利用Windows系统、IE或其它软件漏洞,网页木马大行其道,广大网民成了无辜的受害者。就算你的系统补丁打得再勤,也难免挂万漏一,一个不小心就会中招。如此这样用户始终跟在漏洞后面追赶,太被动了,有没有有效终结各种网页木马的方法呢?下面笔者为大家介绍几款终结网页木马的工具,为大家安全浏览网页保驾护航。
一、网页木马克星
网页木马克星是一款功能全面的网页木马防范工具,它可以有效的阻止IE浏览器运行其它程序,从而达到防止木马的目的。另外,它不仅可以防范网页木马,还可以阻止任意未知进程的调用,从而更全面的保护系统。
1、监视恶意网页
动行网页木马克星后,选择“系统设置”选项卡,勾选“监视浏览器运行其它程序”项,点击“保存设置”按钮,再点击“开启监视”按钮,即可打开网页木马克星的监视功能。当我们打开木马网页时,网页木马克星即时的拦截到了进程信息,弹出进程拦截对话框。从对话框中可以了解到该网页下载运行的木马进程名。(图1)
网页木马克星还可以有效的保护IE浏览器,阻止网页修改IE主页在进程界面中勾选项“监视程序修改IE”项,点击“保存设置”按钮,再开启监视。当网页试图弹出修改提示对话框,用户可选择是否IE主页。勾选“监视程序IE并且锁定为”项,在后面的空白输入框中输入主页地址,即可自动阻止一切主页修改操作,锁定为指定的网址。(图2)
2、防范广告窗口
有一些网页木马与IE捆绑在一起,也有许多流氓软件嵌入了IE中,经常会自动弹出某些网页广告窗口,用网页木马克星可以有效的防范此类木马与流氓软件。
在程序界面中勾选“监视浏览器运行其它程序”项,开启监视后,即可阻止任意未经许可的程序调用。在弹出网页广告窗口时,网页木马克星会自动拦截,可看到此类广告窗口往往都是通过IE调用的。(图3)
二、SSM也来防网页木马
一些安全软件,如“看门狗”、SSM等,也是具备防网页木马功能。如果系统已经安装了这些软件,那么同样可以用其防范网页木马。
以SSM为例,打开“规则”→“程序”选项卡,点击右键,选择“添加文件规则”,在弹出的对话框中浏览指定C:Program FilesInternet ExplorerIEXPLORE.EXE,确定后即可为IE创建一条规则。使用默认的规则设置,当IE浏览某个木马网页时,将会自动阻止后台程序的调用。例如开着SSM时,打开木马网页,将会弹出阻止程序运行的信息,有效的阻止网页木马。(图4)
三、网页监控器WebPageMon
WebPageMon是一个网页监控器,可有效地防止各种网页脚本木马的执行,而且占用系统资源率特别小。动行WebPageMon前,首先需要将IE设置默认的浏览器,如果使用的是Maxthon,因为其调用的内核也是IE内核,因此也要将IE设置为默认浏览器。
动行WebPageMon后,程序会自动检测到当前默认浏览器,在下方列表中显示浏览器进程。点击“启动监控”按钮,即可开启网页木马监控。打开某些木马网页时,WebPageMon会在后台自动检测IE是否运行了其它的程序,并在上面的日志中显示拦截信息。(图5)
WebPageMon程序并不删除网页脚本下载的木马文件,仅是阻止它的动行,因此我们可以打开IE临时文件夹,查看被阻止的IE在后台下载的可执行文件。并可以用杀素软件对其进行检测,查杀是否有病毒。(图6)
四、网页木马拦截器
一般来说,恶意网页中的木马病毒和流氓软件之所以可以动行,是利用了浏览器或系统的漏洞,达到下载并动行恶意程序的险恶用心。也就是说,只要我们禁止可疑程序的动行,那么即使恶意网页在后台下载了木马程序病毒,也是无法对我们的系统进行感染破坏的。控制程序动行,就可达到防范恶意网页的目的。——“网页木马拦截器”就是通过监视控制系统中的任何程序进程的产生,来防范网页木马病毒的。
由于网页木马拦截是通过进程监控防范网岩浆木马的,因此在浏览网页前要杀素软件防火墙,检测确保系统中没有恶意程序进程。同时为了一些避免影响对网页木马病毒的断,最好不要替罪羊 的程序。“网页木马拦截器”是一个绿色的小软件,解压后直接执行其中的程序,即可动行软件监控拦截各种网页木马病毒及恶意网页。
1、进程保护
在程序界面窗口中列表显示了当前系统中的所有正在动行的进程,右点击“刷新列表”按钮,更新进程信息。在其中找到一些无关或可疑的进程,点击“结束进程”命令,将其终止掉。再点击“设置”按钮,在弹出对话框中勾选“随系统启动动行”项,让木马拦截器即时的保护系统。
2、网页拦截
点击界面中的“开始拦截 ”按钮,在程序窗口标题栏中可以看到“拦截系统已启动”的提示信息,就可以拦截任意网页了,此时正在动行的程序进程将会被标记为“已信任”,拦截器会时刻注意监控系统中是否有新的进程产生。(图7)
如果拦截器发现新进程产生,会及时的拦截住进程不让其动行,并自动将程序界面显示在桌面上层,以提醒用户。用户可在中间窗口列表中,看到一个标记提示为黄色问号的新进程名。如果觉得此进程这木马进程的话,那么可点击程序界面右侧的“结束进程”按钮,终止木马病毒程序的运行;如果是正常的软件程序,那么可点击“信任进程”按钮,许可程序的运行。被禁止与被许可的进程,都会在列表中以醒目的方式提示显示,可点击“刷新进程”按钮,恢复正常显示。(图8)
如何知道拦截器报警提示的进程,空间是正常的系统或软件进程,还是有害的网页木马病毒程序呢?如果在开始监控前,系统运行的都是正常进程,而在监控后开始浏览网页的过程中,自己并没有运行其它的程序,却提示有新进程产生被拦截,那么被拦截的进程一般都是包含在网页中的木马。
3、防恶意插件
在拦截的保护下可以安全的浏览各类网站,丝毫不必担心网页中是否有木马,因为任何网页木马程序试图运行,软件会自动进行拦截,拦截器就可以确保100%的拦截各种网页木马。即使是以DLL方式加载运行的木马或各种流氓软件,都逃不脱拦截器的“慧眼”。同时,网上还有一类专门修改系统安全配置、注册表等的恶意网页,同样也能被拦截阻止。(图9)
4、设置黑白名单
如果在浏览网页时,需要运行一些正常的软件程序,拦截器会频繁的弹出提示,怎么办呢——我们可以将安全的程序添加到“白名单”中去,就可以自由的运行程序了。在程序界面中点击选择“白名单”选项,在中间的列表窗口中输入程序进程名即可。(图10)
另外,在“黑名单”中可以添加禁用一些危险的程序,例如有的网页会修改注册表,可将 添加到黑名单中,禁止浏览网页时对注册表进行任何修改操作。在程序目录下有两个文件“Allow.txt”(白名单)、“kill.txt”(黑名单),可直接用记事本编辑文件添加到黑白名单程序。(图11)
总结:网页木马肆虐,与其被动地预防不如利用相应的网马检测、查杀工具主动出击绝杀它。当然,除了笔者列举的这几款软件之外,大家还可以找到其他类似的软件。