2010年1月1日 星期五

另外提醒首頁綁架

最近常碰到的東西是首頁綁架
不瞞各位說我自己這一台都中招了XD

甚麼時候中的不知道
今天抽空測試EFix的時候才發現首頁被修改
應該是在查資料的時候連的大陸網站中的
確實不簡單.

不過手法只是很簡單的作一個參數修改而已
沒有值入任何惡意程式
所以將參數修改回去就好了

既然連我都中了那我想就提一下這一個首頁綁架的特性好了

現在大陸那邊的綁架首頁比較流行的方式是修改幾個地方

1.將快速啟動列、桌面和程式集的INTERNET EXPLORER捷徑作一個增加參數的修改

比如像底下:



正常來說應該是這樣
然而惡意網站會將該捷徑修改成如下圖



有注意到嗎?
IEXPLORE.EXE後方多了一個網址
在該捷徑來說就是在開啓IE時直接開啓http://www.google.com.tw這個網站

利用捷徑盲點達到所謂的綁架目的
這一種的處理方式基本上就是刪除重建就好了
但要注意一點就是就目前來說所碰到的
會大多將這一個捷徑檔的刪除權限去除掉
所以在刪除檔案前要先將權限回復.

2.修改首頁登錄值後將權限修改成只能讀取登錄值不能刪除
INTERNER EXPLORER的首頁位置在
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
底下的MAIN值內
一般是修改這邊達到綁架的效果
不過這邊也會被上權限達到無法修改的效果

處理的方式
先開啓登錄編輯器移到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer登錄值中
之後選右鍵找使用權限點進去
在將EVERYONE補上去並修改成一般可讀寫權限後再去修改
怎麼修改可以爬一下我之前發的文

3.增加一個或多個CLSID值並對應到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace 這一個登錄值位置對應到桌面上
像是資源回收桶這一種非捷徑的圖示都是從這邊定義

基本上這邊的值都固定那幾個
只要將增加的值刪除即可
不知道原本的值的話
可以到該值去找
只要看到是亂碼的,就刪吧XD

這邊比較複雜不是很想說太多..

目前大陸那邊比較流行的純首頁綁架方式 (就不種惡意程式純綁你首頁) 大致上是這三種方式

以上這三種請各位自己多小心
可以的話請盡量使用非IE瀏覽器連網路
可以的話最好連FIREFOX也避免...不過那不可能的事XD
FIREFOX還是有很大的優勢這沒辦法..

--------------------------------------------
另外以後的趨勢是針對adobe的相關產品做攻擊
adobe的一些東西弱點不少,請各位多加小心了.