编者按：网上裸奔就是不带任何防护手段的上网行为，如今，这种行为可以说是危险重重，本文以举例的形式展现：网上裸奔是如何被病毒攻击的。

　　测试：电脑不上网，同样被攻击？
　　检查：此机与另一台电脑自动建立连接
　　手动清除病毒攻击过程
　　总结：网上裸奔是危险的

　　【IT168 专稿】但凡是高手，总是艺高胆大，任网络病毒成灾，上起网络依旧裸奔。然而也有不是高手的，却和高手一样在网上裸奔的人。一是自认正派人士，在此类人看来，只要不随意打开什么文件，特别是EXE文件，不随意上什么网站，不随意下载什么东东，网络对于他，不过就有看看新闻，聊聊天而已，那么总不至于中病毒吧？二是机器配置太低的人，现在的杀毒软件，单机版防火墙一装上基本内存就已用完，再想玩什么东东就显的老态，不可接受了，结果裸奔就成了没有办法之举。

　　测试：电脑不上网，同样被攻击？

　　想信不少朋友对这些问题都有些疑虑，总以为病毒传播是被动的，会不会感染上病毒完全在于自己如何去使用网络。那么，我们就来做个测试，并在这个测试过程中，顺便介绍一些手动清除病毒的技巧。

　　测试过程：

　　把一台PC，重新安装windows 2000 高级服务器版的系统，打上SP4，不安装防火墙及杀毒软件，同时让这台PC连入网络，但是不使用这台PC上网。也就是说，这台PC就摆在办公室，任何人都不去用它，就当不存在。

　　前面一两天，倒是没有什么问题。到第三天的时候，就发现我自己使用的电脑出现异常：打开网页比较慢，而且网页格式显式不正常，同时会弹出对话框说在执行什么失败。随即，杀毒软件报警！

　　我感觉有点奇怪，因为我使用的是正版杀毒软件+look’n’stop的安全组合，不仅进程上网权限有严格控制，连进程里面的DLL文件访问网络，也都是有控制的，不应该还会在我不知道的情况下染上病毒，并还能在我机器上执行什么？！

　　立马检查进程，进程中的DLL，系统服务，SSDT、FSD等，都没有发现异常，接着用杀毒软件查杀，也没有杀到。这就有点恐怖了，什么病毒有这么厉害？！
 

　　检查：此机与另一台电脑自动建立连接

　　后来检查ARP列表，才发现网关的MAC地址，已经换成了那台装有2000的试验机的MAC。那么情况就非常明显了，首先，2000机器染病毒，并对网内所有机器进行ARP毒性路由，劫持所有HTTP会话，然后向HTTP会话中插入恶意代码，让打开这个网页的机器同时去他的网站下载病毒文件，继而感染这台电脑。真是够黑的！当然，我本机在有效的保护下，并没有感染上病毒。

　　OK，我们这就到2000的机器上看看。

　　如何有效而又快速的知道机器上有没有染毒？很简单，首先要确定你没有打开任何网络应用，如果不确定你可以先重启一下，完成后什么都不要做，直接打开CMD，输入：netstat –an ,会出现如下显示：

　　上图我们可以看到，机器正主动与外部网络发生连接，因为我们没有打开任何网络应用程序，所以这个连接非常奇怪，接下来，我们得知道这是谁干的。输入：fport 这个外部命令（此工具可到网上去下载），可以看到如下图：

　　1043这个端口，竟然是explorer打开的，这绝对不正常，虽然这是个正常的系统进程，但明显被注入了病毒的DLL。因此，我们也可以轻松的断定，这台机器，染病毒了！

　　手动清除病毒攻击过程

　　接下来，我们按照相应的处理流程来处理了。如下图：

　　上图中，紫色的是正常的微软进程，但被注了非微软的DLL；红色的就是非微软进程，我们可以看到，基本上都是病毒进程，包括SCVHOST.exe,看着是不是有点眼熟？没错，微软有个正常进程也是这样的，不过是在system32这个目录夹下面，更重要的是，它没有通过微软的电子签名验证，那百分百是假的。

　　再接着看进程中都注册入了什么？

　　有两上非微软的DLL模块，下面的有厂商名，大多都是正常的，如果不确定可以到google上搜一下。而上面的一看就知道是病毒的了。其他进程中，也多有病毒DLL，这里就不一一列取了。

　　我们再看当前处于在活动状态的文件都有哪些：

　　这些全是病毒！！

　　再看：

　　这张图说明，就算是你重装系统，也无法清除掉病毒。因为等你重装系统，只要双击打开其它盘，病毒又会重新发做。这就叫触发型病毒！

　　OK，检查到的就是这些，那下面就是把病毒进程全部结束，然后用360kill把这些刚才找到的病毒文件全部粉碎并阻止再生，然后到合法进程中把相关的病毒DLL模块卸载，最后重启计算机，基本上，这就把病毒清除了。全过程不到20分钟。

　　当然这些病毒不算太厉害，因为他没有把自己加载到服务中，也没用使用SSDT和FSD，自然后也没有用NTFS流来隐藏，所以，处理起来，相对比较简单。
 

　　总结：网上裸奔是危险的

　　基本上，我们已经证实，第一类朋友所想是不对的，病毒不管你有没有使用计算机，只要你连入网络，那就意味着会被感染。

　　同时，通过上面的测试，我们知道，不管是不是高手，如果不做好一些有效的防护，那么，一样会中招并让自己疲处理电脑，而让本身的工作不得不延时，这是个得不偿失后果。

　　而对于病毒的防范，仅仅依靠单机，也容易产生麻烦，比如笔者自己的机器，在上面的测试中，虽然没有染上病毒，但同样工作受到干扰，所以，我们有时候，还需要把病毒拒之于千里之外，那就是使用具有防病毒及防黑功能的路由器。
 

睿博工作室介绍:

本文章系睿博工作室提供，睿博工作室是一群在网络性能，网络安全及网络故障方面有着多年从业经验的咨深专业人士、致力于为政府、教育、能源以及广大企事业单位提供优质的技术咨询及服务的技术团队。其宗旨是：以专业技术，资深经验、热情服务，全力为客户打造高性能的安全网络！