混合型木马病毒
主持人:
现在很多病毒木马特征都混合在一起,当发现同一个威胁的时候,两个特征都具备是作为病毒处理还是作为木马处理呢?
戴光剑:
金山这边的原则是看它哪方面的级别更高,比如有破坏级别、传播级别,如果破坏级别更高就是木马,如果传播速度更快、手段也是最新的,我们就把它归为病毒。
张晓兵:
虽然现在大家会理解反病毒软件只查病毒,木马软件只查木马,但是由于这些东西的融合,其实反病毒燃烧也在查各类木马,这是不矛盾的,目的就是为了使用户的损失降到最低。
戴光剑:
最大的原因是因为用户本身就区分不了木马和病毒。
主持人:
如果我们把双方的防木马和杀毒软件工具都买回来了,那么我通过哪些方法才能分辨出哪些危害属于木马,要用防木马工具;哪些属于病毒要用杀毒软件?
戴光剑:
出现威胁问题的话,用哪一款软件应该都能达到目的。
张晓兵:
看产生的威胁是不是像木马就要看它是否连接外网,金山和木马的防火墙都有往外链的功能。当用户发现有异常,这两款软件还不报的情况下怎么办,首先看补丁是否打全,第二看端口,第三看进程,第四看工具。如果这一套工具会用的话是可以发现一些问题的。
主持人:
如果电脑不能正常运行了,肯定是中毒了,木马隐藏性很大,如果想发现很难,有没有什么有效查杀木马的方法呢?
张晓兵:
我们要分析木马这个的传播链。木马会通过一些网站下载、QQ尾巴、邮件等方式进行传播。我们首先规范自己上网站不要上一些不好的网站。上QQ的时候看有没有收到链接等这样的信息,如果进入到系统里会产生两部分,一个是内存活动的进程,如果发现突然多了一个进程,是不是正常呢?可以看看这个进程产生的文件是不是在正常的目录。尤其木马企图伪装跟系统一样,所以起的文件名跟系统很类似。你感觉很像Win的文件,但是没有,起的很像又不像的话就有问题。我们可以利用查看服务的方式看哪些服务是新加的,它起的名字都是跟正常的服务是不一样的。这些木马程序文件信息是不可能有公司名的,我们看这些可疑的文件是否没有公司的信息。另外,如果除了这些还有一些端口,我们就看一下是否有额外的端口被打开。手动发现木马也就这几种方式。
主持人:
病毒跟木马是非常相似的?
戴光剑:
感染性病毒不太相似,感染性病毒用一些软件的时候就能发现,比如看图片的时候如果它被病毒感染了,再运行程序的时候会出一个报错程序,包括毒霸的杀毒软件,突然发现一个软件说自身被修改了,很可能就是有感染了。另外通过文件的方式在操作系统的时候,系统文件夹选项里有一个显示隐藏文件,和保护文件,这两个一定要打开,因为病毒经常利用这两个隐藏。如果你把这两个打开再去D、E盘访问的时候很可能有一个Autorun.inf这就是中毒了。
张晓兵:
早期我们理解的病毒就是因为它的疯狂感染,使我们的系统没法用。早期的木马被中了感觉就是网络连接特别慢,病毒和木马发展到今天这两个特性已经不明显了。随着编制这些技术越来越高大家都在尽量避免,病毒可能内存只进入一次就不进入了,木马可能不占用太多的CPU了,他们技术的提升是为了使隐蔽性更强。对于个人用户来讲, 90%以上用户是不习惯把自己的操作系统里的文件选项中“显示隐藏文件”选上的,用这种方式确实可以避免掉一些被U盘感染的机会,或者被感染之后很容易发现其他的盘里有这样的东西。U盘木马最麻烦的是对文档特别感兴趣。对用户来讲计算机操作系统可以重装,但是文档非常重要。它恰恰是会破坏你的文档或者删除,大部分U盘木马是这样的作用,对我们来说破坏性更强。
主持人:
我每次重装系统之后,把网络联上的时候会有一些系统文件会告诉我被修改,这是属于连接网络的时候系统正常出现的情况呢?还是因为有病毒或者木马呢?
戴光剑:
一般来说是系统正常的,是有一个升级的验证和检测。防火墙一般有数字签名和版本的检测。
张晓兵:
第一,看用户怎么看,什么时候出现这种情况,假如初装了防火墙,没有任何一条程序规则的时候对每个程序都会有这样的被拦情况,这时候我们可以放心的继续。
第二,当我们装一些新的软件的时候,这些软件如果需要连接网络,我们也可以放心。前提是我们新装的软件是从正规渠道得到的。其他的假如说你的网络程序全部安装完,平时又没有什么操作,突然有一个程序说要连接网络,这是很可疑的。其实这是可以避免的,这是我们的责任,我们应该帮助用户判断。把选择权交给用户,有时候对用户来说是一种不负责任,这是需要我们改进的。
网友评论