電腦病毒的異軍突起,病毒肆無忌憚地入侵我們的電腦,殺毒程序的攔截阻攔,在電腦上每天都上演著電腦保衛戰。哪天你會突然發現你掛著的QQ上居然是一些詐騙的信息和不堪入目的圖片,或者在QQ上得好好的情況下還被強迫下線。接著我們便自己拉開了防衛病毒的保衛戰,自己先是去改密,然後通過申訴又是去找回。出現這樣的情況,有沒有什麼好方法預防呢?請看下麵的文章。
怎麼判斷中了木馬
病人:木馬危害實在太大了,那我怎麼知道自己的電腦中了木馬呢?
醫生:電腦中了木馬後,有時候會有一些非常典型的症狀,比如殺毒軟件自動關閉、電腦運行速度變慢、經常有一些陌生網頁窗口彈出、係統中某些程序無法運行等;也有時候症狀並不明顯,不過我們可以通過一些蛛絲馬跡來初步分析電腦是否中了木馬,比如查看“任務管理器”是否有不熟悉的進程(一旦發現則到網上進行搜索看是否是病毒程序),從係統文件夾、注冊表、啟動程序等查看是否有可疑的文件或項目。
下麵我們以感染了近期比較活躍的SoundMan木馬的電腦為例來了解一下木馬的一些常見行為。
小知識:SoundMan木馬
SoundMan木馬是利用Realtek聲卡相關程序以及圖標迷惑用戶的一款“網遊木馬下載器”,它除了具備普通木馬能夠屏蔽顯示隱藏文件的功能外,還可以用替換服務等方式啟動自身,並具有結束殺毒軟件和在後台下載大量網遊木馬的功能。
1.隱藏文件已經無法顯示
打開一個文件夾,在上方菜單中選擇“工具/文件夾選項”,在“查看”中勾選“顯示所有文件和文件夾”,並去掉“隱藏已知文件類型的擴展名”前麵的勾。經過這樣的操作後,隱藏文件還是無法顯示。
提示:一旦發現設置了“顯示所有文件和文件夾”,而係統仍無法顯示隱藏文件的話,一定要引起足夠的重視,極有可能有木馬入侵。
2.查看System32文件夾
進入System32文件夾中(假設WindowsXP安裝在C盤),可以發現木馬創建了ineters.exe、SoundMan.exe、tthh3.ini這三個文件(編注:之前我們已經對顯示隱藏文件做了處理)。
提示:木馬一般會在係統文件夾System32中釋放病毒文件以及相關的ini文件,如果懷疑中了木馬,注意檢查此文件夾中那些在出現中毒症狀前後所創建的文件。
3.查看用戶賬戶
單擊“開始/設置/控製麵板”,雙擊“用戶賬戶”,如果發現電腦中的Guest賬戶無故被激活,或是多出其它的陌生賬號,例如名為Microsoft的賬戶,也要提高警惕,這也是感染木馬的一個典型特征。
4.查看auto文件
當係統中了SoundMan.exe木馬後,隻要有新的可移動存儲接入,此木馬便會寫入auto.exe和autorun.inf文件,所以我們在鼠標右鍵菜單中發現有auto、autorun任何一個選項,或是在移動硬盤或閃存根目錄下查看發現auto.exe和autorun.inf這兩個文件,則證明中毒。
提示:現在的木馬一般都會利用移動存儲設置的自動播放功能進行病毒的寫入和傳播,所以如果在硬盤分區以及移動存儲設備根目錄下發現auto.exe和autorun.inf這兩個文件,則電腦與移動硬盤都已經中毒。
除了檢查上麵那些地方外,我們還可以從以下幾個木馬喜歡喜歡藏身的地方來查找蛛絲馬跡。
一是從“Win.ini”文件判斷是否中毒。利用記事本打開“C:Windows”目錄下的Win.ini文件。在文件的[windows]字段中查找啟動命令“load=”和“run=”後麵是否跟有程序,在一般情況下“=”後麵是空白的,如果在“=”號後麵跟著程序(圖2),那一般是中了木馬病毒。
二是從“System.ini”文件判斷是否中毒。利用記事本方式打開位於“C:Windows”目錄下的“System.ini”文件,如果發現[boot]字段中“shell=Explorer.exe”後添加了程序,一般都是木馬服務端程序。另外,在System.ini中的[386Enh]字段,要注意檢查在此段內的“driver=路徑程序名”,這裏也有可能被木馬所利用。在System.ini中的[mic]、[drivers]、[drivers32]這三個字段,它們起到加載驅動程序的作用,但也是添加木馬程序的好場所,所以也需要進行檢查。
三是打開注冊表編輯器進行查找。木馬一般會利用注冊表中的Run、RunServices、RunOnce等子項來加載,在“開始”/“運行”中輸入“regedit”進入注冊表編輯器,在以下幾個地方進行查看。
(1)注冊表中的啟動項
查看“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion”下的RunServices、RunServicesOnce、Run、RunOnce以及“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”下的RunServices、Run、RunOnce下是否有可疑項目。
如果發現其中加載了一些陌生程序到係統文件夾中,那麼則可能中了木馬病毒。
(2)文件關聯鍵
有些木馬還會通過修改注冊表中的某一類型文件的鍵值來加載程序。檢查“HKEY_CLASSES_ROOTXXX(編注:這裏的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子鍵中“默認”值:““%1”%*”;檢查“HKEY_LOCAL_MACHINESoftwareCLASSESXXX(編注:這裏的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子鍵中“默認”值:““%1”%*”。
這些“%1%*”可以被賦值,如果發現默認值被修改,例如病毒木馬將其改為“muma.exe%1%*”,則可能中毒。