第二回:喜忧参半的iexplore.exe
网络安全
危险等级:★★★★
曾经案例:2004年,IE浏览器的一个高危漏洞(iFrame漏洞)出现,在处理某些特定构造的网页时,浏览器会造成缓冲区溢出。在这种状态下,用户的电脑很容易遭到黑客或病毒的攻击。由于有利用此漏洞的脚本病毒出现在网上,所以造成大量用户的系统感染脚本病毒,并修改了大量系统属性。除此以外,黑客还利用该漏洞制作网银木马,同时造成大量用户的系统被种植了木马程序。
判断进程的合法性
八戒说:“近日,一些‘流氓软件’引起了用户和媒体的强烈关注。它们往往采用特殊手段频繁弹出广告窗口,危及用户隐私,严重干扰用户的日常工作,威胁数据安全和侵犯个人隐私。比如,用户刚刚连接网络,就会有一个名为iexplore.exe的进程要求访问网络(如图),或者刚刚上网,就弹出大量的网页广告。其实这都是iexplore.exe这个进程被恶意程序所利用的结果。”。
小知识:iexplore.exe是微软Windows系统自带的IE浏览器的主要进程,它的作用主要是让用户进行网页浏览等上网操作使用的。由于很多用户喜欢使用IE浏览器来访问网络,所以iexplore.exe这个进程常常出现。虽然IE浏览器是系统自带的,但是iexplore.exe并不是系统进程,只能算是一个应用进程,所以它不会随系统的启动而自动运行。
悟空马上问到:“那么怎么鉴别这个iexplore.exe进程是否合法呢?”
谭教授解释道:“首先我们要分析这个iexplore.exe进程是不是IE浏览器的那个iexplore.exe。因为有的恶意程序为了更好的隐藏自己,会将自己的文件名也改为iexplore.exe,但是它们存放的目录一般都在c:\windows或者c:\windows\system32这些系统目录里面,以便鱼目混珠、混淆是非。例如,我们用IE浏览器访问《电脑报》的网站www.cpcw.com,在任务管理器就会出现一个iexplore.exe进程(如图)。这就是合法的。”
小贴士:真正的iexplore.exe目标位置在“?:\Program Files\Internet Explorer\iexplore.exe”。?代表系统所在的盘符,一般情况下系统都安装在C盘。从图1我们已经可以看到,这个iexplore.exe确实是在正常的目标位置,这只能证明这个iexplore.exe进程是正确的,但是并不能完全说明这个iexplore.exe行为是合法的。
解决进程隐患
唐僧问道:“那么怎么对付恶意进程呢?”教授:“恶意程序大多采用了线程插入技术,这里以著名的灰鸽子木马为例,它将自己的进程插入到iexplore.exe这个进程中(如图),这时这个iexplore.exe进程其实就是灰鸽子木马的‘傀儡替身’。
需要注意的是,有的木马程序利用隐藏技术使得被利用的IE浏览器进程在系统的任务管理器中查看不到,这时用户只有利用IceSword等专业的安全工具才能检测到它的存在(如图)。
发现可疑的iexplore.exe进程后,应该立即终止它。在上一节课中我们已经讲过了两种结束进程的方法,你可以任意选择一种来结束可疑的iexplore.exe进程,然后将这些可疑的iexplore.exe文件或利用iexplore.exe进程的文件从系统中删除掉。”
iexplore.exe进程的相关内容讲完以后,谭教授一看表差不多了,于是说道:“各位,今天到此为止。下节课我们将讲解另一个高危的系统进程explorer.exe,记着回去后多多实践。下课!”