对于防毒杀毒长久以来都是计算机使用者比较头疼的问题,很多人都存在以上的疑问和误区。针对近年来,病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展,笔者这篇文章就以这两个祸害开刀,和大家一步一步谈谈从杀到防搞定病毒。(不要疑惑,很多人都是中了病毒以后才想起预防的重要。)文章结合自己的经验,用简单的语言和大家说说如何杀毒,如何防止病毒入侵,加强大家正确的安全意识,提高自己动手解决问题的能力。
一、先来看看蠕虫
随着我国宽带爆炸式的发展,蠕虫病毒引起的危害开始快速的显现!蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),快速的自身复制并通过网络感染,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。相信去年经历的冲击波、震荡波大家一定还没忘记吧。
1、蠕虫和普通病毒区别(图一)
2、传播特点
蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播,目标是互联网内的所有计算机。这样一来局域网内的共享文件夹,电子邮件,网络中的恶意网页,大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径,使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。
3、蠕虫的预防解决
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种:软件的和人为的。
软件上的缺陷,如系统漏洞,微软ie和outlook的自动执行漏洞等等,需要大家经常更新系统补丁或者更换新版本软件。而人为的缺陷,主要是指的是计算机用户的疏忽。例如,当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的,从而被感染上了病毒。
4、个人用户对蠕虫病毒的防范措施
通过上述的分析,我们了解蠕虫的特点和传播的途径,因此防范需要注意以下几点:
(1)选择合适的杀毒软件
杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控!(当然2004年以后的杀毒软件基本都有这些功能,如果还在使用老版本的朋友赶快更换新版本)。像瑞星,kv(江民),金山等国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错,相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势,同时消耗系统资源也比较少,大家可以放心使用。
(2)经常升级病毒库
没有最新病毒库的杀毒软件就好比没有瞄准器的狙击枪,想想这不就是个废物?由于目前反病毒技术领域还基本以病毒的特征码为依据的,而病毒每天都层出不穷,再加上如今的网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!
(3)提高防患意识
不要轻易接受任何陌生人的邮件附件或者QQ上发来的图片,软件等等。必须经过对方的确认(因为一旦对方中毒后他的QQ会自动向好友发送病毒,他自己根本不知道,这个时候只要问一问他本人就真相大白!),或者此人是你绝对可以相信的人!另外对于收发电子邮件,笔者强烈建议大家通过WEB方式(就是登陆邮箱网页)打开邮箱收发邮件(这样比使用Outlook和foxmail更安全)。虽然杀毒软件可以实时监控但是那样不仅耗费内存,也会影响网络速度!
(4)必要的安全设置
运行IE时,点击“工具→Internet选项→安全”,把其中各项安全级别调高一级。在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体操作是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
(5) 第一时间打上系统补丁
虽然看上去可怕,但是细心的朋友注意蠕虫攻击系统的途径可以看出:最主要的方式就是利用系统漏洞,因此微软的安全部门已经加大了系统补丁的推出频率,大家一定要养成好习惯,经常的去微软网站更新系统补丁,消除漏洞(通过点击开始上端的“windows Update”)
最后建议大家经常上网看看最新的病毒资讯,提前做好准备,这里推荐大家去瑞星反病毒网站http://www.rising.com.cn/。
二、再来看看“老朋友”木马
1、关于木马
木马是病毒当中非常特殊的一族。他的实质只是一个网络客户程序。木马工作的原理是这样的:一台中了木马被控制的机器相当于一台服务器,控制端则相当于一台客户机,作为服务器的主机会由木马打开一个端口并接收控制端的命令,如果控制端提出连接请求,这时中毒机器上的木马就会自动运行,来回应控制端的请求(开始将中毒机器中对方需要的资料或者文件传送给木马发送者的机器)。因此,这就是整个木马工作的程序。
2、发现木马
木马常见的中毒症状表现如下:莫名其妙的死机,在没有操作的情况下硬盘自动读取(机箱指示灯在闪烁)等等以外,通过下面几个办法可以帮助大家发现木马:
(1)奇怪的开机运行程序
很多木马都是开机就运行的,如果你发现了奇怪的开机运行程序可以通过【开始】-【运行】输入“msconfig”回车,打开【系统实用配置程序】-【启动】在这里关闭你不需要的。往往病毒在这里关闭以后还会出来,并且2000系统没有msconfig这个程序,所以需要修改注册表,咱们往下看。
笔者经过整理发现一般木马都会在以下位置加载自己达到开机运行的目的:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
一旦在注册表以上位置发现含有奇怪的程序路径完全可以删除,然后记住程序名称在注册表中通过搜索找到并删除!
(2)网络流量异常
平时如果没有下载或者上传,但是却发现网络流量较大(可以通过ADSL指示灯或者通过任务栏里面上网络状态查看),很有可能就是木马正在工作。这是应该立刻关闭网络,重启进入安全模式下仔细检查。
(3)任务管理器中检查可疑进程
通过ctrl + shift + del打开 [任务管理器]-[进程],经常看看里面都有哪些进程在运行。如果你一个都不了解可以上网通过搜索引擎查询。这里笔者推荐一个非常好专业的进程查询网站:http://www.dofile.com/ 一旦发现可疑进程就要立刻检查。
另外,很多时候会出现某个进程对应的cpu使用率接近100%,首先通过软件或者网络搜索这个进程信息对应的程序,关闭程序或者替换别的版本(比如从2.1版替换成3.0版)如果排除程序与系统兼容或者系统本身问题后还出现这样的情况可以断定该进程是软件绑定的木马。
(4)系统服务中的奇怪项目
开始-运行,输入services.msc在这里可以看到众多的服务,也许第一次你会头疼?教大家一个窍门:首先最大化这个窗口,[如图2] 点击最上端的【状态】将所以已启动的服务排列在一起,这样就一幕了然了,点击任何一个在左侧就有对应的解释。一般病毒的服务是没有解释的(这不是说没有解释的就是病毒)所以大家遇到不清楚的上网查查很快就明白了,如果发现有问题的服务赶紧关闭。方法:双击准备关闭的服务-进入属性窗口,点击“停止”然后将【启动类型】选择“已禁用”确定即可!
3、清除木马
木马一旦进入系统,就会采取多种方式隐藏自己,彻底清除可不容易。因为他不像蠕虫和别的病毒那样单纯,木马往往通过更改注册表,更改系统服务,甚至windows引导文件加载自己,达到开机就加载木马程序,所一单纯的通过杀毒软件是无法清理干净的,即使杀掉了重启以后又出来了,这要怎么办?魔高一尺,道高一仗,咱们就和木马斗斗法!
考虑到木马与系统关联的比较深,如果在正普通的系统下处理会因为加载很多服务和后台程序而受到干扰,因此笔者强烈建议大家进入安全模式(这也是清理其他病毒最好的选择)。方法:开机后按F8-选择“安全模式”即可。
来到安全模式下,ctrl + shift + del打开任务管理器,右键点击要关闭的木马进程(这里建议大家选择“结束进程树”,这样可以更彻底解除与系统的关联)
然后,开始-运行,输入“services.msc”打开服务,按照上面介绍的步骤关闭木马服务(当然不是每个木马都有服务,没有直接进入下一步)
开始-运行,输入“regedit”打开注册表,检查第一部分提到的几处位置,将木马对应的键值都删除。
最后运行木马专杀工具(这里推荐“木马克星”,当然是必须更新病毒库)完整的再检查一次!
4、补充说明
由于木马的特殊性,一旦感染后系统程序关联一般都会被窜改,这样即使清除了木马病毒,也会出现有些程序无法打开,甚至连桌面“我的电脑”都打不开,一旦双击就弹出“选择打开方式”的对话框。其实大家如果安装较新的杀毒软件比如瑞星2005,金山2005,KV2005 都带有注册表修复工具,运行就可以解决。如果没有也可以使用超级兔子魔法设置提供的注册表修复工具。
三、预防病毒需要注意的
1.数量多力量并不大
有的人感觉多装几套杀毒软件和防火墙这样多管齐下“人多力量大”,其实正好相反! 因为不同软件公司开发所用的杀毒引擎和病毒识别方式的不同使得不同杀毒软件之间存在很大的差异,因此存在严重的兼容问题(有你没我),造成他们都无法正常工作。并且如今杀毒软件在同病毒较量中为了占据主动都采用了抢驻内存的方式提前拦截病毒启动,安装太多杀毒软件只会严重消耗资源。如此以来不但安全毫无保障,系统性能也大大折扣得不偿失。
正确的做法:一套带有实时监控功能的杀毒软件 + 一款合适的网络防火墙
2.病毒、网络两道防火墙缺一不可
对于安装杀毒软件大家都能理解,但是网络防火墙又是干什么用呢?说简单一点:前者防止病毒进入你的系统,后者切断病毒与外界的一切联系,这对于木马尤其有效。
细心的朋友会发现刚刚安装winsp-sp2系统后或者安装网络防火墙以后上网打开QQ或者BT甚至浏览器都会提示“XX程序试图连接网络,是否允许?”等类似的警告,目的就是防止木马等恶意程序访问网络。因此一旦感染木马后,如果有了网络防火墙就不怕个人资料的泄漏。
同时网络防火墙也防止试图进入你系统的访问,从源头切断恶意的攻击。给大家举最简单的一个例子:都熟悉的网络命令“ping”,很多别有用心的人就是首先使用这个命令刺探你的网络防卫状态,获得你的IP地址,进而展开网络攻击的。但是如果使用了网络防火墙后 ping 就只能无功而返。同时网络防火墙还全方位的监视着系统的各个端口的动态,确保本机与网络链接的安全。
目前主流的最新杀毒软件都是不错的选择,至于网络防火墙,不同产品原理都差不多,根据个人使用习惯选择就好:例如一般的用户不是很了解防火墙的IP规则,选择系统集成的就完全可以。安装XP-sp2系统,打开【控制面板】-【安全中心】启动防火墙就可以。但是有些朋友希望研究网络,想获得更多信息反馈和功能的专业朋友可是选择“天网防火墙”“瑞星个人防火墙”等等。
四、总结
最后,笔者建议大家平时做个有心人,经常看看进程?硬盘读写、软件运行是否出现莫名其妙的问题?上网注意看看网络状态,处处仔细万无一失。
相信大家跟着这篇文章一步一步进行慢慢的你也会发现病毒并没有你想想的可怕,杀毒也不是那么困难!
时间和水平有限,文章只是蜻蜓点水说说基础操作,并没有针对其他的网络攻击展开深入分析。不足和错误之处望高手给予改正。http://netadmin.77169.com/HTML/20051001005019_3.html