安全工程师教你流氓软件清除攻略

  • 来源: 中关村在线 作者: 李祥敬   2009-11-24/14:33
  • 1.定义简析:何为“流氓软件”?

    谈到流氓软件,有人会立刻露出“鄙视”、“愤慨”的神情,甚至比起病毒、木马来都更要憎恶,那么,缘何如此呢?首先,我们来分析下相关的性质,比如我们可以看到,和具有破坏功能、最终会危害用户数据和从事相关恶意行为的病毒程序,以篡改相关属性、项目,并通过后门上传用户数据的木马程序不同,“流氓软件”实际并非是病毒文件,因为其在表面来看,是一款工具、影音软件,有一些也确实可以使用,比如早年的划词搜索、工具栏等等,不过,首先卸载以为麻烦,甚至根本无法彻底清除干净,其次安装不知不觉,或者绑定在某软件当中,一并默认“送”入了用户的系统,或是直接整整,“霸王硬上弓”一般的让你不得不装。

    流氓软件清除攻略 瑞星技术先锋0926期
    (设计对白)那些软件根本没有卸载选项?这可怎么办啊

    2.不同类别和危害所在

    (1)纯粹强制安装,就为让你来用

    既然是流氓软件,那么肯定会非常“流氓”,所以类别中第一就是纯强制安装程序,他们其实也没有什么特别的目的,很简单,就是你得用我的东西,一般或绑定在其它软件当中,或通过一些欺骗手法强制下载来完成安装。且软件安装后,无法进行卸载,使得用户还真“不得不继续使用”。#p#副标题#e#

    (2)为了广告效益,不惜频繁弹窗

    很多用户在安装一些软件后,会发现在使用一段后就自动出现弹窗界面,上面要么是所谓的“一个疗程、保治百病”、“只要你买,就有好戏”等搏击眼球的广告内容,要么是一些诱骗广告,色诱信息等等,让人感到无比厌烦,特别是一些每隔几分钟就自动弹出的窗口,更让人感到郁闷,同时弹窗过多,还会严重消耗系统资源,如果您正在工作或通过PPT演示,此时弹出一张“裸女”图片,相信后果也会可想而知,同时早年的工具栏软件,实际也是打着实用,实为宣传植入广告的纯粹流氓产品,一直被用户鄙视和频繁上报。

    (3)劫持浏览程序,强迫吃下苦果

    浏览器劫持,现在依然是安全厂商所重点预防和修正对象所在,其主要通过浏览器的一些插件程序(包括IE傲游等)、浏览器的BHO辅助对象、LSP信息等方式,对浏览器的相关属性信息等进行篡改、修正浏览器的配置信息,比如将其强迫导入到商业网站,或“挂马”站点等等。

    和我们在安装时着重小心,或许还能“躲过一劫”不同,劫持程序通常是在你浏览一些网站时,强迫进行植入和安装,使得我们根本无法完成卸载,甚至通过进入安全模式,删除相关键值等也都很难将其有效清除,比如会出现,点击卸载立刻显示系统错误,或马上提示重启,但重启后依然存在,主要程序被写保护操作等等,特定的编写方式,甚至让一些防火墙也无法有效察觉。


    流氓软件清除攻略 瑞星技术先锋0926期
    瑞星等安全厂商曾经多次发出“流氓软件”追杀令

    (4)记录你的举动,窥视你的隐私

    流氓软件另外让人最为愤慨的,无疑就是其对用户行为的分析、记录、上传功能等,尤其是美其名曰“调查使用习惯、完善产品设计”等,这样的行为,比流氓还要可恨万分,尤其是一些带有间谍性质的产品,还会将您系统中的商业数据、机密信息的专门发送给商业公司或机构,另外根据用户的爱好,还会定期进行广告信息轰炸等等,个人的QQ密码、网游账号、装备等,也在其的窥探之列。#p#副标题#e#

    3.如何检测和手工清除

    任务管理器里有流氓进程的存在,则代表其目前正在后台运作,如果此时你不对其进程做以结束,即使你找到对应源头,也将无法对其删除。其原因主要是由于流氓软件的自我保护方法,通过DLL文件植入的方式,强行插入桌面进程Explorer.exe,使其我们无法删除核心文件,于是,如果希望手工清除,这里需先关闭掉其具有保护意义的桌面进程,然后才可将其恶意文件删除。


    流氓软件清除攻略 瑞星技术先锋0926期
    通过任务管理器创建对应进程来关闭当前任务树

    方法非常简单,为了关闭流氓软件插入桌面进程Explorer.exe,我们这里按住键盘上“Ctrl+Alt+Del”组合键,将“任务管理器”对话框打开,然后切入至上方“进程”标签,从中找到Explorer.exe进程,并且右击该进程名称,选择“结束进程”选项。

    随后在弹出的“任务管理器警告”对话框内,单击“是(Y)”按钮,结束其桌面进程。随后返回到“任务管理器”对话框,依次单击上方“文件”→“新建任务(运行……)”选项。然后在弹出的对话框中单击“浏览”按钮,将其定位到系统目录下。其文件类型选择“显示所有文件”选项。而后找到Msdc32.dll文件将其删除即可,接下来再利用以上选中“explorer.exe”文件,单击“打开”按钮,即可恢复对应操作。

    流氓软件清除攻略 瑞星技术先锋0926期
    通过安全属性等,对其相关效能进行调整

    另外,大多数流氓软件是利用进程,来保护自己的恶意文件不被删除,但是还是会有少量的流氓,以系统权限功能来保护自己。比如流氓文件侵入电脑后,它会把自身权限设置为任何用户禁止删除,这样普通权限用户要想删除该文件,系统就会弹出“权限不足”的对话框提示,而如此取消?我们也可以首先找到躲藏在电脑里的流氓文件,然后右击,在菜单中选择“属性”选项,切入至“安全”标签,单击“高级”按钮,在弹出的窗口去清除“从父项继承那些可以应用到子对象的权限项目”,以及“包括那些在此明确定义的项目”复选框,而后单击“删除”,就可去除所有继承的权限,单击“确定”按钮确认。

    这时再回到当前文件“属性”窗口,这时我们单击“添加”按钮,将允许访问该文件的用户添加到“组和用户列表”,并且将用户权限设置为“完全控制”,这样普通用户就可对其文件里的流氓做以删除了。

    流氓软件清除攻略 瑞星技术先锋0926期
    通过IE浏览器的加载项管理也可轻松管理和禁用一些程序

    另外,对于上面曾经谈到的浏览器劫持工具,我们通过IE7、8的浏览器加载项设定,也可以将其禁用或停用,并根据对应目录执行删除操作。#p#副标题#e#

    手工清除的方法比较复杂,而且面对不同的威胁类型,我们很可能无法做到全面、彻底清除,所以,借助专业的流氓软件清理工具,则非常必要,而今天,为大家推荐的瑞星全功能安全软件2010版本和卡卡安全助手的6.0版本,就可以有效对各类木马威胁进行清除操作,其中包括卡卡软件强大的恶意软件清除功能等,更可以让我们轻松杜绝各类安全威胁。

    例如通过卡卡软件,我们可以看到其为用户提供了强大的“扫描流氓软件”、“木马清理”等实用工具,执行对应的扫描操作后,软件会自动对系统内的威胁进行扫描和检测,并识别当前潜在的安全威胁。


    流氓软件清除攻略 瑞星技术先锋0926期
    瑞星卡卡安全助手6.1版软件扫描和检测、查杀界面

    流氓软件清除攻略 瑞星技术先锋0926期
    通过卡卡“扫描流氓软件”功能快速检测系统中的恶意插件

    另外通过卡卡“高级”工具中的进程管理等功能,我们也可以对应名称、安全级别、PID信息等,来了解一些威胁进程数据,如果识别到威胁信息,可以快速通过对应窗口完成关闭、终止操作。

    流氓软件清除攻略 瑞星技术先锋0926期
    卡卡“进程管理”可方便用户快速揪出潜在的危险进程

    这样,如果您对手工清除木马的手段不太熟悉,那么通过瑞星卡卡等安全工具,则是一个不错的选择,通过它,方便、彻底清除潜在威胁,还系统一重明亮,重新焕发别样青春。#p#副标题#e#

    病毒借U盘传播用户使用移动设备需先杀毒

    瑞星“云安全”系统统计,本周瑞星共截获了114万个挂马网址。本周挂马网站主要针对电招聘、高校等网站。本周瑞星截获了一个蠕虫病毒“U盘蠕虫变种TEZ”,病毒运行后会隐藏文件夹或将文件夹名称修改为“文件夹名称.exe”,破坏部分系统功能,并能通过U盘不断进行传播,严重影响电脑正式使用。

    本周关注的被挂马网站:

    “1010Job精英招聘”、“池州信息港”、“1798国际贸易网”、“南京林业大学”、“成都大学”的部分页面被黑客挂马。黑客利用微软最新视频漏洞和服务器不安全设置进行入侵。用户访问这些页面后,可能会感染蠕虫下载器和大量木马病毒。


    铸剑斩毒魔 瑞星全功能2010版全国首测
    启动瑞星2010“木马行为防御”有效拦截挂马站点

    本周关注病毒:

    “U盘蠕虫(Worm.Win32.Autorun.tez)”警惕程度★★★★

    这是一个通过U盘传播的蠕虫病毒,病毒运行后,结束多个系统进程,通过修改注册表键值启动项,实现开机自动启动。病毒会禁用任务管理器和文件夹选项,使得显示扩展名和隐藏文件失效,在每个盘符下生成autorun.inf和病毒文件,并将文件夹改名为“文件名.exe”。最终病毒会通过U盘、移动硬盘方式进行传播。

    防范方法:

    1、使用“瑞星全功能安全软件2010”,有效阻挡通过网页挂马方式传播的病毒;

    2、安装卡卡上网安全助手6.1自动修复漏洞;

    3、同时可拨打反病毒急救电话010-82678800或登录http://help.rising.com.cn使用在线专家门诊免费寻求帮助。

    编辑点评:

    在本期ZOL&瑞星技术先锋栏目中,为大家介绍了让人深恶痛绝的流氓软件的相关原理,以及如何有效防护和进行拦截,同时为大家介绍了瑞星系列安全产品在这些方面的优势所在。作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办,邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧,敬请广大网友期待!也非常希望您能给参与到我们的栏目中来。


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多