爱华网下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scriptinghost去掉,然后打开InternetExplorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
下边介绍一下木马和如何简单的检查一下是否中了木马。
木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到网络的电脑后,就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程序的方法木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:
msconfig回车就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe,点开始-运行,输入:regedit回车,打开注册表编辑器,点第一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\exefile\shell\open\command里面的默认键值是不是"%1"%*,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境下再进行查杀。
一、赤手空拳防木马
木瓜的WindowsXP系统可称得上是一个“毒窝”了,不仅有木马程序“潜伏”,各类恶意插件也在其中死缠烂打。而造成这种情况的主要原因就是给予了登录帐户和上网者过多的使用权限,使木马和插件能够堂而皇之的出入系统。所以,要想有效的加强系统安全,就要在帐户权限上加以限制。
步骤一:建立受限帐户
打开“运行”对话框,在其中输入命令“net user xiaoyao 123456/add”,回车执行后,即可在系统中添加一个名为“xiaoyao”的新帐户,密码为“123456”。
用“netuser”命令添加的新帐户,其默认权限为“USERS组”,所以只能运行许可的程序,而不能随意添加删除程序和修改系统设置,这样便可避免大部分的木马程序和恶意网页的破坏。
步骤二:金蚕脱壳 加固IE
恶意网页是系统感染木马病毒及流氓插件的最主要途径,因此很有必要对IE作一些保护设置。
1.建壳
删除桌面上的IE图标,打开“C:Program FilesInternetExplorer”文件夹,右键点击“Iexplore.exe”程序,选择“发送到”→“桌面快捷方式”命令,在桌面上创建一个新的IE快捷图标。接着回到桌面,右键点击新建的IE图标,选择“属性”命令,在弹出窗口中,切换到“快捷方式”选项卡,点击“高级”按钮,勾选“以其他用户身份运行”选项(如图1),确定后关闭对话框。
图1
2.脱壳
现在以管理员帐户或其它非“xiaoyao”帐户登录WindowsXP系统后,双击桌面上的IE快捷方式时,就会弹出一个运行身份对话框,在其中输入之前新建的帐户名“xiaoyao”及密码,确定后便可进行正常上网操作(如图2)。
图2
接下来,我们试试IE是否还能受到恶意插件的骚扰。进入“www.baidu.com”,点击百度页面中的“把百度设为首页”按钮,修改IE的主页。然后点击页面中的“更多”→“搜霸”链接,下载“百度搜霸”。当下载完毕后,该插件将自动运行安装程序,此时会看到它弹出了一个身份认证对话框,默认是以“xiaoyao”身份进行安装的(如图3)。
图3
在安装完成后,以“xiaoyao”帐户身份再次运行IE时,将会发现首页已变成了百度。以非“xiaoyao”帐户运行IE时,可看到IE首页没有任何改变。而之前安装的百度搜霸,则无论以什么帐户运行IE,都不会见到它的踪影!
此时我们是以“xiaoyao”这个USERS组的帐户,来进行上网操作的。由于“xiaoyao”帐户在当前并未登陆,所以百度搜霸根本无法安装并加载到IE中,网页也仅能对“xiaoyao”帐户的IE首页进行修改。也就是说,以“xiaoyao”帐户身份运行IE后,浏览到的恶意网页只能对“xiaoyao”帐户的IE设置进行修改,而恶意网页中的流氓软件或木马间谍运行后,根本就无法对当前帐户和系统产生任何影响。
3.换壳
如果“xiaoyao”帐户的IE设置被更改或破坏,那么可在“运行”对话框中执行“net user xiaoyao/delete”命令,来删除“xiaoyao”帐号。之后,再次执行创建帐户命令,新建一个名为“xiaoyao”的帐户,即可使IE“完好如初”。
步骤三:加固系统
通过网页浏览感染系统,只是木马病毒和流氓插件的一种途径。如果不小心以当前帐户身份运行了木马病毒程序,系统还是会被破坏。只是这类破坏“迹象”都较明显,不像恶意网页在后台进行“暗箱操作”,因此我们可提前阻止它们。
1.禁止程序启动
很多木马病毒都是通过注册表加载启动的,因此可通过权限设置,禁止病毒和木马对注册表的启动项进行修改。
启动注册表编辑器,依次展开“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”分支,在“Run”分支上点击右键,选择“权限”命令,将当前帐户对该分支的“读取”权限设置为“允许”,并取消对“完全控制”权限的选择(如图4)。使用同样方法设置以下注册表启动键的权限:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
在“HKEY_CURRENT_USER”下,也有相同的多个注册表启动项需要设置权限。
图4
2.禁止服务启动
一些高级的木马病毒会通过系统服务进行加载,对此可禁止木马病毒启动服务的权限。
可依次展开“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSetServices”分支,将当前帐户的“读取”权限设置为“允许”,同时取消其“完全控制”权限。
3.系统安全设置
最厉害的木马病毒会采用DLL注入方式,或者抢先系统启动运行,对此可在注册表中限制其启动权限。
设置的方法同上,需设置权限的注册表项有以下分支:
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonUserInit
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonShell
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonGinaDll
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonSystem
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
4.保护文件关联
有些狡猾的木马,还会通过更改系统文件关联,达到启动运行目的。对此可展开“HKEY_CLASSES_ROOT”分支,将其下的“.exe”、.“com”、“.cmd”、“.BAT”、“.VBS”等项目设置权限,操作方法同上。
使用设置了注册表权限的帐户登录系统后,是无法安装软件或进行重要系统更改设置的。如要安装软件,可更换为管理员帐户登录系统,并进行正常的安装操作。
二、另类“还原精灵”保系统
对于木瓜这种超级懒惰的人来说,使用手动设置来保护系统显得太过繁琐了,所以最好还是给他一款软件来达到自动保护系统的目的。而他提出使用“还原精灵”之类的软件,真是太耗费系统资源了,搞不好还会把硬盘锁死了,这里我有更高级的“秘密武器”。
1.IE从此无忧’
安装这款名为“Sandboxie”的软件后,它会随系统自动运行,利用软件的沙盘功能,即可保护系统不受任何病毒和插件的侵袭。
右键点击桌面上的IE图标,在弹出菜单中选择“RunSandboxed”命令,即可以沙盘保护方式运行IE(如图5)。此时浏览任意恶意带毒的网站,系统都会经过“沙盘”的过滤保护,保证自身不会受到任何影响。即使木马病毒程序已下载到硬盘中,也会随着Sandboxie的关闭而自动消失。
图5
如果要保存通过“沙盘”下载的文件,可右键点击系统托盘区的沙盘图标,在弹出菜单中选择“从沙盘恢复文件”命令。在打开的对话框中,选择沙盘中暂存的文件,点击“恢复到同一文件夹”按钮,即可将文件保存到硬盘中了(如图6)。
图6
2.告别木马病毒
下载了好多软件要安装,但不能确定其中是否夹带着流氓插件或木马,这时可使用右键点击程序文件,通过“RunSandboxed”命令运行安装,此时程序对系统所作的修改都会被沙盘拦截保护,在关闭沙盘后安装的木马病毒也将随之消失。
如果在沙盘中安装运行后,确认程序是安全的,那么就可再次以正常方式安装运行程序了。
·系统保护只用两三招 病毒木马不上门(5)
三、程序权限轻松设
虽然限制用户权限保护系统安全的方法很好用,但对于木瓜这种经常安装卸载软件的用户来说,不时弹出的“权限不够”提示便显得太过“烦人”了,这里就在给出一个两全其美的方法。
安装名为“DropMyRights”的软件,用这个软件启动其它程序,这样启动的程序就只具有基本的权限,无法对系统产生破坏了。方法很简单,以IE为例。
右键点击桌面IE快捷图标,选择“属性”→“快捷方式”,在“目标”位置中输入如下命令(如图7):
"C:程序安装目录DropMyRights.exe" "C:ProgramFilesInternet ExplorerIexplore.exe" N
程序后面的参数“N”,代表以普通用户权限运行程序。确定后关闭对话框,双击该快捷方式就能以指定的身份启动IE浏览器,以后浏览到恶意网页也不用担心系统会遭到破坏了,所达到的效果与前面提到的“金蚕脱壳”法差不多(如图8)。
图7
