这是我从各个网上寻找后摘取下来,供大家分享,提高网络防范能力.
 

如今木马数量众多，传播方式也多种多样，让你防不胜防，只要你能上网，就有可能中弹落“马”！目前木马大致可分成五大类：即网游、广告、通讯、后门和网银类。其中以盗窃密码的木马危害性最大，例如利用木马盗窃你的网游帐号密码、股票帐号密码、乃至网上银行的资金，给许多朋友带来了巨大的经济损失。为了帮助大家远离可恶的木马，下面我们全面介绍木马防范、查找、清除方面的知识。
　　木马防范技巧篇
　　清除木马不如平时预防，“防患于未然”是保护系统安全的上策，大家平时就应该有强烈的木马防范意识，建议你采取以下措施，把木马拒之门外：
　　一、关闭本机中不用的端口
　　关闭本机不用的端口，这是防范木马的第一道防线。默认情况下Windows有很多端口是开放的，在你上网的时候，木马、病毒和黑客就可以通过这些端口连上你的电脑，为了保护你的系统，应该封闭这些端口，主要有：TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口，一些流行木马病毒的后门端口（如 TCP 2513、2745、3127、6129 端口），以及远程服务访问端口3389。
　　其中137、138、139、445端口都是为共享而开的，是NetBios协议的应用，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是：单击“开始”/控制面板/系统/硬件/设备管理器，单击“查看”菜单下的“显示隐藏的设备”，单击“非即插即用驱动程序”，找到Netbios over Tcpip禁用该设备，重新启动后即可。
　　关闭UDP123端口：单击“开始”/设置/控制面板，双击“管理工具”/服务，停止windows time服务即可，关闭UDP 123端口，可以防范某些蠕虫病毒。
　　关闭UDP1900端口：在控制面板中双击“管理工具”/服务，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDoS攻击。
　　其他端口你可以用网络防火墙关闭之，或者在控制面板中，双击“管理工具”/本地安全策略，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭这些端口。
　　二、删除系统中无用的帐号
　　进入MS-DOS模式，输入命令net user回车，显示本地计算机上有哪些用户账户；如果有无用的帐号（例如lacl），就删除该帐号，输入命令net user lacl /delete回车即可（注意参数“/”的左边，至少要保留一个空格）
　　其中Guest和Administrator这两个帐号，是不允许删除的，但你应该修改它们的密码，为它们设置新的密码，例如键入命令net user Guest abc123回车，把Guest的密码改为abc123。
  三、检查与启动相关的文件
　　（1）检查启动组
　　启动组是木马藏身的好地方，WinXP启动组对应的文件夹为：C:\Documents and Settings\帐户\「开始」菜单\程序\启动，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动"，你应该检查这些地方。
　　（2）检查Autoexec.bat、Config.sys和Winstart.bat
　　Autoexec.bat和Config.sys都位于C盘根目录下 ，在它们中也可以加载木马程序，但这并不多见，你不能掉以轻心，最好检查一下。
　　Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件，在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马，因此你要打开它检查。
　　（3）检查Win.ini和System.ini
　　Win.ini位于Windows的安装目录下，其[windows]字段中有启动命令“load=”和“run=”，通常“=”后面是空白的，如果后面跟着程序，比如：run=c:\windows\spy.exe load=c:\windows\spy.exe ，这个spy.exe很可能就是木马程序！
　　System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处，木马通常会将该句变为这样：shell=Explorer.exe spy.exe，注意这里的spy.exe就是木马服务端程序！ 检查System.ini中的[386Enh]字段，此段内的“driver=路径\程序名”，也是木马经常隐藏的地方；检查System.ini中的[mic]、[drivers]、[drivers32]三个字段，它们也是添加木马的好场所。
　　四、检查系统目录中文件
　　木马也可能藏在系统目录中。启动资源管理器，点击“工具”/文件夹选项/查看，设置显示全部文件（包括受保护文件），不要隐藏已知文件的扩展名，然后打开Windows\ 及 Windows\system32目录中的文件，按建立时间排序，找出建立时间或修改时间异常的程序，记录下来。
　　五、在注册表中检查
　　单击“开始”/运行，键入Regedit打开注册表，检查其中是否有木马，记录下来，暂时不要更改。
　　（1）检查自启动项
　　查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值，检查其中是否有程序，木马喜欢藏在这些位置。
　　此外，使用组策略也能让木马在系统登录时自动启动（方法如下），该方法添加的自启动程序也被记录在注册表中，但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马，在上面的注册表项中又找不到它，建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项，或是进入“组策略”的“在用户登录时运行这些程序”，看看其中有无启动的程序。
　　组策略添加自启动木马程序的方法：在“开始→运行”中执行“Gpedit.msc”打开“组策略”，展开“本地计算机策略→用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项，选定“设置”项中的“已启用”项，单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中，输入要自启动的木马程序路径即可。
　　（2）检查文件关联是否被修改
　　国产木马还喜欢修改文件关联，例如TXT文件通常是由记事本（Notepad.exe）来打开的，如果你中了国产木马冰河之后，则会被修改为用木马程序打开，因此只要你一打开文本文件，就会自动启动木马。
　　木马修改文件关联的方法是：修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。
　　注意：木马不仅仅只会修改TXT文件的关联，有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马，你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。
　网络病毒是一种新型病毒，它的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。同时有关调查显示，通过电子邮件和网络进行病毒传播的比例正逐步攀升，它们给人们的工作和生活带来了很多麻烦。因此我们有必要了解一些网络病毒的特点，并对其采取相应的措施，以减少被网络病毒感染的机会。
　

一、网络病毒的传播方式
　网络病毒一般会试图通过以下四种不同的方式进行传播：
　　(1)邮件附件
病毒经常会附在邮件的附件里，然后起一个吸引人的名字，诱惑人们去打开附件，一旦人们执行之后，机器就会染上附件中所附的病毒。
　　(2)Email
　　有些蠕虫病毒会利用在Microsoft Security Bulletin在MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒——并不需要您打开邮件附件。
　　(3)Web服务器
　　有些网络病毒攻击IIS 4.0和5.0 Web服务器。就拿“尼姆达病毒”来举例说明吧，它主要通过两种手段来进行攻击：第一，它检查计算机是否已经被红色代码II病毒所破坏，因为红色代码II病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda病毒发现了这样的机器，它会简单地使用红色代码II病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。
　　(4)文件共享
　　病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人访问您的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。然而，如果病毒发现系统被配置为其他用户可以在系统中创建文件，它会在其中添加文件来传播病毒。
　　二、网络病毒的传播特点
　　(1)感染速度快
　　在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通讯机制迅速扩散。根据测定，针对一台典型的PC网络在正常使用情况，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。
　　(2)扩散面广
　　由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。
　　(3)传播的形式复杂多样
　　计算机病毒在网络上一般是通过“工作站 服务器 工作站”的途径进行传播的，但传播的形式复杂多样。
　　(4)难于彻底清除
　　单机上的计算机病毒有时可通过删除带毒文件或低级格式化硬盘等措施将病毒彻底清除，而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行病毒杀除，并不能解决病毒对网络的危害。
　　(5)破坏性大
　　网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。
三、网络病毒防范技巧
　　作为个人用户，我们在防范网络病毒时，需要注意以下几点：
　　(1)留心邮件的附件
　对于邮件附件尽可能小心，安装一套杀毒软件，在你打开邮件之前对附件进行预扫描。因为有的病毒邮件恶毒之极，只要你将鼠标移至邮件上，哪怕并不打开附件，它也会自动执行。更不要打开陌生人来信中的附件文件，当你收到陌生人寄来的一些自称是“不可不看”的有趣东东时，千万不要不假思索地贸然打开它，尤其对于一些“.exe”之类的可执行程序文件，更要慎之又慎！
　　(2)注意文件扩展名
　　因为Windows允许用户在文件命名时使用多个扩展名，而许多电子邮件程序只显示第一个扩展名，有时会造成一些假像。所以我们可以在“文件夹选项”中，设置显示文件名的扩展名，这样一些有害文件，如VBS文件就会原形毕露。注意千万别打开扩展名为VBS、SHS和PIF的邮件附件，因为一般情况下，这些扩展名的文件几乎不会在正常附件中使用，但它们经常被病毒和蠕虫使用。例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的JPG察看器。
　　(3)不要轻易运行程序
　　对于一般人寄来的程序，都不要运行，就算是比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行。因为有些病毒是偷偷地附着上去的——也许他的电脑已经染毒，可他自己却不知道。比如“happy 99”就是这样的病毒，它会自我复制，跟着你的邮件走。当你收到邮件广告或者主动提供的电子邮件时，尽量也不要打开附件以及它提供的链接。
　　(4)不要盲目转发信件
　　收到自认为有趣的邮件时，不要盲目转发，因为这样会帮助病毒的传播；给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的电脑中试试，确认没有问题后再发，以免好心办了坏事。另外，应该切忌盲目转发：有的朋友当收到某些自认为有趣的邮件时，还来不及细看就打开通讯簿给自己的每一位朋友都转发一份，这极有可能使病毒的制造者恶行得逞，而你的朋友对你发来的信无疑是不会产生怀疑的，结果你无意中成为病毒传播者。
　　(5)堵住系统漏洞
　　现在很多网络病毒都是利用了微软的IE和Outlook的漏洞进行传播的，因此大家需要特别注意微软网站提供的补丁，很多网络病毒可以通过下载和安装补丁文件或安装升级版本来消除阻止它们。同时，及时给系统打补丁也是一个良好的习惯，可以让你的系统时时保持最新、最安全。但是要注意最好从信任度高的网站下载补丁。
　　(6)禁止Windows Scripting Host
　　对于通过脚本“工作”的病毒，可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。禁用Windows Scripting Host。Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户单击附件，就可自动打开一个被感染的附件。同时应该把浏览器的隐私设置设为“高”。
　　小编提示：一般人的Windows系统中并不需要Windows Scripting Host功能，微软有时会为我们考虑得太多。
　　(7)注意共享权限
　　一般情况下勿将磁盘上的目录设为共享，如果确有必要，请将权限设置为只读，读操作须指定口令，也不要用共享的软盘安装软件，或者是复制共享的软盘，这是导致病毒从一台机器传播到另一台机器的方式。
　　(8)不要随便接受附件
　　尽量不要从在线聊天系统的陌生人那里接受附件，比如ICQ或QQ中传来的东西。有些人通过在QQ聊天中取得对你的信任之后，给你发一些附有病毒的文件，所以对附件中的文件不要打开，先保存在特定目录中，然后用杀毒软件进行检查，确认无病毒后再打开。
　　(9)从正规网站下载软件
　　不要从任何不可靠的渠道下载任何软件，因为通常我们无法判断什么是不可靠的渠道，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
　　(10)多做自动病毒检查
　　确保你的计算机对插入的软盘、光盘和其他的可插拔介质，以及对电子邮件和互联网文件都会做自动的病毒检查。
　　(11)使用最新杀毒软件
　　我们要养成用最新杀毒软件及时查毒的好习惯。但是千万不要以为安装了杀毒软件就可以高枕无忧了，一定要及时更新病毒库，否则杀毒软件就会形同虚设；另外要正确设置杀毒软件的各项功能，充分发挥它的功效。
　　书虫寄语：
　　当然了，病毒防治，重在防范。随着计算机技术的发展，计算机病毒的传播途径和破坏手段也在逐渐地升级。作为个人用户，面对纷繁复杂的网络世界时，一定要倍加小心，随时更新自己的杀毒软件，了解病毒的发展的最新动态，防患于未然才能高枕无忧。

.