拒絕病毒的入侵 搞定病毒就是這麼簡單

[psac]

拒絕病毒的入侵 搞定病毒就是這麼簡單
通過平時的接觸，筆者發現很多朋友對於防毒殺毒存在不少的一夥和誤區：病毒和木馬是不是一回事；中了病毒怎麼殺不乾淨；我裝了三個殺毒軟體絕對安全；我的殺毒軟體防火牆很有效根本不需要網路防火牆，還有的人甚至說：「只要不去黃色網站就不會中毒...」

　　對於防毒殺毒長久以來都是電腦使用者比較頭疼的問題，很多人都存在以上的疑問和誤區。針對近年來，病毒開始由傳統形向網路蠕蟲和隱蔽的木馬病毒發展，筆者這篇文章就以這兩個禍害開刀，和大家一步一步談談從殺到防搞定病毒。（不要疑惑，很多人都是中了病毒以後才想起預防的重要。）文章結合自己的經驗，用簡單的語言和大家說說如何殺毒，如何防止病毒入侵，加強大家正確的安全意識，提高自己動手解決問題的能力。　　

　　一、先來看看蠕蟲

　　隨著我國寬瀕爆炸式的發展，蠕蟲病毒引起的危害開始快速的顯現！蠕蟲是一種通過網路傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特徵，如不利用文件寄生（有的只存在於記憶體中），快速的自身複製並通過網路感染，以及和黑客技術相結合等等！在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網路的發展使得蠕蟲可以在短短的時間內蔓延整個網路，造成網路癱瘓。相信去年經歷的衝擊波、震盪波大家一定還沒忘記吧。　　

　　1、蠕蟲和普通病毒區別（圖一）





　　2、傳播特點　　

　　蠕蟲一般都是通過變態的速度複製自身並在網際網路環境下進行傳播，目標是網際網路內的所有電腦。這樣一來區域網路內的共用資料夾，電子郵件，網路中的惡意網頁，大量安裝了存在漏洞作業系統的伺服器就都成為蠕蟲傳播的良好途徑，使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然突發性將使得人們手足無策!這其中通過作業系統漏洞或者通過IE漏洞攻擊的方式最為一般。

　　3、蠕蟲的預防解決　　

　　蠕蟲和普通病毒不同的一個特徵是蠕蟲病毒往往能夠利用漏洞，這裡的漏洞或者說是缺陷，我們分為2種：軟體的和人為的。

　　軟體上的缺陷，如系統漏洞，微軟ie和outlook的自動執行漏洞等等，需要大家經常更新系統修正檔或者更換新版本軟體。而人為的缺陷，主要是指的是電腦用戶的疏忽。例如，當收到QQ好友發來的照片、遊戲的時候大多數人都會報著好奇去點擊的，從而被感染上了病毒。　　

　　4、個人用戶對蠕蟲病毒的防範措施

　　通過上述的分析，我們瞭解蠕蟲的特點和傳播的途徑，因此防範需要注意以下幾點：　　

　　(1)選項合適的殺毒軟體　　

　　殺毒軟體必須提供記憶體既時監控和郵件既時監控以及網頁既時監控！（當然2004年以後的殺毒軟體基本都有這些功能，如果還在使用老版本的朋友趕快更換新版本）。像瑞星，kv（江民），金山等大陸軟體無論是在功能和反應速度以及病毒更新頻率上都做的不錯，相對國外的反病毒軟體他們對於像QQ這類大陸病毒具有明顯優勢，同時消耗系統資源也比較少，大家可以放心使用。

　　(2)經常昇級病毒庫　　

　　沒有最新病毒庫的殺毒軟體就好比沒有瞄準器的狙擊槍，想想這不就是個廢物？由於目前反病毒技術領域還基本以病毒的特徵碼為依據的，而病毒每天都層出不窮，再加上如今的網路時代，蠕蟲病毒的傳播速度快，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒!


　　(3)提高防患意識　　

　　不要輕易接受任何陌生人的郵件附件或者QQ上發來的圖片，軟體等等。必須經過對方的驗證（因為一旦對方中毒後他的QQ會自動向好友傳送病毒，他自己根本不知道，這個時候只要問一問他本人就真相大白！），或者此人是你絕對可以相信的人！另外對於收發電子郵件，筆者強烈建議大家通過WEB方式（就是登入郵信箱網頁）開啟郵信箱收發郵件（這樣比使用Outlook和foxmail更安全）。雖然殺毒軟體可以既時監控但是那樣不僅耗費記憶體，也會影響網路速度！　　

　　(4)必要的安全性設定　　

　　執行IE時，點擊「工具→Internet選項→安全」，把其中各項安全等級調高一級。在IE設定中將ActiveX插件和控件、Java指令碼等全部禁止就可以大大減少被網頁惡意程式碼感染的幾率。具體操作是：在IE視窗中點擊「工具」→「Internet選項」，在彈出的對話視窗中選項「安全」標籤，再點擊「自訂等級」按鈕，就會彈出「安全性設定」對話視窗，把其中所有ActiveX插件和控件以及與Java相關全部選項選項「禁用」。但是，這樣做在以後的網頁瀏覽程序中有可能會使一些正常套用ActiveX的網站無法瀏覽。　　

　　(5) 第一時間打上系統修正檔

　　雖然看上去可怕，但是細心的朋友注意蠕蟲攻擊系統的途徑可以看出：最主要的方式就是利用系統漏洞，因此微軟的安全部門已經加大了系統修正檔的推出頻率，大家一定要養成好習慣，經常的去微軟網站更新系統修正檔，消除漏洞（通過點擊開始上端的「windows Update」）　　

　　最後建議大家經常上網看看最新的病毒資訊，提前做好準備，這裡推薦大家去瑞星反病毒網站http://www.rising.com.cn/。



　　二、再來看看「老朋友」木馬　　

　　1、關於木馬　　

　　木馬是病毒當中非常特殊的一族。他的實質只是一個網路客戶程序。木馬工作的原理是這樣的：一台中了木馬被控制的機器相當於一台伺服器，控制端則相當於一台客戶端機，作為伺服器的主機會由木馬開啟一個連接阜並接收控制端的指令，如果控制端提出連接請求，這時中毒電腦上的木馬就會自動執行，來回應控制端的請求（開始將中毒機器中對方需要的資料或者文件傳送給木馬傳送者的機器）。因此，這就是整個木馬工作的程序。　

　　2、發現木馬　　

　　木馬一般的中毒症狀表現如下：莫名其妙的當機，在沒有操作的情況下硬碟自動讀取（機箱指示燈在閃爍）等等以外，通過下面幾個辦法可以說明 大家發現木馬：　　

　　(1)奇怪的開機執行程序　

　　很多木馬都是開機就執行的，如果你發現了奇怪的開機執行程序可以通過【開始】－【執行】輸入「msconfig」Enter鍵，開啟【系統實用組態程序】－【啟動】在這裡關閉你不需要的。往往病毒在這裡關閉以後還會出來，並且2000系統沒有msconfig這個程序，所以需要修改註冊表，咱們往下看。　　

　　筆者經過整理發現一般木馬都會在以下位置載入自己達到開機執行的目的：　　

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 　　

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 　　

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx] 　　

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]　　

　　[HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionRun]　　

　　一旦在註冊表以上位置發現含有奇怪的程序路徑完全可以移除，然後記住程式名稱稱在註冊表中通過搜尋找到並移除！　　

　　(2)網路流量異常　　

　　平時如果沒有下載或者上傳，但是卻發現網路流量較大（可以通過ADSL指示燈或者通過工具列裡面上網路狀態檢視），很有可能就是木馬正在工作。這是應該立刻關閉網路，重啟進入安全模式下仔細檢查。　　

　　(3)工作管理器中檢查可疑工作

　　通過ctrl + shift + del開啟 [工作管理器]－[工作]，經常看看裡面都有哪些工作在執行。如果你一個都不瞭解可以上網通過搜尋引擎查詢。這裡筆者推薦一個非常好專業的工作查詢網站：http://www.dofile.com/ 一旦發現可疑工作就要立刻檢查。　

　　另外，很多時候會出現某個工作對應的cpu使用率接近100％,首先通過軟體或者網路搜尋這個工作訊息對應的程序，關閉程序或者取代別的版本（比如從2.1版取代成3.0版）如果排除程序與系統相容或者系統本身問題後還出現這樣的情況可以斷定該工作是軟體綁定的木馬。　　

　　(4)系統服務中的奇怪項目　

　　開始－執行，輸入services.msc在這裡可以看到眾多的服務，也許第一次你會頭疼？教大家一個竅門：首先最大化這個視窗，[如圖2] 點擊最上端的【狀態】將所以已啟動的服務排列在一起，這樣就一幕了然了，點擊任何一個在左側就有對應的解釋。一般病毒的服務是沒有解釋的（這不是說沒有解釋的就是病毒）所以大家遇到不清楚的上網查查很快就明白了，如果發現有問題的服務趕緊關閉。方法：雙按準備關閉的服務－進入內容視窗，點擊「停止」然後將【啟動檔案類型】選項「已禁用」確定即可！





　　3、清除木馬　　

　　木馬一旦進入系統，就會採取多種方式隱藏自己，徹底清除可不容易。因為他不像蠕蟲和別的病毒那樣單純，木馬往往通過更改註冊表，更改系統服務，甚至windows啟始文件載入自己，達到開機就載入木馬程序，所一單純的通過殺毒軟體是無法清理乾淨的，即使殺掉了重啟以後又出來了，這要怎麼辦？魔高一尺，道高一仗，咱們就和木馬鬥鬥法！

　　考慮到木馬與系統關聯的比較深，如果在正普通的系統下處理會因為載入很多服務和後台程序而受到干擾，因此筆者強烈建議大家進入安全模式（這也是清理其他病毒最好的選項）。方法：開機後按F8－選項「安全模式」即可。

　　來到安全模式下，ctrl + shift + del開啟工作管理器，右鍵點擊要關閉的木馬工作（這裡建議大家選項「結束工作樹」，這樣可以更徹底解除與系統的關聯）　　

　　然後，開始－執行,輸入「services.msc」開啟服務，按照上面介紹的步驟關閉木馬服務（當然不是每個木馬都有服務，沒有直接進入下一步）　　

　　開始－執行,輸入「regedit」開啟註冊表，檢查第一部分提到的幾處位置，將木馬對應的鍵值都移除。　　

　　最後執行木馬專殺工具（這裡推薦「木馬剋星」，當然是必須更新病毒庫）完整的再檢查一次！


　　4、補充說明 　　

　　由於木馬的特殊性，一旦感染後系統程序關聯一般都會被竄改，這樣即使清除了木馬病毒，也會出現有些程序無法開啟，甚至連桌面「我的電腦」都打不開，一旦雙按就彈出「選項開啟方式」的對話視窗。其實大家如果安裝較新的殺毒軟體比如瑞星2005，金山2005，KV2005 都帶有註冊表修復工具，執行就可以解決。如果沒有也可以使用超級兔子魔法設定提供的註冊表修復工具。


　　三、預防病毒需要注意的 　　

　　1.數量多力量並不大　　

　　有的人感覺多裝幾套殺毒軟體和防火牆這樣多管齊下「人多力量大」，其實正好相反！ 因為不同軟體公司開發所用的殺毒引擎和病毒識別方式的不同使得不同殺毒軟體之間存在很大的差異，因此存在嚴重的相容問題（有你沒我），造成他們都無法正常工作。並且如今殺毒軟體在同病毒較量中為了佔據主動都採用了搶駐記憶體的方式提前攔截病毒啟動，安裝太多殺毒軟體只會嚴重消耗資源。如此以來不但安全毫無保障，系統效能也大大折扣得不償失。　　

　　正確的做法：一套帶有既時監控功能的殺毒軟體 ＋ 一款合適的網路防火牆　　

　　2.病毒、網路兩道防火牆缺一不可　　

　　對於安裝殺毒軟體大家都能理解，但是網路防火牆又是幹什麼用呢？說簡單一點：前者防止病毒進入你的系統，後者切斷病毒與外界的一切聯繫，這對於木馬尤其有效。 　　

　　細心的朋友會發現剛剛安裝winsp-sp2系統後或者安裝網路防火牆以後上網開啟QQ或者BT甚至瀏覽器都會提示「XX程序試圖連接網路，是否允許？」等類似的警告，目的就是防止木馬等惡意程序訪問網路。因此一旦感染木馬後，如果有了網路防火牆就不怕個人資料的洩漏。

　　同時網路防火牆也防止試圖進入你系統的訪問，從源頭切斷惡意的攻擊。給大家舉最簡單的一個例子：都熟悉的網路指令「ping」，很多別有用心的人就是首先使用這個指令刺探你的網路防衛狀態，獲得你的IP位址，進而展開網路攻擊的。但是如果使用了網路防火牆後 ping 就只能無功而返。同時網路防火牆還全方位的監視著系統的各個連接阜的動態，確保本地機與網路連接的安全。

　　目前主流的最新殺毒軟體都是不錯的選項，至於網路防火牆，不同產品原理都差不多，根據個人使用習慣選項就好：例如一般的用戶不是很瞭解防火牆的IP規則，選項系統整合的就完全可以。安裝XP-sp2系統，開啟【控制台】－【安全中心】啟動防火牆就可以。但是有些朋友希望研究網路，想獲得更多訊息反饋和功能的專業朋友可是選項「天網防火牆」「瑞星個人防火牆」等等。

　　四、總結　　

　　最後，筆者建議大家平時做個有心人，經常看看工作？硬碟讀寫、軟體執行是否出現莫名其妙的問題？上網注意看看網路狀態，處處仔細萬無一失。　　

　　相信大家跟著這篇文章一步一步進行慢慢的你也會發現病毒並沒有你想想的可怕，殺毒也不是那麼困難！　　

　　時間和水準有限，文章只是蜻蜓點水說說基礎操作，並沒有針對其他的網路攻擊展開深入分析。不足和錯誤之處望高手給予改正。