【IT168 专稿】病毒木马永远是互联网中最热门的话题,今天公司网络染毒,明天朋友电脑中马,都足以让网民闻毒色变,更有甚者,一次电脑中的资料、即时通讯的密码被盗,都将在每次使用电脑时提心吊胆,深怕再次感染。
何为病毒木马
病毒一词源自医学界,后来被用在计算机中,是指编写或者在计算机程序中插入破坏计算机功能、毁坏数据为目的,并能自我复制的一组计算机指令或者程序代码,从而影响计算机使用,就像生物病毒一样,计算机病毒有独特的复制能力,可以很快地蔓延,它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。而木马却是指能深入到内部进行攻击与破坏或进行盗取的行为,如今的木马程序一般是指利用系统漏洞或用户操作不当,远程进入到用户的操作系统,通过修改启动项目或捆绑进程方式自动运行为手段,将用户计算机中的敏感信息都暴露在网络中或接受远程控制的恶意程序,运行时一般用户很难察觉。
现阶段的病毒,主要分为以下几种:
1.感染可执行文件的病毒
2.蠕虫病毒与脚本病毒
3.后台运行进行恶意控制和破坏的病毒
毒前预防
在一台新装完操作系统的计算机中,用户有必要进行安全设置以防病毒木马的入侵与漫延,首先要从优化系统做起,这里可利用超级巡警里的该优化功能进行整合,而在系统补丁上也可以利用该软件进行补入,从而加强系统。然后利用操作系统的策略功能,新建策略关闭计算机中的危险端口,其步骤如下:
第一步、点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”页面,在页面上将“激活默认相应规则”左边的钩去掉,点击“完成”按钮,此时创建了一个新的IP 安全策略。
第二步、右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先将“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步、进入“筛选器属性”对话框,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。 随后点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389等危险 端口的屏蔽策略(注:相关危险端口可进入各大搜索引擎查找),建立好上述端口的筛选器,最后点击“确定”按钮。
第四步、在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作,在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
当完成上述的端口设置后,需重新启动电脑,完成后,上述网络端口就被关闭了,最后要在计算机中安装杀毒软件与防火墙并将其病毒库升级到当前日期的最新版本。而对于目前最为流行的U盘病毒的防御,一定要做好安全手段,由于很多病毒都具有盗号特性,是依靠在所有盘符建立autorun.inf,导致硬盘无法正常打开,并修改注册表,导致无法显示隐藏文件,而造成进程管理器中有可疑进程。遇到此种情况用户可利用下面提供的方法进行预防:
一、在打开外接存储设备时,可以在插入U盘是按住shift键停止自动播放,然后再用右键查看此U盘菜单中是否有autorun的选项(注:切勿双击打开,以防病毒运行),如果有则不要打开,而应先杀毒,在清除完成病毒后,如果AUTO依然存在,那么此时最好使用winrar打开并且删除即可,尽量不用资源管理器删除,可能的话在不进入windows的情况下删除,比如winpe下。
二、病毒的自动运行都是靠U盘中的Autorun.inf进行的,很多用户为了防止自己的U盘感染,都会想到在U盘根目录下建立autorun.inf的文件,但是大多病毒会将先前的autorun删掉建立新的,因此这里要建立一个名字为autorun.inf的文件夹,至少目前的病毒还不会删除文件夹,而由于通目录下文件和文件夹名不能重复,所以造成病毒也就无法建立autorun.inf了,从而保证不受U盘病毒的干扰。
三、建议使用影子系统,其安装步骤如下:首先进入影子系统的官方网站http://www.powershadow.com/cn/index.html,然后下载2008试用版本进行安装,安装完成后需重新启动计算机,计算机在启动过程中会提示:1、进入单一影子模式(只保护系统盘);2、完全影子模式(全盘保护,不论有多少分区),用户可自行选择所需进入的模式即可,从而达到电脑重启病毒消失的目的,充分保护电脑安全,实现无毒效果。
毒后应急
现在虽然有众多的杀毒软件和防火墙供大家作为电脑的保护,但新病毒和木马,加上黑客人工的入侵方式,电脑中毒的情况还是很普遍,尤其是上网的用户,一不留意就会中招。此时该如何处理呢?其实也很简单。
一、正在上网的用户,发现异常时应首先马上断开连接,这样既能降低自身风险,也可避免病毒向更多的在线用户进行传播(注:不要马上重新启动系统或是关机)。如果网络用户在上网途中发现 IE经常询问是否运行某些ACTIVEX控件,或是生成莫明其妙的文件、询问调试脚本什么的,一定要警惕,此种情况表明,很有可能已经中招,此情况有: 当用户浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,并通过后台下载运行木马程序,进而全面控制用户电脑,窥探网民隐私或是删除破坏系统中的文件,并在操作系统中留下后门程序,进而方便下次的入侵行为或者直接将其变成为肉机,加入到僵尸网络中,从而对更多的网站形成有力破坏源素。或是黑客潜在网络站点中的恶意脚本,直接导致用户机被感染,其木马或蠕虫类病毒发作,让受害机不断地向外界发送隐私或直接按好友列表向外发送大量垃圾邮件,从而进一步传播病毒。
二、要经常备份系统中的重要资料与文件,一但发现系统中毒后,应在第一时间运行杀毒软件进行全面病毒查杀,如果备份的资料不齐全,在此时要将重要资料转移到第三方存储设备中,无论这些文件是否带毒,因为有些病毒是专门针对某个杀毒软件设计的,一运行就会破坏其他的文件,造成不必要的损失,所以备份是很有必要的,等系统复原后,再来慢慢分析处理这些额外备份的文件更为妥善。
三、如果是发现了CIH类病毒的,要注意不能完全按平时报刊和手册建议的措施,先关机、冷启动用系统盘来引导再杀毒,应在带毒的环境下也运行一次专杀CIH的软件。这样做,杀毒软件可能会报告某些文件在受读写保护无法清理,但带毒运行的实际目的不在于完全清除病毒,而是在于把CIH下次开机时候的破坏减到最低,以防它再次开机破坏主板的BIOS硬件,那么就会黑屏,让你的下一步杀毒无法进行。
四、中毒后,即关机后冷启动,用一张干净的DOS启动盘引导是不能少的了;另外由于中毒后可能windows已经被破坏了部分关键文件,会频繁地非法操作,所以windows下的杀毒软件可能会无法运行,所以要准备一个DOS下面的杀毒软件来以防万一。
小提示:不要对某种杀毒软件带偏见,由于开发时候侧重点不同、使用的杀毒引擎不同,各种杀毒软件都是有自己的长处和短处,因此交叉使用各种不同的杀毒软件效果更为理想。
五、如果有GHOST和分区表、引导区的备份,用之来恢复一次最保险,这样连潜在的未杀光的木马程序也顺便清理了,这要求用户的GHOST备份是绝对可靠的。目前流行的机器狗病毒又另当别论了,则是需格式化后重装系统了,或者利用相关的专杀工具进行清理。
六、再次恢复系统后,更改网络相关密码,这里包括 登录网络的用户名、密码,邮箱的密码和QQ的等等,防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息,所以适当的更改是必要的。
无处藏身
由于病毒会停留在计算机的监时文件夹与缓存目录中,所以要编写批处理文件放入启动项目中,以防止病毒驻留,其临时文件夹temp路径为:C:\Documents and Settings\用户名\Local Settings下的临时文件Temp中,而另一个为驻留的地方即为系统缓存目录Temporary Internet Files中,由于系统缓存的重要性,所以有必要对此格为小心,其系统路径为:C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files中,由于很多病毒程序要用到这个地方,所以,在开机时,用批命令清空这两个文件夹,以达让病毒无处藏身,下面写出相关计算机部分清理路径批处理命令如下, 首先需要创建一个新的文本文件(文件名自取),然后在其内写入如下内容:
@echo off
pause
echo 正在清理系统垃圾文件,请稍等......
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
echo 清理系统垃圾完成!
echo. & pause
内容输入完成后,则应改后缀名为bat,即批处理文件格式,然后将该文件直接拖放到:开始菜单—程序—启动下即可。
编者按:毒前毒后的预防处理非常有必要,这对一个新手来说意味着其网络相关帐号与资料的安全与否,安全虽然是与危险共同进步,但作为网民来说应不断学习进取,以达能全面认识新型病毒的传播原理即时清理,及时预防清理才能保障自身安全。