|
||||
如果你還以為廣告病毒只會竄改注冊表這一招,那就Out啦!最近廣告病毒流行復古,用古老的腳本方式竄改IE,釋放廣告,而且還非常有效。本文對腳本類廣告病毒做了剖析和防治建議。
最近一段時間,很多朋友求助,大部分是跟網絡流氓行為有關,有的電腦桌面會出現兩個IE圖標,有的電腦桌面多出一些廣告網頁,有的電腦的瀏覽器被竄改,指向導航網站(圖1)。
分析這些求助信息,我們發現他們使用各種安全輔助工具修復過注冊表,卻無法解決問題,於是我們對大量的廣告病毒進行了分析,發現利用腳本行凶的廣告病毒大量增加,增幅大大超過會竄改注冊表的廣告病毒。為什麼病毒會選擇腳本呢?這樣做有什麼好處?
廣告病毒重視腳本
目前,廣告病毒主要有兩種類型,一種是竄改注冊表的,另外一種是利用腳本生存的。很長一段時間,竄改注冊表的廣告病毒都是絕對的主流,它們的所作所為引起了安全輔助工具的注意,於是能對付竄改注冊表的廣告病毒的安全輔助工具越來越多,一些安全愛好者還編寫了查殺此類病毒的各種專用工具。
可以說,竄改注冊表的廣告病毒受到的關注越來越多,逐漸有點不好混的感覺。於是,有的人想到了通過腳本代碼在電腦中耍流氓的招數。用腳本代碼搞破壞,是很老的技術,在本世紀初的那幾年中,曾經出現過大量類似萬花谷、歡樂時光等腳本病毒。
後來隨著病毒技術不斷的發展,技術含量低的腳本病毒的數量越來越少,對它的關注度也就越來越低。雖然技術含量低,但腳本病毒也有它的好處,它不會出現任何的進程和線程,它調用的都是系統命令所以殺毒軟件很難對它進行攔截。
於是,廣告病毒開始青睞腳本,通過在啟動項裡面動手腳來逃避安全輔助工具的查殺(圖2),這樣每次啟動電腦的時候就執行了惡意代碼,所以用戶僅僅修復注冊表是無法清除此類廣告病毒的。
清除腳本類廣告病毒
對於腳本類廣告病毒,已經引起安全輔助工具的關注,大部分安全輔助工具在最近一段時間都加強了對這類病毒查殺的力度,例如金山急救箱、360急救箱、安天木馬防線等。下面我們以金山網盾為例,看看此類病毒怎麼查殺。
安裝運行金山網盾後,點擊操作界面中的『瀏覽器修復』,點擊窗口下方的『立即掃描』按鈕進行分析,軟件會對瀏覽器的屬性以及系統進行分析(圖3)。
分析完成後如果發現有異常的話,點擊『立即處理』按鈕就可以清除病毒,修復瀏覽器(圖4)和刪除桌面中的廣告頁面。最後為了避免瀏覽器的主頁被竄改,金山網盾會建議用戶對主頁進行鎖定。用戶只需要在輸入框裡面鍵入常用的主頁地址,再點擊『鎖定並關閉』按鈕就可以鎖定主頁。