浏览网页也会中木马-注册表全攻略(4)

　　现在，再回过头来看看我所中的木马是怎么回事。其实，wincfg.exe这个文件在这里相当于邮件的附件，从我们所列的代码中可以看到，攻击者把wincfg.exe的的类型定义为audio/x-wav，由于邮件的类型为audio/x-wav时，IE存在的这个错误的MIME头漏洞会将附件认为是音频文件自动尝试打开，结果导致邮件文件a.eml中的附件wincfg.exe被执行。在win2000下，即使是用鼠标点击下载下来的a.eml，或是拷贝粘贴该文件，都会导致a.eml中的附件被运行，微软的这个漏洞可真是害人不浅啊。现在看来，原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序，是多么落后的手段啊！如今，利用微软“创造”的这个大漏洞来进行攻击，是那么的简单、多么的容易啊！唯一的条件就是被攻击目标使用IE5.0、5.01、5.5这些浏览器中的一种，使用IE浏览器的用户到底有多少呢？看看你身边的朋友就知道答案了！

　　解决办法：

　　如果你浏览网页中了该木马，可以用下面的方法来加以解决：

　　(1)点击“开始”→“运行”，在弹出的对话框中输入regedit，回车。然后展开注册表到HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run下删除wincfg.exe；

　　(2)到你的计算机的系统目录下，如果操作系统是Win2000，则到c:\winnt下；如果你的操作系统为Win98，则到c:\windows下，删除其中的wincfg.exe 文件。

　　(3)重新启动机器，一切OK了！

　　预防方法：

　　1.最好的办法是不使用IE和Outlook。可以用Netscape代替IE，用Foxmail代替Outlook。如果非要用，建议你按下面的方法进行操作：

　　(1)运行IE，点击“工具→Internet选项→安全→Internet区域的安全级别”，把安全极别由“中”改为“高”。

　　(2)接着，点击“自定义级别”按钮，在弹出的窗口中，禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”选项。

　　(3)同理，在此窗口中禁用IE的“活动脚本”和“文件下载”功能。

　　(4)禁用所有的ActiveX控制和插件。

　　(5)设置资源管理器成“始终显示扩展名”。

　　(6)禁止以WEB方式使用资源管理器。

　　(7)取消“下载后确认打开”这种扩展名属性设置。

　　(8)永远不直接从IE浏览器中选择打开文件。

　　2.不要受陌生人的诱惑打开别人给你的RUL，如果确实想看，可以通过一些下载工具把页面下载下来，然后用记事本等一些文本编辑工具打开查看代码。

　　3.微软公司为该漏洞提供了一个补丁，赶快到下面所列出的URL去看看吧：

　　http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp