[psac]

拒絕入侵 搞定電腦病毒就是這麼簡單

通過平時的接觸，筆者發現很多朋友對於防毒殺毒存在不少的一夥和誤區：病毒和木馬是不是一回事，中了病毒怎麼殺不乾淨，我裝了三個殺毒軟件絕對安全，我的殺毒軟件防火牆很有效根本不需要網絡防火牆，還有的人甚至說：「只要不去黃色網站就不會中毒...」 　　對於防毒殺毒長久以來都是計算機使用者比較頭疼的問題，很多人都存在以上的疑問和誤區。針對近年來，病毒開始由傳統形向網絡蠕蟲和隱蔽的木馬病毒發展，筆者這篇文章就以這兩個禍害開刀，和大家一步一步談談從殺到防搞定病毒。(不要疑惑，很多人都是中了病毒以後才想起預防的重要。)文章結合自己的經驗，用簡單的語言和大家說說如何殺毒，如何防止病毒入侵，加強大家正確的安全意識，提高自己動手解決問題的能力。
一、先來看看蠕蟲

　　隨著我國寬帶爆炸式的發展，蠕蟲病毒引起的危害開始快速的顯現!蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特徵，如不利用文件寄生(有的只存在於內存中)，快速的自身複製並通過網絡感染，以及和黑客技術相結合等等!在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。相信去年經歷的衝擊波、震盪波大家一定還沒忘記吧。

　　傳播特點

　　蠕蟲一般都是通過變態的速度複製自身並在互聯網環境下進行傳播，目標是互聯網內的所有計算機。這樣一來局域網內的共享文件夾，電子郵件，網絡中的惡意網頁，大量安裝了存在漏洞操作系統的服務器就都成為蠕蟲傳播的良好途徑，使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!這其中通過操作系統漏洞或者通過IE漏洞攻擊的方式最為常見。

　　蠕蟲的預防解決

　　蠕蟲和普通病毒不同的一個特徵是蠕蟲病毒往往能夠利用漏洞，這裡的漏洞或者說是缺陷，我們分為2種:軟件的和人為的。

　　軟件上的缺陷，如系統漏洞，微軟ie和outlook的自動執行漏洞等等，需要大家經常更新系統補丁或者更換新版本軟件。而人為的缺陷，主要是指的是計算機用戶的疏忽。例如，當收到QQ好友發來的照片、遊戲的時候大多數人都會報著好奇去點擊的，從而被感染上了病毒。

　　個人用戶對蠕蟲病毒的防範措施

　　通過上述的分析，我們瞭解蠕蟲的特點和傳播的途徑，因此防範需要注意以下幾點:

　　(1)選擇合適的殺毒軟件

　　殺毒軟件必須提供內存實時監控和郵件實時監控以及網頁實時監控!(當然2004年以後的殺毒軟件基本都有這些功能，如果還在使用老版本的朋友趕快更換新版本)。像瑞星，kv(江民)，金山等國產軟件無論是在功能和反應速度以及病毒更新頻率上都做的不錯，相對國外的反病毒軟件他們對於像QQ這類國產病毒具有明顯優勢，同時消耗系統資源也比較少，大家可以放心使用。

　　(2)經常升級病毒庫

　　沒有最新病毒庫的殺毒軟件就好比沒有瞄準器的狙擊槍，想想這不就是個廢物?由於目前反病毒技術領域還基本以病毒的特徵碼為依據的，而病毒每天都層出不窮，再加上如今的網絡時代，蠕蟲病毒的傳播速度快，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒!

　　(3)提高防患意識

　　不要輕易接受任何陌生人的郵件附件或者QQ上發來的圖片，軟件等等。必須經過對方的確認(因為一旦對方中毒後他的QQ會自動向好友發送病毒，他自己根本不知道，這個時候只要問一問他本人就真相大白!)，或者此人是你絕對可以相信的人!另外對於收發電子郵件，筆者強烈建議大家通過WEB方式(就是登陸郵箱網頁)打開郵箱收發郵件(這樣比使用Outlook和foxmail更安全)。雖然殺毒軟件可以實時監控但是那樣不僅耗費內存，也會影響網絡速度!

　　(4)必要的安全設置

　　運行IE時，點擊「工具→Internet選項→安全」，把其中各項安全級別調高一級。在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體操作是:在IE窗口中點擊「工具」→「Internet選項」，在彈出的對話框中選擇「安全」標籤，再點擊「自定義級別」按鈕，就會彈出「安全設置」對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇「禁用」。但是，這樣做在以後的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

　　(5) 第一時間打上系統補丁

　　雖然看上去可怕，但是細心的朋友注意蠕蟲攻擊系統的途徑可以看出:最主要的方式就是利用系統漏洞，因此微軟的安全部門已經加大了系統補丁的推出頻率，大家一定要養成好習慣，經常的去微軟網站更新系統補丁，消除漏洞(通過點擊開始上端的「windows Update」)

二、再來看看「老朋友」木馬


　　1、關於木馬

　　木馬是病毒當中非常特殊的一族。他的實質只是一個網絡客戶程序。木馬工作的原理是這樣的:一台中了木馬被控制的機器相當於一台服務器，控制端則相當於一台客戶機，作為服務器的主機會由木馬打開一個端口並接收控制端的命令，如果控制端提出連接請求，這時中毒機器上的木馬就會自動運行，來回應控制端的請求(開始將中毒機器中對方需要的資料或者文件傳送給木馬發送者的機器)。因此，這就是整個木馬工作的程序。

　　2、發現木馬

　　木馬常見的中毒症狀表現如下:莫名其妙的死機，在沒有操作的情況下硬盤自動讀取(機箱指示燈在閃爍)等等以外，通過下面幾個辦法可以幫助大家發現木馬:

　　(1)奇怪的開機運行程序

　　很多木馬都是開機就運行的，如果你發現了奇怪的開機運行程序可以通過【開始】-【運行】輸入「msconfig」回車，打開【系統實用配置程序】-【啟動】在這裡關閉你不需要的。往往病毒在這裡關閉以後還會出來，並且2000系統沒有msconfig這個程序，所以需要修改註冊表，咱們往下看。

　　筆者經過整理發現一般木馬都會在以下位置加載自己達到開機運行的目的:

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

　　[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]

　　一旦在註冊表以上位置發現含有奇怪的程序路徑完全可以刪除，然後記住程序名稱在註冊表中通過搜索找到並刪除!

　　(2)網絡流量異常

　　平時如果沒有下載或者上傳，但是卻發現網絡流量較大(可以通過ADSL指示燈或者通過任務欄裡面上網絡狀態查看)，很有可能就是木馬正在工作。這是應該立刻關閉網絡，重啟進入安全模式下仔細檢查。

　　(3)任務管理器中檢查可疑進程

　　通過ctrl + shift + del打開 [任務管理器]-[進程]，經常看看裡面都有哪些進程在運行。如果你一個都不瞭解可以上網通過搜索引擎查詢。這裡筆者推薦一個非常好專業的進程查詢網站:http://www.dofile.com/ 一旦發現可疑進程就要立刻檢查。

　　另外，很多時候會出現某個進程對應的cpu使用率接近100%,首先通過軟件或者網絡搜索這個進程信息對應的程序，關閉程序或者替換別的版本(比如從2.1版替換成3.0版)如果排除程序與系統兼容或者系統本身問題後還出現這樣的情況可以斷定該進程是軟件綁定的木馬。

　　(4)系統服務中的奇怪項目

　　開始-運行，輸入services.msc在這裡可以看到眾多的服務，也許第一次你會頭疼?教大家一個竅門:首先最大化這個窗口，[如圖2] 點擊最上端的【狀態】將所以已啟動的服務排列在一起，這樣就一幕了然了，點擊任何一個在左側就有對應的解釋。一般病毒的服務是沒有解釋的(這不是說沒有解釋的就是病毒)所以大家遇到不清楚的上網查查很快就明白了，如果發現有問題的服務趕緊關閉。方法:雙擊準備關閉的服務-進入屬性窗口，點擊「停止」然後將【啟動類型】選擇「已禁用」確定即可!

3、清除木馬


　　木馬一旦進入系統，就會採取多種方式隱藏自己，徹底清除可不容易。因為他不像蠕蟲和別的病毒那樣單純，木馬往往通過更改註冊表，更改系統服務，甚至windows引導文件加載自己，達到開機就加載木馬程序，所一單純的通過殺毒軟件是無法清理乾淨的，即使殺掉了重啟以後又出來了，這要怎麼辦?魔高一尺，道高一仗，咱們就和木馬鬥鬥法!

　　考慮到木馬與系統關聯的比較深，如果在正普通的系統下處理會因為加載很多服務和後台程序而受到干擾，因此筆者強烈建議大家進入安全模式(這也是清理其他病毒最好的選擇)。方法:開機後按F8-選擇「安全模式」即可。

　　來到安全模式下，ctrl + shift + del打開任務管理器，右鍵點擊要關閉的木馬進程(這裡建議大家選擇「結束進程樹」，這樣可以更徹底解除與系統的關聯)

　　然後，開始-運行,輸入「services.msc」打開服務，按照上面介紹的步驟關閉木馬服務(當然不是每個木馬都有服務，沒有直接進入下一步)

　　開始-運行,輸入「regedit」打開註冊表，檢查第一部分提到的幾處位置，將木馬對應的鍵值都刪除。

　　最後運行木馬專殺工具(這裡推薦「木馬剋星」，當然是必須更新病毒庫)完整的再檢查一次!

　　4、補充說明

　　由於木馬的特殊性，一旦感染後系統程序關聯一般都會被竄改，這樣即使清除了木馬病毒，也會出現有些程序無法打開，甚至連桌面「我的電腦」都打不開，一旦雙擊就彈出「選擇打開方式」的對話框。其實大家如果安裝較新的殺毒軟件比如瑞星2005，金山2005，KV2005 都帶有註冊表修復工具，運行就可以解決。如果沒有也可以使用超級兔子魔法設置提供的註冊表修復工具。

　　三、預防病毒需要注意的

　　1.數量多力量並不大

　　有的人感覺多裝幾套殺毒軟件和防火牆這樣多管齊下「人多力量大」，其實正好相反! 因為不同軟件公司開發所用的殺毒引擎和病毒識別方式的不同使得不同殺毒軟件之間存在很大的差異，因此存在嚴重的兼容問題(有你沒我)，造成他們都無法正常工作。並且如今殺毒軟件在同病毒較量中為了佔據主動都採用了搶駐內存的方式提前攔截病毒啟動，安裝太多殺毒軟件只會嚴重消耗資源。如此以來不但安全毫無保障，系統性能也大大折扣得不償失。

　　正確的做法:一套帶有實時監控功能的殺毒軟件 + 一款合適的網絡防火牆

　　2.病毒、網絡兩道防火牆缺一不可

　　對於安裝殺毒軟件大家都能理解，但是網絡防火牆又是幹什麼用呢?說簡單一點:前者防止病毒進入你的系統，後者切斷病毒與外界的一切聯繫，這對於木馬尤其有效。

　　細心的朋友會發現剛剛安裝winsp-sp2系統後或者安裝網絡防火牆以後上網打開QQ或者BT甚至瀏覽器都會提示「XX程序試圖連接網絡，是否允許?」等類似的警告，目的就是防止木馬等惡意程序訪問網絡。因此一旦感染木馬後，如果有了網絡防火牆就不怕個人資料的洩漏。

　　同時網絡防火牆也防止試圖進入你系統的訪問，從源頭切斷惡意的攻擊。給大家舉最簡單的一個例子:都熟悉的網絡命令「ping」，很多別有用心的人就是首先使用這個命令刺探你的網絡防衛狀態，獲得你的IP地址，進而展開網絡攻擊的。但是如果使用了網絡防火牆後 ping 就只能無功而返。同時網絡防火牆還全方位的監視著系統的各個端口的動態，確保本機與網絡鏈接的安全。

　　目前主流的最新殺毒軟件都是不錯的選擇，至於網絡防火牆，不同產品原理都差不多，根據個人使用習慣選擇就好:例如一般的用戶不是很瞭解防火牆的IP規則，選擇系統集成的就完全可以。安裝XP-sp2系統，打開【控制面板】-【安全中心】啟動防火牆就可以。但是有些朋友希望研究網絡，想獲得更多信息反饋和功能的專業朋友可是選擇「天網防火牆」「瑞星個人防火牆」等等。

　　四、總結

　　最後，筆者建議大家平時做個有心人，經常看看進程?硬盤讀寫、軟件運行是否出現莫名其妙的問題?上網注意看看網絡狀態，處處仔細萬無一失。

　　相信大家跟著這篇文章一步一步進行慢慢的你也會發現病毒並沒有你想想的可怕，殺毒也不是那麼困難!