大家在今年有受到多少電腦病毒影響?今年的電腦病毒說起來可是來勢洶洶呀,除了有專門鑽電腦漏洞讓你電腦CPU使用到100%的SDBOT或GAOBOT病毒;剛重灌電腦馬上就出現LSASS.EXE程式即將關閉,然後就出現倒數60秒的SASSER病毒;或是常常在信箱中看到一些亂發有毒信件的NETSKY病毒;不然,就是常在你的IE上出現有沒有的toolbar,開IE就跳到某些特定首頁,電腦中不知不覺就被安裝好的廣告軟體。
當然,這中毒了也不必過於緊張,不要想說:「中毒了,要解好麻煩,乾脆重灌吧。」就一般中毒而言有85%以上都是可以解除的,讓你的電腦回復到安全的狀態。解毒的過程大約是30分內就可以完成的,重灌的話,還要加上重新安裝新的軟體等,一做可能就要1~2個小時,因此,學習簡單的防毒和清毒,不僅快速,也可以保留住你的資料。那就不多說了,開始進入課程吧。
認識駭客
有些毒是由駭客之類入侵你的電腦中所安裝的,所以先對這一類的人作些介紹
駭客(hacker)
基本上就駭客的本義來說,並不會去攻擊他人的電腦,而是像測試員的身份,幫軟體公司找出其軟體中的錯誤BUG等這一類的問題,然後回報上述問題回報給該公司做好修補,即使入侵他人電腦,也不會做出破壞或是控制電腦的舉動,頂多是處理一些問題和分享資料。
怪克(cracker)
怪客和駭客基本上能力是一樣的,但是怪客的性質,是製作病毒或入侵他人電腦清除或盜取資料的人,除了製作以外,也會進行傳播跟觸發的行動,使病毒廣為流行。
Lamer
真正說起來,Lamer才是真正傳播病毒的人,雖然他並沒有上面兩者所具有那些能力(或比較少),但是會使用怪客所製作的病毒或入侵軟體進行破壞工作,也算是一種高智慧犯罪者。
跳板(zombie)
跳板正如同其名,當電腦感染上病毒的時候,如果使用者並沒有發現到,而讓病毒繼續留在電腦中,病毒可能會自身執行擴散的步驟,信件病毒跟SDBOT這一類就是這樣的病毒。
當然,就現今而言,hacker與cracker是混在一起談的了,所以hacker變成一切的統稱了,不過上面的東西是讓大家知道一些不一樣的地方。
解毒的方法
基本上就這一門課而言,防毒的工作應該是由防毒軟體與防火牆這一類的軟體來執行,這個等到後面再說,現在先學一些判斷中毒的方法。
1. 當電腦的使用率到達100%導致電腦無法使用
是否有當你電腦連上網路時,電腦突然就變很慢,沒連上網路沒事,一連上網路電腦就動彈不得的情況勒?通常這一類,就是最近所流行的SDBOT與GAOBOT病毒,這一類病毒會大量佔用網路頻寬,宿舍網路之所以會降低傳送速度的原因,就是因為有不少的電腦中了這一類的病毒,佔走了大量的網路資源。
第一:做完windows update,因為這一類病毒也是鑽電腦漏洞而入侵,安裝以下的網址的修正檔即可完成這一部份的防護。
http://www.microsoft.com/taiwan/security/bulletins/MS03-007.asp
http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
http://www.microsoft.com/taiwan/security/bulletins/MS03-001.asp
http://www.microsoft.com/taiwan/security/bulletins/MS03-049.asp
第二:電腦帳戶加密,這類病毒會因為妳的電腦沒有加上密碼,就直接進入你的電腦中,就像你家有大門但沒有裝鎖一樣,做好下列步驟便可以完成第二部份的防護。
按下開始->設定->控制台,裡面有一個使用者帳戶(或使用者),找到自己登入電腦的名稱之後,請把加入密碼設定。另外,如果使用者中有Administrator 與Guest帳戶的話,也要一起設,不然,病毒只要用Administrator或Guest的名稱就能進入你的電腦了。另外,密碼不要太簡單,如11111,12345,asdfghjkl,因為病毒也有內建簡易密碼破解表,用注音或倉頡來設密碼最好,比如說名字=>李大雄,那密碼就是xu3284vm/6,這就是用注音所做的密碼。
解毒方法:
當你中了這一類的病毒時,可以用剛上網的小段空檔,下載hijackthis
http://www.majorgeeks.com/download3155.html
接著執行後,按下okèscan接著會跑出大一排文字,請找到O4的選項,基本上,只要看到在 [] 中有看到有windows,system,Configuration,Microsoft,service這一類的字眼,而後方僅有xxxxxx.exe(xxxxx代表名稱)這樣一個檔名在的形態,或是有system32/xxxxx.exe,這一類基本上相當可能都是病毒。
如果要解毒的話,請先記下檔案名稱及路徑,(如果只有單獨xxxxxx.exe,那其預設路徑=>windows XP/ME為?:windowssystem32 ;而windows 2000/NT為?:winntsystem32 “?”所代表是你裝windows的系統槽)
接著請重開機到安全模式下(在windows的讀取畫面之前按下f8),進入後,請直接照著路徑殺病毒就可以了。殺掉以後,請再次執行hijackthis,然後,找到你所殺掉的那些檔案的項目,在前面的小框打勾,接著按下Fix Checked,然後選是,這樣清掉了開機會執行的捷徑了,最後就再重開機回到正常模式就可以了。
解毒後,一定把之前寫到的防護工作做好,才不會有二次傷害,另外,這個大約可以解除80%的cpu使用率到100%的情況,其他的有些就很難說清楚了,有些的格式是亂數檔名、也有用正常程式的檔名來做病毒檔名,但藏在別的地方的,過於詳述會太佔時間,所以就不多說了。
2. 電腦出現倒數60秒的情況
重灌電腦後,最怕的,就是剛連上網路就出現了倒數關機的情況,想做更新等的事情,一遇上自動關機,就只能看著他關機….通常這種時候,只要執行一個步驟就可以,有兩個方法可以選擇:
(1)開始->執行->輸入shutdown,按下enter就可以進行停止倒數了
如果(1)方法不行,可以使用第二種方法
(2)按下開始->設定->控制台,找到 日期與時間 這一個選項(或對右下的小時鐘按兩下),然後請把時間往後調1年,如2004/11/26變成2005/11/27就可以了,這樣倒數就會變成365天了
防護工作:
此種類病毒以疾風(Blaster)與殺手(Sasser)兩種病毒為主
疾風下載更新檔(MS03-026與MS-03-007)位置
http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
http://www.microsoft.com/taiwan/security/bulletins/MS03-007.asp
在英文版中
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
按下藍色字Patch availability中就有更新的地方了, 照自己的版本更新吧
移除工具位置
http://www.microsoft.com/downloads/details.aspx?fa...3a38b4cf&displaylang=zh-tw
http://securityresponse.symantec.com/avcenter/FixBlast.exe
殺手更新檔(MS04-011)
http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp
移除工具位置
http://securityresponse.symantec.com/avcenter/FxSasser.exe
解毒方法:
基本上,只要能把時間倒數在結束前就強制終止,然後再使用移除工具移除基本上就OK了。
3. 收到有毒郵件
每當打開自己的信箱收信時,就突然出現一堆病毒警示,XXX信件挾帶病毒,一看就是一堆,每天都有,寄件人也好像都沒發現, 別擔心,基本上,只要你不要去打開那一些有毒的信件,馬上刪除,就可以避免了。
防護工作:
就像我剛剛所說的,不要打開信件就可以了,如果是用outlook收信的話,就直接殺掉,只要不動到信,信裡的毒是不會跳出來讓你的電腦中毒的。另外,最好是能回寄一封信給中毒的人,跟他們說:「你的電腦中毒了。」讓他,去做掃毒工作,當然,也可以加入檔信名單中。另外,沒有防毒軟體的,只要看到不是自己所信任的人寄來的信,都可以殺掉,就是養成不亂開陌生郵件的習慣。
解毒方法:
如果你真的非常剛好的打開了信件,下載了附件,然後執行,那…中毒可就是無法避免的,說起來,這一類的病毒很多,除了有NETSKY(天網)外、還有Beagle(培果)、Lovgate…等等,建議是做線上掃毒,然後照著他所說的病毒名稱去清除、或下載清除工具清除。
判別有毒信件方法:
(1)看都沒看過的寄件人
錯,基本上不認識的人所寄竣EA的信件,大部份是廣告信件,這一類你可能不需要的東西,可以說連打開都不用打開了。
(2)信件名稱為外文
通常信件病毒的使用文字為外文,如for you、Let’s open it、Hi Dear…等,本土的郵件病毒比較少,可以用此方法判別一些有毒信件
(3)附件的名稱為兩種格式
比如說為XXX.txt.exe,xxx.exe.pif,這種同時有.exe與.pif等兩種以上的檔案格式都很可能是病毒。
4. 常駐在電腦IE上的廣告軟體
上網開IE,怎麼一堆網頁跳出來,我的首頁被綁架了,還有一堆弄不掉的toolbar。是不是常有這種困擾呢,這些大都是廣告軟體惹的禍。廣告軟體的影響,除了上面所論談到的,還有如:在你電腦的右下角出現常駐軟體、不定時跳出廣告、佔用大量CPU使用率…等。
防護工作:
說起來,只要不要常到不明網站去,就不會有廣告軟體亂安裝了,不過還是有些地方要小心。
(1)yahoo即時通中,有所謂的3721網絡實名,就我們而言算比較少用到的軟體,說起來3721應該不是廣告軟體,不過被列為廣告軟體黑名單,大家可以選擇留下或移除。
(2)MSN中,當你安裝了PLUS的時候,如果沒注意到,也會被安裝廣告框,可以在plus!的選項中把廣告框移除。
(3)flashget等續傳軟體,可能在軟體的視窗中會有廣告框架,要移除的話可能要以註冊的方式移除。
(4)在上網站的時候,會出現所謂的認証,舉一個到
www.3721.com的例子,進入後,不久會出現這樣一個圖,當你按下是的時候,軟體便會自動安裝進入你的電腦,按否當然就沒有發生啥事了許多的廣告軟體就是這樣安裝進入你的電腦的,不過,如windows update或是你上網做線上掃毒之類的,那些也會出現一樣的安全性警告,因此,只要出現這一類的東西,請自行判斷,是你認定安全的,就按是,不安全就按否吧。這一種是最難防的,就是寫程式在網頁語言中,讓你自動下載,神不知鬼不覺的就安裝進入你的電腦,這個,只能好自為之了。
解毒方法:
當你發現你的電腦中有廣告軟體時,先到新增/移除程式(在控制台)中,找看看是否有不明的程式安裝在你的電腦中,能移除就移除,不然到你的開始è程式集中,看看是否有廣告軟體的捷徑在,也找看看有沒有解安裝的捷徑(有些叫uninstall或unsetup),除此之外,也可以使用網路上有的免費解廣告軟體等。
當這樣還是沒有方法的時候,可以使用之前有寫到的hijackthis,然後,找出某些廣告的東西,舉個例來說:在IE中的toolbar應該都可以找到他的名稱,對著IE上面的工作列按下右鍵,找看看哪一個才是那一個toolbar的名稱,接著使用hijackthis,scan後找到O3的項目,找看看是否有一樣的名稱,接著看到那一項後方的程式路徑,找到後,就沿著路徑刪除檔案就可以了。
防毒網站網址:
賽門鐵克:
http://www.symantec.com/region/tw/
趨勢:
http://www.trendmicro.com/tw/home/personal.htm
Mcafee:
http://www.mcafee.com/tw/
Panda:
http://www.pandasoftware.com.tw/
廣告軟體防毒網站:
2-spywar:
http://www.2-spyware.com/
PestPatrol:
http://pestpatrol.com/
Lavasoft:
http://www.lavasoftusa.com/
線上掃毒網址:
賽門鐵克:
http://security.symantec.com/def ... id=tw&venid=sym
驅勢:
http://housecall.trendmicro.com/housecall/start_corp.asp
Mcafee:
http://www.mcafee.com/myapps/mfs/default.asp
Panda:
http://www.pandasoftware.com.tw/freescan/activescan.htm
