防杀网络病毒经验

 随着网络信息技术的发展,企业的日常业务越来越多地和互联网发生着联系。然而,互联网是一把双刃剑,人们在享受互联网带来便利的同时,不得不面对网络病毒的一轮又一轮进攻。 

 如果在若干年前,在联网计算机不多,病毒危害不大的情况下,按部就班地对一台台机器查杀毒或升级病毒库,显然还在网管员可以忍受的范围内。可如今计算机病毒已经越来越普遍,每天都有好几种新的网络病毒诞生。公司的网络也越来越大,网络病毒一旦爆发可以在几小时内感染公司内部数百台电脑,而且病毒会游走在整个网络内,往往是清除了这台机器的病毒,那台机器又被感染了;解决了那边的问题,这边又开始 " 造反 " 。

网络病毒的分类:

 目前流行的网络病毒从类型上分主要有 木马病毒和蠕虫病毒 。木马病毒实际上是一种后门程序,他常常潜伏在操作系统中监视用户的各种操作,窃取用户 QQ ,传奇游戏和网上银行的帐号和密码。

蠕虫病毒是一种更先进的病毒,他可以通过多种方式进行传播,甚至是利用操作系统和应用程序的漏洞主动进行攻击,每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机,在网络中扫描到存在该漏洞的计算机后就马上传播出去。

这点也使得蠕虫病毒危害性非常大,可以说网络中一台计算机感染了蠕虫病毒可以在一分钟内将网络中所有存在该漏洞的计算机进行感染。由于蠕虫发送大量传播数据包,所以被蠕虫感染了的网络速度非常缓慢,被蠕虫感染了的计算机也会因为 CPU 和内存占用过高而接近死机状态。

按照网络病毒的传播途径划分的话又分为 邮件型病毒和漏洞性病毒。 前者是通过电子邮件进行传播的,病毒将自身隐藏在邮件的附件中并伪造虚假信息欺骗用户打开该附件从而感染病毒,当然有的邮件型病毒利用的是浏览器的漏洞来实现。这时用户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容,由于浏览器存在漏洞也会让病毒趁虚而入。

漏洞型病毒则更加可怕,大家都知道目前应用最广泛的是 WINDOWS 操作系统,而 WINDOWS 系统漏洞非常多,每隔一段时间微软都会发布安全补丁弥补漏洞。因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统或应用软件的漏洞进入你的计算机,例如 2004 年风靡的冲击波和震荡波病毒就是漏洞型病毒的一种,他们造成全世界网络计算机的瘫痪,造成了巨大的经济损失。

网络在发展的同时病毒也在发展,现在的病毒已经不是传统意义上的单一病毒,往往一个病毒载体身兼数职,自身就是文件型,木马型,漏洞型和邮件型的混合体。这样的病毒危害性更大,查杀起来更困难。

防范网络病毒的方法:

俗话说 " 防范于未然 " ,如何最大限度的将网络病毒阻挡在计算机及内部网络之外呢?笔者根据多年网络安全方面的经验总结了如下几点,如果网络管理员可以在这几方面引起足够重视的话,就可以有效阻止 99% 的网络病毒的入侵。

第一步: 将计算机中的帐户密码设置得复杂些,不要保留空密码或弱口令的帐号,将 GUEST 帐户禁用并删除无用的用户。

第二步: 及时更新操作系统的漏洞补丁,将 WINDOWS UPDATE 服务启用。并保证每周均执行补丁安装工作,安装完毕后需要重新启动计算机。因为很多补丁只有在重新启动后才能生效。

第三步: 关闭不必要的系统服务,如 MESSENGER , REMOTE REGISTRY SERVICE 等。关闭无用的共享资源,象系统默认的共享都要关闭,如 c$,d$,ipc$,admin$ 等。

第四步: 为本机安装杀毒软件及防火墙,从而有效的防范病毒和黑客的入侵。不要以为安装其中之一就可大功告成,需要两者兼得才能起到最大的效果。在防火墙上要配置恰当的规则,杀毒软件也要及时更新病毒库。

第五步: 所有防范工作完毕之后还要对员工进行安全培训,严格要求员工不随便运行网上下载的可疑程序,不随便执行别人发来的文件,不随便运行电子邮件中的附件。

查杀网络病毒的方法:

俗话说 " 亡羊补牢尤未迟也 " ,如果自己的计算机已经感染了网络病毒我们应该如何清除呢?这就需要我们在日常工作中积累经验,自己多动手查杀几次就熟悉了病毒的习性。下面笔者就自己的查杀经验为大家进行总结,希望给读者提供足够的帮助。

查找病毒:

其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来,例如机器运行十分缓慢,上不了网,杀毒软件升不了级, WORD 文档打不开,电脑反复重启等等,这些都是中毒的征兆。接下来我们就要开始搜索病毒体了。

第一步: 按 CTRL+SHIFT+ESC 键调出 WINDOWS 任务管理器,查看系统运行的进程,找出不熟悉的进程并记下名称,通过搜索引擎查询判断这些进程是否是病毒产生的,也可以点击任务管理器的性能查看 CPU 和内存的当前状态,如果 CPU 的利用率接近 100% 或内存的占用值居高不下,电脑中毒的可能性是 95% 。

第二步: 运行注册表编辑器,通过任务栏的 " 开始 -> 运行 -> 输入 regedit" ,查看都有哪些程序随 WINDOWS 的启动而启动。主要看 hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un 和 runonce 等以及 hkey_current_usersoftwaremicrosoftwindowscurrentversion
un 和 runonce 等键值下是否有非法程序加载。

小提示:
在 WIN98 或 XP 系统下可以直接通过 " 开始 -> 运行 ->msconfig" 查看启动项程序。

第三步: 查看 WINDOWS 当前启动的服务项,在 " 控制面板 " 的 " 管理工具 " 里打开 " 服务 " ,查看右边状态为 " 启动 " 的行,一般而言正常的 WINDOWS 服务基本上都有描述内容,双击打开认为有问题的服务项,查看其属性里的可执行文件的路径和名称,假如其路径为 c:winntsystem32 ,则很有可能是病毒程序,因为大部分病毒都会将自身主程序复制到该目录下。

第四步: 用浏览器上网判断,如果你的计算机可以浏览 SOHU ,新浪等网站但不能访问诸如 www.symantec.com,www.ca.com 这样的安全厂商站点的话很有可能是中了网络病毒并被修改了 HOSTS 文件。

清除病毒:

由于计算机感染了网络病毒,所以首先应该将网线从计算机上拔下,断开计算机和网络的连接,防止病毒的二次入侵及再度感染。接着按照以下的方法清除病毒。

第一步: 在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值并全部删除。当病毒以系统服务的方式启动话还应该在 hkey_local_machinesystemcontrolset001services 和 controlset002services 里藏身,找到后全部删除。

第二步: 停止所有有问题的服务,启动方式从自动改为禁用。

第三步: 如果上文提到的 HOSTS 文件被篡改,则恢复它本来面目,即只剩下一行有效值 "127.0.0.1 localhost" ,其余的行全部删除。

第四步: 重新启动计算机,按 F8 进入安全模式,搜索病毒的执行文件,手动将其删除。

第五步: 在安全模式下用升级了最新病毒库的杀毒软件对系统进行全面扫描,剿灭漏网之鱼。扫描后就可以重启计算机完成全部查杀网络病毒的操作了。