关于IE主页修改的总结和处理方法
目前修改IE主页的恶意程序很多,当中遇到的此类问题也比较多,我也把我遇到的一些有关IE主页的问题进行了小小的总结,下面的介绍我并不是根据某一个样本来做的分析,而是对目前恶意程序使用的手法进行了分别说明,可能一个恶意程序使用的方法会是下面的其中一种,而更普遍的是融合下面的几种方式为一体。即使这样,我们在掌握了每一个点的解决方案,即使顽强,我们各个击破也能将其击倒。
一、 恶意程序篡改IE主页常用的方式和解决方案:
1、 修改注册表将IE的默认主页修改;
举例:
1、 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main start page
2、 HKEY_USERS\S-1-5-21-299502267-926492609-682003330-500\Software\Microsoft\Internet Explorer\Main start page
解药:在注册表搜索中以修改后的IE地址作为关键字搜索(比如被修改后的网址为:www.go2000.com.cn 可以使用go2000作为关键字搜索),将搜索到的注册表恢复原始状态或者删除,可以跟自己的机器作对比。(比如空白页,则将start page的键值修改成about:blank)
2、 如果桌面图标是快捷方式,则将IE图标右键属性中的“目标(T)”中添加目标网址
解药:该地方默认的是:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" 删除多余的字符。
3、 如果桌面是IE快捷方式,则需要具体查看该IE快捷方式指向的程序是否合法正确。
正如上图所示,程序的目标指向了:"C:\Program Files\Internet Explorer\Intenet Exploer.exe",请注意红色字体部分的名称,正常的指向应该是:"C:\Program Files\Internet Explorer\IEXPLORE.EXE"。
解决:需要删除桌面的IE快捷方式,另外也需要将指向的这个程序删除掉,恢复正常的IE图标
4、 如果桌面图标是系统默认的IE,右键选择属性
选择“使用空白页”,并且应用该设置保存
5、 如果桌面出现以下图标,这些图标基本都是恶意程序建立的
其表现形式:右键点击该图标的时候,只有“打开”、“创建快捷方式”的选项,无法删除
解决:
查看注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace中的项:
例如:
XP2系统默认注册表项:
跟默认值对比后,发现增加了几项,此时我们对增加项来做个排除,进行删除排除,为了避免误删除造成了用户的一些正常程序无法正常使用,所以在排除前我们需要对目标操作注册表项进行备份,备份方法:目标注册表项---右键选择保存---存放到指定路径
将预删除的注册表项名字记录,比如我们删除{330EEA3C项,先保存该注册表项,再选择删除,然后到HKEY_CLASSES_ROOT\CLSID下查找:{330EEA3C项
将该项删除,删除后刷新下桌面,则可发现一个图标不见了。
剩下的就以此类推了,如果发现删除的注册表项跟桌面的图标无关的,则重新导入备份的注册表键值(因为这个可能是其他程序写入的,为了避免造成其他程序异常,再导入进去)
稍后添加XP2、XP3、VISTA SP1、VISTA SP2、WIN 7各操作系统默认的键值
6、 对注册表的一个键值修改(很重要的键值)
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command键值的修改
解药:该键值的默认值:"C:\Program Files\Internet Explorer\iexplore.exe" 删除多余字符
7、 通过加载驱动的方式修改主页,且不允许修改
解药:前期修改主页的恶意程序采用比较多的是生成一个驱动,加载驱动后篡改IE主页并且保护不允许其他程序进行修改包括手动修改方式,此时可以通过微点的系统自启动信息,右键隐藏已知的启动信息,查看陌生驱动,特别注意,对于自己把握不准的文件先网络搜索,在协助用户处理的时候可以先将该驱动改名,避免直接删除造成系统异常而无法恢复。
8、 修改浏览器的配置文件
目前发现一个样本具有该功能,修改遨游、世界之窗、360浏览器、GB浏览器等浏览器的配置文件,这种方式具体的查看附件中的:修改主页的经典样本分析。
此类样本目前发现的很少,了解下这个信息就可以了,知道有这么一种修改方式,在以后遇到无解的时候,也可以根据这个信息来判断下。
9、 通过加载DLL文件的方式修改主页
这是上次值班遇到一个问题,该恶意程序运行后会在system32下生成一个dll文件,并且修改注册表以实现IE启动时自动加载该动态库,不会去修改注册表中相关IE主页相关项。
现象:IE主页被修改,注册表中一切正常,IE图标属性正常,IE设置一切正常
解决过程:
刚开始的时候也是按照常规思路查看IE图标属性和注册表等常规地方,后来发现一切正常时,就死马当活马医查看微点的日志,发现IE的进程生成了一个exe,该exe又在system32下生成dll文件,并且在打开IE后查看模块,发现该dll被加载。关闭IE将该dll改名,再次打开IE正常。
后台地址:https://192.168.1.9/admin/mu/message.php?id=25973
二、 IE快捷方式文件的属性被保护的解决方法
我们在修改IE快捷方式属性的时候,经常会出现如下图的情况:
这种情况是由于将该文件设置成只读,需要先将文件的只读属性去除。另外也有恶意程序会将这些文件所在文件夹的属性也修改成只读,所以需要对该文件和该文件夹所在文件夹的属性都查看下。
桌面文件夹位置:C:\Documents and Settings\当前登陆用户名\桌面
快速启动栏位置:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch
如果出现无法修改属性,则应该查看当前用户是否有权限修改该文件夹。查看方式:
打开我的电脑---工具---文件夹选项---查看---不勾选“使用简单文件共享(推荐)”,然后点确定保存设置
右键打开桌面文件夹或者快速启动栏的文件夹属性,点击安全,查看当前用户是否有对该文件夹的完全控制、修改等权限,如果没有则勾选相应位置,最后保存设置。
此时再去修改桌面文件夹或者快速启动栏文件夹的属性。
三、 修改注册表提示:没有权限操作
如果在修改或者删除出现以下提示,则表明没有相关的权限:
举例:
删除的时候提示:
编辑键值的时候提示:
此时我们应该对注册表各项的权限进行检查,无论是XP还是vista、win 7在做任何操作的时候,都是需要相 应的权限,没有权限想越级做事是不可能的,所以出现上述提示的时候,我们就应该重点考虑权限的问题。
对于上述图片中我们操作的是:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
对于该键值,我们应该首先查看该“command”项是否有相关的权限(查看权限的方法:右键该注册表项,选择权限)
从上图我们可以看出,我们没有对注册表项的完全控制权限,为了解决恶意程序对注册表的非正常修改,我们需要恢复权限,在允许一项中勾选“完全控制”、“读取”2项,做好设置后,点击应用—确定。此时再去修改或者删除目标注册表。
如果在点击应用确定的时候报错,那么其相应注册表键值的上一级的权限不够,所以需要先对上一级注册表的权限进行修改。以上例为准,如果command的权限保存提示错误,则我们应该看看OpenHomePage的注册表项的权限是否够。
四、 恢复桌面原始IE图标的方法
1、 最简单的办法:在其他盘里建个文件夹,取名Internet Explorer.{871C5380-42A0-1069-A2EA-08002B30309D} ,然后复制到桌面。
2、 双击我的电脑,点击向上,此时地址栏是桌面,看见有IE图标,托到桌面即可。(vista、win 7不适用)
3、 桌面点击右键->属性->桌面->自定义桌面->勾上“Internet Explorer”->确定
4、 XP3的系统:桌面点击右键->属性->桌面->自定义桌面->在键盘上按一次“i”键->确定
5、 Win 7 系统:使用附件中的“Win7的IE8桌面图标(非快捷方式)”注册表,导入后刷新桌面即可。
6、 Vista 系统:使用附件中的“VISTA恢复IE图标”
友情提示:
1、 vista和win 7在调用注册表编辑器尽量通过右键的管理员权限模式启动
2、 在删除和修改注册表前,尽量备份一次,以免误操作造成异常
3、 一般的恶意程序都会删除系统默认的IE图标,尽量给用户回复成系统默认的图标,实在恢复不了的,再通过创建IE的快捷方式(系统桌面默认的IE桌面并非一个传统格式的快捷方式,大家可以在自己看看)
这个只是我个人的一些记忆中的东西,很不全面,而且恶意程序也是多种多样的,但是基本方法也是大概运用上面的一些吧,也会有一些新的方式,如果你还遇到上述情况没有描述到的,大家一起讨论学习下!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
