● 禁用Scripting Host 防范网页黑手 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: hellsolaris (qq), 信区: Security
标题: 禁用Scripting Host 防范网页黑手
发信站: 荔园晨风BBS站 (Sun Dec 7 09:31:12 2003)

自网络的攻击手段越来越多了，一些恶意网页会利用软件或系统操作平台等的安全漏洞，
通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序、javaScript脚本语
言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的
注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染
木马程序的目的。

　　目前来自网页黑手的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外
一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页等，关于此方
面的文章比较多。下面就来介绍一些针对破坏Windows系统的网页黑手的防范方法。

　　黑手之一格式化硬盘

　　这是一种非常危险的网页黑手，它会通过IE执行ActiveX部件并调用Format.com或Del
tree.exe将硬盘格式化或者删除文件夹。在感染此类破坏程序后，会出现一个信息提示框
，提示：“当前的页面含有不完全的ActiveX，可能会对你造成危害，是否执行？yes，no
”，如果单击“是”，那么硬盘就会被迅速格式化，而这一切都是在后台运行的，不易被
察觉。

　　防范的方法是：将本机的Format.com或Deltree.exe命令改名字。另外，对于莫名出现
的提示问题，不要轻易回答“是”。可以按下［Ctrl+Alt+Del］组合键在弹出的“关闭程
序”窗口中，将不能确认的进程中止执行。

　　黑手之二耗尽系统资源

　　这种网页黑手会执行一段Java Script代码并产生一个死循环，以至不断消耗本机系统
资源，最后导致系统死机。它们会出现在一些恶意网站或者邮件的附件中，只要打开附件
程序后，屏幕上就会出现无数个IE窗口，最后只有重新启动计算机。

　　防范的方法是：不要轻易进入不了解的网站，也不要随便打开陌生人发来的E-mail中
的附件，比如扩展名是VBS、HTML、HTM、DOC、EXE的文件。

　　黑手之三非法读取文件

　　此类黑手会通过对ActiveX、JavaScript和WebBrowser control的调用来达到对本地文
件进行读取。它还可以利用浏览器漏洞实现对本地文件的读取，避免此类攻击可以关闭禁
用浏览器的JavaScript功能。

　　黑手之四获取控制权限

　　此类黑手会利用IE执行Actives时候发生，虽然说IE提供对于“下载已签名的ActiveX
控件”进行提示的功能，但是恶意攻击代码会绕过IE，在无需提示的情况下下载和执行Ac
tiveX控件程序，而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手，可
以打开注册表编辑器，然后展开如下分支：

解决方法是在注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActi
veX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值{6E449683_
C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compati
bility，并设定键值为0x00000400即可。

　　对于来自网上的种种攻击，在提高防范意识的同时，还需做好预防工作。

　　1.设定安全级别
　　鉴于很多攻击是通过包含有恶意脚本实现攻击，可以提高IE的级别。在IE中执行“工
具/Internet选项”命令，然后选择“安全”选项卡，选择“Internet”后单击［自定义级
别］按钮，在“安全设置”对话框中，将“ActiveX控件和插件”、“脚本”中的相关选项
全部选择“禁用”，另外设定安全级别为“高”。需要注意的是，如果选择了“禁用”，
一些需要使用ActiveX和脚本的网站可能无法正常显示。

　　2.过滤指定网页
　　对于一些包含有恶意代码的网页，可以将其屏蔽，执行“工具/Internet选项”命令，
选择内容选项卡，在“分级审查”中单击［启用］按钮，打开“分级审查”对话框，选择
“许可站点”选项卡，输入需要屏蔽网址，然后单击［从不］按钮，再单击［确定］按钮
。

　　3.卸载或升级WSH
　　有些利用VBScript编制的病毒、蠕虫病毒，比如 “I LOVE YOU”和“Newlove”，它
们都包含了一个以 VBS为后缀名的附件，打开附件后，用户就会被感染。这些病毒会利用
Windows内嵌的 Windows Scripting Host 即WSH进行启动和运行。也就是说，如果将WSH禁
用，隐藏在VB脚本中的病毒就无法被激活了。

　　在Windows 98中禁用WSH，打开“添加/删除”程序，选择“Windows 设置/附件”，并
单击“详细资料”，取消“Windows Scripting Host”选项，完成后单击［确定］按钮即
可。

　　在Windows 2000中禁用WSH的方法是，双击“我的电脑”图标，然后执行“工具/文件
夹选项”命令，选择“文件类型”选项卡，找到“VBS VBScript Script File”选项，并
单击［删除］按钮，最后单击［确定］即可。

　　另外，还可以升级WSH 5.6，IE浏览器可以被恶意脚本修改，就是因为IE 5.5以前版本
中的WSH允许攻击者利用JavaScript中的Getobject函数以及htmlfilr ActiveX对象读取浏
览者的注册表，可以在microsoft.com下载最新版本的WSH。

　　4.禁用远程注册表服务
　　在Windows 2000/XP中，可以点击“控制面板/管理工具/服务”，用鼠标右键单击“R
emote Registry”，然后在弹出的快捷方式中选择“属性”命令，在“常规”选项卡中单
击［停止］按钮，这样可以拦截部分恶意脚本代码。

　　5.安装防火墙和杀毒软件
　　安装防火墙和杀毒软件可以拦截部分恶意代码程序，比如可以安装金山毒霸最新杀毒
软件（内含：网页防火墙）。

--

※ 来源:．荔园晨风BBS站 http://bbs.szu.edu.cn [FROM: 61.144.235.38]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店