IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

Windows 安全诊所:清除间谍软件下篇

2007年02月02日
/

清除间谍软件第三步:恢复

安全专家Kevin Beaver:如果可能的话,运行一种以上的反间谍软件程序,如Spybot - Search & Destroy、冠群国际的eTrust PestPatrol Anti-Spyware 、微软的Windows AntiSpyware,同时加强IE安全设置和个人防火墙保护。在安全的环境中,你还可以考虑使用基于行为的防御软件,如Sana安全公司和Finjan软件公司的产品。

安全专家Tony Bradley:如果运行其它的间谍软件扫描工具还不能完全清除间谍软件,你可以采取手工方式确定间谍软件在做什么和如何杀灭这些间谍软件。Sysinternals Freeware公司提供很多免费的软件工具,可以查出间谍软件暗地里在做什么。进程管理器(Process Explorer) 能够帮助你查找正在运行的可疑的进程。间谍软件的进程通常使用与Windows的进程相类似的名称,以便不易被察觉。然而,如果你查看路径信息,你就可以发现那些路径异常的进程,并且验证那些表面上合法的文件的版本和版权信息。Sysinternals公司的其它工具还有Autoruns和ListDLLs。这些工具对于帮助你调查正在运行的进程也是很有效的。

另一个功能强大的帮助你识别和消灭间谍软件组件的工具是Merijn.org公司的HijackThis。这个软件能够检查Windows注册表和硬盘中的关键区域,并且提供详细的内容列表。在使用HijackThis工具软件的时候需要特别谨慎,或者请求专家提供指导。这个软件的文件删除和保留的权利完全取决于用户。HijackThis软件有时候查出的软件程序是合法的,如果删除会对系统产生不利的影响,甚至会使系统无法运行。

安全专家Lawrence Abrams:现在间谍软件已经找到了。我们需要设计一个工作人员很容易操作的清除间谍软件的常规方法。工作人员将清除办公计算机和家庭计算机中的间谍软件。你可以通过控制面板中的增加/删除程序很容易地卸载Viewpoint工具条和Viewpoint管理器。

为了修复HotOffers的感染,你可以删除param32.dll文件。问题是,这个程序是不停地运行的。你需要以安全模式重新启动计算机,这时param32.dll文件就不运行了,就可以删除了。如果这样还不行,使用一个名为“KillBox”的工具软件在重新启动的过程中删除那个文件。

然后,你可以使用HijackThis软件修复剩余的入口,恢复用户对起始页和搜索功能的控制。

接下来,你可以在一个正式的删除文件中把这些步骤记下来。这种文件要让工作人员和家庭用户很容易理解。

清除间谍软件第四步:预防措施

安全专家Kevin Beaver:你可以拥有的最强大的预防措施就是人的因素:教育人们如何处置和为什么不要点击弹出式广告、安装程序的提示以及其它可能导致传播间谍软件手段。遗憾的是,只要人类介入计算环境,我们就会遇到这种问题。有些人是故意的,有些人是不故意的。因此,还要确保使用正确的技术。这个提高警惕的周期是永远也不会结束的。

安全专家Tony Bradley:要防止随看随下(drive-by downloads)和其它间谍软件问题,用户应该避免访问可疑的网站。知名的网站一般都是比较安全的和没有恶意软件的。但是,如果用户要访问没有访问过的小网站,很可能会受到恶意软件的感染。为了增强保护措施,你可以使用Lavasoft公司的Ad-Aware Pro或者微软Windows AntiSpyware测试版。这些软件能够主动监视你的计算机,防止间谍软件的安装。

你可以采取的另一种措施是使用研究机构Eric Howes的IE-SPYAD工具软件。这个软件提供了一个包含9000个恶意网站的列表,这些网站安装广告软件、间谍软件和浏览器劫持软件或者其它恶意软件。运行IE-SPYAD之后,可以保证这些恶意网站不影响你的计算机。

安全专家Lawrence Abrams:现实是,间谍软件、劫持软件和其它恶意软件正在像蠕虫、特洛伊木马和病毒一样流行。大多数人以为杀毒软件会清除一切恶意软件,而实际上杀毒软件的重点是病毒、特洛伊木马和蠕虫。在你的计算机中采取多层防御措施是非常重要的。

下面是我提出的防御间谍软件的八项措施。请注意,排列顺序不是按照重要性排列的,因为它们具有同样的重要性。

·Windows补丁一发布就要立即使用。

·企业防火墙和基于本地软件的防火墙必须能够保护每一台计算机。

·IE浏览器的设置必须是非常安全的。

·每台计算机至少安装两种间谍软件清除工具,如Spybot - Search & Destroy和Ad-Aware。

·应该安装Javacool软件公司的SpywareBlaster软件,以阻止已知的恶意ActiveX控件在每一台计算机上运行。

· 每一台计算机应该安装一个好的杀毒软件。

·杀毒软件、SpywareBlaster和间谍软件清除程序必须不断更新新的恶意软件的定义。

·最后,也许是最重要的,创建一个互联网安全使用行为规范的指南。例如,用户永远不要点击弹出式广告,永远不要打开来源不明的电子邮件的附件,一定要阅读要安装的软件中的细则。


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点