董师傅决战“流氓软件”
特别策划
浏览器被修改,总是被迫访问一些商业网站;
总无法清理干净的插件,无穷无尽的弹出广告……
如果你的电脑中有这些现象,很不幸,你遭遇了“流氓软件”。
在本期,董师傅会亲自支招,告诉你如何应对这些“骚扰”。
有这样一类软件,尽管它们具有一定的实用性,但由于具有未经用户许可即驻留在用户电脑中、没有自带的卸载程序、强行删除仍能自动生成、收集用户隐私等让用户深恶痛绝的行为,因此被用户称之为“流氓软件”。
“流氓软件”的五大罪状
强制安装——广告软件
危害指数:★★★★★
广告软件是指未经用户允许,下载并安装在用户电脑上,或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载,会在后台收集用户信息牟利,危及用户隐私,同时还会频繁弹出广告,消耗系统资源,使运行速度变慢。
典型现象:用户安装了某个软件后,会一直弹出带有广告内容的窗口,干扰正常使用。
恶意窃取——间谍软件
危害指数:★★★★★
间谍软件能够在用户不知情的情况下,在电脑上安装后门、收集用户信息。用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。
典型现象:某些间谍软件可以在后台记录用户的活动,如网站访问、程序运行、键盘输入(包括用户名和密码)等。有的还可窃取用户名、密码、域、电话号码等。
安全危害——浏览器劫持
危害指数:★★★★
浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)等形式对用户的浏览器进行修改,使用户的浏览器配置不正常,被强行引导到商业网站。用户在浏览网站时会被强行安装此类插件,普通用户根本无法自行卸载。
典型现象:一些不良站点会频繁弹出安装窗口,迫使用户安装浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装。
网络诈骗——行为记录软件
危害指数:★★★★
行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危及用户隐私,可能被黑客利用来进行网络诈骗。
典型现象:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构。
铺设陷阱——恶意共享软件
危害指数:★★★
恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将插件安装到用户机器里。
典型现象:用户安装某一款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示。
清除“流氓软件”
“流氓软件”的危害非常大,这些软件不但本身无法卸载,更让人气愤的是:杀毒软件也无法查杀,因为它们没有像病毒(Virus)、特洛伊木马(Trojan Horse)、蠕虫(Worm)、宏病毒(Macro)、后门程序(BackDoor)、黑客软件/工具(Hacker)、玩笑程序(Joke)、恶作剧程序(Hoax)等有害程序那样被反病毒厂商加入杀毒软件病毒库中。“流氓软件”不但会使系统变慢、危及用户个人隐私,而且还可能导致个人资料、数据丢失。那么,大家应该如何防范、根除“流氓软件”呢?下面就给大家介绍三道锦囊妙计,让大家彻底将“流氓软件”扫地出门!
清理浏览器插件
首先我们需要了解一下ActiveX插件的原理, ActiveX技术是一种共享程序数据和功能的技术。一般软件需要用户单独下载然后执行安装,而ActiveX插件只要用户浏览到特定的网页,IE浏览器即可自动下载并提示用户安装。目前许多软件均采用这种方式,例如大家非常熟悉的Flash动画播放插件。但是有些“流氓软件”利用浏览器的漏洞,并不进行提示就进行安装。有些插件还会修改系统配置、相互间产生冲突,这些都影响了系统的稳定性。
(1)使用WinXP SP2插件管理功能
安装了WinXP SP2的用户,打开IE工具菜单会发现新增了“管理加载项”功能,打开它你在列表中会看到IE所有的加载项(图1)。你可以通过更改显示选项更方便进行查看,“Internet Explorer 已经使用的加载项”是计算机上所存在的加载项的完整列表。
列表中详细显示了加载项的名称、状态、类型、发行商、文件名等信息,其中类型包括软件的工具栏、第三方按钮、ActiveX插件、浏览器扩展等。你可以根据自己的需要,选中某一项然后点击下面的“禁用”单选项来屏蔽它(需要重新启动浏览器才能生效)。
(2)IE插件管理专家
“浏览器劫持”一类的流氓软件会致使浏览器安装一些用户不知道、也不需要的插件,我们可以借助UPIEA 2005(IE插件屏蔽)来屏蔽和管理这些IE插件(下载地址:http://yncnc.onlinedown.net/soft/35733.htm )。该软件不仅能屏蔽插件,还可识别当前已安装的插件,并能启用或禁用当前已安装的IE插件,也可卸载当前的插件,对IE插件的管理功能非常强大(图2)。
铲除间谍软件
当我们安装了某些免费软件,或浏览了某个网站时,都可能使间谍软件潜入。它们除了监视你的上网习惯(比如上网时间、经常浏览的网站以及购买了什么商品等)以外,还有可能记录你的信用卡账号和密码,这给你的安全带来了重大的隐患。Spy Sweeper是一款五星级的间谍软件清理工具,还提供主页保护和Cookies保护等功能。我们可以借助它彻底铲除间谍软件。
软件名称:Spy Sweeper
软件类别:共享软件
软件大小:1258KB
运行环境:Win9x/Me/NT/2000/XP
下载地址:http://www.hanzify.org/in dex.php?Go=Show::List&ID=3828&Down=1&L=en
汉化包下载地址:http://www.hanzify.org/index.php?Go=Show::List&ID=3828& Down=1&L=cn
先安装Spy Sweeper软件,再把汉化包中的三个文件解压到安装文件夹中覆盖即可。Spy Sweeper有两种扫描方式,“快速扫描”只会检查注册表、文件夹和运行中的程序。如果你想得到全面的保护,推荐你进行“完全扫描”,但时间会长一些:
第一步:点击“START”开始“全面扫描”,你可以看到软件导入间谍软件指纹库、扫描内存、注册表和文件夹的进度,而且会实时显示发现的间谍软件的个数和信息。
第二步:扫描完成后,点击“下一步”,查看所有间谍软件和痕迹列表,单击每一项展开,可以看到该软件在硬盘中所处的位置,以及软件的名称和类型等,下面还有详细的英文解释。选中要删除的软件,或单击“全选”,然后点击“下一步”,它们就被隔离了(图3)。
第三步:接下来你就可以看到这次操作的摘要信息,你也可以点击“日志”查看更详细的内容。对于暂时没有删除的选项,你可以在隔离中查看到它们,以便日后进行操作。
除了手动扫描以外,Spy Sweeper还提供了多种自动扫描方式。你可以在“计划”中选择“开机时扫描”或“关机时扫描”。也可以选择按一定周期(例如每月)或按一定日期(例如每周日)来进行计划扫描。当然也可以设定开机后自动扫描的时间。
为了防范间谍软件,可以在“浏览器”中开启主页保护功能,这样当主页被病毒或网站恶意代码修改时会及时出现提示。而广告软件Cookies保护器被打开,会自动删除Cookies文件夹中所有的广告软件写入的Cookies文件,并发出声音报警。Spy Sweeper还具有在线升级软件和间谍软件库功能。
清除广告软件
Ad-Aware 是一款小巧易用的免费广告清除工具。它可以扫描内存、注册表、硬盘和外部存储器,快速地找出广告跟踪文件和相关成分,然后按照你的选择把它们删除。
软件名称:AD-Aware se Personal V1.06
软件大小:2788 KB
软件类别:免费软件
应用平台:Win9x/NT/2000/XP
下载地址:http://count.skycn.com/soft download.php?id=23026&url=http://tj-http .skycn.net:8081/down/aawsepersonal.exe
汉化补丁:http://count.skycn.com/soft download.php?id=18981&url=http://gztt-h ttp.downloadsky.com:8080/down/HA_aaws epro_tracky_FIX.exe
先安装原版软件,再运行汉化补丁,选择正确的程序安装目录。然后打开主程序,点击第二个齿轮形按钮,进入后选择“Interface”,在“Language File”项目里选择“简体中文”,最后点击“Proceed”即可转换成中文模式。每次运行时会弹出提示窗口,提醒软件数据库已经多少天没更新了,软件支持在线升级功能。程序状态窗口显示有数据库日期、上次扫描时间以及广告软件实时监控(注:免费版无法使用该功能)是否开启等信息。
点击“立即扫描”选择扫描方式,一共四种,分别为快速系统扫描、完全系统扫描、使用自定义扫描选项和为ADS扫描卷。有一定经验的朋友可以选择第三项,点击“自定义”进行设置(图4),可以设置是否扫描存档、注册表、活动进程、我的主机文件等项目。通过点击每个选项前的图标进行更改,绿色为允许,红色为禁止,最后点击“应用”完成设置。
扫描过程根据个人情况不同大约需要8~10分钟,我们可以直观地看到扫描的进度,如果完成后发现了新的危险对象会有一个红色图标进行闪烁提示,点击“下一步”在“危险对象”标签下可以看到对象列表,双击每一条可以显示其所在位置、最后活动时间、风险等级等更详细的信息。处理的方法有三种:
隔离:如果你不敢确定它到底是否有用,可以暂时隔离它。勾选某一项后,点击下面的“隔离”按钮,输入保存的文件名即可。
忽略:如果你认为某项可以信任,勾选后在右键菜单中选择“添加选择到忽略列表”,这样下次就不会再扫描到它了。
删除:对于那些讨厌的广告、间谍软件,勾选选项后,点击“下一步”就可以把它们全部删除了。
防范“流氓软件”
对于劣迹斑斑的“流氓软件”,我们除了通过前面的方法在遭受其“骚扰”和“入侵”后进行“亡羊补牢”外,难道我们就没有别的办法了吗?不!其实我们更应该做好事前的防范工作,打造对“流氓软件”具有免疫功能的电脑系统,真正做到百“流”不侵!
及时更新补丁程序
避免流氓软件的潜入,除了不下载安装来历不明的软件、安装前阅读说明书、不浏览非法网站以外,及时修复系统中存在的漏洞也非常重要。据国外信息安全机构Avert统计,家用电脑用户遇到的安全问题中,有60%的问题是源于未及时打补丁。一个个下载补丁安装太麻烦,我们推荐大家使用反病毒软件中提供的安全漏洞检查程序,例如金山毒霸2005中的“系统漏洞扫描”。使用前首先要把金山毒霸升级到最新版本,否则可能无法检测到微软最新发布的补丁,然后运行毒霸安装目录KSA文件夹下的KSAMain.EXE文件。
稍后你就可以检查系统中是否安装了微软安全公告中提到的安全补丁,包括Windows/IE/OE/IIS/Media Player/MSN等,会详细列出漏洞补丁编号、危害等级、发布时间、说明、补丁大小等信息(图1),用户可以勾选想要安装的补丁,点击“修复选中项目”进行下载并安装。用户也可以使用主动漏洞修复功能,在“综合设置→升级设置→主动漏洞扫描设置”中选择第一个选项,当检测到有新漏洞信息发布时主动进行漏洞扫描并自动修复。
禁用ActiveX脚本
打开“Internet 选项/安全”选择“自定义级别”,禁用里面所有ActiveX控件和插件的选项即可。这种方法操作简单,可以阻止恶意IE插件安装,但是也可能造成某些使用ActiveX技术的网页显示不完整。
加入受限站点
把含有恶意插件的网页加入不信任站点。双击IE下面状态栏中的地球图标,打开安全窗口,在受限制的站点下单击“站点”按钮,输入网站域名即可。
修改HOSTS文件
HOSTS文件又称域名本地解析系统,以ASCII 格式保存。为了在互联网上不产生冲突,每一台连网的计算机都会分配有一个IP地址,但为了便于记忆,又引入了域名这个概念。所以当我们在IE地址栏中键入域名(比如www.cpcw.com)的时候,系统首先去查看HOSTS文件中是否有与此域名相对应的IP地址,如果没有,就连接DNS服务器搜索;如果有,会直接登录该网站。由于HOSTS文件省略了通过DNS服务器解析域名的过程,所以可以提高网页浏览速度。
在Win XP系统下大家可以在“运行”中输入“X(系统盘,下同):\Windows\sys tem\notepad.exe X:\WINDOWS\system32 \drivers\etc\hosts”,确定后即会用记事本打开“HOSTS”这个文件(提示:如果是在Windows9X/ME 系统中,它保存在WINDOWS目录下,文件名为hosts.sam)在下面输入“127.0.0.1 www.cpcw.com”,注意IP 和域名之间用一个空格分开,保存后退出即可。这样就把www.cpcw.com网站的域名指向计算机本地的IP地址127.0.0.1,从而避免下载插件。
设置网页安全扫描
一般反病毒软件中也会带有防范网页恶意代码的功能,例如金山毒霸2005,在“防毒设置/网页安全扫描”中勾选“启用网页脚本扫描”,并且选中发现危险时直接禁止脚本运行。这样我们每打开一个网页时都能在状态栏上看到扫描过程(图2),可以防范恶意代码利用ActiveX进行下载和执行危险的命令。
修改注册表
如果我们发现已经安装了某个插件,那么再浏览到这些带插件安装的网页时就不会再弹出窗口让你安装了,它是怎么知道你是否已经安装了呢?经过分析原来它是通过在注册表中添加键值来识别的,那么我们就利用这一点“以彼之道还施彼身”。我们首先打开注册表编辑器,利用导出功能先备份一份注册表文件。接着上网下载安装一个3721插件,导出备份一个注册表文件,然后利用具有文件比较功能对比文件,比如“Uedit32”进行对比,可以很方便地查找到注册表中键值的变化。最后通过分析按图索骥,原来3721在注册表中添加了[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Internet Explorer\ ActiveX Compatibility\{B83FC273-3522- 4CC6-92EC-75CC86678DA4}]项,键名为"Compatibility Flags"=dword:00000400,知道了原理,就可以把这个键值导出来备份,然后卸载掉3721网络实名,再双击刚才备份的REG文件导入即可。这时就再也不用担心3721来骚扰我们了。
你还可以手动创建屏蔽其他插件的键值,比如在[HKEY_LOCAL_MA CHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\]下新建一个项,项名即为CSLID串,再在右边窗格中新建一个“DWORD”子键重命名为“Compatibility Flags”,设置十六进制数值为“400”。
如果你嫌手动修改注册表太麻烦,我向你推荐一个小工具“霸王插件免疫工具AntiX”,它就是利用这个原理进行屏蔽的,下载地址:http://count.skycn.com/softdownload.php?id=17909&url=http://tj-http.skycn.net:8081/down/Anti.rar,大小270KB。这是一款纯绿色软件,解压后运行Anti.exe(提示:关闭所有浏览器窗口),未经过免疫的插件显示为红色,在需要免疫的插件名称前打钩,然后点击“应用更改”即可(图3)。
当然,我们还可以借助“超级兔子魔法设置”来防范和修复“流氓软件”对注册表的修改。很大一部分“流氓软件”都通过修改注册表来“劫持”用户的浏览器,把用户引向不良网站。我们可以借助超级兔子魔法设置软件来对IE进行修复和管理(下载地址:http://www.skycn.com/soft/2993.html)。
使用该软件的“超级兔子IE管理专家”功能可以对IE进行综合设置和管理,包括禁止恶意网页修改IE、锁定IE主页、禁止浏览色情网站及内容。
此外,该软件的“超级兔子IE修复专家”功能可以清除6866种木马、恶意程序病毒,这些功能使用起来都比较简单,在此就不详细介绍了。
有了以上我们为大家推荐的“流氓软件”防范和清除工具,你还担心什么呢?赶快拿起这些武器向“流氓软件”开火吧!
董师傅:“流氓软件”的危害是非常巨大的,“流氓软件”所反映出来的问题值得我们深思。诚然,“流氓软件”只是网络环境中各种“毒瘤”的冰山一角,类似的垃圾邮件、色情网站、短信欺诈等不胜枚举,然而为什么这次的抵制“流氓软件”会引起业界如此高度的关注呢?这与国内16家网站、企业联手抵制流氓软件有着非常重要的关系。
同时,我们也要看到,要彻底根除“流氓软件”,只靠网站和软件企业是远远不够的,现在很多网站都将刊登“流氓软件”的举报方式,大家一经发现就应立即举报。只有广大用户与各大网站、厂商共同联手,才可能根除“流氓软件”这个“毒瘤”,还网络一片纯净的天空!