Windows 安全诊所-清除间谍软件上篇

　　所有人都面临间谍软件的威胁，特别是普通的网络用户。这些网络用户总是很快地点击弹出式对话框，按提示安装软件，接受垃圾邮件的馈赠或者浏览恶意的网站。

　　最佳的预防措施就是对最终用户进行教育。但是，对于大多数人来说，这个事情已经太晚了，间谍软件已经在Windows工作站中疯狂地蔓延开了。为了帮助你识别和修复各种类型的间谍软件的感染，你可以查看一下如下的情况。在做出诊断和介绍三个Windows安全专家讲的课程之后，我们还将介绍一些用户的投诉。你将发现，每一个专家对一个问题都有一个独特的解决方案。因此，在解决你自己的间谍软件的问题时，你一定要考虑一下所有这些解决方案。

　　用户的问题：

　　我为300多个用户提供技术支持。这些用户拥有家庭或者办公室的电脑，采用Windows XP或者Windows 2000操作系统。一些用户报告了下列问题。

　　当浏览器关闭时(有时候甚至都没有连接到互联网)，会出现弹出广告。当打开浏览器时，一个像HotOffers.com的网站出现了，而不是我们内部网的主页。

　　一个名为“Viewpoint”的搜索工具条出现在浏览器上，无论我们在地址栏内输入什么，这个工具条都一直在搜索。

　　我有最新的杀毒软件，并且没有发现病毒。使用查杀间谍软件的工具“SpyBot Search &Destroy ”进行扫描之后，发现一些不熟悉的文件，我将删除这些文件。但是，这样并没有解决这些问题。那是什么文件？我如何删除这些文件？请帮忙。

　　专家提供的补救措施：

　　清除间谍软件第一步：诊断

　　安全专家Kevin Beaver：你在这里遇到的问题是人的问题和技术的局限性结合在一起产生的问题。间谍软件和广告软件的启动是用户盲目点击鼠标造成的。当IE浏览器弹出一个对话框，要求在IE中安装一个ActiveX控件或者向用户计算机下载其它貌似安全的游戏、屏幕保护程序等软件时，用户往往随意点击“确认”。

　　这就是我说的人的问题。这个问题经常发生，因为用户只是想安装软件，弹出式广告就借此机会避开检查想做什么就做什么了。一旦你的用户允许在他们的系统中安装这种软件，根据这种软件的性质，无论用户是否启动IE或者系统是否连接到互联网，这种软件都能够控制Windows计算机的某些方面。这包括启动弹出式广告、修改缺省的主页等。

　　技术的局限性与查杀间谍软件的工具有关。“Spybot Search &Destroy”对于保护台式电脑并不是万能的解决方案，尽管这是我使用的最好的软件工具。

　　安全专家Tony Bradley：从给出的情况看，这里可能存在两个不同的问题。当计算机甚至还没有连接到互联网的时候也出现弹出式广告，这类程序可能是通过Windows Messenger服务进入用户计算机的。修改浏览器主页和搜索工具条最有可能是浏览器辅助对象(BHO)出现的问题造成的。间谍软件是一种随看随下(drive-by downloads)的软件。当用户访问恶意网站时，间谍软件利用浏览器中的漏洞不需要用户同意就安装在用户的计算机中。

　　安全专家Lawrence Abrams：当浏览器中的搜索功能和主页被修改之后，通常会出现劫持浏览器的情况，就像“Viewpoint Manager”软件劫持浏览器一样。浏览器劫持一般分为两大类，主动劫持和被动劫持。

　　主动劫持者是一种在计算机启动时就调入的程序。这种程序持续监视计算机的具体设置，确保这些设置符合劫持者的愿望。被动劫持是在计算机启动时开始运行的程序。这种程序修改某些设置并且上传。一旦你确定这种劫持程序，这些问题是很容易修复的。

　　首先，你必须确定你处理的是哪一类劫持程序。我使用HijackThis软件进行查找。如果你熟悉程序入口(entry)的位置或者把软件程序与启动数据库进行比较，你就可以找到劫持软件。

　　在运行HijackThis工具软件时，我们注意到了Viewpoint工具条和Viewpoint管理器的入口。这就是Viewpoint间谍软件的罪证。我们还看到起始页的入口已经被修改了。

　　至于热力推荐(HotOffers)的问题，修复这个入口似乎并不起作用。他们还是不断地出现，上面提到的事情似乎都不是这个问题的原因。起始页改回到HotOffers的事实说明我们正在处理的问题是主动的劫持。

　　在这种情况下，我们需要使用另外一种名为“SilentRunners”的工具软件。这个工具能过让我们深入到正在这种自动运行的程序中。

　　SilentRunners将生成一个关于注册表设置的登记列表，找出哪些不是Windows缺省设置的程序。

　　运行这个程序，我将看到如下结果：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

　　INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"

　　-> {CLSID}InProcServer32(Default) = "C：\WINDOWS\System32\param32.dll" [null data]

　　这就告诉我一个名为c：\windows\system32\param32.dll的文件在计算机中启动了。param32.dll文件不是缺省的Windows配置。要确定这个文件是不是罪魁祸首，我使用Sysinternal软件中的strings.exe程序查看这个文件内部的ASCII字符串。

　　当在可执行文件中看到列出的字符串时，我们看到了一个HotOffers，我们现在知道我们已经找出了这个问题了。

　　清除间谍软件第二步：立即行动

　　安全专家Kevin Beaver：在这种情况下，你应该运行一两种其他反间谍软件扫描工具，看看能否清除间谍软件的感染。遗憾的是，防御间谍软件和广告软件需要多层次的防护措施才能有效。

　　安全专家Tony Bradley：要防止任何Windows Messenger服务向系统滥发弹出式信息，你需要关闭Windows Messenger服务(不要与MSN Messenger即时消息工具软件相混淆)或者封锁进入UDP端口135、137和138以及TCP端口135、139和445的通信。

　　用户已经验证，杀毒软件是最新的，并且使用了目前最好的反间谍软件工具之一的“Spybot - Search &Destroy”。 然而，这些反间谍软件工具都不是100%的有效。不要简单地依赖S&D软件的检查结果。用户还应该试一下使用其它的反间谍软件工具，例如Lavasoft公司的Ad-Aware、微软测试版的Windows AntiSpyware和Webroot软件公司的Spy Sweeper。

　　安全专家Lawrence Abrams：虽然劫持软件不会传播到其它计算机中，但是，这种软件在许多情况下会严重降低IE浏览器的安全设置。因此，在清除这种感染防止进一步感染之前，阻止用户使用被感染的计算机是非常重要的。