電腦防毒教學

930407

「電腦防毒教學」

　　大家在今年有受到多少電腦病毒影響？今年的電腦病毒說起來可是來勢洶洶呀，除了有專門鑽電腦漏洞讓你電腦 CPU 使用到 100%的 SDBOT 或 GAOBOT病毒；剛重灌電腦馬上就出現 LSASS.EXE 程式即將關閉，然後就出現倒數 60秒的 SASSER 病毒；或是常常在信箱中看到一些亂發有毒信件的 NETSKY 病毒；不然，就是常在你的 IE 上出現有沒有的 toolbar，開 IE 就跳到某些特定首頁，電腦中不知不覺就被安裝好的廣告軟體。

　　當然，這中毒了也不必過於緊張，不要想說：「中毒了，要解好麻煩，乾脆重灌吧。」就一般中毒而言有 85%以上都是可以解除的，讓你的電腦回復到安全的狀態。解毒的過程大約是 30 分內就可以完成的，重灌的話，還要加上重新安裝新的軟體等，一做可能就要 12 個小時，因此，學習簡單的防毒和清毒，不僅快速，也可以保留住你的資料。

　　那就不多說了，我們開始進入課程吧。

　　認識駭客有些毒是由駭客之類入侵你的電腦中所安裝的，所以我先對這一類的人作些介紹駭客(hacker) 基本上就駭客的本義來說，並不會去攻擊他人的電腦，而是像測試員的身份，幫軟體公司找出其軟體中的錯誤 BUG 等這一類的問題，然後回報上述問題回報給該公司做好修補，即使入侵他人電腦，也不會做出破壞或是控制電腦的舉動，頂多是處理一些問題和分享資料。

　　怪克(cracker) 怪客和駭客基本上能力是一樣的，但是怪客的性質，是製作病毒或入侵他人電腦清除或盜取資料的人，除了製作以外，也會進行傳播跟觸發的行動，使病毒廣為流行。

　　Lamer 真正說起來，Lamer 才是真正傳播病毒的人，雖然他並沒有上面兩者所具有那些能力(或比較少)，但是會使用怪客所製作的病毒或入侵軟體進行破壞工作，也算是一種高智慧犯罪者。

　　跳板(zombie) 跳板正如同其名，當電腦感染上病毒的時候，如果使用者並沒有發現到，而讓病毒繼續留在電腦中，病毒可能會自身執行擴散的步驟，信件病毒跟 SDBOT 這一類就是這樣的病毒。當然，就現今而言，hacker 與 cracker 是混在一起談的了，所以 hacker 變成一切的統稱了，不過上面的東西是讓大家知道一些不一樣的地方。

　　一些解毒的方法基本上就這一門課而言，防毒的工作應該是由防毒軟體與防火牆這一類的軟體來執行，這個我們等到後面再說，現在我們先學一些判斷中毒的方法。

　　1. 當電腦的使用率到達 100%導致電腦無法使用是否有當你電腦連上網路時，電腦突然就變很慢，沒連上網路沒事，一連上網路電腦就動彈不得的情況勒？通常這一類，就是最近所流行的 SDBOT 與 GAOBOT 病毒，這一類病毒會大量佔用網路頻寬，宿舍網路之所以會降低傳送速度的原因，就是因為有不少的電腦中了這一類的病毒，佔走了大量的網路資源。

　　此種病毒的防護工作，第一：做完 windows update，因為這一類病毒也是鑽電腦漏洞而入侵，安裝以下的網址的修正檔即可完成這一部份的防護[url=http://www.microsoft.com/taiwan/security/bulletins/MS03-007.asphttp://www.microsoft.com/taiwan/ ... letins/MS03-049.asp]http://www.microsoft.com/taiwan/security/bulletins/MS03-007.asphttp://www.microsoft.com/taiwan/ ... letins/MS03-049.asp[/url]

　　第二：電腦帳戶加密，這類病毒會因為妳的電腦沒有加上密碼，就直接進入你的電腦中，就像你家有大門但沒有裝鎖一樣，做好下列步驟便可以完成第二部份的防護。`按下開始　設定　控制台，裡面有一個使用者帳戶(或使用者)，找到自己登入電腦的名稱之後，請把加入密碼設定。

　　另外，如果使用者中有 Administrator 與 Guest 帳戶的話，也要一起設，不然，病毒只要用 Administrator 或 Guest 的名稱就能進入你的電腦了。

　　另外，密碼不要太簡單，如 11111，12345，asdfghjkl，因為病毒也有內建簡易密碼破解表，用注音或倉頡來設密碼最好，比如說名字=>李大雄，那密碼就是 xu3284vm/6，這就是用注音所做的密碼。

　　解毒方法：當你中了這一類的病毒時，可以用剛上網的小段空檔，下載 hijackthis ，http://www.majorgeeks.com/download3155.html接著執行後，按下 ok scan 接著會跑出大一排文字，請找到 O4 的選項，基本上，只要看到在 [] 中有看到有 windows，system，Configuration，Microsoft，service這一類的字眼，而後方僅有 xxxxxx.exe(xxxxx 代表名稱)這樣一個檔名在的形態，或是有 system32/xxxxx.exe，這一類基本上相當可能都是病毒。

　　如果要解毒的話，請先記下檔案名稱及路徑，(如果只有單獨 xxxxxx.exe，那其預設路徑=>windows XP/ME 為？：\windows\system32 ；而 windows 2000/NT為？：\winnt\system32 “？”所代表是你裝 windows 的系統槽) 接著請重開機到安全模式下(在 windows 的讀取畫面之前按下 f8)，進入後，請直接照著路徑殺病毒就可以了。

　　殺掉以後，請再次執行 hijackthis，然後，找到你所殺掉的那些檔案的項目，在前面的小框打勾，接著按下 Fix Checked，然後選是，這樣清掉了開機會執行的捷徑了，最後就再重開機回到正常模式就可以了。

　　解毒後，一定把之前寫到的防護工作做好，才不會有二次傷害，另外，這個大約可以解除 80%的 cpu 使用率到 100%的情況，其他的有些就很難說清楚了，有些的格式是亂數檔名、也有用正常程式的檔名來做病毒檔名，但藏在別的地方的，過於詳述會太佔時間，所以就不多說了

　　2. 電腦出現倒數 60 秒的情況重灌電腦後，最怕的，就是剛連上網路就出現了倒數關機的情況，想做更新等的事情，一遇上自動關機，就只能看著他關機…. 通常這種時候，只要執行一個步驟就可以，有兩個方法可以選擇(1)開始　執行　輸入 shutdown –a，按下 enter 就可以進行停止倒數了如果(1)方法不行，可以使用第二種方法(2)按下開始　設定　控制台，找到　日期與時間　這一個選項(或對右下的小時鐘按兩下)，然後請把時間往後調 1 年，如 2004/8/31 變成 2005/8/31 就可以了，這樣倒數就會變成 365 天了防護工作：此種類病毒以疾風(Blaster)與殺手(Sasser)兩種病毒為主疾風下載更新檔(MS03-026 與 MS-03-007)位置http://www.microsoft.com/taiwan/ ... letins/MS03-007.asp在英文版中 http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx按下藍色字Patch availability中就有更新的地方了 照自己的版本更新吧 移除工具位置[url=http://www.microsoft.com/downloads/details.aspx?familyid=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&displaylang=zh-twhttp://securityresponse.symantec.com/avcenter/FixBlast.exe]http://www.microsoft.com/downloads/details.aspx?familyid=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&displaylang=zh-twhttp://securityresponse.symantec.com/avcenter/FixBlast.exe[/url]殺手更新檔(MS04-011) http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp移除工具位置http://securityresponse.symantec.com/avcenter/FxSasser.exe解毒方法：基本上，只要能把時間倒數在結束前就強制終止，然後再使用移除工具移除基本上就 OK 了。

　　3. 收到有毒郵件每當打開自己的信箱收信時，就突然出現一堆病毒警示，XXX 信件挾帶病毒，一看就是一堆，每天都有，寄件人也好像都沒發現。

　　別擔心，基本上，只要你不要去打開那一些有毒的信件，馬上刪除，就可以避免了。

　　防護工作：就像我剛剛所說的，不要打開信件就可以了，如果是用 outlook 收信的話，就直接殺掉，只要不動到信，信裡的毒是不會跳出來讓你的電腦中毒的。

　　另外，最好是能回寄一封信給中毒的人，跟他們說：「你的電腦中毒了。」讓他，去做掃毒工作，當然，也可以加入檔信名單中。

　　另外，沒有防毒軟體的，只要看到不是自己所信任的人寄來的信，都可以殺掉，就是養成不亂開陌生郵件的習慣。

　　解毒方法：如果你真的非常剛好的打開了信件，下載了附件，然後執行，那…中毒可就是無法避免的，說起來，這一類的病毒很多，除了有 NETSKY(天網)外、還有Beagle(培果)、Lovgate…等等，建議是做線上掃毒，然後照著他所說的病毒名稱去清除、或下載清除工具清除。

　　判別有毒信件方法：

　　1. 看都沒看過的寄件人沒錯，基本上不認識的人所寄給你的信件，大部份是廣告信件，這一類你可能不需要的東西，可以說連打開都不用打開了。

　　2. 信件名稱為外文通常信件病毒的使用文字為外文，如 for you、Let’s open it、Hi Dear…等，本土的郵件病毒比較少，可以用此方法判別一些有毒信件

　　3. 附件的名稱為兩種格式比如說為 XXX.txt.exe，xxx.exe.pif，這種同時有.exe 與.pif 等兩種以上的檔案格式都很可能是病毒。

　　4. 常駐在電腦 IE 上的廣告軟體上網，打開 IE，咪的，怎麼一堆網頁跳出來，我的首頁被綁架了，還有一堆弄不掉的 toolbar。是不是常有這種困擾呢，這些大都是廣告軟體惹的禍。

　　廣告軟體的影響，除了上面所論談到的，還有如：在你電腦的右下角出現常駐軟體、不定時跳出廣告、佔用大量 CPU 使用率…等。

　　防護工作：說起來，只要不要常到不明網站去，就不會有廣告軟體亂安裝了，不過還是有些地方要小心。

　　1. yahoo 即時通中，有所謂的 3721 網絡實名，就我們而言算比較少用到的軟體，說起來 3721 應該不是廣告軟體，不過被列為廣告軟體黑名單，大家可以選擇留下或移除。

　　2. MSN 中，當你安裝了 PLUS 的時候，如果沒注意到，也會被安裝廣告框，可以在 plus!的選項中把廣告框移除。

　　3. flashget 等續傳軟體，可能在軟體的視窗中會有廣告框架，要移除的話可能要以註冊的方式移除。

　　4. 在上網站的時候，會出現所謂的認証，舉一個到 www.3721.com 的例子，進入後，不久會出現這樣一個圖，當你按下是的時候，軟體便會自動安裝進入你的電腦，按否當然就沒有發生啥事了許多的廣告軟體就是這樣安裝進入你的電腦的，不過，如 windows update 或是你上網做線上掃毒之類的，那些也會出現一樣的安全性警告，因此，只要出現這一類的東西，請自行判斷，是你認定安全的，就按是，不安全就按否吧。

　　5. 這一種是最難防的，就是寫程式在網頁語言中，讓你自動下載，神不知鬼不覺的就安裝進入你的電腦，這個，只能好自為之了。

　　解毒方法：當你發現你的電腦中有廣告軟體時，先到新增/移除程式(在控制台)中，找看看是否有不明的程式安裝在你的電腦中，能移除就移除，不然到你的開始　程式集中，看看是否有廣告軟體的捷徑在，也找看看有沒有解安裝的捷徑(有些叫uninstall 或 unsetup)，除此之外，也可以使用網路上有的免費解廣告軟體等。

　　當這樣還是沒有方法的時候，可以使用我之前有寫到的 hijackthis，然後，找出某些廣告的東西，舉個例來說：在 IE 中的 toolbar 應該都可以找到他的名稱，對著 IE 上面的工作列按下右鍵，找看看哪一個才是那一個 toolbar 的名稱，接著使用 hijackthis，scan 後找到 O3的項目，找看看是否有一樣的名稱，接著看到那一項後方的程式路徑，找到後，就沿著路徑刪除檔案就可以了。

　　其他如要詳述就請提出吧。

　　說起來防毒跟除毒其實都不算難，就套個周星馳的名言：「只要有心，人人都是食神。」當大家真的想做的時候，只要多加小心一下，病毒是相當難進入你的電腦的，當然，再配上一些工具的話，更能事半工倍了防毒網站網址：

賽門鐵克：
http://www.symantec.com/region/tw/

趨勢：
http://www.trendmicro.com/tw/home/personal.htmMcafee
http://www.mcafee.com/tw/Panda
http://www.pandasoftware.com.tw/

廣告軟體防毒網站：
2-spywar：
http://www.2-spyware.com/PestPatrol
http://pestpatrol.com/Lavasoft
http://www.lavasoftusa.com/

線上掃毒網址：
賽門鐵克：
http://security.symantec.com/default.asp?productid=symhome&langid=tw&venid=sym

趨勢：
http://housecall.trendmicro.com/housecall/start_corp.aspMcafee
http://www.mcafee.com/myapps/mfs/default.aspPanda
http://www.pandasoftware.com.tw/freescan/activescan.htm

bn5656

這篇教學 真精采
希望使用電腦的都要看看