谈到这个问题,我真有点害怕讲下去,因为我知道我所讲的这些预防办法那些专门研究木马的黑客早就注意了,或许早就想好了对策,但是不管怎样我相信如果注意了以下几个方面多多少少对阻止木马的入侵有些好处的,特别是对那些入门级的木马!在此先要声明,反木马就象反病毒一样永远没有止境,也永远没有一个百分百的解决方案,因为都是先有木马,然后才有我们反木马的方法和软件,我们始终是个追随者!
1、 不要执行任何来历不明的软件
对于从网上下载的软件在安装、使用前一定要用多几种反病毒软件,最好是专门查杀木马的软件进行检查,确定无毒了再执行、使用。
2、不要相信你的邮箱不会收到垃圾和带毒的邮件
永远不要相信你的邮箱就不会收到垃圾和带毒的邮件,即使从没露过面的邮箱或是ISP邮箱,有些时候你永远没办法知道别人如何得知你的mail地址的。
3、不要轻信他人
不要因为是你的好朋友发来的软件就运行,因为你不能确保他的电脑上就不会有病毒,当然好朋友故意欺骗的可能性不大,但也许他(她)中了黑客程序自己还不知道!同时,网络发展到今天,你也不能保证这一定是你的朋友发给你的,因为别人也可冒名给你发邮件。
4、不要随便留下你的个人资料
特别不要在聊天室内公开你的Email地址。 因为你永远不会知道是否有人会处心积虑收集起你的资料,以备将来黑你!更不要将重要口令和资料存放在上网的电脑里,以防黑客侵入你的电脑盗走你一切“值钱的东东”。
5、网上不要得罪人
在聊天时,永远不要以为网络上谁也不认识谁就出言不逊,这样会不小心得罪某些高人,到时找你开刀。
6、不要随便下载软件
特别是不可靠的小FTP站点、公众新闻级、论坛或BBS上,因为这些地方正是新病毒发布的首选之地。
7、最好使用第三方邮件程序
如Foxmail等,不要使用Microsoft的Outlook程序,因为Outlook程序的安全漏洞实在太多了,况且Outlook也是那些黑客们首选攻击的对象,已经选好了许多攻击入口;
8、不要轻易打开广告邮件中附件或点击其中的链接
因为广告邮件也是那些黑客程序依附的重要对象,特别是其中的一些链接。
9、将windows资源管理器配置成始终显示扩展名
因为一些扩展名为:VBS、SHS、PIF的文件多为木马病毒的特征文件,更有些文件为又扩展名,那更应重点查看,一经发现要立即删除,千万不要打开,只有时时显示了文件的全名才能及时发现。
10、尽量少用共享文件夹
如果因工作等其它原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要系统目录设置成共享!
11、给电子邮件加密
为了确保你的邮件不被其它人看到,同时也为了防止黑客们的攻击,至于电子邮件的加密请参考《令电子邮件安全传递的方法-PGP签名》一文,在那篇文章中向大家推荐了一款加密专家――PGP,相信它一定不会让你失望的!
12、隐藏IP地址
这一点非常重要!!你上网时最好用一些工具软件隐藏你的电脑的IP地址,如使用ICQ,就进入“ICQMenu\\Securi-ty&Privacy”,把“IP Publishing”下面的“Do not Publish IP ad-dress”选项上。
13、运行反木马实时监控程序
最后,好是最重要的一点就是你在上网时必需运行你的反木马实时监控程序,如、the cleaner, 它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息,加外如加上一些专业的最新杀毒软件、个人防火墙进行监控那更是放心了,当然这要你的爱机够档次才行,你说呢?
14、在输入帐号及密码时用剪切和复制
这一点应用于传奇中特别有效!
为了方便大家及时快捷地查杀你电脑中的现有木马,现向大家介绍几款木马病毒的查杀方法。
1.Back Orifice(BO)
只要检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ RunServices中有无.exe键值。如有,则将其删除,并进入MS-DOS方式,将\\Windows\\System中的.exe文件删除(可运用开始菜单中的“搜索”程序帮助你进行查找这一文件)。
2.Back Orifice 2000(BO2000)
只要检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中有无Umgr32.exe的键值,如有,则将其删除。重新启动电脑,并将\\Windows\\System中的Umgr32.exe删除。
3.Netspy
检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中有无键值Spynotify.exe和Netspy.exe。如有将其删除,重新启动电脑后将\\Windows\\System中的相应文件删除。
4.Happy99
此程序首次运行时,会在荧幕上开启一个名为“Happy new year1999”的窗口,显示美丽的烟花,此时该程序就会将自身复制到Windows95/98的System目录下,更名为Ska.exe,创建文件Ska.dll,并修改Wsock32.dll,将修改前的文件备份为Wsock32.ska,并修改注册表。
用户可以检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce中有无键值Ska.exe。如有,将其删除,并删除\\Windows\\System中的Ska.exe和Ska.dll两个文件,将Wsock32.ska更名为Wscok32.dll。
5.Picture
检查Win.ini系统配置文件中“load=”是否指向一个可疑程序,清除该项。重新启动电脑,将指向的程序删除即可。
6.Netbus
用“Netstat -an”查看12345端口是否开启,在注册表相应位置中是否有可疑文件。首先清除注册表中的Netbus的主键,然后重新启动电脑,删除可执行文件即可。
7、冰河
用纯DOS启动进入系统(以防木马的自动恢复),删除你安装的windows下的system\\kernel32.exe和system\\sysexplr.exe两个木马文件,注意如果系统提示你不能删除它们,则因为木马程序自动设置了这两个文件的属性,我们只需要打开它们的隐藏、只读属性,方法是键入如下命令:Attrib a h r kernel32.exe或sysexplr.exe即可。
删除后进入windows系统进入注册表中,找到[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run]和[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\RunServices]两项,然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\\txtfile\\open\\command],看在键值中是不是已改为“sysexplr.exe %1”,如是改回"notepad.exe %1” 。
8、Asylum
这个木马程序是修改了system.ini win.ini两个文件,先查一下system.ini文件下面的[BOOT]贡,看看"shell=explorer.exe”,如不是则删除它,用回上面的设置,并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件,看在[windows]项下的"run=”是不是有什么文件名,一般情况下是没有任何加载值的,如有记下它以便回过头过在纯DOS下删除相应的文件名。
