大家注意啊! |
|
精华序号:88
来自论坛:小熊在线 《板卡论坛》
内容说明:踏入“万花谷” 电脑倒下来!
2001-6-29 11:09:09 点击数: 13 次
----------------------------
- 大家注意啊!(1910字) 姑苏平凡 (85487)于2001/06/29(11:16:30)..
踏入“万花谷” 电脑倒下来!
2001-6-29 11:09:09 点击数: 13 次
--------------------------------------------------------------------------------
据悉,国家反病毒应急处理中心联防单位北京江民公司的反病毒应急小组最近监测到:国内有心怀不轨的人到处在互联网上散发一个美丽诱人的网址“万花谷”,这实际是一个恶意的网络“陷阱”,如经不住诱惑,只要用鼠标点入,计算机就立即瘫痪了,这是有人利用Java技术进行破坏的恶意网址。江民公司提醒广大上网用户注意严加防范,遇到有On888.xxx之类的网址请不要点击,并开启病毒实时监控或病毒防火墙进行防杀。
以下为这一病毒的技术特征和修复方法:
JS/On888是一个含有恶意代码的ActiveX网页文件,它通过在一个网络地址来对计算机用户造成破坏,“中招”的系统表现如下:
1、用户不能正常使用Windows的DOS功能程序;
2、用户不能正常退出Windows;
3、开始菜单上的“关闭系统”、“运行”等栏目被屏蔽,防止用户重新以DOS方式启动,并关闭DOS命令和REGEDIT命令等。
4、将IE的浏览器首页设置和收藏夹中加入含有该有害网页代码的网址。
具体的表现形式是:
1、网络地址是:www.on888.xxx.xxx.com;
2、在IE的“收藏夹”中自动加上“万花谷”的快捷方式, 网络地址是:“http://96xx.xxx.com”;
进入该网页的话,如果你的浏览器的版本在IE 4.0以上,那么该网页显示的是一个有光效滤镜的网页,随着鼠标的移动,会造成光线照在网页图片不同地方的效果,光效一共有4种。
将IE的首页通过系统注册表项
HKEY_LOCAL_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",
设置成为"on888.xxx.xxx.com/";
为了达到该网页文件的破坏性,该ActiveX对系统的注册表做了如下的修改:
首先在开始菜单上禁止了“运行”项目,使用户不能通过通常的注册表编辑器来复原其对系统注册表的修改:
以下的注册表项表现在没有“运行”菜单:
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun";
以下的注册表项表现在没有“关闭系统”项目:
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose";
以下的注册表项表现在没有“注销”项目;
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff";
以下的注册表项表现在没有所有的逻辑驱动器:
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives";
以下的注册表项表现在禁止注册表的编辑工具REGEDIT:
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools
以下的注册表项表现在没有桌面:
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop";
以下的注册表项表现在禁止运行所有的DOS应用程序;
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled";
以下的注册表项表现在系统不能启动到“实模式(传统的DOS模式)”下;
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\NoRealMode";
以下的注册表项表现在Windows系统登录时显示一个登录窗口(在MICROSOFT网络用户登录之前):
"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption",(窗口的标题是) "欢迎来到万花谷!你中了※万花奇毒※。请与OICQ:4040465联系!");
"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText",(窗口中的文字是)"欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!");
以下的注册表项表现在所有IE窗口都会加上以下的Windows标题窗口:
"HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title","欢迎来到万花谷!请与OICQ:4040465联系!");
"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title","欢迎来到万花谷!请与OICQ:4040465联系!");
最后的表现是在用户的计算机的IE浏览器上打开无数的窗口,使得IE根本无法使用。同时用户正常的一些功能:桌面、开始中的运行、DOS方式、REGEDIT等都无法使用。
使用江民KV3000的用户可升级到KVW3000最新病毒库,来预防该类恶意网页的侵害。用户可使用KVD3000和KV3000.exe来清除计算机上的所有有害的网页文件。
受害用户的修复方法:系统注册表的恢复,建议用户使用F8启动到MSDOS方式下,使用SCANREG/RESTORE命令来恢复原来正常的注册表。
资料来源:赛迪网
本论坛由小熊在线(www.beareyes.com)joyt制作及维护