通過平時的接觸,筆者發現很多朋友對於防毒殺毒存在不少的一伙和誤區:病毒和木馬是不是一回事,中了病毒怎麼殺不干淨,我裝了三個殺毒軟件絕對安全,我的殺毒軟件防火牆很有效根本不需要網絡防火牆,還有的人甚至說:“只要不去黃色網站就不會中毒...” 對於防毒殺毒長久以來都是計算機使用者比較頭疼的問題,很多人都存在以上的疑問和誤區。針對近年來,病毒開始由傳統形向網絡蠕蟲和隱蔽的木馬病毒發展,筆者這篇文章就以這兩個禍害開刀,和大家一步一步談談從殺到防搞定病毒。(不要疑惑,很多人都是中了病毒以後才想起預防的重要。)文章結合自己的經驗,用簡單的語言和大家說說如何殺毒,如何防止病毒入侵,加強大家正確的安全意識,提高自己動手解決問題的能力。 一、先來看看蠕蟲 隨著我國寬帶爆炸式的發展,蠕蟲病毒引起的危害開始快速的顯現!蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在於內存中),快速的自身復制並通過網絡感染,以及和黑客技術相結合等等!在產生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡,造成網絡癱瘓。相信去年經歷的沖擊波、震蕩波大家一定還沒忘記吧。 1、蠕蟲和普通病毒區別(圖一) 2、傳播特點 蠕蟲一般都是通過變態的速度復制自身並在互聯網環境下進行傳播,目標是互聯網內的所有計算機。這樣一來局域網內的共享文件夾,電子郵件,網絡中的惡意網頁,大量安裝了存在漏洞操作系統的服務器就都成為蠕蟲傳播的良好途徑,使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!這其中通過操作系統漏洞或者通過IE漏洞攻擊的方式最為常見。 3、蠕蟲的預防解決 蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞,這裡的漏洞或者說是缺陷,我們分為2種:軟件的和人為的。 軟件上的缺陷,如系統漏洞,微軟ie和outlook的自動執行漏洞等等,需要大家經常更新系統補丁或者更換新版本軟件。而人為的缺陷,主要是指的是計算機用戶的疏忽。例如,當收到QQ好友發來的照片、游戲的時候大多數人都會報著好奇去點擊的,從而被感染上了病毒。 4、個人用戶對蠕蟲病毒的防范措施 通過上述的分析,我們了解蠕蟲的特點和傳播的途徑,因此防范需要注意以下幾點: (1)選擇合適的殺毒軟件 殺毒軟件必須提供內存實時監控和郵件實時監控以及網頁實時監控!(當然2004年以後的殺毒軟件基本都有這些功能,如果還在使用老版本的朋友趕快更換新版本)。像瑞星,kv(江民),金山等國產軟件無論是在功能和反應速度以及病毒更新頻率上都做的不錯,5自學網,相對國外的反病毒軟件他們對於像QQ這類國產病毒具有明顯優勢,同時消耗系統資源也比較少,大家可以放心使用。 (2)經常升級病毒庫 沒有最新病毒庫的殺毒軟件就好比沒有瞄准器的狙擊槍,想想這不就是個廢物?由於目前反病毒技術領域還基本以病毒的特征碼為依據的,而病毒每天都層出不窮,再加上如今的網絡時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒! (3)提高防患意識 不要輕易接受任何陌生人的郵件附件或者QQ上發來的圖片,軟件等等。必須經過對方的確認(因為一旦對方中毒後他的QQ會自動向好友發送病毒,他自己根本不知道,這個時候只要問一問他本人就真相大白!),或者此人是你絕對可以相信的人!另外對於收發電子郵件,5自學網,筆者強烈建議大家通過WEB方式(就是登陸郵箱網頁)打開郵箱收發郵件(這樣比使用Outlook和foxmail更安全)。雖然殺毒軟件可以實時監控但是那樣不僅耗費內存,也會影響網絡速度! (4)必要的安全設置 運行IE時,點擊“工具→Internet選項→安全”,把其中各項安全級別調高一級。在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體操作是:在IE窗口中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標簽,再點擊“自定義級別”按鈕,就會彈出“安全設置”對話框,把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是,這樣做在以後的網頁浏覽過程中有可能會使一些正常應用ActiveX的網站無法浏覽。 (5) 第一時間打上系統補丁 雖然看上去可怕,但是細心的朋友注意蠕蟲攻擊系統的途徑可以看出:最主要的方式就是利用系統漏洞,因此微軟的安全部門已經加大了系統補丁的推出頻率,大家一定要養成好習慣,經常的去微軟網站更新系統補丁,消除漏洞(通過點擊開始上端的“windows Update”) 最後建議大家經常上網看看最新的病毒資訊,提前做好准備,這裡推薦大家去瑞星反病毒網站。 二、再來看看“老朋友”木馬 1、關於木馬 木馬是病毒當中非常特殊的一族。他的實質只是一個網絡客戶程序。木馬工作的原理是這樣的:一台中了木馬被控制的機器相當於一台服務器,控制端則相當於一台客戶機,作為服務器的主機會由木馬打開一個端口並接收控制端的命令,如果控制端提出連接請求,這時中毒機器上的木馬就會自動運行,來回應控制端的請求(開始將中毒機器中對方需要的資料或者文件傳送給木馬發送者的機器)。因此,這就是整個木馬工作的程序。 2、發現木馬 木馬常見的中毒症狀表現如下:莫名其妙的死機,在沒有操作的情況下硬盤自動讀取(機箱指示燈在閃爍)等等以外,通過下面幾個辦法可以幫助大家發現木馬: (1)奇怪的開機運行程序 很多木馬都是開機就運行的,如果你發現了奇怪的開機運行程序可以通過【開始】-【運行】輸入“msconfig”回車,打開【系統實用配置程序】-【啟動】在這裡關閉你不需要的。往往病毒在這裡關閉以後還會出來,並且2000系統沒有msconfig這個程序,所以需要修改注冊表,咱們往下看。
筆者經過整理發現一般木馬都會在以下位置加載自己達到開機運行的目的: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run] 一旦在注冊表以上位置發現含有奇怪的程序路徑完全可以刪除,然後記住程序名稱在注冊表中通過搜索找到並刪除! (2)網絡流量異常 平時如果沒有下載或者上傳,但是卻發現網絡流量較大(可以通過ADSL指示燈或者通過任務欄裡面上網絡狀態查看),很有可能就是木馬正在工作。這是應該立刻關閉網絡,重啟進入安全模式下仔細檢查。 (3)任務管理器中檢查可疑進程 通過ctrl shift del打開 [任務管理器]-[進程],經常看看裡面都有哪些進程在運行。如果你一個都不了解可以上網通過搜索引擎查詢。這裡筆者推薦一個非常好專業的進程查詢網站: 一旦發現可疑進程就要立刻檢查。 另外,很多時候會出現某個進程對應的cpu使用率接近100%,首先通過軟件或者網絡搜索這個進程信息對應的程序,關閉程序或者替換別的版本(比如從2.1版替換成3.0版)如果排除程序與系統兼容或者系統本身問題後還出現這樣的情況可以斷定該進程是軟件綁定的木馬。 (4)系統服務中的奇怪項目 開始-運行,輸入services.msc在這裡可以看到眾多的服務,也許第一次你會頭疼?教大家一個竅門:首先最大化這個窗口,[如圖2] 點擊最上端的【狀態】將所以已啟動的服務排列在一起,這樣就一幕了然了,點擊任何一個在左側就有對應的解釋。一般病毒的服務是沒有解釋的(這不是說沒有解釋的就是病毒)所以大家遇到不清楚的上網查查很快就明白了,如果發現有問題的服務趕緊關閉。方法:雙擊准備關閉的服務-進入屬性窗口,點擊“停止”然後將【啟動類型】選擇“已禁用”確定即可! 3、清除木馬 木馬一旦進入系統,就會采取多種方式隱藏自己,徹底清除可不容易。因為他不像蠕蟲和別的病毒那樣單純,木馬往往通過更改注冊表,更改系統服務,甚至windows引導文件加載自己,達到開機就加載木馬程序,所一單純的通過殺毒軟件是無法清理干淨的,即使殺掉了重啟以後又出來了,這要怎麼辦?魔高一尺,道高一仗,咱們就和木馬斗斗法! 考慮到木馬與系統關聯的比較深,如果在正普通的系統下處理會因為加載很多服務和後台程序而受到干擾,因此筆者強烈建議大家進入安全模式(這也是清理其他病毒最好的選擇)。方法:開機後按F8-選擇“安全模式”即可。 來到安全模式下,ctrl shift del打開任務管理器,右鍵點擊要關閉的木馬進程(這裡建議大家選擇“結束進程樹”,這樣可以更徹底解除與系統的關聯) 然後,開始-運行,輸入“services.msc”打開服務,按照上面介紹的步驟關閉木馬服務(當然