3.2 木马、病毒与恶意软件窃密

网络是一个开放的空间，也可以说是一把“双刃剑”，它在为用户工作生活带来便利的同时，也时刻威胁着用户的个人隐私，人们不得不时刻担心个人隐私信息是否会被泄露。例如，经常收到莫名其妙的邮件，这些邮件可能隐藏着木马或病毒，当用户不小心打开它的时候，可能就会被这些木马控制，用户的信息就会被不法分子盗用。

3.2.1 木马窃密

木马（Trojan）也称为木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。与计算机网络中常常要用到的远程控制软件有些相似，但木马要达到的目的是“偷窃”性的远程控制。木马程序是通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在用户不知不觉的状态下控制或者监视用户。下面揭露几种木马潜伏的常见诡招，以便读者在日常使用计算机的过程中进行防范。

1． 集成到程序中

木马常常集成到程序中，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

2． 隐藏在配置文件中

在使用计算机过程中，对于那些已经不太重要的配置文件大多数是不过问的，而这正好给木马提供了一个藏身之处。

3． 伪装在普通文件中

把可执行文件伪装成图片或文本——在程序中把图标改成Windows的默认图片图标，再把文件名改为＊.jpg.exe，由于Windows系统默认设置是“不显示已知的文件后缀名”，文件将会显示为＊.jpg，不注意的人单击这个图标就会遭到木马的袭击。

4． 设置在超级链接中

木马的主人在网页上放置恶意代码，引诱用户单击，用户单击的结果不言而喻，因此奉劝不要随便单击网页上的链接。

接下来将针对“冰河木马”介绍这种木马的功能和如何查杀。

“冰河”木马属于Back Door一类的黑客软件，通过客户端（安装在入侵者的机器中）的各种命令来控制服务端的机器，并可以轻松地获得服务端机器的各种系统信息。这种木马的服务端程序通常情况下会被植入到一个有趣的游戏中、一个应用程序里或伪装成一幅图片，伪装得十分巧妙，让人难以分辨。当用户不小心运行它们或打开这个图片时，就会运行这个木马程序。一旦计算机中了这个木马，就会被它控制。

对这种木马进行查杀可采用如下方法进行操作。

1删除C:\Windows\system目录下的“Kernel32.exe”和“Sysexplr.exe”文件。由于“冰河”木马运行后，往往会在注册表HKEY_LOCAL_MACHINE/software/microsoft/Windows/Current Version\ Run创建键值C:/Windows/system/Kernel32.exe，因此还需要用户删除该键值。再展开注册表中的HKEY_LOCAL_MACHINE/software/microsoft/Windows/ CurrentVersion/Run services项，删除键值C:/Windows/system/Kernel32.exe。

2将注册表HKEY_CLASSES_ROOT/txtfi le/shell/open/command项下的键值C:/Windows/system/Sysexplr.exe %1修改为C:/Windows/notepad.exe %1，即可恢复TXT文件关联功能。最后，将本机上的杀毒软件升级到最新版本，对整个系统进行全面杀毒。

3.2.2 病毒攻防

病毒是指人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质（或程序）里，通过修改其他程序的方法将自己的精确复制或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏。

计算机病毒种类繁多而且复杂，按照不同的方式以及计算机病毒的特点及特性，可以有多种不同的分类方法。下面以常见的“AV终结者病毒”为例介绍它的查杀方法。

“AV终结者”（英文名称“Anti-Virus”），不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自动更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的病毒之一。该病毒利用了IFEO（映像劫持）技术，使大量的杀毒软件和安全相关工具无法运行；会破坏安全模式，使中毒用户无法在安全模式下查杀病毒；会下载大量病毒到用户计算机来盗取用户有价值的信息和某些账号；能通过可移动存储介质传播。

当计算机中了“AV终结者”病毒后，用户可以利用“AV终结者”专杀工具进行查杀。下面介绍一款查杀工具——金山毒霸AV终结者查杀工具。

以它为例具体介绍的操作步骤如下。

1打开金山毒霸AV终结者查杀工具，在主界面上根据自己的需要勾选恰当的选项。为了防止U盘中毒，这里选中【禁止U盘写入任何文件】复选框，对于【创建U盘快捷方式】复选框，根据自己的需要判断是否选择，如图3-2-1所示。然后单击【开始扫描】按钮。

2此时金山毒霸AV终结者查杀工具开始对计算机进行扫描，扫描完成后将显示扫描的详细信息，如图3-2-2所示。

3.2.3 间谍软件攻防

间谍软件是一种能够在用户不知情的情况下，在其计算机上安装后门、收集用户信息的软件。“间谍软件”其实是一个灰色区域，所以并没有一个明确的定义。然而，正如同名称所暗示的一样，它通常被泛泛地定义为从计算机上搜集信息，并在未得到该计算机用户许可时便将信息传递到第三方的软件，包括监视击键、搜集机密信息（密码、信用卡号、PIN码等）、获取电子邮件地址、跟踪浏览习惯等。间谍软件还有一个副产品，在其影响下这些行为不可避免地影响网络性能，减慢系统速度，进而影响整个商业进程。大多数的间谍软件定义不仅涉及广告软件、色情软件和风险软件程序，还包括许多木马程序，如Backdoor Trojans\Trojan Proxies和PSW Trojans等。

间谍软件的另外一个附属品就是广告软件。此时，间谍软件以恶意后门程序的形式存在，该程序可以打开端口、启动FTP服务器或者搜集击键信息并将信息反馈给攻击者。间谍软件可以存在于合法的（并可接受的）商业应用程序中，可以给网络管理员在影响和监视系统方面很大的权力，使用户通过软件捆绑、浏览网站、邮件发送等形式不小心安装间谍软件。

一旦用户的计算机上安装间谍软件后，一个任意的升级与指令即可致使大量的用户计算机成为一台僵尸计算机，受人控制的傀儡计算机。因此，用户在日常使用中要注意防范间谍软件。

在日常生活中，防治间谍软件应注意以下几个方面。

第一，不要轻易安装共享软件或“免费软件”，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。

第二，有些间谍软件通过恶意网站安装，所以不要浏览不良网站。

第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。

第四，只要手机不开通上网功能，所有的间谍软件将不能监控。

3.2.4 流氓软件攻防

“流氓软件”是介于病毒和正规软件之间的软件。如果计算机中有流氓软件，可能会出现以下几种情况：用户使用计算机上网时，会有窗口不断跳出；计算机浏览器被莫名修改增加了许多工作条；当用户打开网页时，网页会变成不相干的奇怪画面，甚至是黄色广告。有些流氓软件只是为了达到某种目的，如广告宣传。这些流氓软件虽然不会影响用户计算机的正常使用，但当用户启动浏览器时会多弹出来一个网页，以达到宣传目的。

流氓软件具有以下特点。

① 强制安装：指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上强行安装软件的行为。强制安装时不能结束它的进程，不能选择它的安装路径，带有大量色情广告甚至计算机病毒。

② 难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍活动或残存程序的行为。

③ 浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。

④ 广告弹出：指未明确提示用户或未经用户许可的情况下，利用安装在用户计算机或其他终端上的软件弹出色情广告等行为。

⑤ 恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。

⑥ 恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载非恶意软件的行为。

⑦ 恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。

⑧ 恶意安装：未经许可的情况下，强制在用户计算机里安装其他非附带的独立软件。

抵制流氓软件措施可以有以下几种方法。

① 不要随便下载不熟悉的软件。

② 谨慎使用共享软件。

③ 不登录不良网站。

④ 安装软件时应仔细阅读软件附带的用户协议及使用说明。

⑤ 使用IE插件等软件屏蔽、采用其他专用软件。

在用户抵制预防的同时，更重要的是必须从源头上来整治，各软件、网站厂商应该尊重用户的安全和权益，遵守起码的职业道德，遵守软件编写规范，阻止软件产品的不规范发布和传播，只有这样才能取得用户的信任与好评