微软|体验微软反间谍软件及恶意软件清除工具

第一章、前言

微软要推出自己的反病毒软件这已经不是什么新闻了,微软近几年悄然地收购了好几家反病毒软件公司,其中名气较大的有GeCAD和Pelican。2003年微软还成立了名叫病毒信息联盟(Virus Information Alliance)的俱乐部,它是由微软公司连同软件安全公司Trend Micro以及Network Associates共同建设的一个网络知识仓库,主要目的是“教育并保护微软的客户如何应对恶意代码的攻击以及不断出现的网络病毒的威胁”。Computer Associates、Sybari Software和赛门铁克都是它的成员。

微软从来就没有放慢进军安全软件的脚步,其实几年前推出的ISA Server已具有了反病毒功能。另据悉目前微软内部正在测试的反病毒软件的内核被临时命名为SBTU (Security Business & Technology Unit),它是微软安全业务及技术部的简称,SP2中的防火墙便出自该部门。据说微软公司内部的域用户,都必须安装Computer Associates提供的eTrust AntiVirus组件,它就是微软反病毒产品的外壳。

微软在新产品正式推出之前,总会有一两种标志性的产品作为先锋,反病毒软件也不应例外。Win XP SP2内置防火墙的成功使微软更有理由向安全软件进军。2005年新年伊始一款名为“Mircrosoft AntiSpyware”的反间谍软件的测试版悄然出现在网络上。其实这是去年微软收购了反间谍软件厂商Giant之后,利用其技术重新打造的,它主要用于监测和清除系统里间谍软件(Spyware)以及其它不受信任软件的专用工具,可以阻挡50多类间谍软件“入侵”。

一波未平一波又起,当“Mircrosoft AntiSpyware”反间谍软件给业界带来的震动还没消散时,事隔不到一周,1月11日微软又推出了一款免费的恶意软件清除工具(Malicious Software Removal Tool)。表面上看这只是微软以前推出的一些病毒专杀工具的合集,微软的安全业务及技术部负责人Gytis Barzdukas也一再强调,这只是对已经使用来自Symantec、McAfee、Trend Micro等反病毒软件产品的一个补充,但是它除了可以让用户从微软下载中心下载,又可以通过Windows Update自动更新,不能不让人们把它与微软正在蓄谋推出自己的杀毒软件联系起来。

在这之前,微软安全业务及技术部门的副总裁Rich Kaplan也曾透露说:“我们将有一款单独的反病毒产品,你可以从微软处购买,但是现在我们不能作任何声明。”所以我们权把这个工具,当作微软对市场的一次投石问路的行为吧。笔者第一时间试用了这两款软件,下面把它们的主要功能介绍给大家:

新软赏析

反间谍软件“Mircrosoft AntiSpyware”

软件小档案:

Microsoft AntiSpyware Beta 1
软件大小:6388 KB
软件语言:英文
运行环境:Windows 2000/XP/2003
下载地址: http://www.mydown.com/soft/204/204952.html

一、软件设置向导

下载后安装,因为如果你原来安装使用Giant公司生产的Giant AntiSpyware,最好先卸载它,以免产生软件版本冲突。Mircrosoft AntiSpyware首次运行时,会弹出设置向导,其中分为四个步骤,分别是:自动升级(Automatic Updates)、开启实时防护(Real-time Protection)、加入SpyNet社区、扫描你的计算机。建议除第二项以外,其他的都选择NO或跳过。可能因为是测试版的原故,笔者感觉软件启动速度较慢,但运行还是很稳定的。


二、间谍软件扫描

Mircrosoft AntiSpyware界面比较简洁(如图1),主要功能有扫描间谍软件(Spyware Scanning)、即时保护(Real-time Protection)和高级工具(Advanced Tools)三部分。其中扫描又分为手动和定时扫描两种:



图 1

1、手动扫描

点击界面右上角的“Spyware Scan”图标进行扫描窗口,软件会提供一套默认扫描方案,只扫描内存、系统文件、注册表以及Cookies文件。你也可以根据自己的情况自定义,点击“Scan Options”然后选中你要扫描的项目,最后勾选“Save these options”保持你的设置,按下“Run Scan Now”开始,默认情况下需要花费三分钟左右

扫描完成后会显示一个简要的报告(Scan Results),这里我们可以看到间谍软件的数量(Spyware threats detected)、内存进程扫描数量(Momory processes scanned)、扫描文件数(Files scanned)、受感染的文件数量(Spyware files infected)、被扫描的注册表键数(Registry keys scanned)等等。关闭它后会显示详细的扫描结果,Threat Name名称后面会显示一个非常直观的危害级别评价(Threat level),点击每项下面的加号可以看到软件所在位置(包括文件路径和注册表键值)。选中每个间谍软件右边还会显示出更详细的说明,包括间谍软件的类型(Type)、作者(Author)、介绍(Description),以及对处理该间谍软件的建议(Advice)等等。我们可以根据这些提示分别对它们进行处理,具体操作包括卸载(remove)、忽略(ignore)、隔离(Quarantine)、总是忽略(Always Ignore)四种,你可以在每个结果左边的下拉式列表框中选择。笔者建议对“Threat Level”级别为“High”及以上的统统进行移除。为了不误删正常文件,你可以勾选下面的“Create restore point”选项创建一个还原点,然后继续。(如图2)



2、自动扫描

Mircrosoft AntiSpyware还提供自动扫描功能,依次选择“Tools/Schedule Scan Details/Manage Spyware Scan schedule”打开设置窗口,你可以设置每周什么时候进行自动扫描(如图3)。在右边的“Scheduled Scan Options”区域可以设置对扫描结果的处理,例如“自动隔离所有扫描出来的间谍软件(Automactically quarantine spyware)、自动删除间谍软件cookies(Automatically remove spyware cookies)等,设置完毕后点击“Update Schedule”按钮使其生效。


图 3

三、实时防护功能

与反病毒软件的实时监控类似,Mircrosoft AntiSpyware也提供了一套即时监控保护功能,可以及时的监控来自网络和应用程序中的间谍软件,当任何未知具有危害的程序或者服务(例如信使用服务)试图运行时,它会立即阻止并弹出一个警告窗口提醒用户。你可以打开“Options→Settings”设置窗口,在“Real-time Protection”中勾选“Enable the Microsoft AntiSpyware Security Agents on Startup”和“Enable real-time spyware threat protection”两项让它自动开启。

在Real-time Protection窗口中,点击网络助理(Internet Agents)、系统助理(System Agents)、程序助理(Application Agents)分别进入,可以看到该部分都采用了哪些抵御间谍软件的策略,哪些项目被监控并被禁止。(如图4)



四、实用工具

除了以上防范间谍软件的基本功能以外,Mircrosoft AntiSpyware还提供了几个非常实用的工具,你可以在Tools菜单中找到它们,其中包括系统浏览器(System Explorers)、IE绑架恢复(Browser Hijack Restore)、系统记录清除器(Tracks Eraser)、高级文件分析器(Advanced File Analyzer)。

1、System Explorers:可以查看和管理下载过的ActiveX插件(其中可以告诉用户该插件是否安全)、正在运行的进程、Internet Explorer安装过的插件、工具栏按钮、Host文件等等。(如图5)笔者感觉这是一个非常实用的工具,可以解决大多数网民平时遇到的难题。


图 5

2、Browser Hijack Restore:访问非常网站IE主页经常被修改,利用这个工具每个用户都可以轻松地恢复。

3、Tracks Eraser:可以清除包括IE历史记录、Cookies、自动保存的密码、输入过的URL,画图程序、记事本、资源管理器、Windows Media Player、Winrar、ICQ、Adobe Acrobat Reader、Google Toolbar等众多软件打开过文件的历史记录,弹指之间让你的隐私得到最大的保护。(如图6)


图 6

4、Advanced File Analyzer:我们经常担心从网上下载的软件、朋友传过来的文件中会含有木马等恶意程序,通过这个工具可以详细查看该文件的真实信息,包括真实扩展名、路径、创建时间、MD5值等。(如图7)



图 7

经过近一周的试用,笔者感觉Mircrosoft AntiSpyware是一款功能齐全、使用方便的反间谍工具软件,但是目前只有英文版本对于国人来说不能不是一个遗憾。而且目前Mircrosoft AntiSpyware是免费的,而且加上微软的支持,笔者相信正式版推出后会更加完善。看来谁也无法阻止这只巨无霸进军安全软件的步伐。


恶意软件清除工具(Malicious Software Removal Tool)

这是微软推出的一款免费的恶意软件清除工具(Malicious Software Removal Tool)。它只支持Windows 2000及以上系统,简体中文版下载地址: http://download.microsoft.com/download/3/9/8/3982d61b-07a5-44cd-a7a7-1aa4565f0e93/Windows-KB890830-CHS.exe。这个工具以后每个月的第二个星期二会更新一次,这一点也符合微软以月为周期的软件安全更新策略。这一工具所使用的技术主要来自于微软在2003年所收购的罗马尼亚的一家反病毒公司GeCAD Software Srl,它可以帮助用户监测PC中是否存在Win32/Berbew 、Win32/Doomjuice 、Win32/Gaobot 、Win32/MSBlast 、Win32/Mydoom 、Win32/Nachi 、Win32/Sasser 、Win32/Zindos 等病毒。不过它与其他反病毒软件目前有三点不同之处:第一它不具备实时监控功能;第二它不能扫描硬盘中没被激活的病毒;第三它只能扫描列表中指定的有限几种病毒。

下载后直接运行,接受最终用户许可协议(EULA)后,该工具会自动检查系统中是否有列表中指定的几种病毒及其变种在运行,一旦发现,将立即删除。完成检测/删除过程之后,完成后点击界面上的“查看详细扫描结果”,可以看到检测到的和删除的恶意软件(如图8)。这里笔者要提醒一下使用者,该工具发现一个病毒或一个错误时,会把信息匿名发送回微软公司。你可以删除它在%WINDIR%/debug 文件夹中创建的一个名为 mrt.log 的日志文件。


图 8

后记:这两款软件的推出,预示着微软向安全软件领域进攻的开始,从以前的IE和媒体播放器等事件来看,谁也无法阻止这只巨无霸进军安全软件的步伐。如果微软故计重施,举起捆绑操作系统的杀手锏,将是现在所有反病毒软件厂商的噩梦。

    推荐阅读