Windows 安全診所：清除間諜軟體上篇

所有人都面臨間諜軟體的威脅，特別是普通的網路使用者。 這些網路使用者總是很快地點擊彈出式對話方塊，按提示安裝軟體，接受垃圾郵件的饋贈或者流覽惡意的網站。 最佳的預防措施就是對最終使用者進行教育。 但是，對於大多數人來說，這個事情已經太晚了，間諜軟體已經在Windows工作站中瘋狂地蔓延開了。 為了説明你識別和修復各種類型的間諜軟體的感染，你可以查看一下如下的情況。 在做出診斷和介紹三個Windows安全專家講的課程之後，我們還將介紹一些使用者的投訴。 你將發現，每一個專家對一個問題都有一個獨特的解決方案。 因此，在解決你自己的間諜軟體的問題時，你一定要考慮一下所有這些解決方案。 使用者的問題： 我為300多個使用者提供技術支援。 這些使用者擁有家庭或者辦公室的電腦，採用Windows XP或者Windows 2000作業系統。 一些使用者報告了下列問題。 當瀏覽器關閉時(有時候甚至都沒有連接到互聯網)，會出現彈出廣告。 當打開瀏覽器時，一個像HotOffers.com的網站出現了，而不是我們內部網的主頁。 一個名為「Viewpoint」的搜索工具條出現在瀏覽器上，無論我們在網址列內輸入什麼，這個工具條都一直在搜索。 我有最新的殺毒軟體，並且沒有發現病毒。 使用查殺間諜軟體的工具「SpyBot Search & Destroy 」進行掃描之後，發現一些不熟悉的檔，我將刪除這些檔。 但是，這樣並沒有解決這些問題。 那是什麼檔？ 我如何刪除這些檔？ 請幫忙。 專家提供的補救措施： 清除間諜軟體第一步：診斷 安全專家Kevin Beaver：你在這裡遇到的問題是人的問題和技術的局限性結合在一起產生的問題。 間諜軟體和廣告軟體的啟動是使用者盲目點擊滑鼠造成的。 當IE瀏覽器彈出一個對話方塊，要求在IE中安裝一個ActiveX控制項或者向使用者電腦下載其它貌似安全的遊戲、螢幕保護裝置程式等軟體時，使用者往往隨意點擊「確認」。 這就是我說的人的問題。 這個問題經常發生，因為使用者只是想安裝軟體，快顯廣告就借此機會避開檢查想做什麼就做什麼了。 一旦你的使用者允許在他們的系統中安裝這種軟體，根據這種軟體的性質，無論使用者是否啟動IE或者系統是否連接到互聯網，這種軟體都能夠控制Windows電腦的某些方面。 這包括啟動快顯廣告、修改缺省的主頁等。 技術的局限性與查殺間諜軟體的工具有關。 「Spybot Search & Destroy」對於保護臺式電腦並不是萬能的解決方案，儘管這是我使用的最好的軟體工具。 安全專家Tony Bradley：從給出的情況看，這裡可能存在兩個不同的問題。 當電腦甚至還沒有連接到互聯網的時候也出現快顯廣告，這類程式可能是通過Windows Messenger服務進入使用者電腦的。 修改瀏覽器主頁和搜索工具條最有可能是瀏覽器輔助物件(BHO)出現的問題造成的。 間諜軟體是一種隨看隨下(drive-by downloads)的軟體。 當使用者訪問惡意網站時，間諜軟體利用瀏覽器中的漏洞不需要使用者同意就安裝在使用者的電腦中。 安全專家Lawrence Abrams：當瀏覽器中的搜索功能和主頁被修改之後，通常會出現劫持瀏覽器的情況，就像「Viewpoint Manager」軟體劫持瀏覽器一樣。 瀏覽器劫持一般分為兩大類，主動劫持和被動劫持。 主動劫持者是一種在電腦啟動時就調入的程式。 這種程式持續監視電腦的具體設置，確保這些設置符合劫持者的願望。 被動劫持是在電腦啟動時開始運行的程式。 這種程式修改某些設置並且上傳。 一旦你確定這種劫持程式，這些問題是很容易修復的。 首先，你必須確定你處理的是哪一類劫持程式。 我使用HijackThis軟體進行查找。 如果你熟悉程式入口(entry)的位置或者把軟體程式與啟動資料庫進行比較，你就可以找到劫持軟體。 在運行HijackThis工具軟體時，我們注意到了Viewpoint工具條和Viewpoint管理器的入口。 這就是Viewpoint間諜軟體的罪證。 我們還看到起始頁的入口已經被修改了。 至於熱力推薦(HotOffers)的問題，修復這個入口似乎並不起作用。 他們還是不斷地出現，上面提到的事情似乎都不是這個問題的原因。 起始頁改回到HotOffers的事實說明我們正在處理的問題是主動的劫持。 在這種情況下，我們需要使用另外一種名為「SilentRunners」的工具軟體。 這個工具能過讓我們深入到正在這種自動運行的程式中。 SilentRunners將生成一個關於註冊表設置的登記清單，找出哪些不是Windows缺省設置的程式。 運行這個程式，我將看到如下結果： HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedulerINFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"-> {CLSID}InProcServer32(Default) = "C：\ WINDOWS\System32\param32.dll" [null data]這就告訴我一個名為c：\windows\system32\param32.dll的檔在電腦中啟動了。 param32.dll檔不是缺省的Windows配置。 要確定這個檔是不是罪魁禍首，我使用Sysinternal軟體中的strings.exe程式查看這個檔內部的ASCII字串。 當在可執行檔中看到列出的字串時，我們看到了一個HotOffers，我們現在知道我們已經找出了這個問題了。 清除間諜軟體第二步：立即行動 安全專家Kevin Beaver：在這種情況下，你應該運行一兩種其他反間諜軟體掃描工具，看看能否清除間諜軟體的感染。 遺憾的是，防禦間諜軟體和廣告軟體需要多層次的防護措施才能有效。 安全專家Tony Bradley：要防止任何Windows Messenger服務向系統濫發彈出式資訊，你需要關閉Windows Messenger服務(不要與MSN Messenger即時消息工具軟體相混淆) 或者封鎖進入UDP埠135、137和138以及TCP埠135、139和445的通信。 使用者已經驗證，殺毒軟體是最新的，並且使用了目前最好的反間諜軟體工具之一的「Spybot - Search & Destroy」。 然而，這些反間諜軟體工具都不是100%的有效。 不要簡單地依賴S&D軟體的檢查結果。 使用者還應該試一下使用其它的反間諜軟體工具，例如Lavasoft公司的Ad-Aware、微軟測試版的Windows AntiSpyware和Webroot軟體公司的Spy Sweeper。 安全專家Lawrence Abrams：雖然劫持軟體不會傳播到其它電腦中，但是，這種軟體在許多情況下會嚴重降低IE瀏覽器的安全設置。 因此，在清除這種感染防止進一步感染之前，阻止使用者使用被感染的電腦是非常重要的。 責任編輯: 雪花(TEL:（010）68476636-8008) 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：Windows 安全診所：清除間諜軟體上篇 返回網路安全首頁