清除间谍软件的第一步:软件的诊断
日期:2007-01-29 荐:
安全专家Kevin Beaver:你在这里遇到的问题是人的问题和技术的局限性结合在一起产生的问题。间谍软件和广告软件的启动是用户盲目点击鼠标造成的。当IE浏览器弹出一个对话框,要求在IE中安装一个ActiveX控件或者向用户计算机下载其它貌似安全的游戏、屏幕保护程序等软件时,用户往往随意点击“确认”。 这就是我说的人的问题。这个问题经常发生,因为用户只是想安装软件,弹出式广告就借此机会避开检查想做什么就做什么了。一旦你的用户允许在他们的系统中安装这种软件,根据这种软件的性质,无论用户是否启动IE或者系统是否连接到互联网,这种软件都能够控制Windows计算机的某些方面。这包括启动弹出式广告、修改缺省的主页等。 技术的局限性与查杀间谍软件的工具有关。“Spybot Search & Destroy”对于保护台式电脑并不是万能的解决方案,尽管这是我使用的最好的软件工具。 安全专家Tony Bradley:从给出的情况看,这里可能存在两个不同的问题。当计算机甚至还没有连接到互联网的时候也出现弹出式广告,这类程序可能是通过Windows Messenger服务进入用户计算机的。修改浏览器主页和搜索工具条最有可能是浏览器辅助对象(BHO)出现的问题造成的。间谍软件是一种随看随下(drive-by downloads)的软件。当用户访问恶意网站时,间谍软件利用浏览器中的漏洞不需要用户同意就安装在用户的计算机中。 安全专家Lawrence Abrams:当浏览器中的搜索功能和主页被修改之后,通常会出现劫持浏览器的情况,就像“Viewpoint Manager”软件劫持浏览器一样。浏览器劫持一般分为两大类,主动劫持和被动劫持。 主动劫持者是一种在计算机启动时就调入的程序。这种程序持续监视计算机的具体设置,确保这些设置符合劫持者的愿望。被动劫持是在计算机启动时开始运行的程序。这种程序修改某些设置并且上传。一旦你确定这种劫持程序,这些问题是很容易修复的。 首先,你必须确定你处理的是哪一类劫持程序。我使用HijackThis软件进行查找。如果你熟悉程序入口(entry)的位置或者把软件程序与启动数据库进行比较,你就可以找到劫持软件。 在运行HijackThis工具软件时,我们注意到了Viewpoint工具条和Viewpoint管理器的入口。这就是Viewpoint间谍软件的罪证。我们还看到起始页的入口已经被修改了。 至于热力推荐(HotOffers)的问题,修复这个入口似乎并不起作用。他们还是不断地出现,上面提到的事情似乎都不是这个问题的原因。起始页改回到HotOffers的事实说明我们正在处理的问题是主动的劫持。 在这种情况下,我们需要使用另外一种名为“SilentRunners”的工具软件。这个工具能过让我们深入到正在这种自动运行的程序中。 SilentRunners将生成一个关于注册表设置的登记列表,找出哪些不是Windows缺省设置的程序。 运行这个程序,我将看到如下结果: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support" -> {CLSID}InProcServer32(Default) = "C:\WINDOWS\System32\param32.dll" [null data] 这就告诉我一个名为c:\windows\system32\param32.dll的文件在计算机中启动了。param32.dll文件不是缺省的Windows配置。要确定这个文件是不是罪魁祸首,我使用Sysinternal软件中的strings.exe程序查看这个文件内部的ASCII字符串。 当在可执行文件中看到列出的字符串时,我们看到了一个HotOffers,我们现在知道我们已经找出了这个问题了。
标签: