防范被盗全攻略—密保改动以后的对策

    随着这次网易的改动，许多人号被盗，造成中大的经济损失，本人写此文目的就是要教大家学会一些基本的防范招数。

    很显然，网易密保一改动立即有许多人号被盗，说明那些人电脑本来就存有病毒，而抗病毒的办法一旦失效，就立即被盗。在我看来，盗号的途径无非有两种，一是下木马，来源有大多是由于QQ等工具发送的一些垃圾信息诱使使用者进入有圈套的网站，导致中毒；另外一种可能，那就是远程监控，监控者可以实时收集你的信息，但大多数也是给你下木马或者键盘记录一类的工具，记录下来以后再到你的电脑上搜集密码资料，另外他们可以下木马，直接等着收。对于木马一类的工具，大多数都是通过发送邮件来通知主人的，所以，首先你不能疏漏了防火墙中的邮件监控。邮件监控在每次本地电脑向外发送资料时都会询问，如果你没有发邮件的习惯，那就请设置为不允许发送了。

    谈到防火墙和杀毒软件，就我个人所知，诺顿和卡巴斯基是最强的，金山和江民比较差，瑞星占资源小，能力中等，不过道高一尺，魔高一仗，就算是再好的杀毒软件也有漏洞，何况许多玩家并不知道如何运用好杀毒软件和防火墙。要想电脑没有病毒还是要从自身做起，不要去看一些不太正宗的网站，另外杀毒要进入安全模式，因为安全模式有许多进程是不调用的，而杀毒软件不能删除正在使用的文件，所以是无法彻底杀毒的，因为盗号的木马往往都是最厉害隐藏最深的木马，这些木马都以DLL文件形式存在，到目前为止还没有免费杀毒软件可以去除。这里最典型的病毒就是一种叫“威金”的病毒，它是一个综合性只能病毒，中毒者出现症状是许多小图标变成了模糊样子，有的打不开，一点击立即在进程里生成“LOGO_1.EXE”“RUND1132.EXE”两个进程，这是两个木马进程，然后它会自动联接网络，下载大量木马程序，同时还产生DLL文件嵌入系统程序，这个病毒与其他病毒的不同之处在于它自动扫描所有文件，与大量的EXE程序捆绑在一起，所有染上的程序都不安全，所以你要彻底杀灭最可靠的方法是全盘格式化，另外它产生的病毒能自动关闭防火墙和杀毒软件，危害巨大，更令人头疼的是，DLL注入式病毒无法杀除，就算许多懂电脑的老手也不知道自己电脑已经中毒。

    [目前的大家能见到的木马程序大都是EXE文件为主的，这类木马在任务管理器里有进程，一般稍微懂电脑的人能轻松摆平，即使不太懂也可以通过杀毒软件查出来。而随着上网人们的防范意识加强这类带进程的木马生存空间变小，于是那帮HACHER又打起了DLL的主意。

    要想了解DLL木马，首先得清楚DLL是什么。在我们的电脑里，有许多DLL文件，这些文件是程序员把很多常用的代码集合（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，产生了常用的静态联接和动态联接。本来这个DLL文件是个很方便的东西，可如果被写入了恶意的代码，那就成了一个冷面杀手。

    闲话少说，省去一些关于WINDOWS调用DLL采用动态联接原理的介绍，简单的说就是把DLL文件当做钳子、螺丝刀等工具，你用完了就放那，然后别人用，而工具本身不动。而DLL木马的原理呢就是把一个包含木马核心的代码写入到DLL文件里，当一把匕首，等着进程去调用。DLL文件是模块，无法自动运行，所以它就依靠系统程序调用，成为那个程序的子模块，所以我在进程里无法看到木马，就算目前最新的杀毒软件也对被注入系统程序的木马DLL无济于事。而DLL木马危害很大，它能自动关闭防火墙和杀毒软件，留有后门主动联接幕后黑手，被注入的进程一般都是系统常见的启动进程，如IEXPLORE或者EXPLORER进程，更强的可以注入6到7个进程，笔者遭遇的就是CS_N60.DLL木马就注入了6个进程，都是系统一启动就开始的。

    知道了DLL木马的原理，而杀毒软件也无法查处，那我们有什么办法对付呢？DLL木马也是通过一定的传播途径进入电脑的，如果你的电脑在刚启动时就主动连接网络，或者是在没有任何程序运行的时候网络流量一直增长，而杀毒软件也查不到，那就有可能被注入的DLL木马，那么我们怎么办呢？

    首先要确认是什么木马在作怪，我的做法是：1.下载最新的木马克星，对内存进行检查，木马克星能扫描出进程里被注入的异常模块，对硬盘进行扫描，检查出可疑的DLL模块。2.手动检查，一般DLL文件存在于WINDOWS目录下或者其下的SYSTEM32，使用按“修改时间”方式查看，对修改时间最近的DLL文件进行检查，可以使用文件名到网上搜索，确认其是否为病毒，如果是能删除的删除，不能则表示已经注入进程了。

    找到了病毒名，下面我们对进程进行清理了，这个要借助别的软件，如“天网防火墙”和ICESWORD等软件都可以对进程进行修改，在端口栏里如果就会发现有远程IP地址联接到自己的电脑，而进程却不负责任何网络任务。这个联接是本地电脑也就是自己的电脑向外网地址发送信息，所以首先应该在我的电脑→属性→高级里的两个选项全勾掉，然后在ICESWORD点击进程选择查看模块，则那个程序所调用的所有文件都能看到，在那个集合里找到刚才确认的病毒名，然后强制卸载，这样每一个运行的进程检查一遍以后，就可以删除刚才所找到的源文件了。如果EXPLORER进程也被注入，就可以结束此进程，然后在任务管理器里开启新进程里输入病毒路径找到文件删除。

    后边就是善后工作了，去注册表里用用病毒名为关键词搜索，找到相关的项全部删除。
    其实遇到这样棘手的病毒，最简单的还是重做系统，不过此类病毒隐藏很深，如果不能解决问题，建议全盘格式化。

    本人是长白山小147级飞升小DT，这是本人与病毒作斗争的经验，拿出来给大家分享，鉴于许多玩家防范严密还是莫名丢号，本人也对盗号贼深恶痛绝，借此发表此文，希望大家能玩得开心。