常见电脑木马问题专家问答

常见电脑木马问题专家问答

  　问：怎么避免中木马？是不是一有新的病毒库就去更新杀毒软件啊？还是不浏览不健康的网站和来路不明的网站和邮件？是不是做到以上几点就OK了？

　　答：谢谢这位网友的提问。首先，木马是病毒的一个类别。作为用户如何避免感染病毒和电脑安全方面，我建议大家注意以下几点：

　　1、及时更新系统补丁和第三方软件补丁。因为，很多病毒都是通过这些漏洞进行攻击或传播的。

　　2、定期更新杀毒软件，用户可以开启杀毒软件的自动升级功能，并且开启软件的实时监控功能。

　　3、第三就是这位网友说的，尽量不浏览不健康的网站，不随意下载或安装可疑插件，最好使用安全性更好的浏览器，如：firefox等。

　　4、不接收QQ、MSN、Email等传来的可疑文件。不轻易打开QQ、MSN、Email中的链接。

　　5、为系统管理员账号设置复杂的管理员密码，一般建议是8位以上，数字、字母、符号的组合。

　　6、将重要软件的账号密码进行保护。例如使用瑞星账号保险柜等软件。

　　7、对于U盘或移动存储介质，最好进行U盘免疫和保护（一般杀毒软件具有此功能）。打开U盘中的文件前，建议进行病毒扫描。

　　8、对于下载或传输的文件、软件、mp3、视频，打开前最好杀杀毒。如果使用下载软件，建议将下载软件与杀软绑定，这样当一个文件下载完成后，会自动进行扫描，比较方便。

　　9、定期清理电脑中的各种痕迹文件。如：上网记录、近期打开的文档、近期播放过的音频、视频、回收站等等。

　　10、定期备份重要文件资料，将备份的资料存储到其他介质中，防患于未然。

　　问：安全意识很重要啊，平时注意自己的上网行为，但是如今一些网站被挂马，只能靠杀软了？浏览器是不是也该注意啊？ 用什么浏览器好呢？

　　答：谢谢这位网友的提问。安全意识的确非常重要，就像我之前说很多，其实都是这方面的问题。对于网页浏览方面我谈谈个人的一些看法：

　　1、不浏览或尽量少的访问不健康的网站。

　　2、使用安全性较高的浏览器，我自己平时使用firefox和opera，呵呵。

　　3、定期更新系统、浏览器、第三方软件的补丁。

　　4、安装具有防挂马功能的杀毒软件。

　　第三和第四点也是很重要的，而且容易被人忽视。对于网页浏览问题，大多数人会理解为使用浏览器浏览网页，在这种情况下，做到前三点或者根本不看网页，那朋友们的电脑应该就不会通过这种方式中毒。但目前很多很多的应用软件中都嵌入了ie控件，例如，某些聊天工具登陆后会弹出新闻窗口、下载软件会具有搜索下载资源的页面、游戏弹出的tips等等，而这些基本上是基于ie核心的。这样，如果这些软件内嵌的页面被挂马，即使你根本不用浏览器，也同样会中毒。

　　问题是这样的：

　　有人说可以找个旧电脑或者英特尔凌动、VIA-C7的低功耗主机组建个代理服务器。有的是安装LINUX系统，有的是使用WIN2000+WINGATE。然后给代理服务器安装杀毒软件。这样我们访问网站的时候，由于前面有个代理服务器先进行杀毒，这样会安全些。而且设置完代理服务器之后，代理服务器后面的客户机上网就必须设置网关、端口什么的。这样就算中了木马。由于木马位于代理服务器后面，也不可能把截获的信息发走？

　　这样的防范方法正确么？

　　答：感谢这位网友的提问。

　　这种只适合非常古老的木马与病毒防范，现在的木马与病毒都是基于反向联接主动请求方式了。。。。。所以这种防范已经不太起作用了。避免中毒还是应该做到之前我说的几点。因为，代理服务器只是提供了上网的作用，目前绝大多数病毒是通过网页挂马和u盘方式传播的，所以连接到代理上的电脑上网后感染病毒和代理服务器是无关的。而病毒或黑客盗取的信息，也不会被认作为病毒，一般是文本或邮件形式，开个80端口就足够了。另外，建议安装瑞星RIS，实时更新“危险/可信任信息库”和“恶意网址库”，双向拦截网络攻击、过滤恶意网址、管理可信任程序，防挂马的功能确实不错。

　　问：目前网页挂马要实现的目的有什么？

　　答：谢谢这位网友的提问。目前，网页挂马要实现的是病毒的传播，是病毒传播的一种方式。目前病毒已经形成了一个比较完整的产业链，网页挂马只是其中传播的一个环节。目的就是通过挂马实现病毒感染、控制肉鸡、盗号、提高网站点击率等等以达到其最终的经济利益。现在，炫耀型的基本上已经没有了，所有的这些病毒行为基本都是以经济利益为目的。

　　问：瑞星叫“全功能安全软件2009”，我想问一下，这个在病毒防御方面，和之前的防火墙+杀毒软件的方式有什么不一样么？

　　我的瑞星是在贵公司搞促销的时候一次买了2年的。后来软件自动升级为2009版本（带宽慢，花了很长时间），可是升级之后，我发现我的杀软还是2009防火墙+2009杀毒软件，为什么没有变成“全功能2009”呢？这两个在电脑安全方面有不同么？

　　我只安装了杀毒软件+防火墙，没有安装卡卡助手，请问这样上网的时候会不会有问题的，能否应对网页木马？卡卡在网页木马防御方面，是否有杀毒软件+防火墙不具备的功能呢？

　　答：谢谢这位网友的提问。

　　1、瑞星全功能安全软件2009，简称RIS，是基于瑞星“云安全”系统的软件，将杀毒软件、防火墙、卡卡上网安全助手、账号保险柜等等进行了融合，采用的是经过全新重写的软件架构和最新引擎，对病毒特征库进行了优化，解决了以前杀软和防火墙之间没有联动的问题，而且降低了用户操作的次数，以及资源的占用。

　　2、RIS是今年瑞星首次推出的产品，之前的版本都是杀软和防火墙分开的。所以旧版用户直接进行升级只能升级到09版的杀软和防火墙。对于病毒的查杀方面，两者基本上没有太大的区别。

　　3、瑞星09推出后，系统漏洞扫描与修复的功能完全转移到卡卡上网安全助手方面。所以，最明显的就是原来的杀软和防火墙不再提供这个功能。而卡卡的的很多功能还是很实用的，例如，自动漏洞扫描修复、清理流氓软件、清理电脑使用痕迹、木马下载拦截、系统修复等等，建议安装。

　　4、瑞星杀软、防火墙、RIS、卡卡，都共享“云安全”的安全成果。所以杀软或RIS的恶意网址库，卡卡也是可以拦截的。但是对于经过变化的或利用新漏洞攻击的，可能比RIS要弱。

　　问：防范网页挂马？在现在看来我感觉无论是杀毒软件还是什么的东东，面对现在的病毒而言杀毒软件的作用确实不大。

　　答：谢谢这位网友的提问。

　　目前网页挂马基本上都是利用最新的漏洞和加密变形后的，所以对于传统的网页特征码扫描方式已经没有太大的作用。病毒总是要先与杀软，变化和升级也是要先与杀软。所以尽管不断提高杀软升级频率和技术（例如，主动防御、监控）也还是避免不了感染病毒，因为病毒的源头我们并没有进行拦截。

　　所以建议安装具有防挂马功能的杀毒软件，在源头处进行拦截。例如瑞星全功能安全软件2009，RIS从原来的特征查杀改为了行为监控查杀。通过行为检测网页中的恶意程序和恶意代码。克服了原来网页脚本扫描只能通过特征进行查杀的问题。解决了原网页脚本监控无法对加密变形的病毒脚本进行处理的问题。

　　问：请专家给我们防止网页木马提出一些实质性的建议？如果电脑中了木马的话我们首先要做什么呀？

　　答：感谢这位网友的提问。第一个问题之前已经谈了很多了。如果电脑中了木马以后，我建议大家可以按照以下的办法来操作：

　　1、如果感到电脑异常或有明显中毒现象时，不要急于重启电脑，先保存和备份重要资料。这些是最重要的。

　　2、升级杀软后进行全盘杀毒（如果杀软没有被干掉）。

　　3、如果杀软被干掉，建议尝试安全模式杀毒或者使用一些专杀（例如，木马群专杀等）。

　　4、对于有一定基础的用户，可以利用手动的方式进行查毒处理（例如，结束进程、模块、取消钩子、恢复ssdt、删除劫持项、注册表信息、将可疑文件剪切到其他位置等等），当然这些操作完全可以利用一些安全工具实现，例如IceSWord、procexp、xdelbox。

　　5、记录好电脑的异常现象和日志（可以利用SREngLog扫描），联系专业的反病毒厂商，使损失降到最低。

　　问：现在有两个问题要请教一下。

　　1.如果在系统中进行了一定的策略限制，比如不能在线执行EXE文件，这样有可能对木马进行一定的防御么？

　　2.我觉得瑞星哪个LINUX杀毒工具不错，我觉得瑞星能不能考虑把这个LINUX杀毒光盘扩展一下，比如在里面集成一个网银支付平台，可以直接在里面进行网银交易，这样不是更安全么？我估计XP里面被挂上的木马，好像不能在LINUX下面执行的？是这样么？LINUX下面的网银交易是否能够安全些呢？

　　答：感谢网友的提问。

　　1、很多病毒并不是exe文件，例如：.com、css、.jpg、.swf、.mp3等等。所以只限制exe文件的执行并不能完全防御。

　　2、您的这个建议我会当做一个需求与相关人员进行讨论的。如果要增加这个功能，我个人认为还得到下个版本了，这个功能设计的改动是很负责的，请理解。

　　3、只能说是相对安全些。Windows和linux通用的病毒也并不少见。其实没有绝对的安全，linux用户相对windows要少很多，研究的人也就少，那么攻击就相对少。

　　问：网页挂马危害？　　如何预防？　　一旦中招如何解决？

　　答：感谢网友的提问。

　　1、服务器端来说，一方面是系统资源占用，流量带宽资源的巨大损失，另一方面也成为了传播网页木马的“傀儡帮凶”，严重影响到网站的正常运营和公众信誉度；对客户端来说，系统异常、个人信息外泄、网游、聊天工具、交易软件等账号密码丢失等；另外，使得客户端被安装恶意插件成为肉鸡，强迫浏览黑客指定的网站；或者被利用攻击某个站点等。

　　2、对于客服端而言：更新系统和第三方软件补丁；安装带有防挂马的杀毒软件，例如RIS；不浏览不健康的网站等等。

　　中招后的方法参照之前提到的“电脑中了木马的话我们首先要做什么呀？”的几个操作。

　　如何防范进入到带有网页挂马的网站？从那些地方能清楚的看到？还有，网页挂马和普通的中毒，有什么不同？

　　答：谢谢网友的提问。

　　参照上面的回答。

　　如何分辨出网页是否已经被挂马，有那些明显的特征？

　　答：谢谢网友的提问。

　　溢出型的网马，一般浏览器会假死或者崩溃。。。。。这是溢出型网马比较明显的特征。其他没有特别明显的。。因为挂马的方式千变万化。。只能靠经验还有对于代码的熟练程度了。

　　问：据说很多网页上面挂的马。是通过软件漏洞入侵的。我想问一下，更新杀毒软件，能代替软件的更新么？

　　比如有些是利用浏览器漏洞入侵的，可是只能保证每天更新杀毒软件，而不是每天去WINDOWS UPDATE更新。这样的话，如果我们没有来得及更新IE补丁，而更新了杀毒软件，这样能防止木马入侵么？如果是利用网站图片挂马？看图的软件没有更新，是否也会中招呢？

　　答：谢谢网友的提问。请参照之前的详细回答。

　　我觉得这个恶意网站的抓取能不能再快一些呢？比如瑞星专门找几台电脑帮我们去随机访问网站，然后把有马的网站都记录下来，及时更新用户的防火墙进行屏蔽。

　　问：对于正规的网站，如果被挂了马，暂时被屏蔽掉了，等网站恢复之后，希望瑞星也能够及时从屏蔽名单取消，这样可以减少屏蔽的误杀。

　　答：感谢网友的提问。

　　1、借助瑞星“云安全”系统，恶意网站的收集是实时的，用户在第一时间内将恶意网站上传给“云安全”系统，并分享给所有“云安全”的用户。

　　2、您提到的建议瑞星很早就开始实施了，而且在不断增加服务器的数量。

　　3、瑞星09正式上市后，对于恶意网址库的维护也是实时更新的。

　　问：您好，如何发现上网被挂木马，要是电脑中这种木马会出现那些情况。如何处理这些情况的，您能否告诉我一些实用的知识和提一些实质性的建议。

　　答：谢谢网友的提问。

　　1、根据目前流行的病毒分析，电脑中毒后，通常会出现以下现象：系统运行慢、系统某些功能异常（死机、自动重启、蓝屏、输入法无法打开、无法上网、安全模式无法进入、隐藏文件无法查看等）、杀毒软件无法打开、杀毒软件无法升级、杀毒软件监控关闭、QQ或msn自动发送消息或文件、浏览器自动打开网页、网页自动跳转、杀软网站无法登陆等等。

　　2、具体杀毒的方法之前已经简单的介绍了。提醒一下，手动杀毒是需要一定的风险的。这些技巧需要长时间的操作积累。大家如果感兴趣的话，可以到网上浏览查看病毒相关的帖子。