在上網(wǎng)沖浪的時(shí)候，IE瀏覽器經(jīng)常會成為病毒、木馬的攻擊對象，被攻擊之后的IE瀏覽器，可能會被修改得面目全非，無法用手工修復(fù)，或者勉強(qiáng)能夠被修復(fù)成功，但是重新啟動計(jì)算機(jī)系統(tǒng)后，又會恢復(fù)到被攻擊時(shí)的不正常狀態(tài)。那么網(wǎng)絡(luò)病毒究竟是如何攻擊IE瀏覽器的呢?IE瀏覽器又是如何被惡意修改的呢?面對IE瀏覽器被攻擊現(xiàn)象時(shí)，我們又該采取什么措施進(jìn)行應(yīng)對呢?

攻擊現(xiàn)象一、IE快捷方式被修改

雙擊Windows系統(tǒng)桌面中的IE快捷圖標(biāo)時(shí)，IE瀏覽器會直接打開病毒網(wǎng)頁，而不是事先指定的網(wǎng)站頁面。這種現(xiàn)象表明IE瀏覽器的桌面快捷圖標(biāo)已經(jīng)被病毒強(qiáng)行修改，病毒通過控制IE快捷圖標(biāo)的啟動參數(shù)，來強(qiáng)制IE瀏覽器訪問病毒指定的惡意站點(diǎn)，從而達(dá)到傳播病毒或攻擊系統(tǒng)的目的。

攻擊原理：病毒控制IE瀏覽器的啟動參數(shù)，主要通過兩種方法來完成。一是主動修改系統(tǒng)桌面中IE瀏覽器快捷圖標(biāo)的屬性參數(shù)，例如，右擊系統(tǒng)桌面中IE瀏覽器的快捷圖標(biāo)，切換到快捷方式標(biāo)簽設(shè)置頁面，在“目標(biāo)”文本框中，輸入“IE瀏覽器的真實(shí)路徑+空格+惡意站點(diǎn)頁面地址”，按“確定”按鈕后，用戶日后只要通過IE瀏覽器快捷圖標(biāo)上網(wǎng)沖浪時(shí)，直接訪問的都是惡意站點(diǎn)頁面。二是通過修改系統(tǒng)注冊表中相關(guān)鍵值來指定啟動站點(diǎn)，例如，打開注冊表編輯窗口，將鼠標(biāo)定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼AboutURLs分支下(如圖1所示)，右擊目標(biāo)分支選項(xiàng)，從彈出的右鍵菜單中依次選擇“新建”、“字符串值”命令，將新創(chuàng)建的字符串鍵值名稱取為“aaa”，同時(shí)將其數(shù)值設(shè)置為“http：／／www.aaa.com”，這樣就能在系統(tǒng)桌面上自動生成一個(gè)IE瀏覽器快捷方式，打開該快捷方式的屬性對話框后，我們會看到目標(biāo)文本框后面除了包含IE瀏覽器的真實(shí)路徑，還有“about：aaa”后綴，雙擊這樣的IE瀏覽器快捷方式后，就能強(qiáng)制IE瀏覽器直接訪問“http：／／www.aaa.com”這樣的病毒站點(diǎn)了。當(dāng)然，為了讓指向病毒站點(diǎn)的IE快捷方式更逼真，病毒程序可能還會打開系統(tǒng)注冊表編輯窗口，定位到HKEY LOCALMACHINE＼SOFTWARE＼Classes＼InternetShortcut分支下(如圖2所示)，將目標(biāo)分支下的“IsShortcut”鍵值刪除掉，這樣就能把IE快捷方式的小箭頭圖標(biāo)隱藏起來了，這樣用戶就不會懷疑這個(gè)新生成的IE快捷方式了。

應(yīng)對措施：首先要辨別出系統(tǒng)桌面上的IE快捷圖標(biāo)究竟是真的還是假的；任進(jìn)行辨別操作時(shí)，用鼠標(biāo)右鍵單擊IE快捷圖標(biāo)，點(diǎn)選右鍵菜單中的“屬性”命令，打開IE快捷圖標(biāo)的屬性對話框，切換到快捷方式標(biāo)簽設(shè)置頁面，檢查“目標(biāo)”文本框中IE瀏覽器的真實(shí)路徑是否正確，如果后面有“about：aaa”、“www.aaa.com”之類的后綴信息時(shí)，那基本就能斷定目標(biāo)IE快捷圖標(biāo)是假圖標(biāo)。其次用鼠標(biāo)右鍵單擊假的IE快捷圖標(biāo)，從右鍵菜單中選擇“刪除”命令，將它從系統(tǒng)桌面中清除干凈即可。

攻擊現(xiàn)象二、生成假的IE桌面圖標(biāo)

有的時(shí)候，通過查看IE桌面圖標(biāo)的屬性參數(shù)，根本無法辨別出對應(yīng)圖標(biāo)的真假，但是雙擊IE桌面圖標(biāo)后，IE瀏覽器打開的仍然是病毒網(wǎng)站，這種IE桌面圖標(biāo)其實(shí)是病毒程序煞費(fèi)苦心制作的假圖標(biāo)。

攻擊原理：病毒程序可以通過添加或修改CLSID的方式，來制造假的IE桌面圖標(biāo)。病毒程序只要打開系統(tǒng)注冊表編輯窗口，將鼠標(biāo)定位到HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Desktop＼NameSpace分支以及HKEY-CLASSES ROOT＼CLSID分支下同時(shí)創(chuàng)建CLSID({871C5380-42A0-1069-A2EA-08002B303099})，之后在目標(biāo)CLSID下分別創(chuàng)建“open”、“屬性”子項(xiàng)，并將“open”子項(xiàng)的默認(rèn)值設(shè)置為“打開主頁”，再在“open”、“屬性”下面各創(chuàng)建一個(gè)“command”子項(xiàng)，同時(shí)將它們的默認(rèn)值依次設(shè)置為“C：＼Program Files＼InternetExploer＼IexpIore.exe http：／／www.aaa.com”、“rund1132.exe shell32.dll，Control RunDllinetcpl.cpl”(如圖3所示)，其中“http：／／www.aaa.com”為病毒程序指定的惡意站點(diǎn)，這樣系統(tǒng)桌面上就出現(xiàn)了假的IE桌面圖標(biāo)了。

應(yīng)對措施：可以采取兩種方法刪除假的IE桌面圖標(biāo)。一是打開系統(tǒng)注冊表編輯窗口，定位到上述兩個(gè)注冊表分支上，找到病毒程序自行創(chuàng)建的CLSID，并采用手工方法將它們刪除掉，不過這種方法有一定的難度，普通用戶往往無法識別出哪個(gè)CLSID是病毒創(chuàng)建的；對于無法識別的CLSID，可以通過上網(wǎng)搜索查詢，一般都能知道每個(gè)系統(tǒng)組件的CLSID，對于陌生的CLSID，必需及時(shí)將它從系統(tǒng)中刪除干凈。二是登錄進(jìn)入一臺健康的計(jì)算機(jī)系統(tǒng)，打開系統(tǒng)注冊表編輯窗口，定位到上面兩個(gè)分支，并依次單擊“文件”|“導(dǎo)出”命令，將它們導(dǎo)出保存為兩個(gè)注冊表文件，之后再將它們導(dǎo)入到本地計(jì)算機(jī)系統(tǒng)，就能解決上述問題了。

攻擊現(xiàn)象三、IE首頁設(shè)置無法修改

很多病毒攻擊IE瀏覽器時(shí)，會通過修改注冊表中HKEYCURRENT-USER＼Software＼Microsoft＼Internet Explorer＼Main分支下的“StartPage”鍵值，來隨意篡改IE首頁設(shè)置，即使用戶打開IE瀏覽器的Internet選項(xiàng)設(shè)置對話框，嘗試手工修改IE首頁設(shè)置時(shí)，往往也無法取得成功。

攻擊原理：病毒在進(jìn)行這種攻擊時(shí)，先是打開系統(tǒng)注冊表編輯窗口，定位到HKEY-CLASSES-ROOT＼CLSID＼{871C5380-42A0-1069-A2EA-08002830309D}＼shell＼OpenHomePage＼Command分支上(如圖4所示)，在目標(biāo)分支下將默認(rèn)值設(shè)置為“C：＼Program Files＼Internet ExploerXIexplore.exe‘www.aaa.com’”，這么一來用戶無論在Internet選項(xiàng)設(shè)置對話框中，將IE首頁設(shè)置成什么網(wǎng)站地址，IE瀏覽器都會直接訪問病毒事先指定的“www.aaa.com”站點(diǎn)頁面。

應(yīng)對措施：既然病毒是通過修改HKEY-CLASSES ROOT＼CLSID＼{871C5380-42A0-1069-A2EA-08002830309D}＼shell＼OpenHomePage＼Command分支下的默認(rèn)鍵值阻止用戶修改IE首頁設(shè)置的，那么我們只要再次定位到目標(biāo)分支下，打開默認(rèn)值的屬性對話框，將最后的“www.aaa.com”內(nèi)容給刪除掉即可。為了防止下次再發(fā)生類似的攻擊，我們可以對目標(biāo)分支的訪問權(quán)限進(jìn)行調(diào)整，僅讓可信任用戶能修改該分支下的鍵值內(nèi)容，其他人都無法進(jìn)行修改。

攻擊現(xiàn)象四、IE重啟后又不正常了

當(dāng)IE設(shè)置被病毒修改，用戶嘗試手工恢復(fù)后，瀏覽器的工作狀態(tài)恢復(fù)正常了，可是重新啟動瀏覽器后，它的工作狀態(tài)又不正常了。

攻擊原理：病毒可以采用兩種方法實(shí)現(xiàn)上述攻擊目的。一是利用關(guān)機(jī)事件，創(chuàng)建能夠自動重啟病毒的運(yùn)行腳本，并將腳本程序添加到系統(tǒng)注冊表的HKEY-LOCAL-MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group Policy＼State＼Machine＼Scripts分支下，這樣系統(tǒng)每次關(guān)機(jī)之前都會自動執(zhí)行目標(biāo)腳本程序，那么IE瀏覽器的設(shè)置又會被病毒自行修改了。二是通過desktop.ini文件，來啟動運(yùn)行VBS腳本程序，而在腳本程序中寫入強(qiáng)行啟動病毒程序的代碼，那么系統(tǒng)日后每次開機(jī)啟動時(shí)，病毒程序?qū)詣影l(fā)作運(yùn)行，修改IE瀏覽器的設(shè)置。

應(yīng)對措施：檢查HKEYLOCAL-MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group Policy＼State＼Machine＼Scripts分支、HKEYCLASSES-ROOTXinifile＼shellex分支下的關(guān)機(jī)腳本和啟動病毒程序的VBS腳本是否存在，如果存在的話，只要手工將它們刪除，就能避免上述攻擊現(xiàn)象再次發(fā)生了。除了檢查注冊表外，還應(yīng)該檢查系統(tǒng)組策略中的注銷、關(guān)機(jī)、登錄等事件腳本，確保沒有自動啟動病毒程序的惡意腳本存在。

預(yù)防IE瀏覽器遭遇攻擊

IE瀏覽器遭遇病毒攻擊的話，輕則影響用戶的上網(wǎng)沖浪，重則能導(dǎo)致系統(tǒng)發(fā)生癱瘓，甚至還能引發(fā)安全事故。為此，我們必需要迅速行動，采取針對性措施預(yù)防IE瀏覽器遭遇攻擊：

關(guān)閉Remote Registry服務(wù)

默認(rèn)狀態(tài)下，Windows系統(tǒng)會允許遠(yuǎn)程用戶修改本地計(jì)算機(jī)中的注冊表設(shè)置，這樣很多病毒就能將一些惡意代碼植入到注冊表中，以便達(dá)到遠(yuǎn)程攻擊的目的，此時(shí)只要關(guān)閉RemoteRegistry服務(wù)，就能徹底禁止遠(yuǎn)程修改注冊表的功能了，那么病毒程序自然也就無法通過修改注冊表的方法IE瀏覽器了。在關(guān)閉Remote Registry服務(wù)時(shí)，可以按照如下步驟來進(jìn)行：

首先依次單擊“開始”|“設(shè)置”|“控制面版”選項(xiàng)，逐一雙擊系統(tǒng)控制面板窗口中的“管理工具”|“服務(wù)”圖標(biāo)，在右側(cè)列表界面中雙擊“Remote Registry”服務(wù)選項(xiàng)，彈出如圖5所示的選項(xiàng)設(shè)置窗口；

其次在“常規(guī)”標(biāo)簽頁面中，點(diǎn)擊“停止”按鈕，暫停目標(biāo)系統(tǒng)服務(wù)的運(yùn)行狀態(tài)，再將“啟動類型”參數(shù)選擇為“已禁用”，這樣就能徹底禁止遠(yuǎn)程修改注冊表的功能了。日后，病毒程序無法再遠(yuǎn)程修改本地系統(tǒng)的注冊表，那么IE瀏覽器自然也就不會被隨意篡改了。

嚴(yán)格控制運(yùn)行權(quán)限

一些病毒、木馬程序可能會自動下載保存到本地系統(tǒng)，再將運(yùn)行代碼寫入到注冊表的“Run”分支下，實(shí)現(xiàn)病毒木馬的自動運(yùn)行，給本地IE瀏覽器造成安全危害。為了預(yù)防病毒、木馬程序修改本地注冊表，實(shí)現(xiàn)自動運(yùn)行發(fā)作目的，我們可以進(jìn)行如下設(shè)置操作，來關(guān)閉病毒、木馬的運(yùn)行權(quán)限：

首先打開本地計(jì)算機(jī)的“開始”菜單，選擇“運(yùn)行”命令，輸入“regedit”命令，按回車之后，切換到系統(tǒng)注冊表編輯窗口；依次展開該編輯窗口左側(cè)區(qū)域中的“HKEY CURRENTMACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”分支，并用鼠標(biāo)選中該分支選項(xiàng)；

其次逐一點(diǎn)選“編輯”、“權(quán)限”選項(xiàng)，打開如圖6所示的權(quán)限設(shè)置界面，添加導(dǎo)入everyone帳號，并將該賬號訪問權(quán)限設(shè)置為“讀取”；同樣地，要將除系統(tǒng)管理員以外的其他帳號權(quán)限統(tǒng)統(tǒng)設(shè)置為“讀取”，而不能設(shè)置為“完全控制”，再按“確定”按鈕返回；

考慮到一些病毒程序會以服務(wù)方式來運(yùn)行，因此再選中注冊表窗口中的“HKEYCURRENT-MACHINE＼SYSTEMX＼CurrentControlSet＼Services”選項(xiàng)，依次選擇“編輯”|“權(quán)限”選項(xiàng)，在彈出的權(quán)限設(shè)置界面中，將除了系統(tǒng)管理員以外的其他帳號權(quán)限也設(shè)置為“只讀”。

啟用IE增強(qiáng)安全功能

為了保護(hù)IE瀏覽器的安全性，Win2008系統(tǒng)設(shè)計(jì)出了IE增強(qiáng)安全功能，借助該功能能大幅提高IE安全區(qū)域上的缺省安全等級，從而降低IE瀏覽器遭遇潛在攻擊的暴露程度。在啟用IE增強(qiáng)安全功能時(shí)，可以按照如下步驟來執(zhí)行：

首先關(guān)閉所有IE瀏覽器窗口，之后打開Win2008系統(tǒng)的“開始”菜單，依次選擇“程序”|“管理工具”|“服務(wù)器管理器”選項(xiàng)，打開服務(wù)器管理器窗口，單擊“安全信息”位置處的“配置IE ESC”選項(xiàng)，彈出如圖7所示的IE增強(qiáng)安全對話框；

其次將“管理員”、“用戶”位置處的“啟用”選項(xiàng)選中，再按“確定”按鈕，這樣一來Win2008系統(tǒng)就能將IE增強(qiáng)安全功能啟用成功了。日后要想關(guān)閉IE增強(qiáng)安全功能時(shí)，只要選中“管理員”或“用戶”下的“禁用”選項(xiàng)即可了。

控制寫入關(guān)機(jī)腳本

某些病毒程序會通過寫入關(guān)機(jī)腳本的方式，來達(dá)到自動重啟病毒的目的，因此我們有必要控制寫入關(guān)機(jī)腳本的權(quán)限，禁止病毒通過關(guān)機(jī)事件來反復(fù)修改IE瀏覽器的設(shè)置，下面就是具體的控制步驟：

首先依次單擊“開機(jī)”、“運(yùn)行”選項(xiàng)，在彈出的系統(tǒng)運(yùn)行對話框中，輸入“regedit”命令，切換到系統(tǒng)注冊表編輯窗口；將鼠標(biāo)定位到該編輯窗口左側(cè)的“HKEY LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Group PoHcy＼State＼Machine＼Scripts”分支上，如圖8所示；

其次逐一點(diǎn)選“編輯”、“權(quán)限”命令，彈出權(quán)限設(shè)置對話框，在這里將除了系統(tǒng)管理員以外的其他賬號權(quán)限設(shè)置為“只讀”，再單擊“確定”按鈕保存設(shè)置操作，最后重新啟動計(jì)算機(jī)系統(tǒng)，這樣病毒就無法隨意向本地系統(tǒng)寫入關(guān)機(jī)腳本了。

控制病毒自動下載

一些病毒、木馬程序相當(dāng)“狡猾”，有時(shí)沒有經(jīng)過用戶的允許，就會自動從網(wǎng)上下載并安裝到本地硬盤中了；如果這些病毒木馬破壞性強(qiáng)的話，那么IE瀏覽器就可能遭受嚴(yán)重破壞。為此，我們可以控制自動下載功能，來預(yù)防這些破壞性極大的病毒、木馬程序自動下載到本地系統(tǒng)中，下面就是具體的控制步驟：

首先依次單擊“開始”|“運(yùn)行”選項(xiàng)，輸入“gpedit.msc”命令，彈出組策略編輯窗口；展開“用戶配置”分支，逐一單擊“管理模板”|“windows組件”|“Internet Explorer”|“安全功能”|“限制文件下載”分支，在目標(biāo)分支下面雙擊“Internet Explorer進(jìn)程”選項(xiàng)，打開目標(biāo)選項(xiàng)設(shè)置對話框(如圖9所示)；選中“已啟用”選項(xiàng)，同時(shí)按“確定”按鈕返回，這樣IE瀏覽器日后就會限制任何文件執(zhí)行自動下載操作了。