安全專家Kevin Beaver:你在這裡遇到的問題是人的問題和技術的局限性結合在一起產生的問題。間諜軟件和廣告軟件的啟動是用戶盲目點擊鼠標造成的。當IE浏覽器彈出一個對話框,要求在IE中安裝一個ActiveX控件或者向用戶計算機下載其它貌似安全的游戲、屏幕保護程序等軟件時,用戶往往隨意點擊“確認”。 這就是我說的人的問題。這個問題經常發生,因為用戶只是想安裝軟件,彈出式廣告就借此機會避開檢查想做什麼就做什麼了。一旦你的用戶允許在他們的系統中安裝這種軟件,根據這種軟件的性質,無論用戶是否啟動IE或者系統是否連接到互聯網,這種軟件都能夠控制Windows計算機的某些方面。這包括啟動彈出式廣告、修改缺省的主頁等。 技術的局限性與查殺間諜軟件的工具有關。“Spybot Search & Destroy”對於保護台式電腦並不是萬能的解決方案,盡管這是我使用的最好的軟件工具。 安全專家Tony Bradley:從給出的情況看,這裡可能存在兩個不同的問題。當計算機甚至還沒有連接到互聯網的時候也出現彈出式廣告,這類程序可能是通過Windows Messenger服務進入用戶計算機的。修改浏覽器主頁和搜索工具條最有可能是浏覽器輔助對象(BHO)出現的問題造成的。間諜軟件是一種隨看隨下(drive-by downloads)的軟件。當用戶訪問惡意網站時,間諜軟件利用浏覽器中的漏洞不需要用戶同意就安裝在用戶的計算機中。 安全專家Lawrence Abrams:當浏覽器中的搜索功能和主頁被修改之後,通常會出現劫持浏覽器的情況,就像“Viewpoint Manager”軟件劫持浏覽器一樣。浏覽器劫持一般分為兩大類,主動劫持和被動劫持。 主動劫持者是一種在計算機啟動時就調入的程序。這種程序持續監視計算機的具體設置,確保這些設置符合劫持者的願望。被動劫持是在計算機啟動時開始運行的程序。這種程序修改某些設置並且上傳。一旦你確定這種劫持程序,這些問題是很容易修復的。 首先,你必須確定你處理的是哪一類劫持程序。我使用HijackThis軟件進行查找。如果你熟悉程序入口(entry)的位置或者把軟件程序與啟動數據庫進行比較,你就可以找到劫持軟件。 在運行HijackThis工具軟件時,我們注意到了Viewpoint工具條和Viewpoint管理器的入口。這就是Viewpoint間諜軟件的罪證。我們還看到起始頁的入口已經被修改了。 至於熱力推薦(HotOffers)的問題,修復這個入口似乎並不起作用。他們還是不斷地出現,自學教程,上面提到的事情似乎都不是這個問題的原因。起始頁改回到HotOffers的事實說明我們正在處理的問題是主動的劫持。 在這種情況下,我們需要使用另外一種名為“SilentRunners”的工具軟件。這個工具能過讓我們深入到正在這種自動運行的程序中。 SilentRunners將生成一個關於注冊表設置的登記列表,找出哪些不是Windows缺省設置的程序。 運行這個程序,我將看到如下結果: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support" -> {CLSID}InProcServer32(Default) = "C:\WINDOWS\System32\param32.dll" [null data] 這就告訴我一個名為c:\windows\system32\param32.dll的文件在計算機中啟動了。param32.dll文件不是缺省的Windows配置。要確定這個文件是不是罪魁禍首,我使用Sysinternal軟件中的strings.exe程序查看這個文件內部的ASCII字符串。 當在可執行文件中看到列出的字符串時,我們看到了一個HotOffers,我們現在知道我們已經找出了這個問題了。
,5自學網
