拜读了萧繁写的『
视窗病毒十大藏身之处』,感觉有一些错误的地方,如果直接回应怕要别人看得太用力了,所以干脆开一个新帖子回应好了。(这也是部落的其一原意所在。)
前言:
其实最近这年来,由于病毒的繁殖比起十年前,要来得容易扩散(感染),但威力却由于系统上面的漏洞慢慢被填补了,而不会有太严重的爆发性。目前最常见的类型不外是Worm、Zombie、木马、恶意网页程序这四种。
Worm类型病毒是最容易感染的,一旦爆发可以把你的电脑全面瘫痪。此类病毒最常见的病症就是会自动帮你的电脑重启、网络接入后整台电脑的处理速度会明显的慢下来等等。早期最出名的就是代号Storm这个病毒,曾经让股票行、Streamyx等服务完全瘫痪了三小时以上,损失以千万美金计算。公司内部网络曾经发生过这病毒的爆发,让我忙了整整6小时,所以记忆非常深刻。
Zombie其实和木马有一些关系。Zombie愿意就是僵尸,顾名思义就是被控制的一群在收到赶尸人的指令后,就会依据指令办事。而木马则是一个后门程序,让有心人可以通过这个后门进入你的电脑,从中得到他所要的讯息。就和木马屠城记一样,让受害人在不知不觉中把重要的密码泄漏出去。其实Zombie类型的程序我们也会常见到,只是你不晓得而已。想一下,有时候你的某位朋友无端端会在MSN中发给你一则讯息,说要介绍你去看某个『有趣』的网站;这就是一种已经被赐予任务的Zombie程序所为。当你在无防备中进入了这个网站,你就会被恶意程式入侵,进而被感染成了另一个Zombie。。。
好了,说了一些病毒的故事,这里开始让我一个一个来慢慢的为大家解读,在萧繁的文章中所发现的一些疏漏:
1.带毒文件在\TemporaryInternetFiles目录下。
由于这个目录下的文件,Windows会对此有一定的保护作用(未经证实)。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除
萧繁提出的方法是其中一个比较保守的方法,可行。但在观点上我需要补充一些。
其实由于此目录中储存的都是一些暂存文件,所以视窗并不会有太强的保护。所保护的只是避免里面的暂存文章被其它程序恶意修改,但不是保护它们不被删除。不能轻易删除的原因可能是它们正被使用着,所以不能删除。一般上只要进入了安全模式(Windows Safe Mode),在不打开浏览器的情况下,都可以轻易删除。如果不能删除,极可能是正被某些程式在安全模式中调用着,这一般可以确定是病毒所为,但也有例外的。
2、带毒文件在\_Restore目录下,或者SystemVolumeInformation目录下。
系统还原,是在Windows ME以后的所有视窗版本中内嵌的功能。本来用意是为了让用户在不小心安装错误某些不相容或不完整的程式时、或系统出现问题时,可以快速的回复原状。但由于它自动备份时是不会分辨所备份的是否含毒,所以很多时候会把病毒也一并备份进去。所备份的文件会被压缩在一个档案内,而且会受到系统保护,当自动备份功能在启动状态下,它会被锁死,所以就算是扫毒程序找到任何病毒保存在内也无法删除。所以在清毒时,最好是把这个功能暂时关闭,以保除毒程序可以完全完成它的工作。
(有关这部分曾经和tan_pang在MSN中讨论过。他存有的看法和我不一样,我尊重他的看法。但这是我工作上摸索回来的经验,所以我也保留这个观点。)
3、带毒文件在.rar、.zip、.cab等压缩文件中。
现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少,即使有也只能支持常用的一些压缩格式;所以,对于绝大多数的反病毒软件来说,最多只能检查出压缩文件中的带毒文件,而不能直接清除。
这个解说相信是多年前的了。现在的侦毒软件已经可以检测出常用压缩文件内的病毒,除了上面提到的rar/zip/cab等,还包括7zip/7z等越来越流行的压缩文件格式,甚至于隐藏在图片内的病毒程序也可以侦察出来。(要通过格外的设置。但由于不常见,所以可以不必考虑太多。。。
)
图片也可以藏毒?比较少见,但确实有这回事!
4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。
这种病毒一般是引导区病毒,报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备,如软盘、闪存盘、移动硬盘上,就可以借助本地硬盘上的反病毒软件直接进行查杀;如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。
说实在,这种病毒我已经有超过五年完全没有见过它的影踪了。(或许是我已经有一定的安全意识吧?)
Auto Play窗口。Vista不容易感染这个病毒就因为多了这个窗口。
最近看到的相似病毒是利用电脑中的自动启动程序制作的『感染盘』。这种病毒对Vista并没有多大的杀伤力,但对于比较旧的XP或之前版本就非常容易受到感染。
在Windows XP或旧版本中,当我们放入U盘或光盘时,它都会自动运作。当光盘是影片或唱片,Media Player或相应程式就会自动跳出播放;如果放入的是游戏或程式光碟,你就会看到一个安装画面;如果放入的是资料光碟或U盘,档案管理就会跳出来。。。
这些动作都是在插入媒体时,视窗的自动过程。判决的方法就是取决于你的光碟格式和里面储存的内容。感染盘就是使用这个自动过程,把病毒的启动指令放在一个名为Autorun.inf的文件中。当盘接入电脑时,视窗一旦侦测到主目录内有这个文件,就会自动按照这个文件的内容去做。就算这个文件是被Hide(隐藏)了,系统也会照跑。所以最安全的方法就是把这种自动化功能关闭,或在放入不明其干净与否的光盘或U盘时,按着Shift按键直到硬盘灯完全停止才继续你的操作。
如果你进入Windows Explorer中观看它的文件列表时发现有一个不应该有的文件名为Autorun.inf,那么你就得小心了。
手动删毒方法:
1. 打开Windows Explorer,进入Options-->Folder Options。
2. 进入View。Hide Files And Folders 项目中,改成Show Hidden Files And Folders。
3. 在有问题的光盘或U盘上,按下鼠标右键,选Explore。
4. 在Autorun.inf上面按下鼠标右键,选Open With --> Notepad。
5. 把Notepad中的资料抄下来,然后关闭Notepad。
6. 把Autorun.inf删除。
7. 把(5)中所抄下的文件找出来,然后全部删除。
8. 如果不能删除(7)内的事物,可以打开Task Manager(按下Ctr+Alt+Del,然后选Task Manager),看看是否有任何程式正在Processes中运行。有的话表示你已经中毒了。。。在Processes列表中选取它,然后尝试End Task。不能的话需要重启电脑,进入Safe Mode后再从(1)开始手动除毒。
对于其余的几点,都没有问题。只是针对第十点的处理方案有点建议。
Shared Folder(共享文件夹)其实在电脑安全上是一个很大的漏洞。只要对电脑安全有下过功夫的,都知道共享文件夹的方法并不安全,而且就算是已经设置了安全密码的,只要在网上稍微的搜寻一下,不需要5分钟就可以找到一打方便又好用的程序把所谓的安全密码破解了。相信这对于病毒作者来说,当然也是一个非常重要的病毒感染渠道咯~那么他又有什么理由不把破解法也一并写入病毒内呢?
所以如果没有需要,我都不建议公司甚至个人网络内使用共享文件夹的方式,来分享档案。比较建议的是利用一台不常用的机器来做成分享器,而且它还得安装足够强悍的防毒软件,才能够防止病毒的感染。
在除毒过程中,最好是先把所有的通道都一一封死,包括网络接入、U盘、自动备份功能等等,让病毒无处可逃。等电脑中的病毒清理完成后,再针对所有常用的外接设备全部消毒一遍。这样一来就可以减低重复感染的问题发生了。
有很多人其实有一个错误的观念,以为电脑本身已经有很强悍的防毒作用,防毒软件嘛。。。有就好了。
等电脑在中毒后,才去找一个防毒软件安装、删毒;但不知道这时候就算是安装多么强力的防毒软件都已经不能有所作用了。
好了。暂时就到这里打住。有空再和大家分享一下正确安全使用电脑和网络。
Trackback
Trackback Address :: 無法向此文章發送引用
最后如果真的下载了,并安装了那个所谓的『免费除毒程序』,过后你就有乐大了。。。先别说电脑会开始发疯,下来如果你曾经进入过某些银行的网页、FB、电邮等等等,所有使用的密码都会被暗中的传送到幕后黑手上,然后你就准备在某一天发现一系列的惊喜吧~
相信家政的问题是出在这:订阅或申请太多论坛户口了。。。
有人回应
防毒软件不可免!IE浏览器不可用!
精辟!