网络安全特辑第三期！

半生

鼠标乱动不听指挥，是否中了病毒

现象：我的鼠标最近有时胡乱乱动，不听指挥。我怀疑是有病毒或木马之类，所以用金山毒霸、iparmor5.33、the cleaner查杀过，均未发现过问题。但我在“系统信息→正在运行的任务”下发现几个没有路径、版本和任何信息的任务。不知道和这有没有关，请问这三个任务是什么东西，能否删除，怎样删除？

这是一种NIMDA病毒。解决方案如下：

(1) 检查临时文件夹是否存在MEPXXXX. tmp 和MEPXXXX.tmp.exe文件，XXXX是由字幕和数字随机组成的字符串。

(2) 检查C:\\，D:\\，E:\\是否存在httpodbc.dll文件。

(3) 是否带宽被严重占用。

(4) 在Windows 9x/ME系统中，\\Windows\\ system目录下是否存在LOAD.exe文件。

(5) 在Windows NT/2K系统中，\\Windows\\ System目录下是否存在CSRSS.exe隐藏文件。

建议你下载Symantec和Trendmicro的查杀Nimda_E病毒工具进行检测和清除。http://support.marsec.net/focus/nimda_e/FxNimdaE.com

http://support.marsec.net/focus/nimda/trend_nimda.zip

查杀步骤：

（1）在http://support.marsec.net/focus/nimda_e/FxNimdaE.com下载FxNimdaE.com，存放在系统里。

（2）停掉系统所有正在运行的程序。如果你的系统是Windows Me，你必须停掉Windows Me的系统恢复功能，因为病毒有可能被自动保存在备份目录里。双击运行FxNimdaE. com，运行此程序需要你以系统管理员帐号登录，在操作前停掉IIS服务或者拔离网线，以免在清除过程中再次感染。然后点击Start键运行程序直到报告说系统已经清除掉病毒。


网络上的病毒该怎么防范呢

网络病毒通常是指特洛伊木马和邮件病毒，因为是通过网络传播的，所以称为“网络病毒”。 在这里面我说说邮件病毒。

邮件病毒和普通病毒是一样的，只不过由于它们主要通过电子邮件传播，所以才称为“邮件病毒”，一般通过邮件中“附件”夹带的方法进行扩散，一旦你收到这类E-mail，运行了附件中的病毒程序，就能使你的电脑染毒。这类病毒本身的代码并不复杂，大都是一些脚本，比如I love you病毒，就是一个用VB Script编写的仅十几kB的脚本文件，只要收到该病毒的E-mail并打开附件后，病毒就会按照脚本指令，将浏览器自动连接上一个网址，下载木马程序，更改一些文件后缀为.vbs，最后再把病毒自动发给Outlook通讯簿中的每个人。

还有一种恶作剧需要提醒大家注意，有人用VBScript编写了一个HTML文件，代码如下：

< script language=\"VBScript\">

　　　　Dim WSHShell

　　　　set WSHShell=CreateObject (\"WScript.Shell\")

　　　　WSHShell.run(\"c:\\format d:\")

< /script>

只要你打开该网页，你的D盘就被格式化了。如果哪天你收到的E-mail，其中整合有这样的HTML，只要你一打开该E-mail，就会自动启动IE，运行以上HTML代码，根本不需要你打开E-mail的附件，你的D盘就会被格式化。预防办法是禁止HTML中脚本的运行(在浏览器的“工具”/Internet选项/安全中设置禁止JAVA或ActiveX的运行)，当IE提示“该页上的某个软件(ActiveX控件)可能不安全，建议你不要运行。是否允许运行？”时千万要记住选择“不运行”，以免你的硬盘被格式化！

要防范邮件病毒，就要注意不要打开陌生人来信中的附件，特别是“.exe”等可执行文件；养成用最新杀毒软件及时查毒的好习惯，对附件中的文件不要打开，先保存在特定目录中，然后用杀毒软件进行检查；收到自认为有趣的邮件时，不要盲目转发，因为这样会帮助病毒的传播；对于通过脚本“工作”的病毒，可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。

为什么电脑上了网之后就可能被别人入侵

我们可以把一台已联网的个人电脑当做是一台几乎所有常用端口(Telnet、FTP等)都被封闭的服务器。由于服务器的端口最大可以有65535个。实际上常用的端口才几十个，可以看出未定义端口相当的多。这就表示我们可以采用某种方法定义出一个特殊的端口来达到入侵的目的。

为了定义出这个端口，就要依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口。这个程序就是“后门”程序。简单的说，我们先通过某种手段在一台个人电脑中植入一个程序，使这台机器变成一台开放性极高(用户拥有极高权限)的FTP服务器，然后就可以达到侵入的目的。

不过光有后门程序是不够的。一个好的控制工具一般分成两个部分：一个是Client，也就是客户服务程序，我们用它来控制已经打开后门的机器；另一个是Trojan/Host，也就是“后门”程序了，我们用它来开放某台机器。假设我们想控制机器A。那么我们通过一些手段来把“后门”程序传到机器A上并使其运行之，这样A就变成了一台特殊FTP的服务器。然后我们使用Client程序就可以控制A了。