1、電腦病毒防治 彭學信彭學信綱要綱要l名詞介紹l常見病毒l工作管理員被停用怎麼辦l網路芳鄰漏洞l首頁被綁架怎麼辦l防火牆使用l中毒了,怎麼辦l建議電腦病毒電腦病毒(Virus)l電腦病毒是一種電腦程式,設計有特定的功能,並且會感染寄生或附著在別的電腦程式或文件檔案裡面。有些電腦病毒就只有自我複製這個單一的功能與目的,有些電腦病毒則會破壞電腦裡面的資料,甚至會破壞電腦系統。電腦蠕蟲電腦蠕蟲(Worm)l電腦蠕蟲不會像電腦病毒程式一樣感染其他檔案,但本尊會複製出很多分身,就像西遊記中的孫悟空一樣,拔幾根毛就可以複製出幾個分身,然後像蠕蟲般在電腦網路中爬行,從一台電腦爬到另外一台電腦,最常用的方法是透
2、過區域網路(LAN)、網際網路(Internet)或是 E-mail 來散佈自己。著名的電腦蠕蟲VBS_LOVELETTER就是一個例子。特洛伊木馬特洛伊木馬(Trojan)l特洛伊木馬程式不像電腦病毒一樣會感染其他檔案,特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中,然後伺機執行其惡意行為(如格式化磁碟、刪除檔案、竊取密碼等),Back Orifice特洛伊木馬程式便是一個案例,透過該程式電腦駭客便有機會入侵主機竊取機密資料。l一般會偽裝成某種有用的或有趣的程式,比如螢幕保護程式、算命程式、電腦遊戲等,但是實際上卻包藏禍心,暗地裡做壞事;它可以破壞資料、騙取使用者密碼。電腦病毒
3、特洛伊木馬程式 電腦蠕蟲感 染 其 他 檔案OXX被 動 散 播 自己OOX主 動 散 播 自己XXO造 成 程 式增加數目一般隨電腦使用率提高,受染感檔案數目則增加 不增加 視網路連結狀況而定,連結範圍愈廣,散佈的數目多破壞能力視寫作者而定 視寫作者而定 X對 企 業 的影響性中低高惡意程式(惡意程式(Malicious Code)l定義-它是藉由駭客技術與病毒技術融合形成的。包括木馬、病毒、後門、間諜(偷資料)程式的綜合型工具。l電腦被植入後門程式的特徵【Backdoor,以前又稱特洛依木馬(Trojan)】。這是一個遠端遙控程式。潛伏在電腦中,從事資訊蒐集(比如記錄你的鍵盤操作獲得密碼,
4、或擷取你的螢幕畫面)方便駭客遠端連結登入(幫你開關機,增刪你的檔案,或讓你在自己的電腦控制遠端機器下達操作指令)。惡意程式發展趨勢惡意程式發展趨勢1987-1993 1993-1995 1995-1998 1998-目前電腦病毒*DOS 檔案型*DOS 常駐型*開機型*Win16 檔案型*針對MSOffice 系列的巨集型病毒*Win32檔案型*Win32常駐型*跨應用程式感染型(Win32及巨集)特洛伊木馬程式*毀滅型(格式化磁碟)無典型代表*竊取資料的Backdoor型程式*阻斷服務型(DDOS)*遠程遙控的Backdoor型程式Wireless 型電腦蠕蟲無典型代表無典型代表無典型代表*
5、Email散播型*網路散播型 Network worm*藉由安全漏洞散播型惡意程式的擴散 l一、以合法管道進行非法存取一、以合法管道進行非法存取 l二、閱讀二、閱讀E-MAIL時自動散播時自動散播 l三、藉由三、藉由E-MAIL主動散播主動散播 一、以合法管道進行非法存取 l如探險蟲病毒會以受感染的電腦為源頭,透過網路自動向外擴散,並嚐試進入將資料夾分享(Share)出來的電腦、刪除該電腦中的資料。這樣的行為對於電腦作業系統而言,是完全合法的,因為只要權限足夠,我們可以對任何設定為資源分享的資料夾做存取的動作。閱讀E-MAIL時自動散播 l以往我們認為在使用電子郵件時,只要不執行或開啟附件(A
6、ttachment)就不會遭受病毒感染。l但VBS_BUBBLEBOY泡泡男孩這隻由VBScript語言所寫成的病毒,卻打破了這個觀念,即使是僅開啟電子郵件也可能遭受到病毒的威脅。l泡泡男孩是以電子郵件的型態在網路上傳播。郵件的主旨為“BubbleBoy is back!”l不論直接開啟或是在預覽窗格中看這封郵件,其實泡泡男孩病毒已經開始執行了。l會自動尋找使用者的通訊錄,再把同樣的郵件自動寄給通訊錄內的地址。三、藉由E-MAIL主動散播 l想必大家對於這隻曾經驚動美國聯邦調查局(FBI)的文件巨集病毒一定耳熟能詳,梅莉莎病毒是首隻會透過 Outlook 大量並以等比級數的速度散播的巨集病毒,
7、短短一週內毒性襲捲全球,許多知名大企業的郵件伺服器(E-MAIL Server)也都因梅莉莎病毒所引起的郵件風暴,導致伺服器不堪負荷而紛紛當機。間諜程式(spyware)l間諜程式掃瞄並非病毒或惡意的程式碼,而是危及您隱私的應用程式,允許駭客在您毫無知覺的情況下取得您電腦的控制權。它們經常隨著您下載想要的應用程式的同時,不知不覺地下載到您的電腦上。這些安全威脅包括間諜程式、廣告軟體、惡意撥號程式、惡作劇程式、駭客工具、遠端存取工具、密碼破解應用程式,以及其他未分類的軟體。微軟的後門程式例子微軟的後門程式例子lWindows XP上預掛的Windows Update程式(後門程式),它的升級程序
8、如下:程序 目的1.開機時自動連上微軟的Update網站潛伏並常駐在記憶體中2.將電腦的現況回報給Windows網站蒐集電腦系統運作的相關資訊3.以Windows Update程式通知使用者,更新檔案以特定的port進行系統版本更新後門程式攻擊手法後門程式攻擊手法 l攻擊手法潛伏、蒐集、遠端管控。l後門程式不一定會進行自我複製的動作,也就是後門程式不一定會感染到其他的電腦。l它並不會進行破壞性的動作,而且所蒐集的資訊也不固定,因此防毒軟體無法針對單一行為進行攔截。後門程式防治法後門程式防治法l後門程式是以單一程序(Process)的型式存在的,除非防毒軟體的病毒碼中記錄了所有已知的後門程式,否
9、則後門程式是等同於一般程式。因此防毒軟體僅能攔截並刪除已知的後門程式,電腦使用者是以防毒軟體來防範後門程式。但這不是正確的做法,因為新的或毫無名氣的後門程式是無法防範的,比較正確的做法應該是先修補系統或程式中的漏洞。系統安全弱點l安全弱點會讓攻擊者、病毒或其他網路安全威脅更容易傷害您的電腦。Microsoft 已公開確認這些存在於其軟體中的安全弱點,並且發行其相對應的修正檔。修正安全弱點可協助您有效降低您電腦受到攻擊或病毒感染的機會。l電腦蠕蟲最常利用此弱點。常見病毒常見病毒lWORD 文件巨集病毒l蠕蟲型病毒l疾風病毒W32.Blaster.Worml殺手病毒W32.Sasser.Worml
10、新型病毒(梅莉莎病毒)l瀏覽圖片也有可能會中毒?巨集病毒巨集病毒l它專門感染經由 WORD 所編輯過的文件,而這一類型的病毒又是一隻跨平台的病毒 l此類型的病毒其感染方式為,一旦我們開啟有巨集病毒的文件之後,以後我們所開啟的舊檔或者是開啟新檔案等等都難逃 WORD 巨集病毒的惡夢。l早期以臺灣 No.1 巨集病毒流傳率最高。l目前以梅莉莎病毒較有名防止巨集病毒防止巨集病毒防止巨集病毒防止巨集病毒自行決定是否開啟此巨集功能如如果中了巨集病毒怎麼辦果中了巨集病毒怎麼辦l檔 案 巨 集 病 毒 通 常 會 放 在 C:w i n d o w s A p p l i c a t i o n DataM
11、icrosoftTemplatesnormal.dotl然後感染Program FileMicrosoft OfficeTemplatesnormal.dotl因此必須移除上述兩個檔案l複製一份新的normal.dot(使用者範本)l關閉巨集功能l開啟帶病毒檔與另開新檔l複製內容再貼到新檔l新檔存檔l刪除原帶病毒檔l完成蠕蟲型病毒蠕蟲型病毒l定義-利用作業系統漏洞進行攻擊模式的病毒模式(防毒系統無法百分之百防護)l疾風病毒簡介(著名病毒-代表作):l疾風系列病毒鎖定的目標,都是WindowsXP、Windows2000和WindowsNT4.0等微軟視窗作業系統的安全漏洞,然後在區域網路中大量
12、寄送封包,最後癱瘓網路。疾風病毒疾風病毒W32.Blaster.Worml1.出現RPC服務意外終止倒數60秒重新啟動的訊息,造成系統不斷重開機.l2.無法執行複製或貼上的動作.l3.無法拖曳圖示l4.新增移除程式呈現空白狀態l5.某些應用程式無法執行,如Internet Explorer、Microsoft Outlook、Outlook Express、MS Office.l6.網路與系統速度變慢.疾風病毒檢測方法疾風病毒檢測方法1l1.【開始-執行-CMD.EXE ENTER】開啟Command line DOS視窗l2.鍵入指令:netstat al3.查看列出的清單中是否有下列字串:
13、ProtocalLocal AddressForeign AddressStatusTCP:4444 或:707:0LISTENINGUDP:69:0LISTENING疾風病毒檢測方法疾風病毒檢測方法2l執行 工作管理員 點選 處理程序 查看是否有下列程式正在執行msblast.exe或dllhost.exe若有發現此檔名則是中了疾風病毒“lWindows 2000作業系統C:cd winntsystem32winsC:dirdllhost.exesvchost.exe(若出現此兩個檔案即已中了疾風變種病毒)lWindows XP作業系統C:cd windowssystem32winsC:di
14、rdllhost.exesvchost.exe(若出現此兩個檔案即已中了疾風變種病毒)請將dllhost.exe及svchost.exe2個檔案刪除 疾風病毒清除疾風病毒清除l1.如果你的電腦會要求重開機,請立刻執行以下動作:l1.【開始-執行-CMD.EXE ENTER】開啟Command line DOS視窗。l2.在DOS視窗下(C:)輸入【shutdown-a】,可停止關機程序。l3.按“CTRL+SHIFT+ESC”叫出工作管理員,點選“處理程序”標籤,找到下述執行檔:MSBLAST.EXE或SVCHOST,然後按下結束處理程序的按鈕。疾風病毒清除疾風病毒清除l2.下載防毒軟體廠商所
15、提供的清除病毒工具。http:/.tw/avcenter/venc/data/w32.blaster.worm.removal.tool.htmlhttp:/ l3.下載微軟修正程式:http:/ 果 您 的 電 腦 路 徑 C:W i n n t 或 是C:Windows 有出現avserve.exe檔案,那麼您的電腦可能已經感染Sasser蠕蟲殺手病毒清除殺手病毒清除l已 中 毒 者,請 先 下 載 掃 毒 程 式http:/ MS04-011的修正程式,將可以免於Sasser的威脅。l建議您用防火牆阻擋有相關的port Port 139(tcp/udp)Port 445(tcp/udp)
16、新型病毒,特點為:新型病毒,特點為:l結合了傳統的病毒、自動掃描、蠕蟲、後門程式。l行蹤不定、變化多端,可以掌握被入侵電腦的系統資訊。l病毒程式經過加密、具有偽裝(ex:變更附檔名稱)的功能。l採用大量、迅速、分段入侵的方式,對網路造成巨大的威脅。梅莉莎梅莉莎(MELISSA)l結合電腦病毒及電腦蠕蟲的兩項特性。l該惡性程式不但會感染 Word 的 Normal.dot(此為電腦病毒特性),而且會透過 Outlook E-mail 大量散播(此為電腦蠕蟲特性)。l讓 mail Server負荷過重l讓網路癱瘓Melissa病毒感染流程病毒感染流程 l1.當使用者開啟一個含有梅莉莎病毒的Word
17、文件時,病毒就會立 刻感染Word的範本文件Normal.dot。l2.接著病毒就會去讀取使用者Outlook中的通訊錄,自動從通 訊錄中挑選收件者名單,並自動將自己透過e-mail傳送給這些 人。l3.當上述的收件人開啟了e-mail中含有梅莉莎病毒的Word文件檔 時,病毒便如法泡製的將自己再度透過Outlook傳播給其他人。l4.梅莉莎病毒的傳播不但企業內部網路會受到染感,甚至遠在國 外或其他企業組織的人,只要是在Outlook通訊錄中出現的名單,都很難逃過一劫。Melissa病毒清除病毒清除l同巨集病毒清除法探險蟲(探險蟲(ExploreZip)l結合了特洛伊木馬程式及電腦蠕蟲兩項特性
18、。l探險蟲並不會感染任何檔案,但是是會覆蓋掉(Overwrite)在區域網路上遠端電腦中的重要檔案(此為特洛伊木馬程式特性),並且會透過區域網路將自己安裝到遠端電腦上(此為電腦蠕蟲特性)。ExploreZip病毒外表病毒外表lEmail 使用者收到回覆 Re:信件時,必須特別留意信件內容是否如下:Hi Penny(收件人名字收件人名字)!I received your email and I shall send you a reply ASAP.Till then,take a look at the attached zipped docs.Sincerely Johnson PS.問候語
19、也有可能是Bye,Sincerely,All或是Salutation等。l這時若你發現信中夾帶檔名為zipped_files.exe的附件,請千萬不要開啟,直接刪除該信件。否則將會展開一連串的破壞行動。ExploreZip擴散方式擴散方式lEmail:利用Microsoft的MAPI功能在使用者不知情的狀況下,反寄一封帶毒的電子郵件給原寄件者。l企業網路:Explorezip探險蟲一旦在任何一台電腦中啟動,即會找尋網路上原設定讓中毒電腦分享資源的其他電腦,一旦找到目標,探險蟲即會開始修改其開機設定(若是針對 Windows 95/98 電腦,則加入 WIN.INI中;針對NT電腦則是加入 Re
20、gistry)並安裝一個具破壞性的執行檔案(Explore.exe or _setup.exe)。該電腦將會成為帶原者,一旦重新開機,即會再度於網路上尋找下一個網路上的芳鄰,開始進行連鎖感染。ExploreZip破壞力破壞力l將以下副檔名的檔案內容全數化為烏有,僅剩目錄而無內文:.c(c source code files).cpp(c+source code files).h(program header files).asm(assembly source code).doc(Microsoft Word).xls(Microsoft Excel).ppt(Microsoft PowerP
21、oint)l使網路效率變慢 ExploreZip影響力影響力l企業組織內若有一台電腦沒有裝防毒軟體,或是有安裝防毒軟體但沒有更新至最新的防毒元件,極有可能導致重複性的全面感染。比如 1000 台電腦中 999 台都安全無毒,但漏掉一台外務人員的 Notebook,一旦這台電腦連上網路,整個網路的感染又將再度展開。如果已經感染了如果已經感染了EXPLORZIP 探探險蟲,您應該怎麼辦?險蟲,您應該怎麼辦?l保護伺服器:l如果這個病毒已經在您的網路環境上造成某些程度的破壞了,首先將伺服器的存取權限改成“讀取”(Read-Only),必要時,請先關掉伺服器,以避免檔案進一步的被破壞。l請利用“登錄編
22、輯器”(regedit)刪掉以下目錄的數值HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCur r e n t V e r s i o n W i n d o w s r u n將數值由“c:winntsystem32Explore.exe”改成空白。理由:如果這隻病毒已經在執行了,那麼您就沒有辦法刪除。所以必須先將登錄值刪掉,才能避免這隻病毒在電腦開機後就自動執行。您應該怎麼辦?您應該怎麼辦?l保護您的工作站l立刻讓工作站離開網路系統(例如,拔掉網路線)l移除電腦上的共享目錄或是磁碟(至少先改成只有“讀取”權限)l使用PC-cillin或是Office
23、Scan掃瞄所有磁碟機(請確定使用2.062以上的掃瞄引擎及543以上的病毒碼)。如果發現病毒時,立刻刪除。完全刪除後,再重新連接網路。l如果您發現無法刪除該病毒,那麼代表這個病毒已經在執行中,所以無法刪除。此時請用乾淨的開機片將電腦啟動到DOS模式。利用DOS下的掃瞄程式PCSCAN或是VBSCAN來找到病毒,並刪除病毒。瀏覽圖片也有可能會中毒?瀏覽圖片也有可能會中毒?l瀏覽圖片也有可能會中毒?沒錯,就是瀏覽圖片,不管你是從Email所收的圖片,或是上網路相簿瀏覽的圖片,或是根本只是用ACDSee秀圖軟體觀看在你電腦中的圖片,都有可能會中毒!l這是在今年9月由微軟所公佈的一個名叫JPEG處理
24、程序(GDI+)處理緩衝區溢出的安全性漏洞,只要是JPEG格式的圖片,經過特殊的處理後,都有可能引發這個漏洞,導致駭客趁虛而入,引發你的系統中毒。瀏覽圖片也有可能會中毒?瀏覽圖片也有可能會中毒?l主要的原因並不在於圖片檔,而在於微軟作業系統中一個GDIPlus.dll的動態連結檔案;當我們要瀏覽JPEG圖片或是對JPEG檔案作影像處理時,多半都要用到這個檔案裡頭的程式指令,而漏洞就存在這個檔案裡頭。Microsoft安全性公告安全性公告MS04-028l非常詳細公佈了關於JPEG處理程序(GDI+)緩衝區溢位這個問題的相關資訊,其中列出了微軟產品中受到影響的軟體清單。l建議你趕快到這個網頁上去
25、查一查,看看你有哪 些 軟 體 需 要 更 新,該 公 告 的 網 址 為: 的電子郵件,千萬不要打開pif 附件檔以免中毒,既使收到病毒信件,只要不打開.pif檔就不會中毒。這一隻病毒危害的系統相當廣泛。l包括Windows 95,98,ME,NT,2000 和XP系統都是目標。l延伸副檔名為.SCRl螢幕保護程式 可能病毒程式可能病毒程式l兩種病毒(Beagle worm&NetSky worm)的變種肆虐。這些病毒都是透過email傳播,凡是附件為.pif以及.zip都請不要隨意開啟。由於這些病毒會假造寄件者,所以即使看到認識的寄件者寄來有問題的附加檔也不要輕易開啟。lW32.Beagl
26、e.Cmm偽裝成ZIP壓縮檔,此變種病毒還會停止防毒軟體更新病毒碼的機制,造成防毒軟體無法偵測新病毒。工作管理員被停用怎麼辦工作管理員被停用怎麼辦l可能被特洛依木馬病毒入侵l可下載移除木馬工具程式l或手動移除(請小心使用)l請利用“登錄編輯器”(regedit)刪掉以下目錄的數值HKEY_CURRENT_USERSoftwareMicrosoftWindowsNT C u r r e n t V e r s i o n W i n d o w s r u n將數值由“c:winntsystem32Explore.exe”改成空白。理由:如果這隻病毒已經在執行了,那麼您就沒有辦法刪除。所以必須先
27、將登錄值刪掉,才能避免這隻病毒在電腦開機後就自動執行。工作管理員被停用工作管理員被停用l1.按開始 執行,輸入 regedit 按確定。l2.到以下位置:(與檔案總管窄開資料夾的操作類似,在每個機碼前的+上按一下,就可以展開到下一層)lHKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSysteml3.到 System 之後,注意看右邊窗格裡,在 DisableTaskMgr 上按兩下(double-click),把數值資料設為 0(1 是啟動封鎖工作管理員,0 是解除封鎖),或者,直接在 DisableTaskMgr 上按滑鼠右鍵選刪除。l4
28、.關閉 Regedit 程式,測試按 Ctrl+Alt+Del 是否可以叫出工作管理員。(不需要重開機)l如果你不熟悉,請勿使用regedit以免系統毀損。善用工作管理員善用工作管理員l按Ctrl-Shift-Escl通常CPU使用率很低l將正常開機出現的畫面紀錄下來l觀察是否有不正常程式執行l如有兩個explorer.exe,因為正常只能有一個l關閉可疑程式網路芳鄰漏洞網路芳鄰漏洞l2005年在網路大流行的病毒,如myDoom、Netsky,除了以往的電子郵件之外,也出現變種透過網路芳鄰、P2P傳播等共享資料匣的服務來傳遞。此類傳染途徑結合社交工程(social engineering)使病
29、毒散佈情況更為嚴重。l共享服務不是新傳染技術,不過卻因結合社交工程而使得病毒防堵難上加難。社交工程是一種利用人的互動行為來傳播的傳染方式。社交工程過去是真正產生人的互動,如向IT人員誘騙出總經理電腦的密碼,轉變電子郵件偽裝出特定主旨、附檔名稱,利用人性的弱點,使電腦使用者被騙而打開郵件或附檔。不要用網路芳鄰共享資料夾。不要用網路芳鄰共享資料夾。l(一)病毒會利用網路芳鄰作散播的途徑,感染其他電腦共享資料夾中的檔案。l(二)Windows NT/2000/XP安裝完成後,預設會把電腦中全部資料夾分享於網路上,造成資料被竊取及破壞。l若要檢查電腦目前已分享了哪些資料夾,請在Windows的開始a執
30、行a輸入“cmd”,再輸入“net share”即可。l(三)關閉預設分享資料夾之方法 關閉預設分享資料夾之方法關閉預設分享資料夾之方法l注意:下列操作會更動 Windows 作業系統之重要檔案,若操作有誤,有可能會導致無法開機或作業系統損毀,請使用者自行評估風險。l於開始執行 輸入regedit,打開下列路徑:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters增加一個 REG_DWORD 的類型,名稱為 AutoShareServer(大小寫需相符),值設定為0,然後重開機即可生效。如何關閉網路芳鄰?
31、l控制台網路和網際網路連線網路連線區域連線一般取消以下元件:lClient for Microsoft Networks lFile and Printer Sharing for Microsoft Networks l控制台網路和網際網路連線網路連線 區 域 連 線 一 般 I n t e r n e t Protocol(TCP/IP)內容進階WINS停用NetBIOS over TCP/IP 如何關閉網路芳鄰?l控制台效能及維護系統管理工具服務找到以下服務項目,將其更換為手動或停用 lMessenger lTCP/IP NetBIOS Helper Services 首頁綁架首頁綁架l
32、例如:首頁無法更改、首頁被更改設定、瀏覽器名稱例如:首頁無法更改、首頁被更改設定、瀏覽器名稱被修改、瀏覽器被自動執行、開機被鎖定、瀏覽器上被修改、瀏覽器被自動執行、開機被鎖定、瀏覽器上的奇怪選項、按滑鼠右鍵有奇怪的選項、按滑鼠右鍵的奇怪選項、按滑鼠右鍵有奇怪的選項、按滑鼠右鍵的另存目標變成灰色、廣告視窗自動跳出的另存目標變成灰色、廣告視窗自動跳出等等,等等,還有最惡劣的登錄編輯器被停用、還有最惡劣的登錄編輯器被停用、“開始開始”“執行執行”被移除,這些種種的問題被移除,這些種種的問題。lhttp:/ l養成好習慣:網際網路選項中的安全層級至少為中、不要看到出現安裝軟體的對話框就急著選是、經常使
33、用 Windows Update 做安全性更新、安裝防火牆軟體、安裝防毒軟體、安裝間諜軟體掃描程式。IE 中起碼要維持的安全性設定:l預設層級中就已經非常夠用,絕對不要調降為低,如果某個網站,一定要你調降為低才能正常顯示它的網頁,請三思,危險後果自己負責。l關閉所有的程式視窗,到控制台 網際網路選項。控制台控制台 網際網路選項網際網路選項l安全性標籤的部分安全性標籤的部分:按自訂層級,檢查以下項目。l下載未簽署的ActiveX控制項:停用l下載簽名的ActiveX控制項:提示l起始不標示為安全的ActiveX控制項:停用l在IFRAME中啟動程式或檔案:提示l安裝桌面項目:提示l如果你的安全層
34、級是中,就會符合以上的標準,只需一次確認檢查,不必修改。內容標籤的部分l按發行者,到授信任的發行者是否有很奇怪、懷疑是廣告商的憑證,若有,刪除。l為什麼要刪除不明的發行者?l授信任的發行者清單中的發行者,表示都以取得你的信任,元件安裝進來前就不會再問你,所以這邊有莫名其妙的物件,就要刪除。進階標籤的部分l檢查:在瀏覽段落:l不勾:啟用隨選安裝(其他)這一項。l注意:是啟用隨選安裝(其他),不是啟用隨選安裝(Internet Explorer),請看清楚。l啟用隨選安裝(Internet Explorer)維持預設值(有勾)即可。設定結果設定結果l經過了以上的設定,每當網站要下載元件到你的電腦上
35、時,就會出現是否要下載的對話框,請看清楚內容再按確定,如果你實在不能判別這個元件的用途,就按取消。善用防火牆善用防火牆lSymantec Client Firewalll偵測與防止利用通訊埠對主機的攻擊l使用說明lWindowsXP防火牆設定防火牆設定(SP1):WindowsXP防火牆設定(SP1):Windows XP防火牆防火牆l請注意,Windows XP防火牆的功能只能阻擋連入要求,而不會阻擋任何連外之連線要求!中毒了,怎麼辦?l1.將中毒電腦的網路線拔掉.(避免繼續中毒或散播病毒給別人)l2.使用其它安全、乾淨電腦上網,連線到防毒公司網站,下載該病毒的移除工具:l趨勢科技 l賽門鐡
36、克 l3.使用移除工具將中毒電腦的病毒清除掉 l4.安裝個人防火牆,並啟動防駭功能 中毒了,怎麼辦?l5.關閉網路芳鄰 l6.接上網路線 l7.修正 Windows 的漏洞:l(方法一)在 Windows 執行 開始Windows Update l(方法二)在 IE 瀏覽器執行 工具Windows Update l8.安裝防毒軟體,並且立即更新病毒碼及掃瞄引擎建議建議 l保持電腦中的作業系統及應用軟體沒有任何漏洞。l安裝防毒軟體。l安裝防火牆軟體。l請更改Windows作業系統之管理者帳號名稱及密碼。l不要開啟或預覽任何來歷不明及主旨語意不清的電子郵件,亦不要開啟任何不明確的附件檔案。l不使用
37、網路芳鄰共享資料夾。l關閉作業系統內不需要之服務項目。l勿隨意安裝軟體。l勿隨意點選網址。l趨勢科技-全球病毒即時監控中心lhttp:/.tw/wtc/l賽門鐵克安全應變機制lhttp:/ Spamlmail spam:將一份相同內容的電子信件送給很多人 lMail server被某些機器用來轉信(mail relay)l蠕蟲程式l網路釣魚l通常發生於unix或server級機器l個人系統則是可能是蠕蟲做怪l如果發生此問題怎麼辦lunix更新版本sendmail 到 8.9 版 l清除蠕蟲您的電腦是否已被裝了木馬?您的電腦是否已被裝了木馬?l1)檢查註冊表。HKEY_LOCAL_MACHINE
38、SOFTWAREMicrosoftWindowsCurren Version和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下,所有以“Run”開頭的鍵值名,其下有沒有可疑的檔案名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程式。您的電腦是否已被裝了木馬?您的電腦是否已被裝了木馬?l2)檢查啟動組。木馬們如果隱藏在啟動組雖然不是十分隱蔽,但這裏的確是自動載入運行的好場所,因此還是有木馬喜歡在這裏駐留的。啟動組對應的檔夾為:C:windowsstart menuprogramsstartup,在註冊表中的位置:HKEY_CURR
39、ENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders Startup=C:windowsstart menuprogramsstartup。要注意經常檢查這兩個地方哦!您的電腦是否已被裝了木馬?您的電腦是否已被裝了木馬?l3)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方。l比方說,Win.ini的Windows小節下的load和run後面在正常情況下是沒有跟什麼程式的,如果有了那就要小心了,看看是什麼;在System.ini的boot小節的Shell=Explorer.exe 後
40、面也是載入木馬的好場所,因此也要注意這裏了。當你看到變成這樣:Shell=Explorer.exe wind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程式!趕快檢查吧。您的電腦是否已被裝了木馬?您的電腦是否已被裝了木馬?l4)檢查C:windowswinstart.bat、C:windowswininit.ini、Autoexec.bat。木馬們也很可能隱藏在那裏。l5)如果是EXE檔啟動,那麼運行這個程式,看木馬是否被裝入記憶體,埠是否打開。如果是的話,則說明要麼是該檔啟動木馬程式,要麼是該檔捆綁了木馬程式,只好再找一個這樣的程式,重新安裝一下了。免費線上病毒掃瞄免費線上病毒掃瞄 l防毒軟體名稱:Kaspersky lhttp:/ l防毒軟體名稱:Norton lhttp:/ l防毒軟體名稱:PC-cillin lhttp:/
