你被偷窥了?!- 电脑里的间谍软件及DSO Exploit
--------------------------------------------------------------------------------
很多同志已经开始留意自己的电脑会不会被入侵,被Hijack, 担心重要资料比如网上银行等密码被人窃取。相信不少人都会用免费的间谍软件清除工具比如Spybot - Search & Destroy来清理机子里的坏种。本人也使用Spybot,效果应该是不错的。不过一直被它所发现的DSO Exploit这一“病毒”所困扰,因为每次清除后,重新扫描又会发现同一问题依然存在。我很担心机子中毒或者有很狡猾的间谍软件不间断地窥视我的一举一动。直至最近从网上一些论坛上搜索到比较完整的答案并解决了问题,才放下心来。
让我简单将有关DSO Exploit的情况归纳一下,有兴趣的参考研究,或者补充。
DSO Exploit最早于2002年2月27日由以色列的GREYMAGIC软件公司报告发现。这是利用微软IE的代码漏洞,更改注册表里IE网络区域设置的病毒。DSO原意是"数据来源(Data Source). 当上网浏览时,运行的是 HTML 语言,其中运行所谓 'arbitrary command', 可以自由打开用户指定数据。这就是说,你的电脑里的数据可能随时被别人浏览窃取(这几句是抄的 )。
据说微软公司对此一直含糊其词,但强调如果你保持更新系统和及时打上微软发布的关键补丁,你的电脑不会存在此缺陷。
事实是否如此?网上存在一些争论。根源是很多人运行SPYBOT,始终无法修复发现的“DSO Exploit缺陷”。而且似乎不同的电脑配置和系统会出现不同的报告。有我的电脑里最近出现的报告是这样的:
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-1417001333-1292428093-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0\1004!=W=3
但最初并不是这样,但我已经记不得具体是如何,反正用SPYBOT进行修复,显示已经成功,但再次扫描又会出现。有人研究后发现,SPYBOT 不能把整个键值改变, 只是把String 值空白。并且认为应该对注册表进行这样的修改:
把整个键删除,然后重新写回, 键值改用DWord, 不是SZ(String):
HKEY_CURRENT_USERSoftwaremicrosoft|WindowsCurrentVersionInternet SettingsZones
找出 1004, 如果键值是 Sz,把它删除, 重新写回:
键值名: 1004
键值类: DWORD
键值: 3
但我试过并不奏效。于是试用其他人建议的办法,即彻底将找出的有问题的键值全部删除。结果:It works, really! 方法如下:
1. 运行SPYBOT进行扫描
2. 点击 "+"号展开DSO项
3. 右键点击第一项,选择打开注册表编辑器,会自动定位到“1004”键项
4. 对 "1004"右键点击,然后选择 "删除."
5. 重复2-4步骤,删除每个有问题的键值。(有人建议每删除一个键值都重启,我认为不需要的)。
以上方法对绝大部分人的电脑是有效的。如果你对电脑认识不深,对注册表所知不多,害怕在注册表里动手术(很多文章一直吓唬电脑新手,让他们千万不要动注册表。的确,乱删除注册表里的键值会引起诸如系统崩溃等问题,但并非真的如此恐怖的),那你可以使用一个免费软件DSOstop来替你处理。点以下链接下载:
www.nsclean.com/dsostop2.exe
注意:使用该可执行文件进行更正时,必须确保退出IE,Outlook Express, MSN Messenger, Media Player, 以及断开网络连接。
如果你相信微软公司的话,其实大可不必理会SPYBOT检查出的这个问题。SPYBOT在几个月前还是处在1.3版本的时候,也指出这是该软件的一个BUG,在新版本出来(1.5)时会更正,但现在我使用的已经是最新版本的SPYBOT,仍然存在这个问题。我实在不知相信谁。为了心理有所安慰,必去之而后快。
最后,有人提议在SPYBOT的“高级功能”里选择“隐藏”掉检出的DSO EXPLOIT问题键值,实在是有点埋头入沙的味道。
当然,是否删除这些键值就万事大吉了,恐怕只有BILL GATES他老人家知道了。
有兴趣的可参考以下论坛:
www.askmehelpdesk.com/...07;start=0
以上所有链接,绝对没有病毒或不良网页,请大家放心。