IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

病毒防治:清除木马从它的寄生地开始

2006年12月29日
/

当提到木马和流氓软件这些字样时,不知道有多少网民痛心疾首,甚至也让许多网民束手无策。就从最近在IT界上发生了无数次事件来说吧,9月12日晚上11时37分,著名的搜索引擎机构-北京百度公司被黑客攻击,随后,这次攻击使百度搜索服务在全国各地出现了近30分钟的故障,从而使百度不能提供正常的服务,最近一段时间以来,百度公司负面事件不断;专业提供虚拟主机以及域名服务商-北京新网数码信息技术有限公司(简称:新网)接二连三地被黑客攻击,新网被黑后几天,国内另一域名注册和虚拟主机服务提供商-创联万网国际信息技术北京有限公司(简称:中国万网)也被黑客们大规模的攻击,其次就是流氓软件的泛滥成灾,导致许多用户的机器成为病毒的栖息地,用户拼命地用各种各样的杀毒软件去干掉它们,甚至重装系统或者格式化硬盘,中文域名的抢注与被抢注问题等等,朋友们,事实就摆在我们面前,我们该拿什么出来挽救自己的网络呢?我们怎样行动起来呢?

木马病毒的寄生所:注册表

现在最让网民头痛的除了木马、病毒之外,而注册表一直都是很多木马和病毒“青睐”的寄生场所,除此之外恐怕就是那种修改注册表的恶意代码了,它们不仅随意篡改用户IE浏览器的各种属性,如标题栏、起始页等等,甚至有时还会在注册表中加入一些特殊的键值来达到禁用注册表编辑或限制程序运行的目的,最可恶的是,有些木马你通过各种清除它的方法首先把它干掉了,可是你重新启动你的机器时,木马死而复生了,例如说曾让许多网民痛恨的7939木马病毒。面对如此猖獗的恶意代码,我们岂能坐以待毙,那我们怎么做到一人防守万人(木马病毒以及流氓软件等等带有破坏性的东东)难攻呢?

当某天我们打开自己的电脑或者在上网的路途中,发现自己的机器像是蜗牛在爬行时,甚至同一个网页不断在自己眼前跳舞,一分钟之内就可以连续跳100步舞曲之上,最后直到资源耗尽死机,说到这里,我想有意识的人应该会觉悟得到,我的电脑中毒了。有些人不禁在问,我是电脑盲,我还是第一次用电脑呢,我该怎么做才能把病毒一网打尽呢?这个问题问得好,对于一些电脑新手来说,注册表是个很难理解的一组词语,简单来说的话,注册表就是操作系统的数据库,相当于一个国家的金库,里面存放着许多金银财宝以及国家秘密,那我们通过什么样的方法进入呢?在XP/2000/2003等等WINDOWS系列的操作系统中,我们可以通过下面这个方法,看到电脑的左下角一个”开始”菜单,然后我们用鼠标点击它一下,再点击”运行”此选项,我们进入”运行”工作环境中,我们在空白框中输入这样的英文字母, regedit,最后点击确定就可以进入注册表编辑器仓库了,紧接着我们就可以进入下一个环节了。

检查注册表以及设置注册表

一、检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run以及HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要毫不留情地删除,接着到电脑中找到木马文件的藏身地将其彻底删除。

二、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。

三、检查HKEY_CLASSES_ROOT\inifile \shell\open\command和HKEY_CLASSES_ROOT \txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。

四、有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

DisableRegistryTools =

为了阻止用户利用.REG文件修改注册表键值,以下键值也会被修改来显示一个内存访问错误窗口

例如:Win32.Swen.B 病毒 会将缺省健值修改为:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(Default) = "cxsgrhcl.exe

showerror"

五、取消“默认共享”

安全隐患:大家都知道在windows 2000/xp/2003中,系统默认开启了一些“共享”,它们是ipc$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。

解决方法:要防范ipc$攻击应该将注册表中“hkey_local_machine\system\currentcontrolset\control\lsa”的restrictanonymous项设置为“1”,这样就可以禁止ipc$的连接。

对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters”项。如果系统为windows 2000 server或windows 2003,则要在该项中添加键值“autoshareserver”(类型为“reg_dword”,值为“0”)。如果系统为windows 2000 pro,则应在该项中添加键值“autosharewks”(类型为“reg_dword”,值为“0”)。

六、拒绝activex控件的恶意骚扰

安全隐患:不少木马和病毒都是通过在网页中隐藏恶意activex控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止activex控件私自运行程序。

解决方法:activex控件是通过调用windows scripting host组件的方式运行程序的,所以我们可以先删除“system32”目录下的wshom.ocx文件,这样activex控件就不能调用windows scripting host了。然后,在注册表中找到“HKEY_LOCAL_MACHINE\software\ classes\clsid\{f935dc22-1cf0-11d0-adb9-00c04fd58a0b}”,将该项删除。通过以上操作,activex控件就再也无法私自调用脚本程序了。

七、禁止病毒启动服务

安全隐患:现在的病毒很聪明,不像以前只会通过注册表的run值或msconfig中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?

解决方法:运行“regedit”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services”分支,接着点击菜单栏中的“编辑→权限”,在弹出的services权限设置窗口中单击“添加”按钮,然后单击”高级“->“立即查找”,将everyone账号导入进来,然后选中“everyone”账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。

八、病毒自讨苦吃

安全隐患:很多病毒都是通过注册表中的run值进行加载而实现随操作系统的启动而启动的,我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。

解决方法:运行“regedit”指令启动注册表编辑器。找到注册表中的“HKEY_LOCAL_MACHINE\software\microsoft\windows\

currentversion\run”分支,将everyone对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。

九、防止网页脚本病毒执行

脚本病毒的执行离不开WSH。WSH全称“Windows Scripting Host”,是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。WSH所对应的程序“WScript.exe”是一个脚本语言解释器,位于Windows所在的文件夹下,大多数系统在默认安装后都会有WSH的身影。正是由于它使得脚本可以被执行,也因此给脚本病毒的传播提供了途径,方法:通过打开“我的电脑”,依次点击[工具]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。

十、做好IE的安全设置

ActiveX控件和Java Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与Java相关选项禁用。谨慎些总没有错!

另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和Java Applets时有更多的选择,并对本地电脑安全产生更大的影响。

下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。

责任编辑 赵毅 zhaoyi#51cto.com TEL:(010)68476636-8001


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点