帖子
勛章
關(guān)注
任務(wù)
網(wǎng)絡(luò)安全之木馬防護 “木馬”程序文件雖然不會像一般的病毒那樣進行自我復(fù)制,但是它也同樣能夠感染計算機。“木馬”程序主要通過偽裝進入計算機,誘導(dǎo)用戶操作執(zhí)行“木馬”程序,假如不小心將木馬程序下載到本地計算機中,可以說是十分危險的,等于為黑客打開了“方便之門”。一旦木馬程序運行,黑客便可以任意訪問、毀壞、竊取您計算機中的文件。目前更多黑客在實施攻擊行為時,都以木馬作為開路先鋒,里應(yīng)外合,再通過病毒展開進一步的破壞。目前常見的木馬有:NetSpy、BO、冰河、YAI、毒針等。 通常我們所接觸到的木馬以兩種方式進行傳播:一,電子郵件傳播。木馬程序通過電子郵件傳播極為普遍,黑客將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開附件即被感染;二,軟件下載。一些黑客將木馬程序捆綁在部分免費軟件安裝程序上,用戶在下載安裝這些軟件的同時,也將木馬程序安裝到自己的計算機里。 首先,檢查注冊表。注冊表一直都是很多木馬和病毒“青睞”的寄生場所,在檢查注冊表之前要記得先給注冊表備份。 1、 檢查注冊表中 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名一般為EXE,然后記住木馬程序的文件名,再在整個注冊表中搜索,凡是看到了一樣的文件名的鍵值就要刪除,接著到電腦中找到木馬文件的藏身地,將其徹底刪除。比如“愛蟲”病毒會修改上面所提的第一項,BO2000木馬會修改上面所提的第二項。 2、 檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(如Local Page),如果發(fā)現(xiàn)鍵值被修改了,只要根據(jù)你的判斷改回去就行了。惡意代碼(如“萬花谷”)就經(jīng)常修改這幾項。 3、檢查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等幾個常用文件類型的默認打開程序是否被更改。如果有更改,一定要改回來,很多病毒就是通過修改.txt、.ini等的默認打開程序而清除不了的。例如“羅密歐與朱麗葉”、BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默認打開程序。 其次,檢查系統(tǒng)配置文件。檢查系統(tǒng)配置文件最好的方法是打開Windows“系統(tǒng)配置實用程序”(從開始菜單運行msconfig.exe),在這里你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,還可以選擇啟動系統(tǒng)的時間。 1、檢查win.ini文件(在C:\windows下),打開后,在“WINDOWS”下面,“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑,必須留心它們。在一般情況下,在它們的等號后面什么都沒有,如果發(fā)現(xiàn)后面跟有路徑與文件名不是您熟悉的啟動文件,您的計算機就可能中上“木馬”了。比如攻擊QQ的“GOP木馬”就會在這里留下痕跡。 2、檢查system.ini文件(在C:\windows下),在BOOT下面有個“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟著的那個程序就是“木馬”程序,這時你一定要在硬盤中找到這個程序并將其刪除。 手動刪除木馬程序是在沒有安裝反病毒軟件,同時有較高的計算機水平的情況下方可操作。專家建議:還是應(yīng)該安裝具有實時監(jiān)視功能的正版殺毒軟件,并及時升級病毒庫,徹底保護計算機安全。 |
