病毒、木马、流氓软件———上网安全三部曲
网际畅游
如今计算机已经犹如家用电器一样彻底融入了人们的生活,但由于受广大计算机用户理论知识和实际操作水平的限制,以及计算机信息安全方面的法律制度不健全的影响,致使网络中病毒、木马和黑客泛滥。因此网络安全也成为了人们关注的焦点。
一、永恒的安全话题——病毒
病毒发展到现在已经呈现出多元化的发展趋势。如今在互联网上最为猖獗的几种病毒为蠕虫病毒、IM病毒、网络钓鱼病毒。
蠕虫病毒主要利用系统漏洞进行自动传播和破坏,其危害之大,自然不言而喻。由于系统的漏洞是无法避免的,所以各种蠕虫病毒像雨后春笋般地涌现出来,令人防不胜防。
由于计算机用户对IM(即时通讯)软件的广泛应用,使IM病毒全面爆发。先是QQ病毒大泛滥,接着MSN的“性感烤鸡”病毒也着实让MSN用户吃了很多苦头。
网络钓鱼病毒也不甘示弱,首先出现了假冒的各大银行网站,接着借助印度洋海啸的浪潮,海啸病毒也着实风光了一把。
除了这些破坏程度巨大的病毒以外,互联网上还破天荒地出现了各种正义的病毒。所谓的正义的病毒是指那种具备了病毒的特性,但是不破坏系统,反而帮助减少系统漏洞的病毒,让人啼笑皆非。如“anti-Santy”病毒,如果用户中了该病毒,该病毒不但不会破坏系统,反而会自动地检查系统缺少的补丁,并自动的帮系统打上缺少的补丁。而“Noped”病毒更加有趣,它会自动地搜索带儿童色情的图片,一旦发现了儿童色情内容,它将会自动地发送举报邮件给政府机关。
毕竟真正的病毒都会破环我们的系统,那么应该如何才能防御病毒呢?
1.使用防病毒软件
由于病毒的肆虐,各大安全厂商纷纷推出了自己的防病毒软件。目前国内市场上主要有国产的瑞星、金山毒霸和KV杀毒软件,国外的诺顿、卡巴斯基和McAfee(俗称卖咖啡)等。它们各具特色,完全无法分别谁好谁坏。
国外的杀毒软件,内核强大,杀毒功能更强,界面简洁精干。国内的杀毒软件虽然在内核上无法与国外杀毒软件相媲美,但是在对付国产病毒方面,占用资源方面又远远优于国外的杀毒软件。比如卡巴斯基是国际上著名的老牌杀毒软件,杀毒功能强大,但是它占用的系统资源相对就要多一些,所以硬件配置不高的朋友并不适合使用卡巴斯基,使用占用资源很小的金山毒霸,效果反而会更好。
2.查漏补缺
病毒能够轻松地进入用户的电脑,很大程度上是因为用户的电脑上没有任何的安全防御措施,并且该更新的补丁没有及时更新。因为病毒的作者必须要等待系统补丁发布以后才能对系统漏洞进行反编译,所以病毒一般是在补丁发布以后的一段时间才会出现。这个时候及时为系统打上补丁,成为了关键中的关键。因为在病毒肆虐之前为系统打上补丁,可以从根本上消除蠕虫病毒所带来的安全隐患。
(1)在线更新
Microsoft专门提供了一个更新下载补丁的网站,每当用户访问这个网站,系统本身就会把它的信息发送给这个网站,网站根据收到的系统信息判断出你的系统有哪些补丁没有打上,并且会用一个列表的形式把用户没有打的补丁列举出来,供用户安装。这样的方式的确给用户提供了极大的方便,那么我们如何来访问这个网站呢?
在IE浏览器中输入网站的地址:http://windowsupdate.microsoft.com ,回车即可。或者单击“开始”菜单,大家可以看到菜单上方有一个Windows Update的图标,单击这个图标,系统就会自动访问到Windows Update网站。
当访问到Windows Update网站以后,用户可以选择快速安装和自定义安装,确定选择之后,Windows Update网站将会自动检测系统没有安装的补丁。
这样,用户可以根据自己的情况勾选你想安装的补丁,然后单击安装按钮即可在线修补自己系统的漏洞。
(2)自动更新
这种方法的好处是不需要用户再去管哪些补丁没打,系统自动会到Windows Update网站去下载最新的补丁,当下载完成后,会提示用户是否安装这个补丁,或者自动地安装上补丁,具体如何配置呢?看下面的具体步骤:
右击“我的电脑”图标,选择“属性”可以打开“系统属性”对话框,在选择对话框中有“自动更新”选项。在自动更新当中有三个选项“自动”、“下载更新”和“下载通知”。用户可以根据自己的实际情况进行选择。
3.防止下载病毒
面对Internet如此海量的资源,怎能不叫人心动?但没有人敢保证所有可下载的东西是干净的,特别是一些网络游戏的外挂中、小网站里的工具中、一些号称“免费”的网络资源中,经常隐藏有令人意料不到的东西。如何才能避免下载到病毒呢?
①养成良好的下载习惯,一般不要去一些小的网站下载东西,对任何下载的文件和程序都不直接打开,而是先使用杀毒软件查毒后再打开。
②使用FlashGet等下载工具进行下载,并把下载工具和杀毒软件进行捆绑,以达到下载后自动杀毒的目的。
通过这些设置,我们能够最大限度的保障系统不会受到病毒的侵害。
二、兵荒“马”乱的年代——木马防御战
特洛伊木马(Trojan),简称木马。自从出现的第一天起就成为了互联网中的一大安全隐患。木马程序有别于蠕虫病毒,因为它需要人为的控制和执行方能对网络安全造成威胁。
传统木马都由两部分组成:客户端和服务器端,即C/S(Client/Server)类型。客户端在本地主机执行,用来控制服务器端。服务器端在远程主机执行,一旦执行成功,远程主机就中了木马,就可以被控制或者造成其他的破坏。
随着安全技术的发展,个人电脑防病毒软件和个人电脑防火墙的出现,使得传统木马已经走到了生存的边缘,正当人们以为可以彻底铲除木马的时候,新型木马问世了。
首先出现的是反弹端口木马,该木马与传统木马最大的区别在于服务端一旦被执行,会主动连接客户端。由于防火墙一般是许出不许进,这样反弹端口木马就利用了防火墙这一特点,穿透防火墙。
为了躲避防病毒软件的查杀,DLL木马也诞生了。任何一个程序运行都需要调用自身的DLL程序,由于DLL文件本身是不能执行的,所以杀毒软件不会把它列到查杀范围当中。DLL木马利用应用程序进程都要调用很多DLL文件这种特点,把自己插入到普通的应用程序的进程中,使用户无法在任务管理器当中发现木马的任何踪迹。所以DLL木马又被人们称为无进程木马,隐蔽性相当强。
由于网络游戏和IM软件的盛行,在巨大的利益面前,使各种盗号木马迅速的生根发芽。千万不要小看这些盗号木马,在技术上丝毫不亚于经典的木马,甚至某些地方比那些老牌木马更为强大。
但是木马终归是木马,它与生俱来的特性是永远无法改变的,所以下面给大家介绍几种木马的通用解法。
1.发现木马
如果大家发现自己的电脑出现了一些异常,可以利用防病毒软件进行检测,但是防病毒软件在木马查杀方面功能并不强大,所以大家可以借助手工方式进行检测。
无论什么木马,都想要破坏系统必须的依赖网络,所以我们可以利用“netstat -nao”命令来查看本机当前的网络连接及使用的端口号,打开这台系统的命令行窗口cmd,在当中键入“netstat -nao”,就可以看到系统中端口的连接状态,其中状态显示为“ESTABLISHED”的,就是当前系统正在连接的端口。
如果用户认为某个连接比较可疑,那么看看该连接后面的PID号,然后再打开“任务管理器”,查看PID号所对应的程序,那么就能很容易的判断出该进程是否是木马。
如果遇到的是DLL木马,我们看到的进程有可能是正常的系统进程,不过不用担心,如果你确实怀疑该进程存在问题,可以利用命令行的工具listdlls.exe来帮助你。打开命令行窗口,把命令行窗口的路径定位到listdlls.exe所在的目录,键入“listdlls exe文件名称”,就可以查看到这个exe程序对应的DLL。
2.结束木马进程
如果遇到的是普通木马,那么用户可以直接在“任务管理器”中右击结束木马进程。如果是DLL木马,我们仍然需要借助listdlls.exe的帮助,在键入“listdlls –d dll文件名称”后,即可将DLL进程结束。
3.还原木马修改的注册表键值
木马最喜欢光顾的注册表键值莫过于系统中的文件关联,因为文件关联对系统的影响尤为重要,因为木马如果关联了一个文件类型,那么用户一旦打开该类型的文件,木马就会被执行了。例如冰河木马,会把自身和.txt文件关联,只要有一个.txt文件被打开,木马就会先执行自己,再调用原来打开.txt文件的程序来打开.txt文件。
以下是系统当中各种文件关联路径及默认值,如果发现被修改,那么应立即改回。
Exe文件关联:
[HKEY_CLASSES_ROOT\exefile\shell\open\command],默认值是:%l %*
Txt文件关联:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command],默认值是:%SystemRoot%\system32\NOTEPAD.EXE %1
Com文件关联:
[HKEY_CLASSES_ROOT\comfile\shell\open\command], 默认值是:%l %*
Ini文件关联:
[HKEY_CLASSES_ROOT\Inifile\shell\Open\Cpmmand],默认值是:%SystemRoot%\System32\NOTEPAD.EXE %1
Inf文件关联:
[HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand],默认值是:%SystemRoot%\System32\NOTEPAD.EXE %1
如果木马修改的并不是注册表的文件关联,那么建议普通用户在注册表中搜索木马文件的名称,将搜索出来的键值删除干净。
4.删除病毒启动项
有很多读者经常会问一个问题:为什么在清除木马以后,重新启动计算机,木马又回来了?其根本原因就是木马把自己加载到了启动项当中,虽然用户清除了木马,但是一旦系统重启,木马将再次得到加载,所以我们必须将系统启动项中的木马清除干净。
①几乎所有的木马都喜欢利用注册表来达到随系统启动的目的。木马会修改注册表的以下项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
木马会在这些项下面添加一个指向自己的字符串,然后给该字符串取值为自己的地址。这样当系统启动时,木马就在后台不知不觉地运行了。
②修改System.ini。该文件位于系统文件夹下,是系统启动的必需文件。正常情况下,shell=后面应该只有explorer.exe,如果发现加进去了其他程序,则很有可能是感染了木马。
提示:“Explorer.exe”是Windows的外壳程序,系统在启动时必须要加载外壳,加载的时间是在加载桌面之前。如果该文件丢失或损坏,系统就不能成功启动。“Shell=”后面的内容为系统在启动时执行的程序,如果木马把自己加到此处,也会在启动时被执行。
③修改Win.ini。该文件记录了系统的基本信息,也是启动时必须要执行的文件之一。在它的Windows字段里,默认情况下load和run后面为空,如果发现任何一个后面被加进去了程序的地址,则肯定中了木马,并且这里就是木马的启动地址。
④修改Autoexec.bat。这个批处理文件是专门用来执行一些需要在启动时执行的程序的,位于系统盘的根目录下。如果用户不需要利用该文件在开机时执行某些程序,完全可以删除该文件。默认情况下该文件里无可执行程序,如果发现里面有了其他语句就需要注意了,说不定已经感染了木马。
⑤修改“启动”组。“启动”组是一个以文件夹形式存在的系统目录,它不能被删除,任何程序只要位于该文件夹下,就会毫无条件的在开机时自动运行。所以这也成了木马很好的启动方式之一。依次打开 “开始→程序”,就会发现有一个“启动”文件夹。如果发现里面有了不明程序,则很可能是中了木马。
⑥修改服务这是一种非常隐蔽的启动方式,木马把自己注册为系统服务,并设置服务属性为“自动”。由于所有属性为“自动”的服务都会在开机时被执行,木马当然也不例外。在“运行”里输入services.msc并回车,就可以打开“服务”窗口,如果发现其中存在没有描述的服务,就需要注意了,该程序多半也是木马程序。
最后也是最为简单的一步,在系统中搜索木马文件的名称,当找到木马原文件后,将它删除即可。
可以看到木马不管未来会如何地发展,但是它的几个固有的特性是永远不会变的。所以大家找到了一种解决办法就能够举一反三,将其清除。
三、新势力的登场——流氓软件
从来没有想到过流氓和软件这两个词能够组合到一起。那么到底什么是“流氓软件”呢?从技术上来讲,恶意广告软件(adware)、间谍软件(spyware)和恶意共享软件(malicious shareware)等都属于流氓软件。
那么流氓软件具体存在什么样的特点呢?其实所谓的流氓软件就是一个游弋在合法商业软件和电脑病毒之间的一种软件。它们既不属于正规商业软件,也不属于真正的病毒。它具备了正规商业软件的合法地位和实用价值,但是也会给用户带来种种干扰,如:不能完全卸载、悄悄记录用户的行为等,这种软件就被大家称为流氓软件。
流氓软件具备了部分病毒的特征,因而大大地扰乱了网上的秩序。但是它又不具备病毒的传播、复制等特性,再加上有合法的外衣作保护,所以它一直未被划分到病毒的范围。普通杀毒软件是不能对它们进行查杀的,这样就使流氓软件进一步地肆虐。
流氓软件的主要危害有三点。
①赖死不走。流氓软件系统里“安家”后,太过于“乐不思蜀”以至于多次将它“请出”也未能如愿。重启后它还是纠缠不休,直至你重新安装系统。
②强行捆绑。就是在下载的软件中,捆绑了其他未经同意下载并安装的软件、插件,这些流氓软件安装的时候非常隐蔽,在刹那间就莫名其妙地占领了你的电脑。一般是由软件作者将它们捆绑在一起以获得利润。
③强力侵扰。姑且勿论流氓软件是如何进入系统的,如果它安安静静就算了,不过有些软件不依不饶,老是在你眼前晃动,占用系统资源,让人烦不胜烦。而且有的还会悄悄的记录用户的操作行为把它发送给一些厂商,严重的损坏了用户的隐私。
面对这个给网络安全带来新威胁的势力,我们应该如何应对它呢?
1.使用专业反流氓软件
间谍软件是流氓软件中的一种,也是传播最为广泛的一种。在间谍软件肆虐的情况下,作为软件业的巨头,微软在2005年发布了自己的反间谍软件Microsoft AntiSpyware。该软件目前属于免费软件,功能强大,从推出之日起,便受到了用户的好评。
Microsoft AntiSpyware主要包括扫描间谍软件(Spyware Scanning)、即时保护(Real-time Protection)和高级工具(Advanced Tools)三个部分,由于继承了微软软件一贯的特点,所以用户在使用的时候将会非常容易上手。
安装Microsoft AntiSpyware的方法也非常的简单,和其他软件一样根据向导单击“下一步”按钮即可完成安装。
(1)扫描与清除间谍软件
Microsoft AntiSpyware和微软其他产品一样,不论是使用还是设置都是非常简单的,使用默认的设置都没问题。当然,用户仍然可以进行手动扫描。方法很简单,只需单击主界面中的“Run Quick Scan Now”按钮,AntiSpyware 就可以自动地执行对系统的全面扫描与清除。
AntiSpyware的扫描速度很快,扫描60GB的硬盘用了不到3分钟的时间。并且它的扫描结果信息也很详细,还将各项扫描结果全部列在了这个列表当中。完成之后再单击“View Results”按钮,即可进入处理间谍软件的界面。
对于扫描结果,我们可以选择是否删除这些被认为是间谍软件的文件。在左边一栏,我们可以选择如何处理这些间谍软件,确定之后,单击“Continue”按钮,即可将这些间谍软件清除。
(2)Cookies监控
Microsoft AntiSpyware对Cookies中可能会侵犯到用户隐私的站点监控很严格,碰到可疑的站点会提醒用户忽略该站点、检测该站点是否存在威胁或者直接删除。该设置完全不需要用户手动设置,软件默认就开启了该功能。
(3)即时监控保护
与一般只提供网络监控的反间谍软件不同,Microsoft AntiSpyware为用户提供了整套即时监控保护服务,能及时有效地监控网络、系统和应用程序,当任何未知的程序或者服务试图在用户的计算机上运行时,Microsoft AntiSpyware都会将其阻止并提醒用户。
可能有的用户会因为一时大意而阻止了自己需要的程序或服务,而且在事后也不记得是否有阻止过。没关系,Microsoft AntiSpyware的即时监控保护项还提供了阻止事件记录,用户可以在这里查看曾经阻止过什么程序。查看方法很简单,单击Microsoft AntiSpyware界面右上方的“Real-time Protection”按钮,即可查看到Internet记录、系统记录以及应用程序记录三个按钮,单击即可查看详细信息。
(4)高级工具
除了上面的两大反间谍软件常用的功能之外,Microsoft AntiSpyware还带来了一些实用的工具:System Explorers、Browser Restore和Tracks Eraser。只需单击界面右上方的“Advanced Tools”即可进入高级工具页面。
System Explorer里的Browser Helper Objects(BHO)可以检测当前系统里安装的Internet Explorer辅助插件,并用简单明了的图释来告诉用户该插件是安全的还是危险的,若是危险的,用户可以轻松地将其阻止或删除。这样让另一种流氓软件——IE插件,也无处藏身。
浏览器劫持也是流氓软件中危害很大的一种。但有了Browser Restore功能,不管那些流氓网站怎么改,用户都可以非常轻松地恢复。在Browser Restore列表中,用户只需选中恶意网页,再单击“Restore”按钮,即可将你的IE浏览器轻松恢复。
行为记录也是流氓软件中的一种。很多软件厂商为了方便用户,会将用户操作记录下来,发送给厂商。Tracks Eraser应付这种问题最得心应手了。它可以将你所有的操作记录全部清除得干干净净,谁都不会知道你曾在这台计算机上做过什么,这样有助于用户保护自己的隐私。在高级工具主页面上直接单击“Tracks Eraser”按钮,即可查看到用户操作列表,选择你想清除的操作,单击“Erase Tracks”按钮,即可将这些记录清除干净。
2.加强网络防护
一定要在计算机上安装网络防火墙,并时刻打开“实时监控”功能。另外,还需安装操作系统和浏览器最新补丁,修改IE浏览器的安全设置(单击“工具→Internet 选项→安全→Internet 区域的安全级别”,根据自己情况进行相关设置)。
3.了解下载内容
在安装免费下载的软件之前,仔细阅读最终用户许可协议或其他解释材料,其中可能包含你允许安装流氓软件的许可。这样你就不知不觉地自己安装了流氓软件。
4.慎去陌生的网站
不要轻易去一些自己并不十分知晓的站点,做到三思而后“击”。尤其是一些看上去非常美丽诱人的网址更不要轻易进入,否则往往不经意间就会误中圈套。
四、泛滥成灾的废物——垃圾邮件
早在2002年中国互联网协会就定义了垃圾邮件的标准:
①收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件。
②收件人无法拒收的电子邮件。
③隐藏发件人身份、地址、标题等信息的电子邮件。
④含有虚假的信息源、发件人、路由等信息的电子邮件。
但真正的垃圾邮件远比定义的危害要大的多。因为垃圾邮件中充斥着各种木马病毒、欺骗信息、虚假广告和反动信息。目前垃圾邮件已经成为了病毒木马的主要传播途径之一,稍不留神,用户下载执行了邮件附件当中的病毒程序,那么伴随而来的是巨大的麻烦。而虚假广告、欺骗信息和反动信息,带来的负面影响也非常大。所以杜绝垃圾邮件,是上网用户保障安全的当务之急。
1.OutLook用户应对垃圾邮件的方法
使用OutLook接受发送邮件的用户非常多,而在OutLook 2003中也对垃圾邮件的防御做出了重要的改进。
首先OutLook 2003默认不能接收和发送如.exe之类的危险后缀名附件。其次,OutLook 2003上专门提供了垃圾邮件的配置选项。选择OutLook 2003上方的“动作→垃圾邮件选项”即可按照自己的需求设置处理垃圾邮件。第一个界面中,我们可以配置垃圾邮件的保护级别,但是根据用户的需求不一样,设置也不一样。
在安全发件人和安全收件人两个选项中,我们可以添加自己信任的发件人和收件人,最后在阻止发件人选项中可以添加一个垃圾邮件缔造者的黑名单,这样能够确保用户不再收到同样的垃圾邮件。
2.Web用户防止垃圾的方法
由于垃圾邮件的泛滥,各大邮箱提供商也拿出了自己的应对的方法。例如163邮箱在“邮箱选项”中也专门提供了反垃圾邮件的设置。而这些措施大多也和OutLook 2003当中的设置相近,比如垃圾邮件保护级别、黑名单和白名单功能。用户同样根据自己的需求定义即可。
3.保护你的邮件地址
其实造成垃圾邮件泛滥的一个重要原因是一些用户过多的透露了自己的邮件地址。比如,经常在一些小网站的注册中透露自己真实的邮件地址,这样非常容易被垃圾邮件缔造者盯上,收到很多的垃圾邮件也不足为奇了。