据来自安全公司最新的报告数据显示,在它们扫描过的100多万台上网计算机中,检测到18.4万个特洛伊木马程序以及相同数量的系统监视程序(如键盘记录软件),还有2900万个间谍软件。人们一般只谈“毒”色变,因为病毒一般会带来直接的破坏,比如删除数据、格式化硬盘等。对木马和间谍软件却重视不够,其实它们比病毒的危害更大,有些像“慢性”的毒药,当你发现自己的账号或密码丢失时,已经为时已晚。下面给大家介绍几款木马查杀软件和防范方法,把这些“卧底”软件彻底清除出去。
木马杀手
Trojan Remover
Trojan Remover是一款专门用来清除特洛伊木马并自动修复系统文件的软件。当怀疑系统中了木马时,点击工具栏上的“Scanning for Active Trojan”按钮,即可立刻开始扫描系统中是否有正在活动的木马(如图1)。
软件版本:6.2.3
软件大小:3073KB
下载地址:http//www2.skycn.com/soft/3217.html
运行程序,第一次选择“Scan A Drive or Directory”按钮时,会出现提示是否扫描系统目录,建议不要跳过这一步选择“YES”进行扫描,这样有利于查找和精确处理系统中隐藏的木马。不要忘了勾选“Include Subdirectories”把子目录包括进来。如果你要设置扫描的文件类型,可以点击“Options→Files to Scan”打开文件扫描参数设置对话框,在上面自定义需要扫描的文件类型,切记“SCR、SWF、VBS、SYS、VXD、JES、JS”等几个文件类型一定要选中。为了加快处理速度,你可以选择在发现木马时自动清除,设置好后就可以点击“Start Scan”开始扫描了。
当扫描到木马时,Trojan Remover会弹出警告窗口显示木马的名称与位置,并删除相关的设置更改木马程序的名称,以阻止木马重新启动。若是遇到常驻在内存的木马,Trojan Remover 会重新启动机器,停止木马执行并保护系统,使用者不需进入安全模式甚至DOS模式下就能清除木马。如果出现Trojan Remover频繁报警的情况,建议你选择“Show Alerts on confiremed Trojons Only”仅在发现特洛伊木马时发出警告。
软件提供了开机自动扫描功能,选择“Options→Enabled Boot-time scanning”,启动后Trojan Remover会自动扫描包括系统登录文件、Win.ini、System.ini和注册表项目在内的系统文件,并帮你自动清除特洛伊木马和修复系统文件。还可以通过单击“View Log”按钮查看每天的日志文件,来了解详细的相关信息。
Trojan Remover同样支持木马数据库更新,可以点击工具栏上的“Update”按钮进行升级,或从http://www.simplysup.com/tremover/update3.html下载最新数据库。
进行有效防范
避免间谍软件的潜入,除了不下载安装来历不明的软件、不浏览不法网站以外,系统中存在的漏洞也可能使它们乘虚而入。比如Microsoft Internet Explorer MHTML文件重定向并执行漏洞,就是利用在处理MHTML文件和res URIs存在的缺陷,从恶意位置装载嵌入对象,在安全区域中执行。也就是说在IE的缺省安全状态下,从网站直接下载并运行任何软件,IE都不会出现任何安全提示。前一阵在网上疯狂传播的“震荡波”蠕虫病毒,也是通过微软新公布的系统漏洞进行作案的,所以及时查缺补漏打上安全补丁非常重要。
反病毒软件中一般都带有这样的小工具,比如金山毒霸6中的“系统漏洞扫描”程序。只要把金山毒霸程序升级到最新版本,然后运行“系统漏洞扫描”程序,它能自动检测出Windows操作系统,是否安装了最新的Service Pack补丁文件,另外还能检测Microsoft其他应用软件的安全漏洞。扫描完成后点击“查看报告”,其中详细列出了系统中的所有漏洞和安全隐患。你就可以点击后面的链接直接下载修复。
除了平时定期检查以外,动态防护也非常关键。所以我们上网时除了打开病毒实时监控还要开启网络防火墙。比如天网或网镖打开以后,至少要把安全级别设置到中以上,这样才能有效拦截木马和间谍程序的入侵。
另外笔者发现金山网镖6下的IP规则编辑器列表中,“允许别人访问本机共享资源(Win2000)”这一项在默认设置下是打开的,也就是说445端口是开放的,允许他人访问本机的共享资源。为了防止间谍软件通过局域网共享侵入,建议使用者去掉这项前面的勾。
间谍软件清道夫
Spy Sweeper
大家平时听到有关木马的介绍很多,对间谍软件却知之甚少。其实在安装软件或浏览网站时,都可能使间谍软件潜入系统。有时可能会出现“浏览该网站需要你开启Cookie功能”的询问,但更多时候干脆没有任何提示。它们除了监视你的上网习惯(比如上网时间、经常浏览的网站以及购买了什么商品等)以外,还有可能记录你的信用卡账号和密码,这给你的安全带来了重大的隐患。
SpySweeper
软件版本:2.6
软件大小:3514 KB
下载地址:http//www2.skycn.com/soft/12412.html
清除间谍软件
Spy Sweeper有两种扫描方式,“快速扫描”只会检查注册表,文件夹和运行中的程序。如果你想得到全面的保护,推荐你进行“完全扫描”,但时间用得会长一些。
点击“START”按钮开始“全面扫描”,你可以看到软件导入间谍软件指纹库、扫描内存、注册表和文件夹的进度。而且会实时显示发现的间谍软件的个数和信息。
扫描完成后,点击“下一步”,查看所有间谍软件和痕迹列表、单击每一项展开,可以看到该软件在硬盘中所处的位置,以及软件的名称和类型等,下面还有详细的英文解释。在要删除的软件前打上勾,再点击“下一步”,它们就被删除了(如图2)。
还可以点击“日志”查看更详细的内容,对于暂时没有删除的程序,你可以在“隔离”栏中查看到它们,以便日后进行操作。
设置扫描方式
除了手动扫描以外,Spy Sweeper还提供了多种自动扫描方式。你可以在“计划”中选择“开机时扫描”或“关机时扫描”。也可以选择按一定周期或指定日期来进行计划扫描(如图3)。
在“设置”中扫描类型可以选择只扫描C:盘(这里的“C:”盘其实指的是操作系统所在的分区)。为了还影响正常工作,还可以让它只在后台运行。
主页和Cookie保护功能
在“浏览器”中可以开启主页保护功能,当主页被病毒或网站恶意代码修改时会及时出现提示。而广告软件Cookie保护器被打开,会自动删除Cookie文件夹中所有的广告软件写入的Cookie文件,并发出声音报警。
图1 扫描系统中的木马
图2 查看间谍软件的详细信息
图3 设定扫描时间