二、对付特洛伊木马
特洛伊木马程序常被定义为当执行一个任务时却实际上执行着另一任务的程序,用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程序一点也不为过。典型的例子是:黑客伪造一个登录界面,当用户在这个界面上输入用户名和密码时,程序将它们转移到一个隐蔽的文件中,然后提示错误,要求用户再输入一遍,程序这时再调用真正的登录界面让用户登录,于是在用户几乎毫无察觉的情况下黑客就得到了记录有用户名和密码的文件。
对付特洛伊木马程序有以下几种办法。
1. 读懂readme.txt后再安装
许多人出于研究的目的下载了一些特洛伊木马程序的软件包,在没有弄清软件包中几个程序的具体功能前,就匆匆执行其中的程序,这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品。应先读懂readme.txt文件中的使用说明。
2.使用杀毒软件
现在国内的杀毒软件都有清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败。
3. 立即断开连接
尽管造成上网速度突然变慢的原因有很多,但有理由怀疑这是由特洛伊木马造成的。当人侵者使用特洛伊用户端程序访问机器时,会与正常访问抢占宽带,双击任务栏右下角的连接图标,仔细观察一下“已发送字节”,如果数字变化成l~3kbps,几乎可以确认有人在下载硬盘文件;对TCP/IP端口熟悉的用户,在“MS-DOS方式”下键“netstat-a”来观察与机器相连的当前所有通信进程,当有人正使用不常见的端口(一般大于1024)与通信时,这一端口很可能就是特洛伊木马的通信端口。当发现这些可疑迹象后,立即断开连接,然后对硬盘进行认真检查。
4. 观察目录
经常观察位于C:\、C:\Windows、C:\Windows\Lsystem这些目录下的文件。在C:\Windows下如果光有文件名没有图标的可执行程序,应该把它们删除,然后再用杀毒软件进行认真清理。