肉雞電腦

誰都不希望自己的電腦被他人控制，但是很多人的電腦是幾乎不設防的，很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉，別人想怎麼吃就怎麼吃，肉雞(機)一名由此而來。

MSN機器人病毒再生新變種，在互聯網上大量發展可被黑客控制的“肉雞電腦”。

MSN機器人病毒再生新變種（Worm.MsnBot.aq），該變種的隱蔽性更強，可通過多種即時聊天工具進行傳播，同時將用户電腦變成可被黑客隨時利用的“肉雞”。

同時，成千上萬台被病毒感染的電腦則被黑客集中操控，而用户毫不知情，彷彿沒有自主意識的殭屍一般。這樣的殭屍網絡一旦在統一號令下激活，同時對網絡中的某一個節點發動攻擊，不管是網上竊密還是惡意破壞，能量都很可怕。

不要輕易通過MSN接收和運行陌生文件及打開對方發來的網址；不要在任何非MSN官方網站提交MSN賬號信息。

注意以下幾種基本的情況：

1：QQ、MSN的異常登錄提醒 （系統提示上一次的登錄IP不符）

2：網絡遊戲登錄時發現裝備丟失或與上次下線時的位置不符，甚至用正確的密碼無法登錄。

3：有時會突然發現你的鼠標不聽使喚，在你不動鼠標的時候，鼠標也會移動，並且還會點擊有關按鈕進行操作。

4：正常上網時，突然感覺很慢，硬盤燈在閃爍，就象你平時在COPY文件。

5：當你準備使用攝像頭時，系統提示，該設備正在使用中。

6：在你沒有使用網絡資源時，你發現網卡燈在不停閃爍。如果你設定為連接後顯示狀態，你還會發現屏幕右下角的網卡圖標在閃。

7：服務列隊中出可疑程服務。

8：寬帶連接的用户在硬件打開後未連接時收到不正常數據包。（可能有程序後台連接）

9：防火牆失去對一些端口的控制。

10：上網過程中計算機重啓。

11：有些程序如殺毒軟件防火牆卸載時出現閃屏（卸載界面一閃而過，然後報告完成。）

12：一些用户信任並經常使用的程序（QQ`殺毒）卸載後。目錄文仍然存在，刪除後自動生成。

13：電腦運行過程中或者開機的時候彈出莫名其妙的對話框

以上現象，基本是主觀感覺，並不十分準確，但需要提醒您注意。

接下來，我們可以藉助一些軟件來觀察網絡活動情況，以檢查系統是否被入侵。

1.注意檢查防火牆軟件的工作狀態

比如金山網鏢。在網絡狀態頁，會顯示當前正在活動的網絡連接，仔細查看相關連接。如果發現自己根本沒有使用的軟件在連接到遠程計算機，就要小心了。

2.推薦使用tcpview，可以非常清晰的查看當前網絡的活動狀態。

一般的木馬連接，是可以通過這個工具查看到結果的。

這裏説一般的木馬連接，是區別於某些精心構造的rootkit木馬採用更高明的隱藏技術，不易被發現的情況。

3.使用金山清理專家進行在線診斷，特別注意全面診斷的進程項

清理專家會對每一項進行安全評估，當遇到未知項時，需要特別小心。

4.清理專家百寶箱的進程管理器

可以查找可疑文件，幫你簡單的檢查危險程序所在

如何避免自己的電腦成為“肉雞”

1.關閉高危端口：

第一步，點擊“開始”菜單/設置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP 安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠標，彈出快捷菜單，選擇“創建 IP 安全策略”，於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認相應規則”左邊的鈎去掉，點擊“完成”按鈕就創建了一個新的IP 安全策略。

第二步，右擊該IP安全策略，在“屬性”對話框中，把“使用添加嚮導”左邊的鈎去掉，然後單擊“添加”按鈕添加新的規則，隨後彈出“新規則屬性”對話框，在畫面上點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加嚮導”左邊的鈎去掉，然後再點擊右邊的“添加”按鈕添加新的篩選器。

第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何 IP 地址”，目標地址選“我的 IP 地址”；點擊“協議”選項卡，在“選擇協議類型”的下拉列表中選擇“TCP”，然後在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。

點擊“確定”後回到篩選器列表的對話框，可以看到已經添加了一條策略，重複以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，為它們建立相應的篩選器。

重複以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的篩選器，最後點擊“確定”按鈕。

第四步，在“新規則屬性”對話框中，選擇“新 IP 篩選器列表”，然後點擊其左邊的圓圈上加一個點，表示已經激活，最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加嚮導”左邊的鈎去掉，點擊“添加”按鈕，添加“阻止”操作：在“新篩選器操作屬性”的“安全措施”選項卡中，選擇“阻止”，然後點擊“確定”按鈕。

第五步,進入“新規則屬性”對話框，點擊“新篩選器操作”，

其左邊的圓圈會加了一個點，表示已經激活，點擊“關閉”按鈕，關閉對話框；最後回到“新IP安全策略屬性”對話框，在“新的IP篩選器列表”左邊打鈎，按“確定”按鈕關閉對話框。在“本地安全策略”窗口，用鼠標右擊新添加的 IP 安全策略，然後選擇“指派”。

重新啓動後，電腦中上述網絡端口就被關閉了，病毒和黑客再也不能連上這些端口，從而保護了你的電腦。

2.及時打補丁 即升級殺毒軟件

肉雞捕獵者一般都是用“灰鴿子”病毒操控你的電腦，建議用灰鴿子專殺軟件殺除病毒。

3.經常檢查系統

經常檢查自己計算機上的殺毒軟件，防火牆的目錄，服務，註冊表等相關項。

黑客經常利用用户對它們的信任將木馬隱藏或植入這些程序。

警惕出現在這些目錄裏的系統屬性的DLL。（可能被用來dll劫持）

警惕出現在磁盤根的pagefile.sys.(該文件本是虛擬頁面交換文件。也可被用來隱藏文件。要檢查系統的頁面文件的盤符是否和它們對應)

一、正在上網的用户，發現異常應首先馬上斷開連接

如果你發現IE經常詢問是你是否運行某些ActiveX控件，或是生成莫名其妙的文件、詢問調試腳本什麼的，一定要警惕了，你可能已經中招了。典型的上網被入侵有兩種情況：

一是瀏覽某些帶惡意代碼的網頁時候被修改了瀏覽器的默認主頁或是標題，這算是輕的；還有就是遇到可以格式化硬盤或是令你的Windows不斷打開窗口，直到耗盡資源死機——這種情況惡劣得多，你未保存和已經放在硬盤上的數據都可能會受到部分或全部的損失。

二是潛在的木馬發作，或是蠕蟲類病毒發作，讓你的機器不斷地向外界發送你的隱私，或是利用你的名義和郵件地址發送垃圾，進一步傳播病毒；還有就是黑客的手工入侵，窺探你的隱私或是刪除破壞你的文件。

自救措施：馬上斷開連接，這樣在自己的損失降低的同時，也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啓動系統或是關機，進一步的處理措施請參看後文。

二、中毒後，應馬上備份、轉移文檔和郵件等

中毒後運行殺毒軟件殺毒是理所當然的了，但為了防止殺毒軟件誤殺或是刪掉你還未處理完的文檔和重要的郵件，你應該首先將它們備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份，所以上文筆者建議你先不要退出Windows，因為病毒一旦發作，可能就不能進入Windows了。

不管這些文件是否帶毒，你都應該備份，用標籤紙標記為“待查”即可。因為有些病毒是專門針對某個殺毒軟件設計的，一運行就會破壞其他文件，所以先備份是防患於未然的措施。等你清除完硬盤內的病毒後，再來慢慢分析處理這些額外備份的文件較為妥善。

三、需要在Windows下先運行一下殺CIH的軟件（即使是帶毒環境）

如果是發現了CIH病毒，要注意不能完全按平時報刊和手冊建議的措施，即先關機、冷啓動後用系統盤來引導再殺毒，而應在帶毒的環境下也運行一次專殺CIH的軟件。這樣做，殺毒軟件可能會報告某些文件受讀寫保護無法清理，但帶毒運行的實際目的不在於完全清除病毒，而是在於把CIH下次開機時候的破壞減到最低，以防它在再次開機時破壞主板的BIOS硬件，導致黑屏，讓你下一步的殺毒工作無法進行。

四、需要乾淨的DOS啓動盤和DOS下面的殺毒軟件

到現在，就應該按很多殺毒軟件的標準手冊去按部就班地做。即關機後冷啓動，用一張乾淨的DOS啓動盤引導；另外由於中毒後可能Windows已經被破壞了部分關鍵文件，會頻繁地報告非法操作，所以Windows下的殺毒軟件可能會無法運行。所以請你也準備一個DOS下面的殺毒軟件以防萬一。

即使能在Windows下運行殺毒軟件，也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝，因為病毒會破壞掉一部分文件讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH，微軟的Outlook郵件程序也是反應較慢的。建議不要對某種殺毒軟件帶偏見，由於開發時候側重點不同、使用的殺毒引擎不同，各種殺毒軟件都是有自己的長處和短處的，交叉使用效果較理想。

五、如果有Ghost和分區表、引導區的備份，用之來恢復一次最保險

如果你在平時用Ghost備份做了Windows的，用之來鏡像一次，得到的操作系統是最保險的。這樣連潛在的未殺光的木馬程序也順便清理了。當然，這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也“備份”了就後患無窮了。

六、再次恢復系統後，更改你的網絡相關密碼

包括登錄網絡的用户名、密碼，郵箱的密碼和QQ的密碼等，防止黑客用上次入侵過程中得到的密碼進入你的系統。另外因為很多蠕蟲病毒發作會向外隨機發送你的信息，所以及時地更改是必要的。