先作这样一个笼统的理解：它是内嵌于Windows操作系统中的脚本语言工作环境。 WSH架构于ActiveX之上，通过充当ActiveX的脚本引擎控制器，WSH为Windows用户充分利用威力强大的脚本指令语言扫清 了障碍。
WSH也有它的不足之处，任何事物都有两面性，WSH也不例外。应该说，WSH的优点在于它使我们可以充分利用脚本来实现计算机工作 的自动化；但不可否认，也正是它的这一特点，使我们的系统又有了新的安全隐患。许多计算机病毒制造者正在热衷于用脚本语言来编制病毒，并利用WSH的支持 功能，让这些隐藏着病毒的脚本在网络中广为传播。借助WSH的这一缺陷，通过JAVAscript，VBscript，ACTIVEX等网页脚本语言，就 形成了现在的“网页危机”。
促使这一问题发生的还有问题多多InternetExplorer的自身漏洞。比如：“错误的 MIMEMultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头”，“MicrosoftInternetExplorer浏览器弹出窗口Object类型验证漏洞”。而以下介绍的几个组件存在的问题或漏洞或是在安 全问题上的过滤不严密问题，却又造成了“网页危机”的另外一个重要因素。
Java语言可以编写两种类型的程序：应用程序 (Application)和小应用程序(Applet)。应用程序是可以独立运行的程序，而Applet不能独立运行，需要嵌入HTML文件,遵循一套 约定，在支持Java的浏览器(如：NetscapeNavigator2.02版本以 上，HotJava,MicrosoftInternetExplorer3.0版本以上)运行，是Java一个重要的应用分支，也是当时Java最令人 感兴趣的地方(它一改网页呆板的界面)，就是在WWW网页(HomePage/Pages)设计中加入动画、影像、音乐等，而要达到这些效果使用最多的是 JavaApplet和Javascript(这是一种Java的命令语言)。
Javascript是一种基于对象(Object)和事件驱 动(EventDriven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互作用。从而可以开发客户端的应用程序 等。它是通过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷，它是Java与HTML折衷的选择，具有基于对象、简单、 安全、动态、跨平台性等特性。
ActiveX是Microsoft提出的一组使用COM(ComponentObjectModel，部件对 象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX被广泛应用于WEB 服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。在Applet中可以使用ActiveX技术，如直接嵌入 ActiveX控制，或者以ActiveX技术为桥梁，将其它开发商提供的多种语言的程序对象集成到Java中。与Java的字节码技术相 比，ActiveX提供了“代码签名”(CodeSigning)技术保证其安全性。

如何防范网页木马

一、养成安全的网站浏览习惯
用户应该养成安全的网站浏览习惯，不要随便点击各种来源不明，说明带有引诱语言的链接，防止落入攻击者的陷阱；遇到合法网站被攻 击者攻陷并挂上网页木马，用户也应该报告网站管理员。
二、安装并及时更新反病毒软件
用户可尽量选择网页木马查杀能力较强的反病毒软件，并及时更新病毒特征库，这样的话，即使网页木马使用了最新的加密技术躲过反 病毒软件的检测，但较新的病毒特征库也能尽可能用户免受紧跟网页木马而来的恶意软件的损害。
三、使用第三方浏览器
浏览器的漏洞是网页木马盛行的罪魁祸首,由于目前互联网上常见的网页木马所使用的是针对IE浏览器及其ActiveX控件的漏洞，因此，使用 Firefox等非 IE内核的第三方浏览器可以从源头上堵住网页木马的攻击，不过第三方浏览器在页面兼容性上稍逊IE浏览器，而且一些特别的网页，如各种使用ActiveX 密码登陆控件的网上银行不能使用第三方浏览器登陆，用户在浏览这类网页时可使用IE浏览器。国内的一些IE 克隆，比如360，遨游等，都是用的IE内核，从安全性来讲，和IE没有本质的区别。下面是从网上找到的Firefox比IE更安全性的理由，可以借鉴一下。
1. Firefox 不是完美的软件，不过它的缺陷能够在相 当短的时间内得到修正。许多新用户可能很好奇——Firefox 真的很安全？它更新非常快速，而不是放在月度表中，记录大小不足10MB。它会自动通知和提示用户安装更新，而且只需要一次点击。在现代的计算机上，这个 更新不过不会花费超过一分钟的时间。
2. 因为 Firefox 是开源的，任 何人都可以查看源代码，任何人都可以发现问题并帮助修复。 你会将汽车钥匙交给一个告诉你“相信我”的家伙，还是放在一个拥有视频监控和停车登记的地方？
3. ActiveX 小程序，IE 浏览器扩展其功能的方式，是公认的恶意软件和病毒高速路。Firefox 使用经过验证和签名和扩展。即使你选择安装了恶意扩展——浏览器警告了你——其损害也限于浏览器的信息，而 ActiveX 漏洞却可以用来控制整个的电脑。
4. 有意的用户可以安装 NoScript， 一个关注仍未修补漏洞的扩展，不管是 Firefox 还是其他的插件，比如 Java、JavaScript 和 Adobe Flash 等。它通过允许用户选择性的启用信得过的交互对象，自动阻止其余对象来实现功能。
5. 因为用户少而安全：恶意程序总是瞄准拥有最大用户群体的浏览器，尤其是如果该用户群体技术知识比较弱。
6.Firefox使用一款 Google 提供的服务来在用户进入潜在的恶意网站前进行提醒。这些网站通过蒙混来询问你的财务数据或者包 含恶意软件，通常假装成有用的东西比如编解码器或者注册表修复。