网页文件附加代码清除工具---iframekill v1.1

利用漏洞的网页恶意代码，是网上病毒重要的传播途径之一。而病毒作者们为了达到使病毒迅速大规模传播的目的，往往希望把这个传播途径的功用运用到最大，让用户无时无刻不处于恶意网页的威胁之中。
      

就前段时间而论，从“熊猫烧香”病毒的中后期变种，到最近我们刚刚报道的牛X 下载者生成器生成的下载者，感染（捆绑）型病毒，或是下载者病毒，越来越多地采用这样一种手法：在中毒电脑上的网页文件中加入iframe框架代码或其他指向恶意网页的代码。
      这样做的效果是明显的。对于单机用户，即使病毒体被成功清除，如果本地保存的网页中被加入的代码没有及时清理的话，用户在打开这些网页时，依然有再次中毒的危险。而对于一些网站服务器来说，这又成了一种新的威胁来源。一旦网站的服务器中毒，服务器上所有网页即被挂上了恶意代码。甚至于还有一种不得不提到的可能：如果网站编辑的电脑中毒，那么他（她）编辑后上传到网站服务器上的页面，就将带有恶意代码，就将对成千上万浏览这个网页的网民的电脑产生潜在的威胁。
      对于感染型病毒而言，添加网页代码只是它们另一个令人厌恶的行为。而对于原本纯文件型的木马下载器而言，清除被添加的网页代码就成为了查杀过程中最艰巨的部分。最后用户往往只能先通过添加HOSTS列表等手段，屏蔽代码指向的网站，然后静等杀毒软件哪一天更新之后可以将这段代码清除。
      
     为了应对此种情况日益增多的现状，CSI计算机安全资讯网提供网页文件中此类代码的清除工具。

程序界面：

  

      文件名：iframekill.exe
      大小：223 KB (228864 字节)
      MD5：a043a0075fe35a92ec5a06a3942d4d76
      程序标题为随机10位数字和大写字母组合。加了UPX壳，以缩小文件体积。

使用方法：
      本程序由用户自己指定要在网页文件中清除的代码内容。当用户通过网上的病毒查杀方案获知，或自己打开本机网页源文件，找到被添加的代码内容之后，复制或输入程序的文本框中。
      如代码为"<iframe src=……></iframe>"，则将引号内内容包括iframe标记全部复制到工具的文本框中，注意后面不要加上回车换行号或空格等多余的字符。
      按下“全盘扫描”，即可全盘扫描包含有指定的代码内容的网页文件，并清除其中的这段代码。
      按下“扫描特定路径”，则可以指定要扫描的文件夹路径。
      按下以上任一键后，该键的文字变为“停止扫描”，在扫描未完成时可随时再按下此键停止扫描。
      *如勾选“创建备份”复选项，则扫描时会将需要清除代码的网页先进行备份保存。
      *备份保存路径默认位于C:\!iframekill\路径下，如原C:\test\1.htm文件，备份文件路径将为C:\!iframekill\C\test\1.htm.rename。如需恢复备份，只需到备份文件夹中将相应.rename文件改名移回原位置即可。
      *如扫描尚未结束前，用户已按下关闭程序按钮，则程序将提示用户确认是否要退出程序。如用户选择“确定”，则程序会自动结束扫描后退出，如用户选择“取消”，则忽略此次操作。
      标*的为1.1版新增内容。

注意事项：
      1.  由于是用户自己指定要清除的代码内容，因此我们假定用户在输入内容时足够小心，不会误输入原本正常的网页内容。
      2.  考虑到病毒加入多行代码或多次加入的可能性很小，而且用户输入多行代码时输入出错的可能性更大，目前该工具只支持一次清除一行代码。如果同一个文件中，同样的代码加了多行，扫描时会连续提示多次清除成功。
      3.  由于扫描磁盘遍历文件时线程工作量大，会占用比较多的资源，所以使用时请尽量关闭其他占用资源较大的应用程序。
      4.  如果硬盘文件较多，已使用容量较大，建议不要使用“全盘扫描”，而最好使用“扫描特定路径”功能分开扫描每个盘，以避免扫描时间过长，以及因此出现的不稳定因素。

技术支持：
      本工具由CSI计算机安全资讯网免费提供，请勿用于商业用途。由于编写者水平有限，工具难免有不足之处，同时由于用户的误输入等原因，也可能导致各种难以预料的问题。对用户使用本工具后出现的问题，原则上本站不承担责任。用户在工具的使用方法上有不明白的地方，可在此文章回复，或到论坛病毒救援版块提出。
      工具界面上有本站论坛的图片标志，点击该图片标志可进入本站blog主页。

版本历史：
v1.1 2007.10.13 更新
*增加简单的备份功能。
*提高扫描线程的稳定性。
*增加扫描未结束时退出程序的确认提示。
*其他的小修正。

v1.0 2007.06.27 初始发布

工具下载位置（最新版本v1.1）：
       ]http://www.vaid.cn/blog/attachment/iframekill.rar

 

原文地址： [url]http://www.vaid.cn/blog/read.php?9[/url]