網路中肆無忌憚氾濫的木馬盜取網路交易帳號、獲取用戶私密信息以謀取利益,普通用戶往往由於對木馬不夠瞭解和對安全防範麻痹大意,造成嚴重的後果。許多人都有中木馬的經歷,那麼中了木馬怎麼清除,平時怎麼防護,請看下麵的文章。
怎麼判斷中了木馬
病人:木馬危害實在太大了,那我怎麼知道自己的電腦中了木馬呢?
醫生:電腦中了木馬後,有時候會有一些非常典型的症狀,比如殺毒軟體自動關閉、電腦運行速度變慢、經常有一些陌生網頁窗口彈出、系統中某些程式無法運行等;也有時候症狀並不明顯,不過我們可以通過一些蛛絲馬跡來初步分析電腦是否中了木馬,比如查看“任務管理器”是否有不熟悉的進程(一旦發現則到網上進行搜索看是否是病毒程式),從系統檔夾、註冊表、啟動程式等查看是否有可疑的檔或專案。
下麵我們以感染了近期比較活躍的SoundMan木馬的電腦為例來瞭解一下木馬的一些常見行為。
小知識:SoundMan木馬
SoundMan木馬是利用Realtek聲卡相關程式以及圖示迷惑用戶的一款“網遊木馬下載器”,它除了具備普通木馬能夠遮罩顯示隱藏檔的功能外,還可以用替換服務等方式啟動自身,並具有結束殺毒軟體和在後臺下載大量網遊木馬的功能。
1.隱藏檔已經無法顯示
打開一個檔夾,在上方菜單中選擇“工具/檔夾選項”,在“查看”中勾選“顯示所有檔和文件夾”,並去掉“隱藏已知檔類型的擴展名”前面的勾。經過這樣的操作後,隱藏檔還是無法顯示。
提示:一旦發現設置了“顯示所有檔和文件夾”,而系統仍無法顯示隱藏檔的話,一定要引起足夠的重視,極有可能有木馬入侵。
2.查看System32檔夾
進入System32檔夾中(假設Windows XP安裝在C盤),可以發現木馬創建了ineters.exe、SoundMan.exe、tthh3.ini這三個檔(編注:之前我們已經對顯示隱藏檔做了處理)。
提示:木馬一般會在系統檔夾System32中釋放病毒檔以及相關的ini檔,如果懷疑中了木馬,注意檢查此檔夾中那些在出現中毒症狀前後所創建的檔。
3.查看用戶帳戶
單擊“開始/設置/控制面板”,雙擊“用戶帳戶”,如果發現電腦中的Guest帳戶無故被啟動,或是多出其他的陌生帳號,例如名為Microsoft的帳戶,也要提高警惕,這也是感染木馬的一個典型特徵。
4.查看auto檔
當系統中了SoundMan.exe木馬後,只要有新的可移動存儲接入,此木馬便會寫入auto.exe和autorun.inf 檔,所以我們在滑鼠右鍵菜單中發現有auto、autorun任何一個選項,或是在移動硬碟或閃存根目錄下查看發現auto.exe和autorun.inf 這兩個檔,則證明中毒。
提示:現在的木馬一般都會利用移動存儲設置的自動播放功能進行病毒的寫入和傳播,所以如果在硬碟分區以及移動存儲設備根目錄下發現auto.exe和autorun.inf 這兩個檔,則電腦與移動硬碟都已經中毒。
除了檢查上面那些地方外,我們還可以從以下幾個木馬喜歡喜歡藏身的地方來查找蛛絲馬跡。
一是從“Win.ini”檔判斷是否中毒。利用記事本打開“C:Windows”目錄下的Win.ini檔。在檔的[windows]字段中查找啟動命令“load=”和“run=”後面是否跟有程式,在一般情況下“=”後面是空白的,如果在“=”號後面跟著程式(圖2),那一般是中了木馬病毒。
二是從“System.ini”檔判斷是否中毒。利用記事本方式打開位於“C:Windows”目錄下的“System.ini”檔,如果發現[boot]字段中“shell=Explorer.exe”後添加了程式,一般都是木馬服務端程式。另外,在System.ini中的[386Enh]字段,要注意檢查在此段內的“driver=路徑程式名”,這裏也有可能被木馬所利用。在System.ini中的[mic]、[drivers]、[drivers32]這三個字段,它們起到加載驅動程式的作用,但也是添加木馬程式的好場所,所以也需要進行檢查。
三是打開註冊表編輯器進行查找。木馬一般會利用註冊表中的Run、RunServices、RunOnce等子項來加載,在“開始”/“運行”中輸入“regedit”進入註冊表編輯器,在以下幾個地方進行查看。
(1)註冊表中的啟動項
查看“HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”下的RunServices、Run、RunOnce下是否有可疑專案。
如果發現其中加載了一些陌生程式到系統檔夾中,那麼則可能中了木馬病毒。
(2)檔關聯鍵
有些木馬還會通過修改註冊表中的某一類型檔的鍵值來加載程式。檢查“HKEY_CLASSES_ROOTXXX(編注:這裏的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子鍵中“默認”值:““%1” %*”;檢查“HKEY_LOCAL_MACHINESoftwareCLASSES XXX(編注:這裏的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子鍵中“默認”值:““%1” %*”。
這些“%1 %*”可以被賦值,如果發現默認值被修改,例如病毒木馬將其改為“muma.exe %1 %*”,則可能中毒。
橫掃網路木馬
病人:我已經中了木馬,應當怎麼清除?
醫生:如果電腦系統分區中沒有重要數據,那麼利用備份及一鍵恢復直接重新恢復系統是最簡單的方法。如果無法這樣做,可以用一些工具軟體來幫忙清理木馬。
目前很多木馬病毒,譬如本例中的SoundMan.exe能夠刪除安全軟體的啟動專案、劫持安全/殺毒軟體,並且連接網路下載其他木馬及病毒。所以首先要做的就是刪除註冊表的啟動項、修復被劫持的殺毒軟體/安全軟體,然後利用殺毒軟體或專殺工具來清除木馬。
下載SREng軟體並更改名稱運行,首先對註冊表中的RUN鍵進行修復,選擇“系統修復”選項中的“註冊表”選項卡,刪除未知的啟動專案,比如路徑為系統檔夾(C:win dowssystem32或C:winntsystem32)中的Sound Man.exe木馬病毒程式啟動項(圖3)。
提示:除了“註冊表”啟動項外,我們最好進入 “啟動專案”中的“Win.ini”、“System.ini”等選項中進行查看並清除相關聯的病毒加載項,以免病毒死灰復燃。
然後再選擇“系統修復”中的“檔關聯”選項,勾選錯誤的檔關聯,單擊“修復”按鈕,修復被木馬病毒劫持的程式,包括殺毒軟體和一些安全工具等。
為了防止啟動木馬,在“系統修復”的“高級修復”選項中單擊下方“修復安全模式”對電腦安全模式進行修復,最後進入到安全模式下進行殺毒軟體病毒庫的更新及病毒查殺,同時下載木馬病毒的專殺工具對木馬及病毒進行掃描清除。
提示:除了利用SREng軟體進行修復 ,我們還可以利用小工具包來進行系統修復,小工具包在電腦報網站http://www2.cpcw.com/bzsoft/進行下載,打開工具包後,雙擊恢復顯示隱藏檔.REG導入註冊表,再打開Icesword軟體,清除系統檔夾中的病毒檔、使用IFEO映像劫持修復工具修復被劫持的殺毒軟體及安全軟體,最後就是用殺毒軟體進行查殺。小工具下載下來後改名後再使用,以免被木馬病毒劫持。
如何預防木馬
病人:木馬雖然已經清除了,但是我怎麼避免以後電腦再被木馬侵襲呢?
醫生:為了更好的保護系統不受到破壞,打好我們的網遊帳號保衛戰,除了為一個完全乾淨無毒系統做個備份,我們還可以通過以下的方法來進行網遊木馬的預防。
1.必須安裝殺毒軟體及防火牆,並對其進行升級,相應系統補丁也要隨時更新,還要定期進行病毒木馬掃描。
2.安裝遊戲帳號保護軟體
目前有很多專門針對網遊帳號保護的安全工具,它們採取的原理不同,但對遊戲帳號都有一定的保護作用,條件允許的情況下可安裝這樣的保護軟體。如何選擇,可參考本期F7版的評測。
3.通過註冊表設置,阻止病毒通過IFEO劫持殺毒軟體,具體操作方法:單擊“開始”→“運行”,在命令行中輸入regedt32,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options,右鍵單擊此選項,在彈出的菜單中選擇“許可權”,然後把Administrors用戶組和Users用戶組的許可權全部取消。
利用註冊表限制IFEO的讀寫許可權
總結
養成安全的電腦操作習慣+嚴密的安全設置+定期檢查這三大強效藥劑,我們完全可以讓病毒木馬遠離自己的電腦系統,玩網路遊戲時再也不用擔心和木馬親密接觸!但是由於殺毒軟體以及安全工具的設置及使用需要一定的電腦基礎,整個木馬產業鏈由於缺少相關法律有效的監控而發展的越來越大,導致許多對電腦安全設置不熟悉的用戶遭遇木馬侵襲圍剿,用戶的私密信息一旦被不法分子掌握,將會給用戶造成嚴重的後果。我們呼籲除了電腦用戶加強自身的電腦安全意識和技能外,還需要國家法律以及網路監管部門一起攜手,共同打造一個安全的網路環境! |
