喬裝成DLL文件的新型惡意網頁病毒

某單位的一台公用電腦接入了互聯網，沒多久，就被一個惡意網頁病毒感染，出現如下癥狀:打開IE後會自動進入一個名為「久好網址之家」的網址大全類的網站，進入IE的「Internet選項」，發現主頁被設置為「www.ok9.net」，同時使用「搜索」功能時，發現搜索也被修改指向「www.ok9.net」，令人厭煩。

運行「註冊表編輯器」，以「www.ok9.net」為關鍵詞查找出所有被惡意網頁修改的內容，並全部更改回原來的值。但重啟系統並啟動IE後，又自動打開了那個惡意網站，而且其他地方也被修改了，看來這個惡意網站一定還在系統啟動時做了什麼手腳！

於是在「運行」中輸入「msconfig」，打開系統配置實用程序，逐項查找System.ini、Win.ini以及「啟動」項中的所有自啟動項目，終於在「啟動」項中發現了兩個極為可疑的鍵值。雖然一個是默認鍵值，一個鍵值名稱為「win」，但兩者的鍵值數據都是「regedit -s c:windowswin.dll」。其中「-s」參數表示讓這個導入操作在後台默默進行，不會有任何提示，這個相信不少讀者已經了解，但奇怪的是導入的是「Win.dll」文件，怎麼會是一個動態鏈接庫文件呢？試著用記事本打開該文件，發現原來這是一個文本格式的文件，只不過被修改了擴展名而已。我分析了一下這個「Win.dll」文件，原來系統總是自動被惡意修改就是它在起作用。

找到了癥結所在，解決方法當然就是刪除這個鍵值，並刪除「Win.dll」文件，接著進入「註冊表編輯器」將惡意修改的鍵值改回來，這樣惡意網頁病毒全部清除。

小提示

巧用「病毒」治病毒

上面提到進入「註冊表編輯器」來改回默認鍵值，但這樣操作起來有些麻煩，其實你完全可以利用那個「Win.dll」來自動還原被惡意修改的鍵值。可以將其內容修改成這樣:

REGEDIT4

[空一行]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

@=""

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"win"=-

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

"Start Page"=""

"First Home Page"=""

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]

"Start Page"=""

"First Home Page"=""

rcx

保存修改後的「Win.dll」文件，然後運行一下命令「regedit -s c:windowswin.dll」，重啟後，所有的惡意修改一下子就全部被恢復了，你還可以保存著這個文件，如果再遇到這個惡意網頁，只需要用這個文件恢復一下就可以了，非常方便。

關於惡意網頁修改註冊表以及IE的問題我們已經說過了很多次。究其原理，其實都是通過「腳本」這樣一個雙刃劍修改註冊表來達到目的的。不過這個「喬裝成DLL文件的新型惡意網頁病毒」又給了我們一點新的啟示:用regedit導入到註冊表中的文件不僅可以是文本類型的文件，還可以是其他擴展名的文件。如果你覺得用手工修改的方法來恢複比較麻煩的話，這裡另外提供兩個比較簡單的方法:訪http://assistant.3721.com/，然後點擊「安全與修復」鏈接進行在線修復，用小工具「IE修復專家」，它也能輕鬆解決這類惡意腳本引起的諸多問題。