与传统的病毒不同,甚至与较广义的病毒定义(病毒、蠕虫、木马)不完全符合,本文要讨论的这种对您电脑的威胁,尚未被广大反病毒软件普遍承认。但事实是,的确存在这样一些软件,它们搜集您电脑的软硬件配置情况、记录您上网的浏览习惯并将搜集到的信息偷偷传送出去,甚至直接在您的浏览器上做手脚,自动帮您打开一些您没打算去的页面。对,我指的就是间谍软件和浏览器劫持等等恼人的东西。
严格地说,间谍软件Spyware和广告程序Adware还是有点区别的。广告程序通常指内建在共享软件内的,打开该共享软件的同时到网上下载广告并显示的那种程序。这是共享软件作者获得收入的一种方法,在安装时也会提示,一般通过注册该共享软件可以解除它。而间谍软件可能也以广告程序的面目出现,但它却会偷偷搜集您的信息并发送给特定的目标。
有的时候,间谍软件和广告程序的区别也很模糊,比如有的广告程序在弹出广告窗口的同时也会通过读取它建立在您电脑中的cookies来获得用户的浏览习惯等信息,说它是间谍软件也不过分。当然,也有的间谍软件并不弹出广告,只是悄悄地开后门发送它搜集的信息,甚至有的已经和木马的行为差不多了。在那些将此类程序加入病毒库的杀毒软件中,同一样本,一个杀毒软件报告为广告软件,而另一个杀毒软件报告为木马,这也并不罕见。
恶意程序远不止此,浏览器劫持也是常见的恶意行为。主页、搜索页被改,不请自来的受信任站点,收藏夹里自动反复添加恶意网站,这些的恼人程度甚至不次于真正的病毒。此外,还有恶意拨号器、玩笑程序、黑客工具……
广告/间谍软件、浏览器劫持、恶意拨号器等等的出现和泛滥莫不与利益驱动有关。间谍软件制作者可以通过将收集到的信息出卖给其它组织来获利,浏览器劫持可以增加特定网页的访问量(意味着广告收入的增加),恶意拨号器则会主动帮拨号用户花掉大量的电话费(这笔钱怎么分就是人家的事啦)……
这些东西是怎么感染电脑的呢?广告/间谍软件可能通过某个“免费”软件安装到您的电脑中,可能是您浏览某个网页时不小心点了某个弹出窗口的“确定”,甚至可能是被直接偷偷安装到电脑上的。恶意拨号器通常是在骗取了您的信任后才被安装到电脑上的。浏览器劫持的过程一般较隐蔽,常常在上网浏览过程中,到过某个网站后,浏览器就开始出现异常了。这也不是截然分开的,有的广告/间谍软件也可能有浏览器劫持的动作。
那么,如何防范呢?一个好的浏览习惯是必要的。不要轻易相信网站的劝说,在点击任何“确定”按钮前都要三思。遇到可疑的询问是否下载某某软件的弹出界面,最好直接终止浏览器进程(同时按下CTRL+ALT+DELETE,在打开的窗口中选中您所使用的浏览器进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。)使用windows update(打开IE——工具——windows update)给系统打上所有关键补丁、安全补丁也是必要的步骤,建议您打上这些补丁。遗憾的是,有的杀毒软件对这类问题反应不够敏感,而普通防火墙对于已得到您允许的软件(那些间谍软件的宿主程序)访问网络也是大开绿灯的。不过,这类程序绝大部分都是以IE为目标的,如果您愿意更换一款非IE内核的浏览器,那么风险会小得多。另外,也有一些防间谍/广告程序的专门工具,比如Spybot - Search and Destroy、Ad-Aware,当然,还有分析利器HijackThis。
常见的“浏览器绑架”症状可能有以下一些(仅是举例,绝非全部症状):
*被重定向到恶意网页
*当输入错误的网址时被重定向
*输入字符时IE速度严重减慢
*重启动后IE主页/搜索页被更改
*不请自来的受信任站点
*收藏夹里自动反复添加恶意网站
*在使用Google和Yahoo等著名搜索引擎搜索时出现某些弹出窗口
*IE 选项卡中出现不能更改或被隐藏的项目
*不能打开 IE 选项卡
……
如果您的浏览器出现这类症状,就提示您可能遭遇了浏览器劫持。当然,您还可以通过一些对付广告/间谍软件、浏览器劫持的专门工具来检测和修复这些问题。清除广告/间谍软件前请注意,如果它们是随同某个免费软件安装的,清除了它们之后,该免费软件很可能无法继续正常使用。
请首先使用最新版杀毒软件在安全模式查杀病毒、木马。
进入安全模式的方法:重新启动电脑,开机检测完后,按[F8]键(可以一直按到启动菜单出来为止),选择安全模式进入Windows。
其次,提醒您一下,某些广告程序(尤其是一些没有被杀毒软件列入查杀名单的)会在控制面板的“添加删除”中留下卸载项目,在进行下一步之前您不妨试试看。
再次,建议您不妨先尝试一些现成的对付“浏览器绑架”、间谍软件、广告程序的免费工具。比如——Spybot-Search&Destroy、Ad-aware、CoolWebSearch Shredder (CWShredder.exe)等等。
如果您遇到的那些恶意网页是英文的,这些软件常常能帮上您的忙。
最后,如果这些软件不起作用,您还可以尝试使用HijackThis扫描并修复。如果您对HijackThis扫描日志中某些项目不清楚,请不要贸然自行修复,不妨先使用搜索引擎在互联网上查找一下。
HijackThis
HijackThis V1.99.1汉化版下载及英文原版下载地址列表附在本贴末
关于HijackThis的介绍和使用方法,请参考“瑞星网站HijackThis专题”
请注意,请一定将下载得到的HijackThis放到一个单独的文件夹中,如果下载得到的是压缩包,还要把它解压出来。希望您不要在临时目录中运行HijackThis,也不要直接在压缩包中运行HijackThis。因为使用HijackThis做修复时,它会自动给修改的项目做备份,保留这些备份文件是个好习惯,一旦修复错了,可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空,而在压缩包中直接运行HijackThis的话,是无法生成备份文件的。1.98版以后在这方面有所改进,会尝试自动建立一个独立文件夹。
HijackThis是用VB开发的, 运行时需要VB的运行库文件MSVBVM60.DLL支持。
还有,使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口。
您不妨自己解读一下HijackThis的日志(扫描结果),解读方法可以参考下文——HijackThis日志细解【附反劫持一般建议】
HijackThis参考文献——恶意O16项目列表
也可以使用HijackThis日志自动分析服务。网址:
小提示:使用HijackThis修复时的一般步骤如下
1. 有恶意进程正在运行的,先终止其进程
(关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。)
2. 使用HijackThis修复
3. 重启动到安全模式,显示隐藏文件和系统文件,删除那些被修复项目相关的文件。(为保险起见,可以先压缩保存。)
4. 重新启动到正常模式,再次运行HijackThis检查一下。
您也可以把HijackThis生成的log日志文件的内容发到论坛(请贴内容或者将log文件压缩后作为附件上传,不要直接抓图贴图),方便大家分析。如果您决定将HijackThis扫描日志发到论坛上寻求帮助,请在发布HijackThis扫描日志的同时说明您遇到的具体问题,包括症状、您曾经采用的处理方法及其结果等。发帖最好主题明确,一个帖子解决一个问题,同一问题请不要多次发帖询问,您可以在原帖后跟帖做进一步的说明,以使回帖者了解该问题的整个讨论过程。另外,分析HijackThis扫描日志需要一定的时间,所以请稍稍等待一下。
CWShredder
此软件的简介和使用方法,请参考——
直接下载地址
