打印本文 打印本文  关闭窗口 关闭窗口  
网络安全维护之木马防护篇(图)
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:17:09  文章录入:陈鹏  责任编辑:陈鹏

“木马”是目前比较流行的病毒程序,其英文名为“Trojan house”,即“特洛伊木马”。这个名称的由来想必大家也有所了解,“木马”一词来源于希腊神话《木马屠城记》中那只巨型木马。“木马”程序进入计算机内的方式与神话中军队伪装在巨型木马中进入城堡类似,因此借用其名,“木马”进入计算机后将会偷窃盗取个人信息,成为一种远程控制的黑客工具。

   “木马”程序文件虽然不会像一般的病毒那样进行自我复制,但是它也同样能够感染计算机。“木马”程序主要通过伪装进入计算机,诱导用户操作执行“木马”程序,假如不小心将木马程序下载到本地计算机中,可以说是十分危险的,等于为黑客打开了“方便之门”。一旦木马程序运行,黑客便可以任意访问、毁坏、窃取您计算机中的文件。目前更多黑客在实施攻击行为时,都以木马作为开路先锋,里应外合,再通过病毒展开进一步的破坏。目前常见的木马有:NetSpy、BO、冰河、YAI、毒针等。

   通常我们所接触到的木马以两种方式进行传播:一,电子邮件传播。木马程序通过电子邮件传播极为普遍,黑客将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件即被感染;二,软件下载。一些黑客将木马程序捆绑在部分免费软件安装程序上,用户在下载安装这些软件的同时,也将木马程序安装到自己的计算机里。

   了解了木马的传播途径,防范木马程序的攻击就变得容易,最为简单的办法是开启光华反病毒软件的实时监视功能,尤其是邮件监视和下载监视功能,就能彻底阻止木马程序进入您的计算机。如果您手里没有光华反病毒软件,那么也可以去安装免费的光华防火墙(http://www.viruschina.com/downloads/fw.exe),即可以有效地阻止木马程序里应外合,保护您的计算机不被进一步的破坏。 

   光华反病毒的专家建议:在打开计算机后,开启光华反病毒的邮件监视功能和下载监视功能(如图)。光华反病毒的病毒监视功能非常全面,能实时地对您的邮件操作及下载文件进行安全检查,一旦发现病毒、木马及可疑文件会迅速报警,有效的避免有害文件进入计算机。

  
安全


   如果不小心中了病毒而身边又没有杀毒软件怎么办?没关系,光华反病毒研究中心的专家教您怎样轻松地手工清除藏在电脑里的病毒和木马。

热门推荐 安全使用网上银行的七点建议! 网吧主页服务器的配置详解(图)

  

   首先,检查注册表。注册表一直都是很多木马和病毒“青睐”的寄生场所,在检查注册表之前要记得先给注册表备份。

  1、 检查注册表中

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地,将其彻底删除。比如“爱虫”病毒会修改上面所提的第一项,BO2000木马会修改上面所提的第二项。

    2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

  3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等几个常用文件类型的默认打开程序是否被更改。如果有更改,一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”、BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。

  其次,检查系统配置文件。检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe),在这里你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,还可以选择启动系统的时间。

  1、检查win.ini文件(在C:\windows下),打开后,在“WINDOWS”下面,“run=”和“load=”是可能加载“木马”程序的途径,必须留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是您熟悉的启动文件,您的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

  2、检查system.ini文件(在C:\windows下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,这时你一定要在硬盘中找到这个程序并将其删除。

  手动删除木马程序是在没有安装反病毒软件,同时有较高的计算机水平的情况下方可操作。专家建议:还是应该安装具有实时监视功能的正版杀毒软件,并及时升级病毒库,彻底保护计算机安全。

 
热门推荐 安全使用网上银行的七点建议! 网吧主页服务器的配置详解(图)

  

【责任编辑 徐洋】

打印本文 打印本文  关闭窗口 关闭窗口