論木馬技術與網站惡意代碼防護

【摘要】網頁木馬是利用網頁來進行破壞的病毒，它包含在惡意網頁之中，使用腳本語言編寫惡意代碼，依靠系統的漏洞，如IE瀏覽器存在的漏洞來實現病毒的傳播。當用戶登陸了包含網頁病毒的惡意網站時，網頁木馬便被激活，受影響的系統一旦感染網頁病毒，就會遭到破壞，輕則瀏覽器首頁被修改，標題改變，系統自動彈出廣告，重則被裝上木馬，感染病毒，使用戶無法進行正常的使用。甚至會引起系統崩潰，敏感信息丟失等嚴重后果。由于腳本語言易于掌握，所以網頁木馬非常容易編寫和修改，造成很難提取特征值，增加了殺毒軟件查殺以及用戶預防的困難。本文重點對網站惡意代碼傳播方式進行分析，并重點介紹了網站惡意代碼傳播防護的保護與防范。

【關鍵詞】木馬；網站；防范

一、特洛伊木馬

這種病毒是根據古希臘神話中的木馬來命名的，它從表面上看沒有什么，但實際卻隱含著惡意程序。一部分木馬會通過覆蓋系統中已存在的文件的方式存隱藏于系統之中，它還可以攜帶惡意代碼，還有一些木馬通過一個軟件的身份出現（例如：一個可以下載的游戲），但是實際上它是一個竊取密碼的工具。這種病毒通常不易被用戶發現，因為它通常以一個正常的程序的身份在系統中運行。特洛伊木馬可以分成三種模式：

（1）一般隱藏在正常的程序應用中，攜帶執行獨立的惡意操作

（2）一般隱藏在正常的程序應用中，但會更改正常的程序進行惡意操作

（3）完全覆蓋了正常的程序應用，并執行惡意操作

大部分木馬都能使木馬控制者登錄上被感染的計算機上，并且擁有絕大多數管理員級的控制權限。為達到此目的，木馬一般包括一個客戶端和一個服務器端客戶端放在木馬控制者的計算機中，服務器端放置在被入侵計算機中，木馬控制者通過客戶端與被入侵的計算機中的服務器端建立遠程連接。一旦連接成功，木馬控制者就可以通過對被入侵的電腦發送指令來傳輸并修改文件。一般木馬所具有的另一個是發動DdoS（拒絕服務）的攻擊。

二、瀏覽器端網站惡意代碼防護

1.要避免被網頁惡意代碼感染，首先關鍵是不要輕易去一些并不信任的站點，尤其是一些帶有美女圖片等的網址。但是這個并不能真正防止網頁惡意代碼的攻擊，因為這些惡意代碼有可能在任何地方出現。所以也可以參考進行以下步驟的設置。

2.運行IE時，點擊“工具→Internet選項→安全→Internet區域的安全級別”，把安全級別由“中”改為“高”。網頁惡意代碼主要是含有惡意代碼的ActiveX或Applet、javascript的網頁文件，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。而對于使用Windows98的計算機用戶，請打開C：＼WINDOWS＼JAVA＼Packages＼CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉；對于使用Windows Me的計算機用戶，請打開C：＼WINDOWS＼JAVA＼Packages＼5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。這個也只是一種折中的方案，我們可以有其它方法（如下）來保證IE的安全。

3.一定要在計算機上安裝網絡防火墻，并要時刻打開“實時監控功能”。

4.設置注冊表編輯器中的相關項值：

（1）運行打開注冊表編輯器命令regedit.exe進入注冊表；

（2）KEY_CURRENT_USER＼Software＼.....＼CurrentVersion＼Policies＼System下，增加名為DisableRegistryTools的DWORD值項，將其值改為“1”，即可禁止使用注冊表編輯器命令regedit.exe。因為特殊原因需要修改注冊表，可應用如下解鎖方法：

用記事本編輯一個任意名的.reg文件，其中的內容如下：

REGEDIT4

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼

Policies＼System

\"DisableRegistryTools\"=dword：00000000

雙擊運行recover.reg即可。

5.隨時升級IE瀏覽器的補丁。

三、服務端網站惡意代碼傳播防護

據介紹，現在網頁掛馬不僅僅通過嵌入惡意特征代碼，還會利用很多應用軟件的漏洞來進行傳播。由于使用這些應用軟件的用戶群比較多，受到惡意木馬入侵的機會就會增大，因此惡意攻擊者常常會把目標鎖定在利用這些應用軟件的漏洞來傳播惡意木馬程序。一些防范措施如下：

1.網站管理者要加強網站的監督管理

網站管理者要加強網站的監督管理，定期對上傳的Web網頁文件進行比對，包括文件的創建、更新時間，文件大小等，一旦發現異常文件，應立即刪除并更新。定期維護升級網站服務器，檢查服務器所存在的漏洞和安全隱患。

2.務必打開計算機系統中防病毒軟件

網站管理者在Web網頁時，務必打開計算機系統中防病毒軟件的“網頁監控”功能。同時，及時下載安裝操作系統已安裝應用軟件的最新漏洞補丁或新版本，防止惡意木馬利用漏洞進行入侵感染操作系統。

四、結論

當今網絡，反病毒軟件日益增多，使用的反病毒技術越來越先進，查殺病毒的能力逐漸提高，但病毒制作者并不會罷休，反查殺手段不斷升級，新的病毒層出不窮，形式也越來越多樣化，為了躲避查殺，病毒自身的隱蔽性越來越高，針對反病毒軟件對傳統的病毒傳播途徑的監控能力提高，造成病毒傳播困難的問題，越來越多的病毒，利用多數反病毒軟件產品對惡意腳本監控能力的缺陷，開始利用網頁木馬這一危害面最廣泛，傳播效果最佳的方式來傳播。所以根據目前的發展現狀，對網站惡意代碼的傳播方式進行分析是很有必要的。本文通過一個實例研究了網站惡意代碼傳播、危害以及解決方法。本文還會繼續努力深入去研究網站惡意代碼傳播方式以及防護辦法，為互聯網打造一個健康的休閑、工作、娛樂平臺。

【參考文獻】

[1]Skoudis E.決戰惡意代碼[M].北京：電子工業出版社，2009.

[2]李永革.基于瀏覽器的安全問題研究[J].計算機工程，2008.

[3]鮑欣龍.可用于惡意腳本識別的注冊表異常行為檢測技術[J].計算機工程，2007.

[4]曹國均.Windows98/2000注冊表應用460例[M].北京：科學出版社，2006.

[5]姬占禮.網絡安全技術的應用研究[D].南京：南京理工大學，2004.

[6]何鯤鵬.網站木馬研究與防范[D].哈爾濱：哈爾濱工程大學，2004.

[7]宋瑞子.惡意腳本全攻略[D].哈爾濱：哈爾濱工程大學，2002.

[8]孫楓.網站安全架構系統[M].哈爾濱：哈爾濱工程大學出版社，2006.