星星电脑技术论坛 » 系统安全中心 » [分享]流氓网站招招看 详细剖析恶意弹出窗口

李宜超 发表于 2007-8-26 09:13

[分享]流氓网站招招看 详细剖析恶意弹出窗口

[size=14px]相信有不少朋友都遇到过类似情况:启动浏览器后即会自动弹出不相关的广告网页;更有甚者，开机即会弹出这些烦人的广告页面。那么，是什么原因导致了此类情况的发生呢?本文将对最普遍的现象解释这些自动弹出网页的原理及相关的解决办法，以供大家参考。 1I e[3j-f"c#N

vAh3q n,D 一、自动弹出网页分析[Wz6z3X

'OX)c
qi1L0x"D!W 没经过“允许”，电脑会自动弹出不相关的网页，这种情况在技术上来说即是IE浏览器被劫持，其操控原理就是通过BHO加载或者进程中有监控注册表操作的恶意进程。P3c*z+]%c&sX

&uHe,TCIj1r,I 总的说来，目前形成这类现象的原因主要来自以下几方面:
7^E8{?)J%|2gUbr{:@Y
Gy'g+?|T}%I1d%J C ·有时可能因为新安装的软件中附带有这类自动连接相关网站，并打开相关网页。4x%fHXY
L)k8w p(|R[
·也可能是因为直接或者间接地下载了一些不安全的插件，通常这类插件会利用浏览器的IE内核来调用IE窗口。
}DQ;muf(b
iLH6H/p g4H 在浏览一些恶意网站时，网站利用浏览者计算机开放的Messenger服务来弹出其宣传广告，Windows 2000/XP操作系统即带有此服务。J&\ `S!_0Jr#Og e-Z1PA
0UIa)B\G;sa
·电脑被恶意网站修改，在开机启动中加入了非法启动项，并修改了注册表所造成。Fj[ hX

YOK-AwopC8F5FrL ·或者是计算机被人植入了木马程序，开机后即被运行所致。
vWc}4eG)E 'I5Tv\_9{C(]
二、解决办法 %Q CdgsqYh

`)Q)J1DS
\P2Wx9j 当然，由于触发的原因不同，所表现出来的现象自然也不同。但不管如何，其解决的办法还是有规律
i4Z#rlLD,[ 3|gjjk8_o
可循的。以下简要谈谈上面提及的几种自动弹出网页的解决思路。1n3l;z@5Yk1G)mQ
FEW?zS
1、开机自动弹出网页5N0p#An!I0|V9\.X
l6\2GN-R1y[
这类现象比较典型，其主要原因就是因为电脑被恶意网站修改，在开机启动中加入了非法启动项，并修改了注册表所造成的。此类问题最好的解决办法就是在线IE修复，笔者并不建议使用一些不知名的IE修复软件，因为其本身就可能自带有这些自动弹出网页的“嫌疑”。
-EQ%v4d6R'J w0r m`WG6p)N
搜罗一阵，发现一个可以在线修复IE的去处:[url=http://www.zhshw.com/tool/][color=#0000ff]http://www.zhshw.com/tool/[/color][/url]。能解决绝大多数的浏览器被劫持的问题，例如:恢复桌面图标、恢复被隐藏的控制面板、修复文件属性里面的广告、彻底解决注册表被修改等问题。
xJ&vv6V k3cH
6OU?4@en O 如果采用在线的方式不能彻底修复，还有一个解决办法就是修改注册表。在注册表编辑器中定位到y:C,M!Obs

-@Nr%W3^4w1KV9_ HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
G i,q5N$l*a
KNM8XD
和 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce两子项下，看看在该两子项下是否有一个以这个网址为值的键值项，如果有的就将其删除。修改完成后，重启计算机即可。:h F^X:h {nX*I

Jd2^.p wB{(}"?'V E 2、浏览大部分购物、娱乐类网站自动弹出不相关网页
?UFq%J!}M}
7U,@E7Gd%R)k0v 通常这类情况，即使在Maxthon等浏览器中浏览(这类浏览器通常自带有广告屏蔽插件)，也会同样弹出。这类弹出广告的原理就是利用浏览器的IE内核来调用IE窗口，所以普通的屏蔽措施对其是没有效果的。
'O"}$@1c$\/y0it
3]a)@3F#`!a OF3K 比较凑效的解决办法是修改hosts文件，即可追踪和屏蔽广告页面。在系统搜索窗口中搜索找到hosts文件;然后在记事本中打开它;随意起一行加入类似“127.0.0.1 [url=http://www.unionsky.cn/][color=#0000ff]www.unionsky.cn[/color][/url]”的语句(127.0.0.1表示本机地址，[url=http://www.unionsky.cn/][color=#0000ff]www.unionsky.cn[/color][/url]表示要阻止的网页地址，注意网页地址前不加[url=http://);/][color=#0000ff]http://);[/color][/url]然后以ANSI编码的形式保存到原来位置即可。
$[2k&m tD.{
~Qi+@;LH4Hn 3、关闭系统Messenger服务
u
L.[`.F+n m'CP%p1c#STF
Windows 2000/XP操作系统自带的此项服务，也是造成不良广告侵犯的原因之一。因此一般情况下可将其关闭。方法为:-t1{%F_,r2m$~4p Df\

.zbeBr
^FN 进入控制面板，然后依次双击“管理工具”下的“服务”项;在出现的“服务”窗口中找到并双击“Messenger”项;接着在弹出的“Messenger属性”对话框中的“常规”选项卡下，将“启动类型”改为“已禁止”;最后单击“停止”按钮即可。qi5p;w9`4NL$`
|Hdw2` |
4、不停弹出IE窗口9v%zvZd}4fMac
t:AXV\!O*{
这是最恶意的对系统修改。表现为不停弹出一大堆IE窗口，鼠标单击窗口上的关闭按钮速度远赶不上窗口的重复弹出。
#i9cKL#hn $i%w@$e]t
解决此类问题的办法是按下“Ctrl+Alt+Delete”，调出任务管理器;然后在“进程”选项卡下结束“iexplore.exe”进程，即可关闭所有的IE窗口。DT3x8hB'd T7~
~K3X&~X!BP&E
提示:大量弹出IE窗口会大量占用系统资源，而且CPU占用率会提高到100%，打开任务管理器可能会很慢，等的时间会稍微长，但绝对可以解决，除非已经死机。
^;f#H2vM(D
gW\"b"{U2Bq~ 5、播放网上电影时自动弹出广告页面h
J~,\-T-o
v Ng#slh*Z
在播放一些从网上下载的RMVB或RM文件时，有时也会自动弹出网页;而且每次放到某个地方就会自动打开网页。此类情况相信不少朋友都遇到过，其解决办法就是下载一个名叫“RM播放恶意广告补丁”的程序。jbq9z)zN

I6WV3{zx6Y 在播放RMVB或RM文件前，启动此补丁程序。在输入源文件处选择需要过滤文件的路径，然后设定另存为文件名，即可让文件恢复如初。此外补丁程序还内置了加速内核，能够在下载电影时起到加速作用。&j)QT'Xt$K2Y(~s5o

VF?1vfZa 三、后记
JX2G3P4d$BQ
I)Dw7rI {6n gOB 前段时间“流氓”软件事件闹得沸沸扬扬，经过整治后“流氓软件十大排行榜”列举的相关软件已经做了不错的整改，但自动弹出网页的现象还是频频发生。此类现象对于用户来说，是相应无奈的。虽然针对这些自动弹出的网页，本文提及了不少解决办法，但过程毕竟是烦锁的。.t {QK4icB*E\;M-i-^
~N`}DM:y'V
因此，笔者认为，除了平时养成良好的用网习惯外，加强网络安全意识、平时在使用计算机过程中就注意安装一些杀毒软件、木马监测程序以及IE保护软件等，都是行之有效的解决办法。最后，祝愿大家都有一个轻松、愉悦的用网环境。[/size]

查看完整版本: [分享]流氓网站招招看 详细剖析恶意弹出窗口