『木马防线2005+』『AReporter』=电脑安全防护好搭档

　　在我刚买电脑的时候，我还不知道电脑病毒是什么东西。但是，自从那年CIH病毒的流行和那次我的电脑中了CIH病毒之后开始，才使我认识到什么是电脑病毒。同时，我还感觉到，病毒与反病毒这场“无硝烟的战争”才是真正的刚刚开始，而且，这场“战争”肯定会是一场没完没了的“战争”！

　　时过境迁，大家都绝对不会忘记CIH、冰河、红色代码、冲击波、爱情后门、蠕虫王、尼姆达这些赫赫有名的病毒吧？随着技术的日新月异，今天的病毒的破坏力不但提高了，而且，隐蔽性也“更上一层楼”！如Dll注入式后门、封装程序、Rootkit、双组件攻击等。我们很难想象，将来的病毒又会升级到什么程度？不过，不管病毒怎么厉害，到时候，总是有解毒的方法！至于这些解毒之法，像我这样的菜鸟就不去管它了。还是把它们交给安天实验室的反病毒工程师们去解决吧！

　　欲善其事,必利其器，下面介绍的是安天实验室开发的专业反木马安全产品——《木马防线2005+》，，它能够彻底查杀超过10万种流氓软件、间谍软件、木马、后门程序、蠕虫病毒、黑客工具等，并内置了安天盾防火墙，为系统提供实时保护。多种安全管理工具使系统信息尽收眼底，安全隐患无可遁形。具有高速木马检测、流氓软件查杀、智能抓毒精灵、系统补丁检测、全新木马播报、安天盾防火墙、自动智能更新、最强捕获体系、可疑程序上传、八大管理工具等十大特色。

图1木马防线2005+专业界面

　　以前的情况是，那些制造病毒的黑客大多数是想检测一下自己的技术水平达到了哪一个阶段。但是，自2005年开始，动机的转变使得安全威胁活动产生结构性变化。新的恶意程序大多都是以金钱利益为诱因。特别是一些精心设计的特洛依木马程序会透过邮件散播给这些目标，希望警觉性不高的使用者会落入圈套中。采用这种有别于大规模蠕虫感染的慢速散播方法，即可大大增加了恶意程序维持长时间不被侦测到的机会。这种策略能让特洛依木马在被侦测并移除之前，收集到更多机密信息。

　　而《木马防线2005+》采用全新的VCS(Virus Capture scripter)抓毒精灵技术，通过行为分析对各种未知木马等可疑程序进行检测，全面消除系统中的安全隐患。并且，木马防火墙全面升级，形成了能够对系统和网络进行实时监控和防护的安天盾防火墙。

　　当我们的IE主页被恶意程序篡改，我们也可以使用《木马防线2005+》『系统工具』的「IE-注册表修复」来解决问题。IE和注册表修复工具威力非常强大，它不但能够完美恢复被恶意程序和网站篡改的IE设置、注册表配置等多种系统配置，并能够通过禁用IE设置、注册表编辑达到永久免疫的目的。它还能够强力拦截弹出广告窗口，还您一个纯净的网络空间。

图2 木马防线2005+系统工具－IE-注册表修复

　　在我的使用过程中，对《木马防线2005+》印象最深刻的功能，莫过于『安天盾防火墙』和『扫描木马』，以及『系统工具』中的「服务管理」和『杂项』中的「可疑文件上传」功能了！

　　我们首先一起来看看『安天盾防火墙』，它有4种防火墙策略，分别是：正常使用、系统初装、高度警戒、紧急断网。每种策略都适合各种情况发生的时候使用。并且，在防火墙中，还提供了“网络监控”、“系统事件”、“威胁预警”3大功能。令我印象最深刻的就莫过于是“威胁预警”这个功能了！它能使用户提早知道网络上最新流行的病毒动态及消息。而且，除了简洁明了的描述之外，只要用户点击相应的“描述”，就可以自动连接到安天实验室的安全响应中心，在那些网页中，不但详细地记载了病毒的特征、行为。而且，还提供的十分完善、详细的解决方案。

图3安天盾防火墙－威胁预警

　　对于『扫描木马』功能，我觉得制作得很出色！因为它提供的3种扫描的方式给用户选择，大大地提高了工作效率。那3种扫描方式是：简洁目标、磁盘目标、文件夹目标。而且《木马防线2005+》还提供了扫描日志，方便用户翻阅查找历史资料记录。

　　为了测试《木马防线2005+》的反病毒的能力，我特意地关闭了『安天盾防火墙』，并且上了某个种植了恶意程序的网站。再使用『扫描木马』看看《木马防线2005+》的查毒能力。

扫描后，得出的结果是：

[1]

木马名称 = Trojan-Downloader.Win32.Small.bpj

文件名 = C:\temp\bbs003302.css

[2]

木马名称 = Backdoor.Win32.Rbot.gen

文件名 = C:\WinApps\StormCodec\StormCodec.exe

[3]

木马名称 = Trojan-Dropper.Win32.Agent.nc

文件名 = C:\WINDOWS\system32\exeBinder.exe

图4木马防线2005+－扫描木马

　　但是，不管世界上有多么完美的杀毒软件、反木马软件都好，始终都是会有一次或者两次漏查、误报的可能。因为病毒的变化是日新月异的，目前的杀毒软件、反木马软件的病毒库更新都是在病毒更新之后。虽然《木马防线2005+》做得很完美，不过，对于一些比较新型的木马、后门程序变种没有人上报的话，那么，病毒库就没有了该病毒的代码了。这么说，就有可能因此而漏掉那么一两个病毒，造成后患。当遇到这种情况，我们可以下载并且使用由安天实验室开发的免费工具《AReporter1.02》（下载地址：http://www.antiy.com/download/AReporter.exe），该软件是一个系统报告生成工具，可以针对系统当前运行情况生成报告文件（包括进程、端口、注册表启动项、服务等），非专业用户可提交此报告给专业人士进行深入分析。

图5Antiy Reporter

经过详细的分析之后，发现真的是有遗漏的地方。就是如图中红色方格所示的：

[s] StopedOtherAutomaticMisrosoft System

C:\Program Files\HgzServer\G_Server1.2.exe”

图6 Antiy Reporter－Antiy RPT

这个是一个灰鸽子，《木马防线2005+》在查毒中没有被报告出来，这么说，它就应该是一个变种的灰鸽子了。

服务名称是：Miscrosoft System；

描述是：系统安全服务程序，电源和病毒管理；

第一种方法：我们在任务管理器中是不会找到这个进程的。而且，在正常模式（Normal mode）下，是删除不了这个文件的。然后就要借助《木马防线2005+》－『系统工具』中的「服务管理」工具，找到服务名称为Miscrosoft System，程序路径是C:\Program Files\HgzServer\G_Server1.2.exe的地方，然后，选定此项服务。按下删除按钮，就可以把该灰鸽子程序的服务项删除了！

第二种方法：可以到注册表（开始>>运行>>输入“regedit”>>按下回车）中删除：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Miscrosoft System]键值，之后，重新启动计算机。再使用《AReporter1.02》扫描一下系统，发现服务已经没有了。这个灰鸽子已经不能再启动了。但是，源文件还是在的。

　　我们可以把这个文件使用.zip压缩格式上报给安天实验室。我觉得，《木马防线2005+》－『杂项』中的「可疑文件上传」也做得非常人性化！现在各反病毒、反木马的厂家都是提供在线上报病毒又或者是使用邮箱上报病毒。但是，《木马防线2005+》就提供了直接在木马防线的界面中上报就可以了。而且还做得非常贴心。我觉得使用时很方便！不用上它的网站或者到利用邮箱就可以上报病毒，省去了很多宝贵的时间！同时，积极上报还可以得到奖励。这么方便快捷，又有奖励，我们何乐而不为呢？最后，我把这个病毒上报之后，只要删除文件就可以把这个问题解决了。

图7木马防线2005+－可疑文件上传

　　经过使用《木马防线2005+》之后，我觉得它做得十分的人性化，很适合各种不同要求的用户使用。不过，还是有待完善的，就是对于病毒查杀方面了。这个问题不算很大，而且，有一两个病毒没有发现是很正常的事情。这个需要大家的积极上报病毒来配合。所以，我现在开始积极给安天实验室上报病毒。希望大家也可以一起参与。

　　我觉得《木马防线2005+》+《AReporter1.02》绝对是一对电脑安全防护的好搭档！

　　虽然说，软件的防毒和杀毒能力强大，可以使计算机使用更加安全。不过，我们的安全意识要不断提高才是最重要的！

下面给大家几点建议：

• 无论来源是哪里的都好，我们都一定要使用较新的防毒软件与间谍程序防护软件扫描所有从 Internet 下载的程序。
• 无论寄件人是谁，绝对不要随意开启这些电子邮件所含的附件文件，也不要随意地按下邮件中的链接。
• 请勿允许新软件从您的浏览器中安装，除非您百分之百信任此网页与软件供应商。
• 开启 Windows 操作系统的「自动更新」功能，一旦有新的更新程序推出时，请大家立即安装。
• 随时开启防毒软件实时扫描服务。定期检查防毒软件是否保持在最新，以及服务是否已在执行。
• 更多的反病毒资讯，大家可以到安天实验室http://www.antiy.com/查看。

　　在我对电脑病毒有了一定的了解和研究之后，我发现，病毒其实终归到底也只是程序而已，它们本身并不可怕，最可怕的是想利用病毒去获益的人和我们自己没有防范病毒的安全意识！