真病毒還是假警報?

病毒警告司空見慣，哪些警告信息是提示真正危險的？哪些信息又是無害的呢？下面CHIP將告訴你如何去甄別它們。

你信任你經常訪問的網站嗎？大部分人對于自己經常訪問的網站都有過多的信任感，對于大型的網站這種異乎尋常的信任感越發強烈，如果在瀏覽一個大型的門戶網站時病毒防御軟件彈出一個警告，幾乎沒有用戶會認為是真的發現病毒了，因為病毒軟件誤報同樣是司空見慣的事請。而這正是惡意程序開發者最希望看到的，無數的事例證明這種盲目的信任是危險的。在2011年4月的一個案例中，約有50萬個網站（國內普遍認為超過100萬）被滲透成為惡意代碼攻擊的傳播者，這當中甚至包括iTunes上的幾個播客。

惡意軟件開發者的攻擊目標是無辜的用戶，除了大量地使用釣魚郵件進行攻擊外，主要還通過兩個新興的途徑發起攻擊，即社交網站和智能手機應用程序。不過，對于大部分社交網站和智能手機用戶來說，只有極少數的用戶意識到他們社交網站的好友信息或者智能手機上的應用程序可能是危險的。因而，攻擊者很容易通過這兩個新的攻擊手段獲得成功，為此，攻擊者變本加厲，社交網站上的攻擊信息與日俱增，智能手機軟件商店中的惡意程序也正迅速地增加。

除此以外，攻擊者對于小心謹慎的用戶也有針對性地采取了相應的攻擊手段，攻擊者通過虛假的病毒警告以及提供假殺毒軟件等手段，令許多用戶防不勝防。不過，對于上述種種的攻擊手段，通過適當的方法和適當的工具，你完全能夠找到合適的應對策略。

真病毒：

揭開惡意軟件和騙子的偽裝

黑客網站

攻擊者越來越多地利用通常被認為可靠的網站來傳播惡意軟件。最新的例子是，著名的LizaMoon攻擊影響了50多萬個網站，攻擊的目標是采用微軟IIS服務器平臺和使用ASP.net技術開發的網站，攻擊者利用SQL數據庫注入的方式，向數據庫注入代碼，使被滲入的網站在用戶訪問時自動打開一個網頁，該網頁將查找用戶系統與瀏覽器上未打補丁的漏洞，傳播木馬以及其他的惡意程序，并且用戶還可能被重定向到一個假裝檢查病毒的頁面上，通過恐嚇用戶感染大量病毒的方式，誘使用戶下載偽裝成殺病毒軟件的惡意程序，其目的主要是進一步恐嚇用戶付費購買這個偽裝的殺病毒軟件。由于網站轉發的網頁所用域名是“lizamoon.com”，因而，這一攻擊被命名為LizaMoon攻擊。

即使瀏覽器或病毒掃描程序顯示一個警告，用戶也很少會相信在著名的大型網站上會出現攻擊代碼。實際上，除了大型網站存在被攻擊者突破的可能外，在大型網站的頁面上很多時候都充滿了來自第三方站點的內容，因而，你確實不應該掉以輕心。除了及時地更新病毒掃描程序、瀏覽器和瀏覽器插件外，包括系統在內的所有應用程序的已知漏洞也都應該及時地修補。其次，你可以在Firefox中添加NoScript附加組件，并通過附加組件的圖標選擇“設置|嵌入式對象”，激活“禁止

虛假的病毒檢測

當Windows警告你當前安裝的應用程序可能影響系統的穩定性時，你應該認真對待。因為無論你認為自己正在安裝的應用程序是什么，但它極有可能就是一個惡意程序。許多攻擊者嘗試通過各種方法來誘騙用戶安裝攻擊程序，你可能被警告自己的電腦感染了病毒，甚至于你確實在瀏覽器上看到了很真實的病毒預警，并且你被告知只需要單擊一下“清除病毒”或類似的按鈕即可清除病毒，而最終的結果必然是要求你下載安裝一個所謂的病毒掃描程序。接下來可能發生的事情有很多版本，可能是木馬正式進駐你的系統并假裝為你的系統清除了病毒，可能是清除病毒后再次出現警告，并為你提供了新的解決方案，你需要付費購買一個專業版才能夠徹底地清除病毒。

不要相信任何名不見經傳的安全軟件，如果你確實相信自己的電腦可能感染了病毒，那么你唯一應該安裝的是可靠的知名殺毒軟件。如果你曾經相信了網上出現的警告，并安裝了一些殺病毒軟件，那么你可以用可靠的殺病毒軟件全盤檢查一下，或者使用專門清除假冒殺毒軟件的工具Remove Fake Antivirus tool將這些垃圾從你的電腦上刪除。

敲詐勒索

你電腦上可能會出現相關管理部門的警告，聲稱在你的電腦上發現了色情或犯罪的相關信息，同時阻止系統的一切訪問功能，要求按照指定的方式支付一定的金錢電腦才能解封。這種勒索軟件的成功與否，很大程度取決于用戶的電腦上是否真有不光彩的資料和用戶對于電腦網絡知識的多寡。在國外由于相關的法規嚴厲，支付方式靈活并且攻擊者勒索的金額通常有限，所以得手的機率較高。

通常，仔細地查看勒索信息就能夠發現不少漏洞，例如聯系你的電子郵件不屬于相關的機構，或者提供的域名即使與相關機構相似但實際卻有一定的差異。不過，即使你已經判斷出這是敲詐勒索的軟件，那么你不支付費用也有事情要做，因為敲詐勒索軟件將封鎖系統，你必須使用其他的啟動盤啟動系統，然后清除病毒。如果殺病毒軟件無能為力的話，那么唯一剩下的選擇就是重新安裝Windows了。

誘騙的鏈接

在社交網站上誘使用戶點擊欺詐鏈接的攻擊方式正迅速蔓延，特別是在Facebook等著名的社交網站上。原因很簡單，通常用戶并不會懷疑他們朋友發送的信息，因此攻擊者能夠頻繁得手，自然是樂此不疲。誘騙鏈接的花樣很多，有的鏈接只是嵌入了一些特殊的代碼，或者利用隱藏的按鈕接受用戶的單擊，此類誘騙的鏈接大多只是為了騙取點擊，然后從廣告公司獲得每一個點擊的錢。危險性更大的是程序類誘騙的鏈接，通常你所看到的程序都異常強大，然而，無論你看到的介紹是什么，最終安裝到你電腦上的將是竊取用戶信息、密碼的惡意軟件。

如果你的朋友確實是可信任的，那么在你點擊他所發送的鏈接前，可以簡單地問一下他，確定這個鏈接是他提供的。否則對于陌生人的鏈接，你應該有足夠的警惕性。如果你已經下載了社交網站上傳播的應用程序，那么趕快檢查病毒，留意程序的行為，并搜索應用程序相關的信息，了解互聯網上其他用戶對于該應用程序的評價。如果證明該軟件確實有問題，則應該趕快刪除并修改自己的安全驗證信息，例如修改賬戶密碼等。

智能手機欺騙程序

iOS或Android應用商店中出問題的智能手機應用程序越來越多，由于不少智能手機能夠直接購買應用程序和其他的服務，以免費軟件現身的欺騙程序誘騙用戶點擊廣告或自動認購用戶并不需要的東西。智能手機已經成了最受攻擊者歡迎的攻擊平臺，2011年3月惡意軟件DroidDream感染了50多個Android應用程序，包括照片編輯、超級吉他獨奏軟件和密碼安全軟件等。在4天中，這些應用程序被下載了50 000次。根據熊貓安全公司的檢測，此類病毒一旦安裝完畢，則可以讀取用戶手機上的數據，并自動發送短信和激活管理員權限，自動下載更多的惡意軟件。

防止智能手機成為病毒的溫床，最有效的解決方案是安裝AVG的免費反病毒程序（在Android商城免費下載）。并且，在安裝每一個應用程序時，你都應該檢查應用程序的安裝信息，確定應用程序沒有申請不必要的權限、沒有無端要求訪問你的郵件或瀏覽器或者其他應用程序本不需要的數據。另外，你應該經常檢查自己的手機信息，包括短信、電子郵件與瀏覽器歷史記錄，查看其中是否包含異常的內容。

專業釣魚

通過電子郵件傳播的專業釣魚網站再次活躍，根據賽門鐵克的統計，僅2011年1月到2月之間，釣魚郵件的數量就增長了50%。其中，最常見的釣魚郵件是通過鏈接將用戶帶到一個偽造的銀行站點，在用戶嘗試登錄時盜取用戶的賬戶信息。

防范釣魚攻擊最簡單有效的方法是堅持手動輸入銀行、商店和其他支付服務網站的地址，或者通過書簽調用。永遠記住，銀行或者相關的機構不會向你發郵件要求你直接登錄，更不可能發郵件要求你提供賬戶信息。其次，確保你訪問支付服務網站時使用https鏈接，因為只有這樣，你所傳輸的數據才能夠安全。

假警報：

避免警鐘誤鳴影響正常操作

激進的病毒軟件

如果你的病毒防御軟件彈出一個警告信息，那么你當然應該認真對待。然而，遺憾的是幾乎所有的病毒防御軟件都經常會出現誤報。根據AV測試的結果分析，2011年開始安全軟件誤報的機率較2010年第四季度要少，但是仍然難以避免誤報，甚至對于一些使用非常廣泛的應用程序也會出現誤報，例如OpenOffice和Notepad++這些完全無害的熱門軟件。這主要是由于這些軟件所包含的一些代碼與殺病毒軟件病毒庫中的某些惡意程序代碼相似而引發的。

如果你知道被認為存在病毒的程序來自何方，例如這是一個下載文件，那么你可以使用FileAlyzer（www.safer-networking.org/en/filealyzer/index.html）之類的工具檢查文件并與下載頁中提供的文件相比較。這樣做非常有效，如果文件被修改你將發現FileAlyzer檢查的文件校驗和與選擇頁面上的不同。如果下載頁面中的軟件供應商沒有提供文件校驗和信息，那么建議你從軟件官方網站或者其他可靠的來源重新下載文件。如果你并不了解發出警報的文件，那么你可以使用VirusTotal（www.virustotal.com）上傳文件，通過40多個病毒引擎的分析，你不難弄清楚到底它是真病毒還是假警報。

封鎖的互聯網

基于黑名單的瀏覽器網絡釣魚過濾器通過網址進行識別和過濾，利用可靠的黑名單和軟件在瀏覽器上捕獲的惡意代碼能夠封鎖絕大部分危險的站點。但是，黑名單很多時候并不是最新的，并且不斷出現的釣魚站點導致了黑名單非常龐大，僅過去的一年時間里有害網址就增加了一倍，平均每天增加近3300個。這導致了誤判情況的出現，并且一些網站出現惡意代碼只是由于嵌入的廣告有問題，此類廣告很快會被清除，但是網站卻由于曾經出現過惡意代碼而一直被留在過濾列表中。

使用AVG（www.avg.com）等過濾方式更合理的軟件，為瀏覽器安裝Adblocker（adblockplus.org）之類的廣告過濾軟件，過濾廣告避免其中的惡意代碼被捕獲而導致網站被封鎖。

不正確的證書

SSL加密需要網站有正確的證書，通過證書瀏覽器可以驗證網站的真實性和采用的加密傳輸方式，如果證書驗證失敗并且也沒有被設為可信任的證書安裝在覽器中，那么瀏覽器將阻止用戶訪問網站，并給出警告信息。

出現證書驗證失敗首先你應該了解一下具體的原因，如果網站使用的證書過期，那么你首先應該判斷一下問題是否是由你自己造成的，例如系統設置了一個不正確的日期，如果確定問題并非出在你自己身上，那么你可以進一步看一下該網站是什么類型的網站，如果該網站并不是一個網上銀行或者支付類的站點，那么網站的證書過期是常有的事情，這可能只是由于網站沒有繼續為證書續費，你可以選擇繼續瀏覽，有必要的話可以單擊瀏覽器狀態欄上的加密圖標，設置瀏覽器不再警告該網站的證書問題。

煩人的用戶賬戶控制功能

自從Windows Vista以來系統的用戶賬戶控制（UAC）功能一直讓許多用戶煩惱，該功能不能識別軟件是惡意軟件還是無害軟件，只是在應用程序需要修改Windows設置時進行警告，要求確認后方可進行操作。通常，類似的警告對于經驗豐富的電腦用戶來說根本是不必要的，而對于并不是很熟悉電腦的用戶來說則根本無法正確地進行判斷。

在“控制面板|系統和安全|操作中心|更改用戶賬戶控制設置”，你可以修改用戶賬戶控制功能的設置，可以按照自己的需要定義什么時候才需要提示。不過，不建議你完全地關閉它，除非你采用非管理員的賬戶操作電腦，否則，惡意程序就會比較容易侵入你的系統。

過分熱心的防火墻

并不是每一個通過互聯網發送數據的程序都是木馬，都會盜取你的賬戶、信用卡信息或者敏感數據。在使用防火墻的過程中，很多時候我們都需要面對應用程序莫名其妙無法訪問網絡的問題，而這些問題很多都是由于防火墻阻止訪問導致的，有的時候它甚至連瀏覽器也禁止了。

你可以設置防火墻由你來決定是否禁止一個應用程序訪問網絡，判斷一個應用程序是否危險，你可以使用CurrPorts（www.nirsoft.net）來分析活動的網絡連接。在軟件“Options”中選擇“Display Items without Remote Address”過濾掉一部分連接，如果發現一個可疑的連接，那么通過“Process Path”找到該連接對應的應用程序，將其上傳到VirusTotal檢測病毒，即可知道這是一個正常的程序還是一個木馬。如果發現病毒，那么在CurrPorts中按下[Ctrl]+[T]并選擇“Kill Processes of selected Ports”斷開連接使用的端口即可。

誤判的系統錯誤

惡意軟件有可能導致系統崩潰等嚴重的系統故障，但是很多人每次遇到類似的系統錯誤就認為是惡意程序所為，這通常是一種誤判。惡意程序的設計通常都是有目的的，而不論它的目的是什么，隱藏自己，偷偷地進行攻擊是絕大部分惡意程序的選擇，因而，導致系統出現明顯故障的通常不是惡意程序。

系統故障出現時，首先應該按部就班地進行排查，想一下故障發生前系統是否有什么改動，查看系統的事件記錄，了解故障發生時具體發生了什么，惡意程序的破壞可以列作可能，但并不是主要要考慮的。