消灭害群之“马”(下)
网络通信
三、“马”从何来
许多人中过木马,也知道木马的危害,但大多数人不清楚是何时、是怎么中的。其实种植木马无非是以下几招:
1.文件捆绑
现在网上许多地方都可以找到EXE文件捆绑机,它可以很容易地将一个木马服务端与其他文件,如Flash动画、屏保、图片等捆绑到一起。
要识别它们很简单,因为EXE可执行文件头的标志是“MZ”,我们用记事本打开好友传过来的文件,查找“MZ”的数量就行了。如果一张图片中出现这个标志或一个Flash动画中出现三个或以上“MZ”,就要格外小心了。
2.IE漏洞
IE漏洞经常被黑客利用来种植木马,比如Internet Explorer MHTML文件重定向执行漏洞。在缺省安全状态下,IE可以打开本地的邮件并直接下载、运行任意的可执行文件,而IE不会给出任何的安全提示。
4月份,网络蚂蚁中文网站(http://www.netants.com/gb)被黑客修改,网页中被添加了恶意代码,当人们在浏览时通过连续的IFRAME SRC打开多个链接,从而被种植Trojan.Win32.StartPage.es木马。五一期间,在网上疯狂传播的“震荡波”蠕虫病毒,也是通过微软新公布的系统漏洞进行作案的。
3.QQ消息中的链接
QQ中好友发来的消息中如果带有链接就一定要小心,因为许多病毒都是伪装成网页链接,并通过消息中具有欺骗和诱惑的文字让大家去点击,例如QQ小尾巴。
比较妥善的做法是把网址复制到Flashget、Netants等下载工具中,下载后用杀毒软件进行病毒扫描后再打开。对于有一定网页制作基础的人,还可以先用记事本打开它,分析一下源代码是否有可疑之处。如果网页屏蔽了右键,可以在地址栏中输入“javascript:location=“view-source:”+location.href”就可以查看源代码了。
如果网吧或身边电脑里没有这类下载工具,还有一种简便的办法,就是在IE地址栏中输入“view-source:网址链接”,然后敲回车就会直接下载并打开这个网页的源代码,分析一下觉得没什么问题后再打开它。比如我们要查看电脑报网站的源代码,就要输入“view-source:http://www.cpcw.com”,敲回车即可。
四、驯“马”术
其实木马并不可怕,对付一般木马只要三招就可使之毙命:
1.杀掉进程
当怀疑或发现中了木马以后,应立刻断开与网络的连接(包括与局域网的连接)。在《金山网镖6》中可以通过显示的文件路径或通过点击“打�*绦蛩谀柯肌辈榭次募粜越徊脚卸稀Vな凳悄韭砗螅谌挝窆芾砥鹘崾慕獭�
2.删除文件
在资源管理器中找到木马文件,按“Shift+Del”键彻底删除它们(注意:在Win XP中删除前需要关闭系统还原功能)。
木马文件伪装的方式有很多,比如有些文件会设置为隐藏属性、使用双后缀名等。由于在系统默认情况下,系统会隐藏已知文件类型的扩展名,如果文件名为“photos.jpg.exe”则只会显示为“photos.jpg”。查看时一定要在“文件夹选项”中取消“隐藏已知文件类型的扩展名”,并选中“显示所有文件和文件夹”。
另外Windows系统对于一些特别的文件扩展名,即使使用了以上的方法也不能显示出扩展名。解决的方法是,打开注册表编辑器在[HEY_CLASSES_ROOT\ShellScrap]主键下,删除“NeverShowExt”键值,重启电脑后即可。
木马还可能修改可执行文件图标,例如换成安装文件、系统文件或文本文件图标等。大家可以用十六进制编辑器UltraEdit-32打开一个EXE文件(如《潜艇大战》这个游戏SHIP1.exe),在文件开头插入以下内容:
[Shell]
Command=2
IconFile=Shell32.dll,4
[Taskbar]
Command=explorer
保存后退出,把文件名修改为“XXX.scf”,当弹出“如果修改文件扩展名,可能导致文件不可用。”警告对话框时,选择“是”。仔细观察会发现,这样伪装的文件夹在“详细信息”查看方式下会显示出文件尺寸,而正常的文件夹是不会显示的(图1)。
3.清除启动项
接下来就是清理木马用来随机运行的启动项,一般会在注册表中。如果运行“regedit”时弹出“注册表已被管理员停用”,就说明发现木马禁用了注册表编辑器。笔者找到一个一劳永引的方法──修改注册表编辑器文件(即regedit.exe)。
用UltraEdit-32打开它,在十六进制模式下,按“Ctrl+R”打开“查找→替换”窗口,在“查找内容”栏中填入“DisableRegistryTools”,在“替换为”框中输入等长的任意字符串,比如“Enable-RegistryTools”,然后一定要勾选“查找ASCII字符”选项,否则查不到(图2)。接下来单击“全部替换”,完成后保存退出即可,UltraEdit-32会自动把原文件备份为“regedit.exe.bak。”以后通过添加键值“DisableRegistryTools”的方法,就再也锁不住注册表编辑器了。
上面的方法对于Win XP注册表编辑器无效,但可以使用杀毒软件中的工具进行解锁。例如运行《金山毒霸6》目录下的kaviereg.exe文件,运行后在“IE常规”下,勾选“取消注册表工具禁用”、“恢复REG文件关联”和其他被禁用选项,单击“清理”即可(图3)。
《金山毒霸注册表修复工具》免费下载地址为http://download01.duba.net/download/othertools//Duba_RegSolve.exe,大小310KB。
五、防范木马入侵
除了平时定期检查以外,动态监测也非常关键。所以我们上网时除了打开病毒实时监控外,还要开启网络防火墙。天网或网镖打开以后,至少要把安全级别设置到中以上,这样才能有效地拦截木马程序和各种网络攻击(见表)。
在使用即时通讯工具QQ、MSN、ICQ等聊天时,最好也开启嵌入式防火墙,例如《金山毒霸6》中的安全助手。再就是不要以为只有杀毒软件才需要按时升级病毒库,升级网络防火墙同样重要。另外还要记住几条必须严格遵守的纪律:
1.不安装和下载一些来历不明的软件,如游戏外挂、破解软件、算号器等。
2.打开邮件中的附件、QQ中传过来的文件之前,一定要用杀毒软件进行检查。
3.在网吧上网前一定要做一下检查,同时做好密码保护工作,至少要重启一次机器。
六、狙击木马三剑客
1.Anti-Trojan Shield
Anti-Trojan Shield V1.3.07是一款享誉欧洲的专业木马侦测、拦截及清除软件。软件大小为3959 KB,下载地址是http://count.skycn.com/softdownload.php?id=16007&url=http://on165-http.skycn.net:8081/down/ats1.exe。
2.Trojan Remover
Trojan Remover 6.2.1是一款专门用来清除木马并自动修复系统文件的工具软件,文件大小3073KB,下载地址是http://www.simplysup.com/download/trjsetup.exe,未注册用户只能使用30天。
3.木马分析专家
最后再介绍一款国产的工具软件──《木马分析专家》,软件大小为1431 KB,下载地址是http://count.skycn.com/s0ftdownlOad.php?id=13068&url=http://js-http.skycn.net:8080/down/freepc.exe。
木马分析专家最新版本为 V5.92,除了能分析木马、可疑进程和窗体类型以外,还新增了IE/木马防火墙、在线杀毒、修复系统漏洞功能,可以说功能非常繁多(图4)。
