怎樣才能發現並徹底清除間諜軟體

psac · 2005-10-21, 10:13 AM

所有人都面臨間諜軟體的威脅，特別是普通的網路用戶。這些網路用戶總是很快地點擊彈出式對話視窗，按提示安裝軟體，接受垃圾郵件的饋贈或者瀏覽惡意的網站。
　　
　　最佳的預防措施就是對最終用戶進行教育。但是，對於大多數人來說，這個事情已經太晚了，間諜軟體已經在Windows工作站中瘋狂地蔓延開了。

為了說明你識別和修復各種檔案類型的間諜軟體的感染，你可以檢視一下如下的情況。在做出診斷和介紹三個Windows安全專家講的課程之後，我們還將介紹一些用戶的投訴。你將發現，每一個專家對一個問題都有一個獨特的解決方案。

因此，在解決你自己的間諜軟體的問題時，你一定要考慮一下所有這些解決方案。
　　
　　用戶的問題：
　　
　　我為300多個用戶提供技術支持。這些用戶擁有家庭或者辦公室的電腦，採用Windows XP或者Windows 2000操作系統。一些用戶報告了下列問題。
　　
　　當瀏覽器關閉時（有時候甚至都沒有連線到網際網路），會出現彈出廣告。當開啟瀏覽器時，一個像HotOffers.com的網站出現了，而不是我們內部網的主頁。
　　
　　一個名為「Viewpoint」的搜尋工具條出現在瀏覽器上，無論我們在位址欄內輸入什麼，這個工具條都一直在搜尋。
　　
　　我有最新的殺毒軟體，並且沒有發現病毒。使用查殺間諜軟體的工具「SpyBot Search & Destroy 」進行掃瞄之後，發現一些不熟悉的文件，我將移除這些文件。但是，這樣並沒有解決這些問題。那是什麼文件?我如何移除這些文件?請幫忙。
　　
　　清除間諜軟體第一步：診斷
　　
　　安全專家Kevin Beaver：你在這裡遇到的問題是人的問題和技術的局限性結合在一起產生的問題。間諜軟體和廣告軟體的啟動是用戶盲目點擊滑鼠造成的。

當IE瀏覽器彈出一個對話視窗，要求在IE中安裝一個ActiveX控件或者向用戶電腦下載其它貌似安全的遊戲、螢幕保護程序等軟體時，用戶往往隨意點擊「驗證」。
　　
　　這就是我說的人的問題。這個問題經常發生，因為用戶只是想安裝軟體，彈出式廣告就借此機會避開檢查想做什麼就做什麼了。

一旦你的用戶允許在他們的系統中安裝這種軟體，根據這種軟體的性質，無論用戶是否啟動IE或者系統是否連線到網際網路，這種軟體都能夠控制Windows電腦的某些方面。

這包括啟動彈出式廣告、修改預設的主頁等。
　　
　　技術的局限性與查殺間諜軟體的工具有關。「Spybot Search & Destroy」對於保護台式電腦並不是萬能的解決方案，儘管這是我使用的最好的軟體工具。
　　
　　安全專家Tony Bradley：從指出的情況看，這裡可能存在兩個不同的問題。當電腦甚至還沒有連線到網際網路的時候也出現彈出式廣告，這類程序可能是通過Windows Messenger服務進入用戶電腦的。

修改瀏覽器主頁和搜尋工具條最有可能是瀏覽器輔助對像（BHO）出現的問題造成的。間諜軟體是一種隨看隨下（drive-by downloads）的軟體。當用戶訪問惡意網站時，間諜軟體利用瀏覽器中的漏洞不需要用戶同意就安裝在用戶的電腦中。
　　
　　安全專家Lawrence Abrams：當瀏覽器中的搜尋功能和主頁被修改之後，通常會出現劫持瀏覽器的情況，就像「Viewpoint Manager」軟體劫持瀏覽器一樣。瀏覽器劫持一般分為兩大類，主動劫持和被動劫持。
　　
　　主動劫持者是一種在電腦啟動時就調入的程序。

這種程序持續監視電腦的具體設定，確保這些設定符合劫持者的願望。被動劫持是在電腦啟動時開始執行的程序。這種程序修改某些設定並且上傳。一旦你確定這種劫持程序，這些問題是很容易修復的。
　　
　　首先，你必須確定你處理的是哪一類劫持程序。

我使用HijackThis軟體進行搜尋。如果你熟悉程序入口（entry）的位置或者把軟體程序與啟動資料庫進行比較，你就可以找到劫持軟體。
　　
　　在執行HijackThis工具軟體時，我們注意到了Viewpoint工具條和Viewpoint管理器的入口。這就是Viewpoint間諜軟體的罪證。我們還看到起始頁的入口已經被修改了。
　　
　　至於熱力推薦（HotOffers）的問題，修復這個入口似乎並不起作用。他們還是不斷地出現，上面提到的事情似乎都不是這個問題的原因。

起始頁改回到HotOffers的事實說明我們正在處理的問題是主動的劫持。
　　
　　在這種情況下，我們需要使用另外一種名為「SilentRunners」的工具軟體。這個工具能過讓我們深入到正在這種自動執行的程序中。
　　
　　SilentRunners將產生一個關於註冊表設定的登記列表，找出哪些不是Windows預設設定的程序。
　　
　　執行這個程序，我將看到如下結果：　　

　　HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

　　INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
　　
　　-> {CLSID}InProcServer32（Default） = "C:WINDOWSSystem32param32.dll" [null data]
　　
　　這就告訴我一個名為c:windowssystem32param32.dll的文件在電腦中啟動了。

param32.dll文件不是預設的Windows組態。要確定這個文件是不是罪魁禍首，我使用Sysinternal軟體中的strings.exe程序檢視這個文件內部的ASCII字元串。
　　
　　當在可執行文件中看到列出的字元串時，我們看到了一個HotOffers，我們現在知道我們已經找出了這個問題了。
　　
　　清除間諜軟體第二步：立即行動
　　
　　安全專家Kevin Beaver：在這種情況下，你應該執行一兩種其他反間諜軟體掃瞄工具，看看能否清除間諜軟體的感染。遺憾的是，防禦間諜軟體和廣告軟體需要多層次的防護措施才能有效。
　　
　　安全專家Tony Bradley：要防止任何Windows Messenger服務向系統濫發彈出式訊息，你需要關閉Windows Messenger服務（不要與MSN Messenger即時消息工具軟體相混淆）或者封鎖進入UDP連接阜135、137和138以及TCP連接阜135、139和445的通信。
　　
　　用戶已經驗證，殺毒軟體是最新的，並且使用了目前最好的反間諜軟體工具之一的「Spybot - Search & Destroy」。然而，這些反間諜軟體工具都不是100%的有效。

不要簡單地依賴S&D軟體的檢查結果。用戶還應該試一下使用其它的反間諜軟體工具，例如Lavasoft公司的Ad-Aware、微軟測試版的Windows AntiSpyware和Webroot軟體公司的Spy Sweeper。
　　
　　安全專家Lawrence Abrams：雖然劫持軟體不會傳播到其它電腦中，但是，這種軟體在許多情況下會嚴重降低IE瀏覽器的安全性設定。因此，在清除這種感染防止進一步感染之前，阻止用戶使用被感染的電腦是非常重要的。
　　
　　清除間諜軟體第三步：恢復
　　
　　安全專家Kevin Beaver：如果可能的話，執行一種以上的反間諜軟體程序，如Spybot - Search & Destroy、冠群國際的eTrust PestPatrol Anti-Spyware 、微軟的Windows AntiSpyware，同時加強IE安全性設定和個人防火牆保護。在安全的環境中，你還可以考慮使用關於行為的防禦軟體，如Sana安全公司和Finjan軟體公司的產品。
　　
　　安全專家Tony Bradley：如果執行其它的間諜軟體掃瞄工具還不能完全清除間諜軟體，你可以採取手動式方式確定間諜軟體在做什麼和如何殺滅這些間諜軟體。

Sysinternals Freeware公司提供很多免費的軟體工具，可以查出間諜軟體暗地裡在做什麼。工作管理器（Process Explorer）能夠說明你搜尋正在執行的可疑的工作。間諜軟體的工作通常使用與Windows的工作相類似的名稱，以便不易被察覺。

然而，如果你檢視路徑訊息，你就可以發現那些路徑異常的工作，並且驗證那些表面上合法的文件的版本和版權資訊。Sysinternals公司的其它工具還有Autoruns和ListDLLs。這些工具對於說明你調查正在執行的工作也是很有效的。
　　
　　另一個功能強大的說明你識別和消滅間諜軟體元件的工具是Merijn.org公司的HijackThis。

這個軟體能夠檢查Windows註冊表和硬碟中的關鍵區域，並且提供詳細的內容列表。在使用HijackThis工具軟體的時候需要特別謹慎，或者請求專家提供指導。

這個軟體的文件移除和保留的權利完全取決於用戶。HijackThis軟體有時候查出的軟體程序是合法的，如果移除會對系統產生不利的影響，甚至會使系統無法執行。
　　
　　安全專家Lawrence Abrams：現在間諜軟體已經找到了。我們需要設計一個工作人員很容易操作的清除間諜軟體的一般方法。工作人員將清除辦公電腦和家庭電腦中的間諜軟體。你可以通過控制台中的增加/刪除程式很容易地卸載Viewpoint工具條和Viewpoint管理器。
　　
　　為了修復HotOffers的感染，你可以移除param32.dll文件。

問題是，這個程序是不停地執行的。你需要以安全模式重新啟動電腦，這時param32.dll文件就不執行了，就可以移除了。如果這樣還不行，使用一個名為「KillBox」的工具軟體在重新啟動的程序中移除那個文件。
　　
　　然後，你可以使用HijackThis軟體修復剩餘的入口，恢復用戶對起始頁和搜尋功能的控制。
　　
　　接下來，你可以在一個正式的移除文件中把這些步驟記下來。這種文件要讓工作人員和家庭用戶很容易理解。
　　
　　清除間諜軟體第四步：預防措施
　　
　　安全專家Kevin Beaver：你可以擁有的最強大的預防措施就是人的因素：教育人們如何處置和為什麼不要點擊彈出式廣告、安裝程序的提示以及其它可能導致傳播間諜軟體手段。遺憾的是，只要人類介入計算環境，我們就會遇到這種問題。

有些人是故意的，有些人是不故意的。因此，還要確保使用正確的技術。這個提高警惕的週期是永遠也不會結束的。
　　
　　安全專家Lawrence Abrams：現實是，間諜軟體、劫持軟體和其它惡意軟體正在像蠕蟲、特洛伊木馬和病毒一樣流行。大多數人以為殺毒軟體會清除一切惡意軟體，而實際上殺毒軟體的重點是病毒、特洛伊木馬和蠕蟲。在你的電腦中採取多層防禦措施是非常重要的。

yu jun · 2006-06-09, 09:42 AM

感謝版大的詳細說明，讓弟對PC的安全防護觀念、又多了一層的認識!

2005-10-21, 10:13 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	怎樣才能發現並徹底清除間諜軟體所有人都面臨間諜軟體的威脅，特別是普通的網路用戶。這些網路用戶總是很快地點擊彈出式對話視窗，按提示安裝軟體，接受垃圾郵件的饋贈或者瀏覽惡意的網站。　　　　最佳的預防措施就是對最終用戶進行教育。但是，對於大多數人來說，這個事情已經太晚了，間諜軟體已經在Windows工作站中瘋狂地蔓延開了。為了說明你識別和修復各種檔案類型的間諜軟體的感染，你可以檢視一下如下的情況。在做出診斷和介紹三個Windows安全專家講的課程之後，我們還將介紹一些用戶的投訴。你將發現，每一個專家對一個問題都有一個獨特的解決方案。因此，在解決你自己的間諜軟體的問題時，你一定要考慮一下所有這些解決方案。　　　　用戶的問題：　　　　我為300多個用戶提供技術支持。這些用戶擁有家庭或者辦公室的電腦，採用Windows XP或者Windows 2000操作系統。一些用戶報告了下列問題。　　　　當瀏覽器關閉時（有時候甚至都沒有連線到網際網路），會出現彈出廣告。當開啟瀏覽器時，一個像HotOffers.com的網站出現了，而不是我們內部網的主頁。　　　　一個名為「Viewpoint」的搜尋工具條出現在瀏覽器上，無論我們在位址欄內輸入什麼，這個工具條都一直在搜尋。　　　　我有最新的殺毒軟體，並且沒有發現病毒。使用查殺間諜軟體的工具「SpyBot Search & Destroy 」進行掃瞄之後，發現一些不熟悉的文件，我將移除這些文件。但是，這樣並沒有解決這些問題。那是什麼文件?我如何移除這些文件?請幫忙。　　　　清除間諜軟體第一步：診斷　　　　安全專家Kevin Beaver：你在這裡遇到的問題是人的問題和技術的局限性結合在一起產生的問題。間諜軟體和廣告軟體的啟動是用戶盲目點擊滑鼠造成的。當IE瀏覽器彈出一個對話視窗，要求在IE中安裝一個ActiveX控件或者向用戶電腦下載其它貌似安全的遊戲、螢幕保護程序等軟體時，用戶往往隨意點擊「驗證」。　　　　這就是我說的人的問題。這個問題經常發生，因為用戶只是想安裝軟體，彈出式廣告就借此機會避開檢查想做什麼就做什麼了。一旦你的用戶允許在他們的系統中安裝這種軟體，根據這種軟體的性質，無論用戶是否啟動IE或者系統是否連線到網際網路，這種軟體都能夠控制Windows電腦的某些方面。這包括啟動彈出式廣告、修改預設的主頁等。　　　　技術的局限性與查殺間諜軟體的工具有關。「Spybot Search & Destroy」對於保護台式電腦並不是萬能的解決方案，儘管這是我使用的最好的軟體工具。　　　　安全專家Tony Bradley：從指出的情況看，這裡可能存在兩個不同的問題。當電腦甚至還沒有連線到網際網路的時候也出現彈出式廣告，這類程序可能是通過Windows Messenger服務進入用戶電腦的。修改瀏覽器主頁和搜尋工具條最有可能是瀏覽器輔助對像（BHO）出現的問題造成的。間諜軟體是一種隨看隨下（drive-by downloads）的軟體。當用戶訪問惡意網站時，間諜軟體利用瀏覽器中的漏洞不需要用戶同意就安裝在用戶的電腦中。　　　　安全專家Lawrence Abrams：當瀏覽器中的搜尋功能和主頁被修改之後，通常會出現劫持瀏覽器的情況，就像「Viewpoint Manager」軟體劫持瀏覽器一樣。瀏覽器劫持一般分為兩大類，主動劫持和被動劫持。　　　　主動劫持者是一種在電腦啟動時就調入的程序。這種程序持續監視電腦的具體設定，確保這些設定符合劫持者的願望。被動劫持是在電腦啟動時開始執行的程序。這種程序修改某些設定並且上傳。一旦你確定這種劫持程序，這些問題是很容易修復的。　　　　首先，你必須確定你處理的是哪一類劫持程序。我使用HijackThis軟體進行搜尋。如果你熟悉程序入口（entry）的位置或者把軟體程序與啟動資料庫進行比較，你就可以找到劫持軟體。　　　　在執行HijackThis工具軟體時，我們注意到了Viewpoint工具條和Viewpoint管理器的入口。這就是Viewpoint間諜軟體的罪證。我們還看到起始頁的入口已經被修改了。　　　　至於熱力推薦（HotOffers）的問題，修復這個入口似乎並不起作用。他們還是不斷地出現，上面提到的事情似乎都不是這個問題的原因。起始頁改回到HotOffers的事實說明我們正在處理的問題是主動的劫持。　　　　在這種情況下，我們需要使用另外一種名為「SilentRunners」的工具軟體。這個工具能過讓我們深入到正在這種自動執行的程序中。　　　　SilentRunners將產生一個關於註冊表設定的登記列表，找出哪些不是Windows預設設定的程序。　　　　執行這個程序，我將看到如下結果：　　　　HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler 　　INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support" 　　　　-> {CLSID}InProcServer32（Default） = "C:WINDOWSSystem32param32.dll" [null data] 　　　　這就告訴我一個名為c:windowssystem32param32.dll的文件在電腦中啟動了。 param32.dll文件不是預設的Windows組態。要確定這個文件是不是罪魁禍首，我使用Sysinternal軟體中的strings.exe程序檢視這個文件內部的ASCII字元串。　　　　當在可執行文件中看到列出的字元串時，我們看到了一個HotOffers，我們現在知道我們已經找出了這個問題了。　　　　清除間諜軟體第二步：立即行動　　　　安全專家Kevin Beaver：在這種情況下，你應該執行一兩種其他反間諜軟體掃瞄工具，看看能否清除間諜軟體的感染。遺憾的是，防禦間諜軟體和廣告軟體需要多層次的防護措施才能有效。　　　　安全專家Tony Bradley：要防止任何Windows Messenger服務向系統濫發彈出式訊息，你需要關閉Windows Messenger服務（不要與MSN Messenger即時消息工具軟體相混淆）或者封鎖進入UDP連接阜135、137和138以及TCP連接阜135、139和445的通信。　　　　用戶已經驗證，殺毒軟體是最新的，並且使用了目前最好的反間諜軟體工具之一的「Spybot - Search & Destroy」。然而，這些反間諜軟體工具都不是100%的有效。不要簡單地依賴S&D軟體的檢查結果。用戶還應該試一下使用其它的反間諜軟體工具，例如Lavasoft公司的Ad-Aware、微軟測試版的Windows AntiSpyware和Webroot軟體公司的Spy Sweeper。　　　　安全專家Lawrence Abrams：雖然劫持軟體不會傳播到其它電腦中，但是，這種軟體在許多情況下會嚴重降低IE瀏覽器的安全性設定。因此，在清除這種感染防止進一步感染之前，阻止用戶使用被感染的電腦是非常重要的。　　　　清除間諜軟體第三步：恢復　　　　安全專家Kevin Beaver：如果可能的話，執行一種以上的反間諜軟體程序，如Spybot - Search & Destroy、冠群國際的eTrust PestPatrol Anti-Spyware 、微軟的Windows AntiSpyware，同時加強IE安全性設定和個人防火牆保護。在安全的環境中，你還可以考慮使用關於行為的防禦軟體，如Sana安全公司和Finjan軟體公司的產品。　　　　安全專家Tony Bradley：如果執行其它的間諜軟體掃瞄工具還不能完全清除間諜軟體，你可以採取手動式方式確定間諜軟體在做什麼和如何殺滅這些間諜軟體。 Sysinternals Freeware公司提供很多免費的軟體工具，可以查出間諜軟體暗地裡在做什麼。工作管理器（Process Explorer）能夠說明你搜尋正在執行的可疑的工作。間諜軟體的工作通常使用與Windows的工作相類似的名稱，以便不易被察覺。然而，如果你檢視路徑訊息，你就可以發現那些路徑異常的工作，並且驗證那些表面上合法的文件的版本和版權資訊。Sysinternals公司的其它工具還有Autoruns和ListDLLs。這些工具對於說明你調查正在執行的工作也是很有效的。　　　　另一個功能強大的說明你識別和消滅間諜軟體元件的工具是Merijn.org公司的HijackThis。這個軟體能夠檢查Windows註冊表和硬碟中的關鍵區域，並且提供詳細的內容列表。在使用HijackThis工具軟體的時候需要特別謹慎，或者請求專家提供指導。這個軟體的文件移除和保留的權利完全取決於用戶。HijackThis軟體有時候查出的軟體程序是合法的，如果移除會對系統產生不利的影響，甚至會使系統無法執行。　　　　安全專家Lawrence Abrams：現在間諜軟體已經找到了。我們需要設計一個工作人員很容易操作的清除間諜軟體的一般方法。工作人員將清除辦公電腦和家庭電腦中的間諜軟體。你可以通過控制台中的增加/刪除程式很容易地卸載Viewpoint工具條和Viewpoint管理器。　　　　為了修復HotOffers的感染，你可以移除param32.dll文件。問題是，這個程序是不停地執行的。你需要以安全模式重新啟動電腦，這時param32.dll文件就不執行了，就可以移除了。如果這樣還不行，使用一個名為「KillBox」的工具軟體在重新啟動的程序中移除那個文件。　　　　然後，你可以使用HijackThis軟體修復剩餘的入口，恢復用戶對起始頁和搜尋功能的控制。　　　　接下來，你可以在一個正式的移除文件中把這些步驟記下來。這種文件要讓工作人員和家庭用戶很容易理解。　　　　清除間諜軟體第四步：預防措施　　　　安全專家Kevin Beaver：你可以擁有的最強大的預防措施就是人的因素：教育人們如何處置和為什麼不要點擊彈出式廣告、安裝程序的提示以及其它可能導致傳播間諜軟體手段。遺憾的是，只要人類介入計算環境，我們就會遇到這種問題。有些人是故意的，有些人是不故意的。因此，還要確保使用正確的技術。這個提高警惕的週期是永遠也不會結束的。　　　　安全專家Lawrence Abrams：現實是，間諜軟體、劫持軟體和其它惡意軟體正在像蠕蟲、特洛伊木馬和病毒一樣流行。大多數人以為殺毒軟體會清除一切惡意軟體，而實際上殺毒軟體的重點是病毒、特洛伊木馬和蠕蟲。在你的電腦中採取多層防禦措施是非常重要的。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-06-09, 09:42 AM	#2 (permalink)
yu jun 長老會員榮譽勳章勳章總數8 UID - 3708 在線等級: 註冊日期: 2002-12-07 住址: 很想要有個家文章: 4056 精華: 2 現金: 17880 金幣資產: 42162 金幣	感謝版大的詳細說明，讓弟對PC的安全防護觀念、又多了一層的認識!

	送花文章: 1832, 收花文章: 365 篇, 收花: 1966 次

Google 提供的廣告