網(wǎng)頁木馬能夠在用戶不知覺的情況下改變用戶配置或者下載運行非法程序以實現(xiàn)某種不可告人的目的。當用戶訪問某個網(wǎng)站時，如果這個網(wǎng)站中有木馬文件，則會在沒有任何安全提示的情況下，自動下載遠程CHM文件中的程序并運行，或者在后臺運行網(wǎng)頁上的惡意代碼。網(wǎng)頁木馬雖然比較可怕，但是向非典一樣，仍然是可防可控的。筆者下面列舉了網(wǎng)頁木馬的常見防范措施，供各位讀者參考。

　　防范措施一：更改系統(tǒng)的環(huán)境變量

　　木馬本質上是一種程序，一段惡意代碼。其需要運行的話，必須要借助于一定的平臺。如VBS、JS平臺等等。如果我們能夠將這些平臺禁用掉，那么即使用戶訪問的網(wǎng)頁中有這些代碼，其也不會對用戶造成損害。因為其根本不能夠在用戶的電腦上運行。眾所周知，在操作系統(tǒng)中有一個環(huán)節(jié)變量，在這里可以定義常見應用程序的路徑。如果我們在這里將一些比較危險的應用程序的路徑去掉，那么木馬就會因為找不到可以運行的平臺而無疾而終。

　　如上圖所示，我們可以在操作系統(tǒng)的環(huán)境變量中，找到PATHEXT變量名，將這里面的一些經(jīng)常容易被網(wǎng)頁木馬利用的變量值刪除。如可以將VBS、JS等等內(nèi)容刪掉。這些變量是木馬經(jīng)常使用的。不過在更改這個環(huán)境變量的值的時候，需要注意最好能夠事先對其進行必要的備份。特別是不能夠確認哪些是操作系統(tǒng)或者其他應用程序運行必須的變量的時候，對這個變量值進行備份。這可以防止因為誤操作而帶來的損失。

　　防范措施二：要養(yǎng)成看網(wǎng)頁源代碼的習慣

　　一個網(wǎng)絡安全人員，如何才能夠提高網(wǎng)頁木馬的識別能力呢?俗話說，知己知彼，百戰(zhàn)百勝。筆者認為，要提高管理員的木馬識別能力，最好的途徑就是要學會看網(wǎng)頁的源代碼。最高明的木馬，也需要通過一定的代碼來實現(xiàn)。只是有些木馬的代碼有一定的隱蔽性與欺騙性而已。為此安全人員需要多查看網(wǎng)頁源代碼。通常情況下，無論多高明的網(wǎng)頁木馬，都會在源代碼中看出一點端倪。通過代碼，可以了解木馬的工作原理、變現(xiàn)形式、欺騙的手段以及未來的發(fā)展趨勢等等。只要了解這些內(nèi)容，在防護木馬的時候，才能夠對癥下藥。當然，要能夠看懂這些木馬，具有一定的難度。不過當能夠看懂網(wǎng)頁代碼的時候，對于安全人員來說，可能是受益無窮。

　　當我們發(fā)現(xiàn)可疑網(wǎng)頁，可以點擊工具欄上的“查看”按鈕，然后選擇源文件，就可以看到這個網(wǎng)頁的源代碼。如上圖所示。然后分析其可以的代碼。一般來說，網(wǎng)頁木馬代碼雖然有一定的隱蔽性與欺騙性，但是安全人員只要多花點心思，就可以找到相關的規(guī)律。其實跟木馬制作者勾心斗角的斗爭，也是很有趣的一件事情。當發(fā)現(xiàn)對方的惡意企圖時，你或許會很有成就感。從此一發(fā)不可收拾。

　　防范措施三：禁用危險的端口與服務

　　在默認情況下，IE瀏覽器啟用的端口數(shù)量會比較多，這主要是為了方便用戶的使用。但是其也帶來了很多的安全隱患。很多木馬就喜歡使用這些途徑來發(fā)起攻擊。如像FTP、TFTP這些服務，對于普通用戶來說，基本上用不著。而這些服務以及對應的端口就可能成為木馬發(fā)動攻擊的漏洞。為此在必要的情況下，需要禁用FTP等服務于端口，防止網(wǎng)頁木馬利用這些途徑來發(fā)起攻擊。當用戶有需要使用的時候，管理員可以再替用戶打開。雖然這會在一定程度上影響用戶的工作效率，但是相比安全來說，這還是可以接受的。特別是在一些比較重要的場合，更需要這么做。如企業(yè)的財務部門，現(xiàn)在很多公司都直接使用網(wǎng)上銀行來進行付款等操作。如此的話，就不用老是跑銀行。對于這些比較敏感的主機，更加需要禁用不需要使用的服務與端口，讓木馬沒有可乘之機。

　　防范措施四：更新補丁

　　人無完人。軟件也是。微軟等IE瀏覽器雖然功能比較完善，但是漏洞也比較多。根據(jù)以往的經(jīng)驗，IE瀏覽器功能越多，其漏洞也越多。從瀏覽器補丁越來越多、發(fā)布的頻率越來越短，就可以知道。而大部分網(wǎng)頁木馬會利用IE等瀏覽器的漏洞來進行攻擊。為此，要有效的防范木馬，一個比較簡單的方式就是及時的更新補丁。當有新補丁出來的時候，要根據(jù)其危險的級別，確定網(wǎng)絡中各個客戶端的升級計劃。

　　不過在升級之前，筆者要提醒大家，要注意與現(xiàn)有應用程序的兼容性。如一些外貿(mào)企業(yè)，可能有電子口岸等應用系統(tǒng)。這些系統(tǒng)都是基于Web應用的。在升級瀏覽器補丁時，需要考慮這些應用程序對這些補丁的兼容性。為此在升級之前，必要的測試是少不了的。另外有可能還需要進行備份。當發(fā)現(xiàn)有不兼容的情況時，可能在短時間內(nèi)還是需要先使用以前的IE瀏覽器。特別是像這種有政府背景的應用軟件，其升級往往會慢一拍。所以更加需要注意其兼容性問題。

　　防范措施五：日常操作中要引起警覺

　　在實際工作中，木馬的防護不僅僅是企業(yè)網(wǎng)絡安全瓜管理人員的工作。而是安全人員與普通用戶共同參與的一項大工程。企業(yè)普通員工在日常工作中，需要提高警惕性。特別是像使用網(wǎng)上銀行或者其他類似的關鍵應用時，要有安全意識。如在使用網(wǎng)上銀行時，要注意其網(wǎng)頁地址的格式。一般來說，網(wǎng)上銀行的格式都是以HTTPS開頭的。這表示雙方之間的通信已經(jīng)被加密了等等。

　　一旦發(fā)現(xiàn)IE運行不正常，如速度比較慢或者自動關閉等等，需要及時的告知安全管理人員，而不能夠事不關己、高高掛起。安全管理人員也需要對企業(yè)的關鍵用戶加強培訓，讓他們養(yǎng)成很好的安全操作習慣。另外在有必要的情況下，需要對用戶訪問的網(wǎng)頁進行監(jiān)控。因為有時候在用戶不知覺的情況下，網(wǎng)頁木馬會自動訪問其他的網(wǎng)頁，以下載木馬程序等等。對用戶的訪問進行監(jiān)控，有利于發(fā)現(xiàn)這種未經(jīng)授權的訪問。

　　防范措施六：要注意內(nèi)部的安全

　　企業(yè)有些員工可能比較用功。工作做不完，都利用U盤等移動設備拷回到家里繼續(xù)做。第二天再帶回到公司。在這個過程中，木馬可能已經(jīng)悄無聲息的進入到了企業(yè)的內(nèi)部網(wǎng)絡。一般來說，企業(yè)都會有防火墻等安全設備。為此要木馬要從企業(yè)的外部進入到企業(yè)的內(nèi)部網(wǎng)絡，還是有一定困難的。但是員工的家里的電腦，往往沒有很好的安全措施，有些甚至殺毒軟件都沒有安裝，從此成為了木馬的溫床。然后其就可以借助員工的移動存儲設備等等進入到企業(yè)內(nèi)部的網(wǎng)絡。此時由于沒有了企業(yè)防火墻的保護，木馬就可以肆無忌憚的在企業(yè)內(nèi)部進行傳播。為此在木馬防護中，還需要注意企業(yè)內(nèi)部的安全。如在必要的情況下，在企業(yè)中禁用移動存儲設備?？墒鞘褂肍TP服務器或者郵件服務器來代替移動存儲設備。

　　總之，網(wǎng)頁木馬可能會給用戶帶來比較大的損失，但是其基本上是可防可控的。合理的采取預防措施，可以將網(wǎng)頁木馬消除與無形之中。