间谍软件的清除和防御

　　所有人都面临间谍软件的威胁，特别是普通的网络用户。这些网络用户总是很快地点击bomb出式对话框，按提示安装软件，接受垃圾邮件的馈赠或者浏览恶意的网站。
　　最佳的预防措施就是对最终用户进行教育。但是，对于大多数人来说，这个事情已经太晚了，间谍软件已经在Windows工作站中疯狂地蔓延开了。为了帮助你识别和修复各种类型的间谍软件的感染，你可以查看一下如下的情况。在做出诊断和介绍三个Windows安全专家讲的课程之后，我们还将介绍一些用户的投诉。你将发现，每一个专家对一个问题都有一个独特的解决方案。因此，在解决你自己的间谍软件的问题时，你一定要考虑一下所有这些解决方案。

　　用户的问题：

　　我为300多个用户提供技术支持。这些用户拥有家庭或者办公室的电脑，采用Windows XP或者Windows 2000操作系统。一些用户报告了下列问题。

　　当浏览器关闭时(有时候甚至都没有连接到互联网)，会出现bomb出广告。当打开浏览器时，一个像HotOffers.com的网站出现了，而不是我们内部网的主页。

　　一个名为“Viewpoint”的搜索工具条出现在浏览器上，无论我们在地址栏内输入什么，这个工具条都一直在搜索。

　　我有最新的杀毒软件，并且没有发现病毒。使用查杀间谍软件的工具“SpyBot Search & Destroy ”进行扫描之后，发现一些不熟悉的文件，我将删除这些文件。但是，这样并没有解决这些问题。那是什么文件？我如何删除这些文件？请帮忙。

　　专家提供的补救措施：

　　清除间谍软件第一步：诊断

　　安全专家Kevin Beaver：你在这里遇到的问题是人的问题和技术的局限性结合在一起产生的问题。间谍软件和广告软件的启动是用户盲目点击鼠标造成的。当IE浏览器bomb出一个对话框，要求在IE中安装一个ActiveX控件或者向用户计算机下载其它貌似安全的游戏、屏幕保护程序等软件时，用户往往随意点击“确认”。

　　这就是我说的人的问题。这个问题经常发生，因为用户只是想安装软件，bomb出式广告就借此机会避开检查想做什么就做什么了。一旦你的用户允许在他们的系统中安装这种软件，根据这种软件的性质，无论用户是否启动IE或者系统是否连接到互联网，这种软件都能够控制Windows计算机的某些方面。这包括启动bomb出式广告、修改缺省的主页等。

　　技术的局限性与查杀间谍软件的工具有关。“Spybot Search & Destroy”对于保护台式电脑并不是万能的解决方案，尽管这是我使用的最好的软件工具。

　　安全专家Tony Bradley：从给出的情况看，这里可能存在两个不同的问题。当计算机甚至还没有连接到互联网的时候也出现bomb出式广告，这类程序可能是通过Windows Messenger服务进入用户计算机的。修改浏览器主页和搜索工具条最有可能是浏览器辅助对象(BHO)出现的问题造成的。间谍软件是一种随看随下(drive-by downloads)的软件。当用户访问恶意网站时，间谍软件利用浏览器中的漏洞不需要用户同意就安装在用户的计算机中。

　　安全专家Lawrence Abrams：当浏览器中的搜索功能和主页被修改之后，通常会出现劫持浏览器的情况，就像“Viewpoint Manager”软件劫持浏览器一样。浏览器劫持一般分为两大类，主动劫持和被动劫持。

　　主动劫持者是一种在计算机启动时就调入的程序。这种程序持续监视计算机的具体设置，确保这些设置符合劫持者的愿望。被动劫持是在计算机启动时开始运行的程序。这种程序修改某些设置并且上传。一旦你确定这种劫持程序，这些问题是很容易修复的。

　　首先，你必须确定你处理的是哪一类劫持程序。我使用HijackThis软件进行查找。如果你熟悉程序入口(entry)的位置或者把软件程序与启动数据库进行比较，你就可以找到劫持软件。

　　在运行HijackThis工具软件时，我们注意到了Viewpoint工具条和Viewpoint管理器的入口。这就是Viewpoint间谍软件的罪证。我们还看到起始页的入口已经被修改了。

　　至于热力推荐(HotOffers)的问题，修复这个入口似乎并不起作用。他们还是不断地出现，上面提到的事情似乎都不是这个问题的原因。起始页改回到HotOffers的事实说明我们正在处理的问题是主动的劫持。

　　在这种情况下，我们需要使用另外一种名为“SilentRunners”的工具软件。这个工具能过让我们深入到正在这种自动运行的程序中。

　　SilentRunners将生成一个关于注册表设置的登记列表，找出哪些不是Windows缺省设置的程序。

　　运行这个程序，我将看到如下结果：

　　HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskSchedulerINFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"-> {CLSID}InProcServer32(Default) = "C：/WINDOWS/System32/param32.dll" [null data]这就告诉我一个名为c：/windows/system32/param32.dll的文件在计算机中启动了。param32.dll文件不是缺省的Windows配置。要确定这个文件是不是罪魁祸首，我使用Sysinternal软件中的strings.exe程序查看这个文件内部的ASCII字符串。

　　当在可执行文件中看到列出的字符串时，我们看到了一个HotOffers，我们现在知道我们已经找出了这个问题了。
　　清除间谍软件第二步：立即行动

　　安全专家Kevin Beaver：在这种情况下，你应该运行一两种其他反间谍软件扫描工具，看看能否清除间谍软件的感染。遗憾的是，防御间谍软件和广告软件需要多层次的防护措施才能有效。

　　安全专家Tony Bradley：要防止任何Windows Messenger服务向系统滥发bomb出式信息，你需要关闭Windows Messenger服务(不要与MSN Messenger即时消息工具软件相混淆)或者封锁进入UDP端口135、137和138以及TCP端口135、139和445的通信。

　　用户已经验证，杀毒软件是最新的，并且使用了目前最好的反间谍软件工具之一的“Spybot - Search & Destroy”。 然而，这些反间谍软件工具都不是100%的有效。不要简单地依赖S&D软件的检查结果。用户还应该试一下使用其它的反间谍软件工具，例如Lavasoft公司的Ad-Aware、微软测试版的Windows AntiSpyware和Webroot软件公司的Spy Sweeper。

　　安全专家Lawrence Abrams：虽然劫持软件不会传播到其它计算机中，但是，这种软件在许多情况下会严重降低IE浏览器的安全设置。因此，在清除这种感染防止进一步感染之前，阻止用户使用被感染的计算机是非常重要的。

　　清除间谍软件第三步：恢复

　　安全专家Kevin Beaver：如果可能的话，运行一种以上的反间谍软件程序，如Spybot - Search & Destroy、冠群国际的eTrust PestPatrol Anti-Spyware 、微软的Windows AntiSpyware，同时加强IE安全设置和个人防火墙保护。在安全的环境中，你还可以考虑使用基于行为的防御软件，如Sana安全公司和Finjan软件公司的产品。

　　安全专家Tony Bradley：如果运行其它的间谍软件扫描工具还不能完全清除间谍软件，你可以采取手工方式确定间谍软件在做什么和如何杀灭这些间谍软件。Sysinternals Freeware公司提供很多免费的软件工具，可以查出间谍软件暗地里在做什么。进程管理器(Process Explorer) 能够帮助你查找正在运行的可疑的进程。间谍软件的进程通常使用与Windows的进程相类似的名称，以便不易被察觉。然而，如果你查看路径信息，你就可以发现那些路径异常的进程，并且验证那些表面上合法的文件的版本和版权信息。Sysinternals公司的其它工具还有Autoruns和ListDLLs。这些工具对于帮助你调查正在运行的进程也是很有效的。

　　另一个功能强大的帮助你识别和消灭间谍软件组件的工具是Merijn.org公司的HijackThis。这个软件能够检查Windows注册表和硬盘中的关键区域，并且提供详细的内容列表。在使用HijackThis工具软件的时候需要特别谨慎，或者请求专家提供指导。这个软件的文件删除和保留的权利完全取决于用户。HijackThis软件有时候查出的软件程序是合法的，如果删除会对系统产生不利的影响，甚至会使系统无法运行。

　　安全专家Lawrence Abrams：现在间谍软件已经找到了。我们需要设计一个工作人员很容易操作的清除间谍软件的常规方法。工作人员将清除办公计算机和家庭计算机中的间谍软件。你可以通过控制面板中的增加/删除程序很容易地卸载Viewpoint工具条和Viewpoint管理器。

　　为了修复HotOffers的感染，你可以删除param32.dll文件。问题是，这个程序是不停地运行的。你需要以安全模式重新启动计算机，这时param32.dll文件就不运行了，就可以删除了。如果这样还不行，使用一个名为“KillBox”的工具软件在重新启动的过程中删除那个文件。

　　然后，你可以使用HijackThis软件修复剩余的入口，恢复用户对起始页和搜索功能的控制。

　　接下来，你可以在一个正式的删除文件中把这些步骤记下来。这种文件要让工作人员和家庭用户很容易理解。

　　清除间谍软件第四步：预防措施

　　安全专家Kevin Beaver：你可以拥有的最强大的预防措施就是人的因素：教育人们如何处置和为什么不要点击bomb出式广告、安装程序的提示以及其它可能导致传播间谍软件手段。遗憾的是，只要人类介入计算环境，我们就会遇到这种问题。有些人是故意的，有些人是不故意的。因此，还要确保使用正确的技术。这个提高警惕的周期是永远也不会结束的。

　　安全专家Tony Bradley：要防止随看随下(drive-by downloads)和其它间谍软件问题，用户应该避免访问可疑的网站。知名的网站一般都是比较安全的和没有恶意软件的。但是，如果用户要访问没有访问过的小网站，很可能会受到恶意软件的感染。为了增强保护措施，你可以使用Lavasoft公司的Ad-Aware Pro或者微软Windows AntiSpyware测试版。这些软件能够主动监视你的计算机，防止间谍软件的安装。

　　你可以采取的另一种措施是使用研究机构Eric Howes的IE-SPYAD工具软件。这个软件提供了一个包含9000个恶意网站的列表，这些网站安装广告软件、间谍软件和浏览器劫持软件或者其它恶意软件。运行IE-SPYAD之后，可以保证这些恶意网站不影响你的计算机。

　　安全专家Lawrence Abrams：现实是，间谍软件、劫持软件和其它恶意软件正在像蠕虫、特洛伊木马和病毒一样流行。大多数人以为杀毒软件会清除一切恶意软件，而实际上杀毒软件的重点是病毒、特洛伊木马和蠕虫。在你的计算机中采取多层防御措施是非常重要的。

　　下面是我提出的防御间谍软件的八项措施。请注意，排列顺序不是按照重要性排列的，因为它们具有同样的重要性。

　　·Windows补丁一发布就要立即使用。

　　·企业防火墙和基于本地软件的防火墙必须能够保护每一台计算机。

　　·IE浏览器的设置必须是非常安全的。

　　·每台计算机至少安装两种间谍软件清除工具，如Spybot - Search & Destroy和Ad-Aware。

　　·应该安装Javacool软件公司的SpywareBlaster软件，以阻止已知的恶意ActiveX控件在每一台计算机上运行。

　　· 每一台计算机应该安装一个好的杀毒软件。

　　·杀毒软件、SpywareBlaster和间谍软件清除程序必须不断更新新的恶意软件的定义,下载最新版的免费金山毒霸就已足够。

　　·最后，也许是最重要的，创建一个互联网安全使用行为规范的指南。例如，用户永远不要点击bomb出式广告，永远不要打开来源不明的电子邮件的附件，一定要阅读要安装的软件中的细则。