流氓軟件篡改ie主頁伎倆分析

點評:經常有朋友在安裝某種小軟件後,IE主頁被篡改,而你在ie選項裡改回來後,再打開又時主頁又變成瞭另外一個網址。

這說明這個流氓軟件在註冊表裡還有別的窠,這些可能位置都有哪些呢?筆者根據有限經驗,先列出最重要的這幾條,期待網友們補充更多的發現。點擊開始-運行-輸入regedit回車,依次找到如下位置——當然,筆者推薦使用Registry Workshop軟件,可以直接粘貼以下地址回車,並將該地址添加到收藏夾,以後舊的不用再找,新的也可見者收藏。

  1、internet選項對應的註冊表值:

  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

  這項的值和ie選項裡的主頁是同步的,可以先試試。

  2、綁定ie主程序運行參數:

  HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command

流氓軟件篡改ie主頁伎倆分析(圖一)
ie主程序運行參數



  這項的正常值是"C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1,流氓軟件將自己的網址附加在後面當作一個運行參數,那麼打開ie主程序時就會自動跳轉到該網址,這招夠狠。

  3、綁定ie窗體控件ieframe.dll主頁命令:

  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

流氓軟件篡改ie主頁伎倆分析(圖二)
ie窗體控件的主頁命令

  這項的默認值是"C:\Program Files\Internet Explorer\iexplore.exe",同樣,流氓網址可能附加在後面,攔截主頁。

  4、綁定ie快捷方式運行目標:

  還有一種在註冊表裡無論如何也搜索不到,卻遠在天邊近在眼前的手段,就是修改瞭ie快捷方式屬性裡的運行目標。註意是快捷方式,不是桌面默認顯示的ie圖標。正常的ie快捷方式有四種:

流氓軟件篡改ie主頁伎倆分析(圖三)
ie快捷方式

  可以看出上面三個ie快捷方式依次是由桌面ie圖標創建、由開始菜單頂端ie圖標創建、由系統盤ie主程序創建的(當然如果你隱藏瞭擴展名,第三個快捷方式就沒有.exe後綴),第四種是在開始按鈕右邊快速啟動欄上的“啟動Internet Explorer”圖標。右鍵查看這些快捷方式屬性:

流氓軟件篡改ie主頁伎倆分析(圖四)
由桌面ie圖標創建的ie快捷方式

流氓軟件篡改ie主頁伎倆分析(圖五)
由開始菜單ie圖標創建的ie快捷方式

  這兩個的目標和起始位置的默認都為空,後兩種就不同瞭:

流氓軟件篡改ie主頁伎倆分析(圖六)
由ie主程序創建的快捷方式

流氓軟件篡改ie主頁伎倆分析(圖七)
由快速啟動欄ie圖標創建的快捷方式

  筆者快速啟動欄已刪除啟動ie的圖標,擱筆追思,遠求而來,故上面窗口略顯異域。這兩個快捷方式,目標默認值都是"C:\Program Files\Internet Explorer\iexplore.exe",這下病毒又有空可鉆瞭,隻要把自己的網址追加到後面,那麼你經這個圖標打開ie時,就會立即跳到它的網址,真是無所不用其極。

  所以筆者建議,如果主頁被篡改並改不回來瞭,請先右鍵你啟動ie時所打開的快捷方式,看屬性“目標”後面有無追加網址,有則刪之;不行的話就去註冊表裡查看那些可能位置:

  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
  HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

  看值的後面有沒有“尾巴”,這些網址有時可能是亂碼,全部剪掉,回復默認值,主頁就改回來瞭。這樣隻是暫時堵住,若想徹底杜絕,請先卸載新安裝的流氓軟件,以後也莫亂逛網站或接受推薦下載安裝那些你以為是發現新天地其實可能早已臭名昭著的小流氓。當然,如果你熟悉瞭更多的篡改主頁伎倆,就不用有這些顧慮瞭。筆者再次推薦註冊表管理軟件Registry Workshop,平時多積累自己的發現,保持“與毒俱進”,將病毒流氓的伎倆盡收囊中。

Leave a Reply

Your email address will not be published. Required fields are marked *