打印本文 打印本文  关闭窗口 关闭窗口  
好消息!木马查杀防范秘技红宝书
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:12:58  文章录入:陈鹏  责任编辑:陈鹏

如今木马数量众多,传播方式也多种多样,让你防不胜防,只要你能上网,就有可能中弹落“马”!目前木马大致可分成五大类:即网游、广告、通讯、后门和网银类。其中以盗窃密码的木马危害性最大,例如利用木马盗窃你的网游帐号密码、股票帐号密码、乃至网上银行的资金,给许多朋友带来了巨大的经济损失。为了帮助大家远离可恶的木马,下面我们全面介绍木马防范、查找、清除方面的知识。

  木马防范技巧篇

  清除木马不如平时预防,“防患于未然”是保护系统安全的上策,大家平时就应该有强烈的木马防范意识,建议你采取以下措施,把木马拒之门外:

  一、关闭本机中不用的端口

  关闭本机不用的端口,这是防范木马的第一道防线。默认情况下Windows有很多端口是开放的,在你上网的时候,木马、病毒和黑客就可以通过这些端口连上你的电脑,为了保护你的系统,应该封闭这些端口,主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口,一些流行木马病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),以及远程服务访问端口3389。

  其中137、138、139、445端口都是为共享而开的,是NetBios协议的应用,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始”/控制面板/系统/硬件/设备管理器,单击“查看”菜单下的“显示隐藏的设备”,单击“非即插即用驱动程序”,找到Netbios over Tcpip禁用该设备,重新启动后即可。

  关闭UDP123端口:单击“开始”/设置/控制面板,双击“管理工具”/服务,停止windows time服务即可,关闭UDP 123端口,可以防范某些蠕虫病毒。

  关闭UDP1900端口:在控制面板中双击“管理工具”/服务,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。

  其他端口你可以用网络防火墙关闭之,或者在控制面板中,双击“管理工具”/本地安全策略,选中“IP 安全策略,在本地计算机”,创建 IP 安全策略来关闭这些端口。

  二、删除系统中无用的帐号

  进入MS-DOS模式,输入命令net user回车,显示本地计算机上有哪些用户账户;如果有无用的帐号(例如lacl),就删除该帐号,输入命令net user lacl /delete回车即可(注意参数“/”的左边,至少要保留一个空格)

  其中Guest和Administrator这两个帐号,是不允许删除的,但你应该修改它们的密码,为它们设置新的密码,例如键入命令net user Guest abc123回车,把Guest的密码改为abc123。

  三、勤升级杀毒软件,启用隐私保护

  在网吧等公共场所上网时,你一定要选择有杀毒软件保护的正规网吧,以免自己的游戏帐号被盗,要知道“网吧传奇杀手”在任一台机器上运行,即可窃取网吧内全体玩家的传奇帐号密码!注意查看网吧安装的杀毒软件,瑞星杀毒软件16.35.20以上版可以彻底查杀“网吧传奇杀手”病毒。另外,游戏前一要查杀自己的电脑,下网前一定要更换自己的密码,下次游戏时使用新密码。

  如果你在家上网,应该安装带有隐私信息保护的杀毒软件(例如KV2004、诺顿安全特警等),注意及时升级到最新病毒库,打开病毒实时监控,因为有些比较厉害的木马,如果杀毒软件未升级到最新版是查不出来的。

  此外,你还要启动杀毒软件的隐私信息保护监视功能,将网游账号及密码设为隐私保护状态,这样即使你不小心中了木马,也不用担心帐号、密码被木马窃取。例如在KV2004中设置方法是:

  点击“工具”/选项菜单,点击“实时监控”,钩选“隐私保护”;单击“隐私保护设置”按钮,随后弹出一个窗口,在“检测到私密信息后处理方式”一栏选择“禁止发送私密信息”,然后单击“增加”按钮(如下图1),添加要保护的帐号和密码。添加时,在“私密信息类型”中选择“用户定义”,在“私密信息内容”中输入帐号(或密码)的前几位或中间几位,最后任意输入用户等信息,按“确定”完成。

  


  完成以上“隐私保护”监视功能的设置以后,如果你的电脑中帐号、密码被不明程序向外传输,这时候KV2004的“隐私保护”监控就会发出警报,这样即可有效阻止木马、黑客程序盗取用户密码等机密文件。

  四、使用第三方防火墙,锁住你的密码

  安装使用防火墙,是防范木马的很好方法。由于WinXP自带的放火墙和ADSL猫的NAT方式,不能阻挡从内到外的连接,因此建议使用第三方防火墙,只要你发现可疑程序向外连接,就可以在防火墙中,把它设置成不允许访问网络,阻挡木马从内到外的连接。

  建议你安装使用ZoneAlarm Pro、诺顿安全特警、天网防火墙、金山网镖6等第三方防火墙,这类防火墙各大网站都有下载。其中金山网镖6有一个独特功能,就是可以检查你的系统是否有漏洞,如果查出漏洞,它还会让你下载安装补丁、堵住漏洞。建议你上网前用它检查一下,然后再启动第三方防火墙上网。下面我们介绍ZoneAlarm Pro使用方法,其他防火墙限于篇幅,我们就不展开介绍了。

  软件小资料

  最新版本:ZoneAlarm Pro 5.5.062.004

  软件大小:6499KB

  运行平台:WinXP/2000/NT/Me/9X

  下载地址:http://dlc.pconline.com.cn/filedown.jsp?id=55555&dltypeid=1

  汉化补丁下载:http://dlc.pconline.com.cn/filedown.jsp?id=54592&dltypeid=1

  ZoneAlarm是目前最优秀的个人综合防火墙,与其他个人防火墙软件相比,ZoneAlarm占用资源少,能保护个人隐私安全,防范木马把你的游戏帐号、密码向外发送。此外,它对应用程序的控制也更安全,即使策略允许通过,它也要检查应用程序访问设置;其专家级的规则制定功能也更加强大,可以控制到MAC级别,能够定义组、时间控制和控制到数据链路层,在目前所有的个人防火墙中,只有ZoneAlarm能够控制到数据链路层。

  (1)用ZoneAlarm防范木马方法

  ZoneAlarm防火墙具有三个安全级别(高、中和低),分成信任、封锁和 Internet三个区域。单击“防火墙”/常规,把“Internet安全防护”调到“高”(如下图2),这样你的电脑在网络上就隐藏起来了,而且别人还不能使用你的共享资源。

  

  单击“警报/日志”查看本机以前曾受到哪些攻击(如下图3),例如图中互联网上213.7.104.171的电脑试图连接本机的139端口,被防火墙拦截,我们应该永远禁止它连接,把它添加到封锁区域,点击等级为“高”记录,右击鼠标选择菜单“添加区域”/封锁,把对方的IP添加到封锁区域。对付恶意网站,你可以把它添加到封锁区域,禁止它以后攻击你的电脑。

  


  小提示:如果发现可疑的IP要求连接你的电脑,你应该把该IP添加到封锁区域、禁止它连接,对于同一个局域网中的电脑,应该把它加到信任区域,以便别人能共享你电脑中的资源。

  在“程序控制”中,你可以设置4个安全级别来管理应用程序和组件。如果设置为“低”级别,程序和组件都可以直接访问网络;“中”级别时,程序需要确认才能访问网络,组件可直接访问网络;设置为“高”级别,程序和组件都需要确认才可访问网络。

  单击“程序控制”/常规,把“应用程序控制”调为“高”(如下图4),“警报建议”调为“自动”,开启“自动封锁”,以便你在指定时间或屏幕保护时,能自动锁定网络。

  
  

  单击“程序控制”/程序,为每一个应用程序设置权限。应用程序的权限包括访问权限、服务权限和发送邮件权限(如下图5),访问权限表示能否主动访问外部对象,服务权限表示是否允许开启服务端口,提供给外人连接。图中绿色的“√”表示允许连接;红色的“×”为禁止连接;“?”表示每次出现连接企图时,都会先提出询问。你应该按右下方的“添加”按钮,把常用的软件(例如IE、Word、outlook等)都添加进来,然后单击小图标,为每个权限设置“允许”、“封锁”或“询问”,例如把Foxmail设置为允许发送邮件和向外访问,但禁止服务权限,把怀疑为木马的程序,都设置成不允许访问网络,这样就能阻挡木马从内到外的连接。

  


  最后单击导航条中的“病毒监控”,开启病毒监控,单击“邮件防护”,启用附件保护和寄出电子邮件保护。

  (2)防范恶意网页

  为了阻止下载恶意网页和电子邮件,保护机器的安全,你可以在“隐私保护”中,把“活动码控制”设为“开启”,然后点击右边的“自定义”(如下图6),设置封锁MIME对象、嵌入对象(Java和ActiveX)。

  

  (3)保护你的密码

  有些木马会偷偷记录你键盘输入的各种密码,然后发送给它的主人,只要你在ZoneAlarm中如下设置,即可阻止木马发送你的密码。

  设置方法:单击“ID锁”,在“常规”选项卡中,把“ID封锁”调为“高”;然后打开“个人隐私”选项卡(如下图7),点击“添加”按钮,输入要保护的帐号、密码,把你的密码全部添加进去。这样以后一旦你的密码向外发送,ZoneAlarm就会报警,即使对方收到密码,也全部都是“*”而无法阅读。

  


  五、在线安全检测

  及时发现并堵住系统中的漏洞,也是很好的防范木马措施。你可以用金山网镖 6 增强版(http://db.kingsoft.com/)检测系统中是否有漏洞,如果有,就安装补丁堵住漏洞。此外,你也可以在网上找个在线安全测试的网站,对你的系统当前安全情况进行检查,不过在线检测前,请关闭你的防火墙。目前这类测试各网站都是免费的,建议你去下面知名的网站测试:

  (1)诺顿在线安全检测http://www.symantec.com/region/cn/

  诺顿是网络安全的鼻祖,它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描,利用木马常用的方法尝试与你的电脑进行Internet 通信;它还可以扫描你的网络漏洞、NetBIOS可用性,确定黑客是否能访问你机器中的信息。扫描完成后,会显示详细的分析结果。

  (2)金山木马专杀http://scan.kingsoft.com/scan_mm.htm

  著名的杀毒厂商金山公司提供的在线木马专杀服务,目前该服务完全免费。

  (3)天网安全在线http://old.sky.net.cn/main/view.php?cid=170

  可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时,在倒数时间内,如果你的电脑出现蓝屏死机,则表示你的电脑不安全,你可以下载该网站提供的个人电脑网络安全软件,来修补目前的安全漏洞。

  (4)千禧在线--在线检测http://www.china-yk.com/tsfw/onlineclean/index.asp

  免费检查你的电脑有那些端口开放或关闭,是否有木马;与“北京趋势科技”合作,提供了在线按需扫描病毒服务。

  (5)蓝盾安全在线http://www.haodx.com/url/1673.htm

  蓝盾安全实验室研制、开发的在线安全检测

  六、其他防范措施

  上网时要特别注意,木马无处不在!尽量避免将游戏帐号暴露在公众论坛和其他网站;不要随意下载来历不明的文件,只下载使用官方的升级程序,特别是一些所谓的女神外挂游戏程序;不要接收陌生人的邮件,如果有附件,也不要打开附件,更不要执行附件中的可执行程序,注意病毒程序伪装的图标,不要轻信图标为“电子表格、文本文件、文件夹”的附件。

  设置密码时应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。如果能申请密码保护,就尽量申请设置安全码,注意安全码不要和密码设置的一样。如果你没有设置安全码,那么别人一旦破解了你的密码,就会去修改你的密码和注册资料,你的帐号就是别人的了。

  在键入传奇帐号密码时,你可以采取乱序输入法。譬如密码是abcd2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入abcd2,这样你输入的密码依然是“abcd2003”,但木马记录的却是“003abcd2”,从而保护了密码。

  此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。当然你也可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。  

  手工查找木马技巧篇

  如果你中了木马,也不必惊慌失措,可以用反木马软件查杀。对于新木马,假如反木马软件也不能查杀,你可以手工查杀,自己动手找到木马的藏身之处,然后清除之,具体方法是:

  一、启动任务管理器

  按Ctrl+Alt+Del键启动任务管理器,点击“进程”选项卡(如下图8),查看其中是否有陌生进程,记录下来,暂时别动它。

  

  二、使用进程查看工具

  有些木马运行后,你在任务管理器中看不到它的进程,这时候你可以使用专门的进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,例如常见的木马进程如下:

  


  进程查看工具下载地址:

  WinProcV1.32 http://ks.onlinedown.net/down/winproc1.32.zip

  系统查看大师V1.0 http://xj-http.skycn.net:8080/down/xpprocess.exe

  柳叶擦眼V4.0 http://www.skycn.com/soft/4507.html

  IceSwordV1.04 http://download.pchome.net/php/dl.php?sid=18523

  进程杀手V2.5 http://sc-down.downloadsky.com/down/prockiller_25.rar

  三、用Tcpview观察连接情况

  使用Tcpview (下载地址http://xj-http.skycn.net:8080/down/tcpview.zip)、Active Ports等软件,观察计算机的进程和端口。一旦发现可疑的进程,有可疑的端口打开了,就要立即关闭它。建议你经常用Tcpview检查连接情况(如下图9),这样就能随时发现哪个连接有可能是非法连接。

  


  例如图9中本机打开了TCP 135和2513两个端口,这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口,一般不要通过停止RPC服务来关闭,因为如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也关机了。冲击波病毒利用的就是135端口,为了防范黑客利用该端口攻击,建议你使用第三方防火墙,设置外界不能连接本机的135端口,这样来堵住135端口。

  另外,图9中TCP 2513端口是灰鸽子(GrayPigeon.exe)打开的,这里有个常识请你记住,如果你发现TCP协议的linsten在1025端口以上,则可能是木马,你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听,采用主动连接方式(非反弹连接),等待远方电脑的连接,可以断定这是非法连接。

  此时你应该右击该连接,选择连接属性,记录下执行文件GrayPigeon.exe的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。

  四、检查与启动相关的文件

  (1)检查启动组

  启动组是木马藏身的好地方,WinXP启动组对应的文件夹为:C:\Documents and Settings\帐户\「开始」菜单\程序\启动,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动",你应该检查这些地方。

  (2)检查Autoexec.bat、Config.sys和Winstart.bat

  Autoexec.bat和Config.sys都位于C盘根目录下,在它们中也可以加载木马程序,但这并不多见,你不能掉以轻心,最好检查一下。

  Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件,在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马,因此你要打开它检查。

  (3)检查Win.ini和System.ini

  Win.ini位于Windows的安装目录下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,如果后面跟着程序,比如:run=c:\windows\spy.exe load=c:\windows\spy.exe ,这个spy.exe很可能就是木马程序!

  System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处,木马通常会将该句变为这样:shell=Explorer.exe spy.exe,注意这里的spy.exe就是木马服务端程序! 检查System.ini中的[386Enh]字段,此段内的“driver=路径\程序名”,也是木马经常隐藏的地方;检查System.ini中的[mic]、[drivers]、[drivers32]三个字段,它们也是添加木马的好场所。

  五、检查系统目录中文件

  木马也可能藏在系统目录中。启动资源管理器,点击“工具”/文件夹选项/查看,设置显示全部文件(包括受保护文件),不要隐藏已知文件的扩展名,然后打开Windows\ 及 Windows\system32目录中的文件,按建立时间排序,找出建立时间或修改时间异常的程序,记录下来。

  六、在注册表中检查

  单击“开始”/运行,键入Regedit打开注册表,检查其中是否有木马,记录下来,暂时不要更改。

  (1)检查自启动项

  查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值,检查其中是否有程序,木马喜欢藏在这些位置。

  此外,使用组策略也能让木马在系统登录时自动启动(方法如下),该方法添加的自启动程序也被记录在注册表中,但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马,在上面的注册表项中又找不到它,建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项,或是进入“组策略”的“在用户登录时运行这些程序”,看看其中有无启动的程序。

  组策略添加自启动木马程序的方法:在“开始→运行”中执行“Gpedit.msc”打开“组策略”,展开“本地计算机策略→用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项,选定“设置”项中的“已启用”项,单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中,输入要自启动的木马程序路径即可。

  (2)检查文件关联是否被修改

  国产木马还喜欢修改文件关联,例如TXT文件通常是由记事本(Notepad.exe)来打开的,如果你中了国产木马冰河之后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。

  木马修改文件关联的方法是:修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。

  注意:木马不仅仅只会修改TXT文件的关联,有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马,你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。

  

  木马清除技巧篇

  一、使用反木马软件清除木马

  使用专门的反木马软件,及时升级软件和病毒库,这是查杀木马最简单的方法。目前反木马软件数量众多,著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。

  (1)金山毒霸木马专杀

  软件版本:2004.9.27.2

  软件大小:9.06 MB

  下载地址:http://www.pcsky.cn/download/SoftDown.asp?ID=14109

  金山木马专杀是一个木马专杀工具(能查杀2万多种木马),可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。如果你要查杀激活状态的木马,可以单击“快速扫描”按钮(如下图10),即顺序扫描内存、注册表、系统所在目录下的系统文件夹、程序文件和个人保存信息使用的临时文件夹,查杀激活状态的木马。完全扫描对机器所有位置都进行扫描,包括内存、注册表、与之相连的软盘、光盘、闪盘以及所有硬盘,因此也是最安全的扫描,可以清除系统中所有的木马。

  


  (2)木马克星(Iparmor)

  软件版本:5.46

  软件大小:3709KB

  下载地址:http://www.pcdog.com/down/tu.exe

  木马克星(如下图11)是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。另外,木马克星还可以让你轻松地监视系统中当前运行的各个进程、网络状态、系统共享情况等,防止木马的入侵。

  


  单击“系统进程”,你可以查看系统中有哪些进程在运行,用鼠标左键点取后,再用键盘上的“Delete”键即可删除进程;而“网络状态”里,则可以看到目前的网络情况,如果tcp协议的linsten在1025端口以上,则可能是木马,大家就要警惕了。

  (3)The Cleaner Professional

  软件版本:4.1

  软件大小:4519KB

  下载地址:http://antivirus.pchome.net/php/dl.php?sid=15372

  The Cleaner Professional 是MooSoft公司开发的查杀木马软件,可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。软件包括Cleaner、TCActive、TCMonitor等组件,其中Cleaner专门查杀木马等病毒,TCActive用来显示当前正在运行的所有进程,TCMonitor负责后台监视系统文件和注册表是否被修改,如果发现被修改即报警。

  (4)TrojanHunter

  软件版本:3.9

  软件大小:6942KB

  下载地址:http://www.ayxz.com/down.asp?id=5976&no=1

  TrojanHunter(如下图12)是一款非常不错的防木马软件,可以在Win9X/NT/2000/XP系统中运行,能够发现流行的木马。

  


  (5)Anti-Trojan Shield

  软件版本:1.4.15

  软件大小:4451KB

  下载地址:http://sq3.onlinedown.net/down/ats1.exe

  Anti-Trojan Shield(如下图13)是一款享誉欧洲的专业木马侦测、拦截及清除软件,目前可以查杀9468种木马和病毒,其特点是界面简捷,虽是英文但只要你会用杀毒软件,就能很容易操作该软件。

  


  (6)木马清除大师正式版

  软件版本:2.15

  软件大小:4634KB

  下载地址:http://xj-http.skycn.net:8080/down/BtSetup215.exe

  木马清除大师(BeatTrojan)能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门,查杀率在95%以上,正式版还加强了对第五代木马的查杀,更加人性化的进程管理设计,能完美的查杀各种无进程木马。

  二、手工清除木马

  手工清除木马应按照以下的顺序进行:用TcpView先查看进程,把可疑进程文件名和所在位置记录下来,然后停止可疑进程;在注册表里查找可疑进程文件,并将相关的键值全部删掉;到可疑进程文件所在位置删除之按照上面“手工查找木马技巧”介绍的方法清理注册表相关表项,检查与启动相关的文件、系统目录中文件,删除所有可疑文件。
  有些木马,因为使用了线程注入或三线程保护方式,需要使用相关工具进行清除。对于exe文件关联类木马,清除之后可能会出现exe文件无法打开的现象,假如系统中没有相关进程监视这个表项,你可以这样处理:将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可。

【责任编辑 张洪】

打印本文 打印本文  关闭窗口 关闭窗口