菜鳥絕招之餓死木馬

　MM的QQ密碼又被盜了，朋友邊鋒一百萬兩銀子又被竊了……面對防不勝防的木馬，作為普通用戶而言，如何防範、如何應對、如何將損失降在最低呢？當然，首先最要緊的是紮緊籬笆――及時為操作系統打上補丁；拒木馬於千里之外――不隨便下載和運行不明來源的程序，這些在前幾期的文章中已有詳述。我們今天談一下，如果第一道防線被攻破，木馬已經進駐電腦，那麼應該如何識別，並且不讓它得逞呢？

　　一、不給許可權，餓死木馬

　　在Windows 2000/XP/2003等系統中，用戶可以加入Administrators、Power Users、Users等不同許可權的組，分別具有不同級別的操作許可權。如果你平時也就上上網看看新聞，打打遊戲聊聊天，編寫文字處理幾張圖片，而不需要頻繁地裝卸軟體，那麼不妨藏起管理員，使用一個低許可權的用戶賬戶。

　　通過「控制面板→用戶賬戶」，創建一個新的用戶，然後安裝常用的軟體之後，將其加入到受限用戶（Users）組。受限用戶能夠正常運行大部分的程序，但是無法對系統的心臟――系統目錄和註冊表進行寫操作。該操作需要一個前提條件，即C盤應採用NTFS格式。

　　木馬以及其他惡意軟體有個特殊的愛好：往往喜歡藏身於系統目錄，並且修改註冊表以達到自動載入的目的。而採用這個辦法，很大程度上限制了木馬的滲透。即使木馬已進入硬碟，也不會有許可權進行相應的操作，有效地降低了木馬的破壞力，事後在滅殺木馬過程中也不至於破壞系統。

　　但是有的軟體需要管理員許可權賬戶才可以正常運行，或者有時候我們需要安裝一些軟體，目前賬戶許可權不夠，怎麼辦？切換用戶太麻煩，而且也容易因此給木馬可乘之機。那麼，用下面的辦法實現吧！

　　右鍵點擊程序，選擇「運行方式」，彈出圖1所示的窗口，然後選擇合適的賬戶並輸入相應密碼即可。這樣軟體就可以其他賬戶的方式運行，而與當前賬戶無關。雖然比起直接管理員賬戶登錄操作麻煩了點，但是安全上得到了保障，還是值得的。

　　

　　小提示

　　有時候一些常用軟體必須以管理員許可權運行，如果每次都這麼選擇未免太麻煩，小程序RunAs可以解決這個問題。

　　二、勤查戶口，不速客out

　　賬戶信息安全之重要性，自然不言而喻。黑客入侵，往往會偷偷在你的系統中建立一個賬戶，或者把普通賬戶提升許可權，以達到幕後操縱之目的，而這個往往是普通用戶容易忽略的問題，所以大家要養成一個勤查戶口的習慣。

　　打開「管理工具→計算機管理→本地用戶和組」（如圖2），這裡枚舉了當前的所有賬戶信息。要看看是不是多了不認識的名字，或者誰偷偷地升級了，這些都需要引起重視。比如臭名昭著的lovgate病毒就會在感染電腦上建立一個名為「lee」的賬戶。

　　

　　但是，有時候突然多出一個不速之客也未必就是「中標」了，比如在安裝Microsoft .Net Framework后，系統會自動建立一個ASP.NET賬戶，這是正常的，大可不必為之擔心。另外，還要對現有賬戶做好安全工作。如果沒有必要，可以不啟用Guest賬戶；同時應對內置的管理員賬戶Administrator加上密碼，並且「改頭換面」，防止入侵者惡意窮舉：通過「管理工具→本地安全策略→本地策略→安全選項→賬戶」對系統管理員賬戶進行重命名操作，將Administrator修改為一個別人不容易猜測到的名字（如圖3）。

　　

　　三、關緊城門，出入查證

　　木馬也好，其他惡意程序也好，如果不能和釋放者保持聯繫，也就失去了威力。所以城門就是我們的最後一道防線。

　　首先是關閉一些危險的埠。打開「管理工具→本地安全策略→IP 安全策略，在本地計算機」，在右側窗格中右擊滑鼠並選擇「創建 IP 安全策略」命令（如圖4），然後根據嚮導一步一步設置，分別添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389埠和UDP 135、139、445等埠。關閉了這些埠，可以避免入侵者通過這些通道秘密潛入。

　　

　　其次，安裝一款合適的防火牆。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比較強大。如果嫌這些設置比較複雜，也可以選擇天網、金山毒霸網路個人防火牆、瑞星個人防火牆等。它們就像把門者，每一個進出者都會被檢查是否有「良民證」：如果確認可靠的就直接放行，如果陌生人想偷偷挾帶情報出逃，對不起，攔下。

　　四、明察秋毫，逮住「馬跡」

　　感染木馬或其他惡意程序后，系統不可避免地會出現一些特殊徵兆，如果及早發現並及時處理，可以將損失降到最低點。下面的這些「馬跡」千萬不要放過。

　　一、密碼被改，金幣被偷。雖然損失已經造成，但是亡羊補牢，至少避免更多損失。

　　二、殺軟被關閉。很多木馬會自動關閉殺毒軟體，如果發現殺軟防火牆被退出，而且無法啟動，絕對不能忽視，排除系統或者殺軟本身的問題，很有可能就是被木馬或病毒先下手為強了。

　　三、一閃而過的窗口。打開記事本，或其他軟體的時候，會有隱約的窗口一閃而過，這很有可能就是木馬或病毒已經寄生在正常程序上了。

　　四、奇怪的進程。經常用Ctrl+Alt+Del鍵調出任務管理器進行查看。首先你要熟悉系統的正常進程，如果有陌生進程出現，那就將它一查到底。

　　五、魚目混珠的文件名或錯位的程序。有些木馬會偽造和正常程序相似的名字，比如「svch0st」等；有些則索性冒名，不過路徑不同，比如出現在Windows目錄下的「rundll32.exe」（正常應該在windows\system32和windows\system32\dllcache下）。

　　六、自作多情的啟動項目。經常使用「msconfig」查看啟動項目，如果有不經允許就擅自載入的，不妨查查其身份。

　　七、綁架瀏覽器。使用hijackthis輔助，把這些綁匪統統請出系統去。

　　八、運行「netstat」，查看當前網路的連接情況，是否有偷偷向外報信者。