浏览模式: 普通 | 列表
近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。

“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。

这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。

1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。

修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

2.、利用组策略,关闭所有驱动器的自动播放功能。

步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。

3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。

步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。

4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。

5、启用windows防火墙保护本地计算机。

对于已经感染“熊猫烧香”病毒的用户,金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。

对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

推荐日志 远离网络钓鱼的44种途径

[ 2007-03-25 03:21:46 | 作者: sun ]
这是一类能够产生数十亿美元金钱的骗局,甚至只要有百分之五的命中率就可以做到,它严重地威胁到客户与电子商铺之间的在线交易。而在那些犯罪者和安全防御人士之间的角逐就如同一场持续的猫鼠游戏——钓鱼攻击、信用卡、名牌欺骗攻击、电子欺骗攻击——总之无论你称它什么都好,无法避免的事实就是这类型的欺诈手段所带给我们的危险性是与日俱增的。

  这些侵犯者有着他们自己可以支配的装备——包含在电子邮件内改写后的冒牌站点的看似无害的链接,诱使你输入敏感信息的弹出窗口,突然出现真实网址的伪装后的URL,还有那些当你输入用户名和密码时进行监视和捕获的装置。你并不是一定要成为一个技术精通者才能够保护自己免受钓鱼攻击,只要你能够对自己保持清醒的判断力,意识到并非互联网上所有的站点都是真实可靠的,那就足够了。下面我们就一起来看看44条关于反钓鱼攻击,保护自己的小贴士。


网络钓鱼示意图

  简单,但却非常有效的几个方法

  1、不要相信陌生人:这条你在孩童时代就已经被教授过的规则在此也同样起作用;绝对不要打开来自你不认识的人所发的电子邮件。将你的垃圾邮件过滤器设置好,让它只能够将那些来自存在于你地址簿中的邮件投递给你。

  2、回避这些链接:如果你的垃圾邮件过滤器犯傻了,将一些垃圾邮件投入到了你的收件箱中,而你又碰巧将它们打开了怎么办呢?非常简单——永远不要点击这些邮件中的链接!

  3、保护你的隐私:你的鼠标有可能会不小心移到某个链接上,你瞧!你就被输送到了另一个要求你提供例如用户名、银行账户号码、密码、信用卡密码和社会安全号码这样敏感信息的网站。只有一个词送给你——不要!

  4、不要害怕:通常,这些欺骗性的网站都伴随着一些威胁和警示,告知如果你不确认你的用户信息你的账户将存在被撤销的危险,或是如果你不遵从这个页面上所写的内容,税务局将随时会找你的麻烦。对于这些,你只需要忽略它们。

  5、拿起你的电话并拨打:如果你心存疑问,这些可能会是一个合法的请求,而你的银行又确实有要求你在网上输入一些敏感信息的话,那么请在你有勇无谋地做任何事之前先打电话给你的客户代表向他咨询。

  6、使用你的键盘,而不要总是用鼠标:用键盘输入URL地址,而不要通过点击链接进入网上商店或是银行站点这些通常会要求你输入信用卡号和账户号码的地方。

  7、寻找一把锁:合法的站点通常会使用加密手段以保证你的敏感信息能够安全地传达,会以一把锁为特征出现在你浏览器窗口的右下角,而不是在网页上。它们的地址通常也都是以https://开头,而不是平常所见的http://。

  8、探明不同之处:有时,只是单独地出现锁头标志就足以证明这个站点的可靠。而如果要证明它是名副其实的,则可以双击这个锁头来显示这个站点的安全认证书,再核对一下在认证书上的这个名称是否与地址栏中的相匹配。如果不是的话,你就处在一个有问题的站点,那么赶紧摆脱这个糟糕的境地吧。

  9:第二次就会是正确的:如果你担心自己进入了一个模仿成你的银行页面的钓鱼网站,有些时候,最简单的检查方法就是输入一个错误的密码。伪装的站点就会接受这个错误的密码,接着你通常会被带到一个页面,被告知他们正遇到一些技术问题,因此要求你是否能够稍后再试。而真正的银行网站是不会允许你进入的。

  10、在此,“不同的”是一个关键词:对不同的站点使用不同的密码;我明白,这是一个有些令你感到有些棘手的要求,好一段时间你的大脑中某些技能总是要经历一些技术性的锻炼,但这确实是一个好的方法,能够防止自己免受钓鱼者获得你所有的敏感事务,即使在他们成功获取了其中一处的情况下。

  11、睁大你的双眼:垃圾邮件都充满了语法错误,且通常都不是很个性化,常常是带有一些链接或是值得怀疑的附件。及时地辨认出它们,并揭示出它们是垃圾邮件。

  12、熟知详情你就能蔑视他们:你并不能确保当收到电子邮件时能从中辨认出哪些是钓鱼者所发送的?也许你也看到一些例子能够让你知道他们通常都是怎样进行欺骗的。不久后,你就能熟知如何认出伪造的站点。

  13、贪婪是不会有好结果的:永远不要参加那些要求你的敏感信息而能够提供金钱的调查。这些通常都是诈骗的攻击行为,以试图掌握你的个人详情。也许你能够获得所承诺的20美元,但更可能的是,你会发现你的账户被扣除了更高的代价。

14、不要离开:千万不要在你登录你的银行账户或在购物网站提供完信用卡信息后让你的计算机无人伴随左右。

  15、适时地关闭账户:一旦你完成了你的业务,请适时地登出,而不要仅仅是关闭浏览器窗口,特别是如果你使用的是公共的电脑终端。

  16、再仔细认真,也不算过分:定期地登录你的银行账户并密切关注你的资金情况。你也不想哪个美好的日子一早醒来就发现某个钓鱼者正在时不时地榨取了你几百美元。

  17、多了解知识没有坏处:保持自己能知晓关于钓鱼的最新的新闻和信息。

  18、硬件中留下迹象:当你处理旧计算机或硬盘时要格外留心。回收的计算机曾有过被找出保留的有关网上银行的机密信息的例子。请使用软件删除并对你硬盘上的数据进行反复读写,以确保它无法恢复。

推荐日志 WIN下的PHP环境设置防范PHP木马

[ 2007-03-25 03:21:34 | 作者: sun ]
1. 防止PHP木马跳转其他目录

我们可以把PHP环境下的网站目录锁定,使其不能跳出指定的目录,有两种方法设置
一是可以在http.conf文件设置,假设你的网站目录是E:\yourweb\home,那么就可以在http.conf文件内加上: php_admin_value open_basedir E:\yourweb\home
二是可以在php.ini文件那里设置,找到openbase_dir,把他前面的分号去掉,改为open_basedir=” E:\yourweb\home”
两种方法,有兴趣深入讨论的可以自己找下相关资料下,个人认为还是第二种好,by the way第二种不受safe_mode影响,我建议还是用第二种好,我找了下相关资料,也没有分清两种设置的区别,有这方面的见解的请讨论下,thx
再改php.ini里的allow_url_fopen设为off禁止远程使用文件

2. 防范PHP木马执行系统命令

PHP执行系统命令的方法一般要调用以下几个函数: passthru,exec,shell_exec,system
很多人就是把safe_mode打开了,然后就以为安全了,其实不然,因为每个apache的版本不同,多种方法绕过safe_mode,如XY7今年年初写的imap函数(imap函数默认是关的),还有最近新出的方法绕过safe_mode的,如errorlog方法绕过safe_mode,有兴趣的朋友可以在网上找下相关资料,绕过的方法是蛮多的,综合上述,关了safe_mode后,还有在php.ini里面改以下这东东:
disable_functions= passthru,exec,shell_exec,system

3.关闭错误提示

改了以上东东以后,我们还要改一下错误选择, display_errors = Off,这个在程度测试的时候可以打开,程序正式发布后强烈建议关了
magic_quotes_gpc = On,这个默认是开的,转义用的, get,post,cookie里的引号变为斜杠,如值 (It's "PHP!") 会自动转换成 (It\'s \"PHP!\") 如果不想转成”\”的话,可以在magic_quotes_sybase = On设置为开,他就把单引号转成双引了,这个可以虚张声势.

4.关闭上传

在PHP.ini文件里上传的相关设置,有利也有不利的,看你如何使用了,如: file_uploads = On默认是开的,这个是支持http上传的,如果为了免去上传漏洞使其上传PHP木马的话,你可以把他给Off的了,但,其他的相关http上传就不能用了,权量而用吧.

5.系统权限设置

在WIN下的apache是以系统身份运行的,这时我们可以新建立一个底权限的user组用户,然后,打开”服务”那里,找到apache的服务,把系统权限运置换为低权限的用户,最后设置设置WEB上当下的相关文件权限,如一些用来上传的文件夹设置为可写,其他的设置为只读.安实际情况而定吧.

6.其他

目前还有很多的函数设置还没有搞得完全明白,学习ING中,今天遇到一台服务器,全部是用默认的,里面被挂了N多的马,服务器环境是没有杀毒软件的,于是用了**的超级无敌PHP木马追杀器,如果那个东东能自定义关键字就好了
最后感谢今天给予帮助我的朋友,帅哥XY7,剑心,MX,alpha.

推荐日志 2007年实现网络安全要注意的七项举措

[ 2007-03-25 03:21:23 | 作者: sun ]

我们时刻都面临着网络安全问题,每天都要防止恶意邮件的入侵,还要担心系统遭受zero-day病毒的攻击。除了来自外部的攻击以外,还要考虑各种各样来自内部的威胁,比如把感染了病毒的笔记本电脑拿到防火墙内部来使用。

面对如此压力,我们应该采取什么样的举措才能让2007年成为安全的一年?我们要防止重蹈过去的覆辙,不能把时间浪费在处理病毒泛滥带来的可怕后果上,不能再使用大量的时间进行头疼的系统清理。现在让我来介绍一下我认为的应该采取的一些措施。

在这里我不会深入介绍近来在网络安全领域中的一些概念,比如“unified threat management”或者“network admission control”,这是因为我们的焦点是七种措施而不是向大家推荐七种工具。比如,我认为加密解密的应用是一项重要的举措,而不是把它当作一种工具来进行介绍。我只是介绍这种措施,相信大家针对各自不同的情况可以找到适合自己的相应工具。事实上目前这样的工具,无论是商业工具还是开源工具都很多。

下面是我所列出的七项举措,按照重要的程度进行排列。
1) 制定实施企业安全政策
2) 开展安全意识培训
3) 经常开展信息安全自我评估
4) 进行有规律的公司自我评估
5) 在全公司范围能应用加密解密技术
6) 估计、保护、管理和跟踪所有公司资产
7) 考察和测试公司业务连续性和应急规划


上面列出的这些举措并不是全部,还有很多其他举措我没有列举出来。我只列举了上面七项措施是因为对它们的实施可以涵盖了对大部分的风险的解除,如果你一一实施了这七项措施,那么很快就能看见自己的系统在网络中安全性的提高。

下面对这七项举措进行详细地说明。

1) 制定实施企业安全政策

如果你的公司目前还没有任何安全政策,那么现在是时候制定一部了。目前有很多非常好的安全政策模式可以直接拿来使用,大多数这样的模式都是免费的,部分会收取很少的费用。这些模式中我最喜欢的是COBIT模式和ISO

27001/17799模式。前者是应用于电子商务领域的PCI模式,后者则是一个已经相当成熟的国际标准模式。这些模式都可以作为一个很好的开端,只要当你开始使用这些模式,但是很快你就会发现自己需要对它们进行具体化,扩充或者修改。这是为了让公司中任何一个人都可以理解这些政策。一般而言,公司中的大部分都不是信息安全方面的专家,因此需要制定一套通俗易懂的政策,这些政策要考虑到公司中每一个部门的具体情况,而且要让所有人都可以理解和执行。例如,如果是对于IT公司来说,把标准模式具体化,需要你的CIO来协助制定一套网络安全政策。

如果觉得这些标准的模式对于你而言太纷繁复杂了,那么可以考虑从公司已有的安全政策开始。但是有一个原则,那就是这个政策必须覆盖所有可能的行为,哪怕刚开始的时候这些政策总共只有一页纸的内容,那么作为大纲它也必须包含基本的规则,让所有的行为都有所依据。基本的规则需要包括类似于权限控制,密码管理,灾备恢复等等。举个例子,你必须有一条政策来说明在突然事故中如何备份商业数据和客户私人数据,如何为系统建立镜像等等。

制定了安全政策之后还需要做哪些工作呢?你还需要同政策的执行者一起考虑这样的问题,就是如果有人违反了这些政策该怎么办?违反安全政策的行为是恶意的吗?例如,政策中规定数据库中数据是只允许察看的,如果有一个员工违反了这个政策,把数据库中的记载雇员情况的数据拷贝出来,并且张贴在公共网站上。如果遇到这样的问题,你该怎么办?事实上类似这样事件的发生,并不一定是源于恶意的泄漏机密,而是源自政策制定的不完整,没有让所有员工都了解这一政策,或者是没有明确地规定违反政策所应该采取的措施。你应该让所有的员工都了解这一政策并且明确规定违反这一政策的后果。

2) 开展安全意识培训


我们无数次地看见这样的事情,很多内部员工在不知情的情况下受到网络上其他人的攻击,比如网络钓鱼等,由此导致了公司内部数据的泄漏。比如一些员工喜欢浏览各种新闻网页,或者使用即时消息工具聊天,他们都有可能成为受到攻击的目标。他们可能不了解密码的设置需要注意些什么,不知道为什么不能打开未知地址发来的邮件中的附件。你需要对公司员工进行这方面的培训,指导他们正确使用公司的资源,保护公司的信息安全。

进行专门的课程培训,让这些培训在轻松的环境下进行。结合实际情况介绍一些安全常识。比如,向他们介绍在使用即时通信工具的时候应该注意些什么。或者当你在做邮件日志记录的时候往往需要按照一定的规范进行,这时候告诉员工们你都做了些什么样的工作,以及为什么要这样做。通过一些现实的例子来告诉他们在紧急情况下应该怎么办。让员工们理解为什么要求定期更换自己的密码,为什么不能把自己的密码写在便笺纸上。

整理出一套常见的问题解答,同时采取其他一些奖励措施,让员工们时刻保持对信息安全的兴趣,长此以往,能让员工们在日常的工作中养成良好的遵守安全政策的习惯。这是我们的真正目标。

目前有很多进行专门安全意识培训的公司,他们往往可以提供一些免费的资料,介绍了他们可以提供的培训的内容。另外还有一些安全手册一类的海报或者小卡片,可以随意贴在办公桌前,营造一个能时刻提醒员工信息安全重要性的环境。

3) 经常开展信息安全自我评估

你最近一次检查防火墙和入侵防御系统(IPS)的补丁和更新是否完成是在什么时候?

大多数的入侵防御系统都可以自动更新,但是至少你要检查系统地这项功能是被激活的。你是否检查了是否存在入侵网络的无线设备?每天有多少笔记本电脑会进出于公司?这些移动设备是否都使用了防火墙是否更新了病毒库?等等。

MITRE 是由美国国土安全部资助的一个项目,用来继续发展CVE系统(the Common Vulnerabilities and Exposures)。这个系统已经有八年历史了,它已经被接受为跟踪计算机和网络设备缺陷的国际标准。可以以CVE的条款为依据,看看在你的所有机器中有多少至少包含一条CVE?有关CVE的详细信息可以在美国国家标准与技术研究院(NIST)的网站上找到。NIST拥有一系列实用的指导系统安装配置的条款,这些条款叫做STIGs,它们都被美国很多联邦政府大量采用。

我们可以好好利用已有的这些资源。美国国防信息系统局(DISA)提供了面向公众的直接对STIGs的访问,在DISA的网站上可以注册加入“STIG-News”邮件列表,这样随时能得到有关STIGs的最新信息。

你现在就可以开始研究一下STIG中有关windows服务器中的内容,检查一下是否能够对你的服务器提供一些原来你没有考虑到的配置建议。当然,类似的服务器设置指导或者条款还有很多,事实上他们中间的任何一个都能够给你足够的帮助。

使用上面说到的这些条款来对自己的系统进行一下安全评估,你可以多少找到一些目前系统中存在的安全漏洞。记录下这些漏洞,并且制定一个可行的计划和步骤来弥补这些漏洞,增强网络的安全性。网络安全是一个过程而不是一个产品。因此需要不断地通过自我评估发现问题,在不断地解决问题的过程中实现网络的安全。

4) 进行有规律的公司自我评估

现在公司中的各级主管,CEO,CFO和CIO们都承受着巨大的压力。一方面因为他们需要管理越来越多的员工,需要保护系统的安全和信息的安全。同时他们还需要负责进行IT规章(IT

compliance)中要求的各方面记录,以应付审核。现在很多公司针对这一问题请专门的顾问公司来协助解决。但是这些专门的顾问公司也不会承诺他们的工作一定可以通过审核。在这个问题上倒是没有必要浪费额外的花销去请顾问公司。

无论公司是否正在进行某个IT规章的审核,这些公司都应该先自己进行一下自我评估,熟悉那些影响公司日常组织工作的规范。这些规范包括银行界使用的GLBA,健康和保险业使用的HIPAA,还有电子商务上使用的PCI等等。美国不同的州可能有自己不同的规范。比如在加利福尼亚州,如果某个系统被黑客攻破,那么被攻击的公司必须把这些信息发布到他们的网站上。同时还规定,如果某些用户的数据信息被身份不明的人访问了,那么这些数据的管理者必须将此事通知数据信息的持有人,比如说用户的姓名,账号,驾照号码,账户信息等。如果是美国联邦政府所属的机构,则必须遵守13231号总统令(Executive order 13231)。该规范要求这些机构保证信息系统畅通,包括应急通信能力以及相关物理设备配置等。


保证你的公司符合一定规范的第一步是记录下为了保护数据所做的所有工作。这样才能够证明你已经遵循了必要的规范,使用了适当的工具,采取了正确的措施来对数据安全性进行了有效的保护。在经过一段时间对照各种规范进行有规律的自我检查和评估之后,你就能发现暴露出的可以产生恶意攻击的问题已经很少了。如果在这样的情况下,你的网络还是被黑客入侵导致数据丢失,至少这时你已经做了所有可以做的事情,并且已经把数据丢失可能造成的损失降低了最小的程度了。

5) 在全公司范围能应用加密解密技术

在二次大战的时候有一句流行语:“口风不紧船舰沉”。如果我们观察一下所有的ID盗窃事件就能发现,发生这种事情大部分都是针对没有进行加密保护的系统。以电子商务网站为例,它之所以能够被攻击,不仅仅因为系统本身具有一些公共的漏洞和缺陷,同时也因为电子商务公司没有认识到数据加密的重要性。说到数据加密,简单通过SSL保护会话数据是远远不够的。

一般的电子商务网站的数据库服务器是最招黑客们喜欢的。他们可以把用户的数据偷出来在黑市上销售,目前这是一个很大的市场。

首先要做的是检查一下系统中所有可能的数据流通通道,包括即时消息传递,文件拷贝,电子邮件,在线会议系统。同时检查所有数据处理的过程,包括数据创建,更改,删除和恢复。另外我们需要考虑用户的数据是怎么保存和保护的?仅仅靠数据备份是不够的。

根据上面的问题,我们需要建立一套VPN,保证网络外部与网络内部的通信是通过一条加密管道的。另外在数据的保存上,可以加密所有的数据,从整个硬盘加密到电子邮件加密或者文件加密,当前存在很多现成的工具可以完成这些工作。

使用加密的方式保护数据不是一项轻松的工作,需要考虑密钥的存储和访问等问题。比如某个用户的密钥和口令丢失了,那么系统必须可以为用户颁发新的密钥和口令,而且需要将使用原来密钥加密的数据解密,然后使用新的密钥加密。

你可能会发现你现在正在使用的系统就包括加密和解密的功能,你只需要简单地在选项前面画个勾就可以启用这项功能。就像现在的笔记本一样,如果笔记本丢失了,但是偷窃者没有密码或者密钥,那么他不能获取任何数据信息。如果有人窃听VoIP的电话,事实上他听不到任何有用的信息,因为在网络上传递的数据都被加密了。

6) 估计、保护、管理和跟踪公司中所有IT设备

你应该注意紧密跟踪和检查公司中所有的IT设备,包括VoIP电话系统、笔记本电脑、服务器和其他网络设备。这些设备对于公司的价值可远远大于设备本身的价值。设想一下要是有人偷走了一台公司的笔记本电脑,那么所损失的电脑上的数据需要花多大的代价才能弥补?或者万一电脑上存放了公司的商业机密信息,造成的损失更是不可估量。

为公司的设备建立一个完整的清单,这个清单不但要列出所有的设备,更重要的是要列出这些设备的价值。比如一个文件服务器,他的价值不是简单的3000美元,而是存放在它上面的代码的价值,可能是20个人一年工作量的价值。

为所有的设备都建立起来这样的价值清单之后,你就能够很清楚地知道该如何更好地调配资源保护这些设备了。

7) 考察和测试公司业务连续性和应急规划

公司业务的连续性就像是“让灯一直亮着”,灾备系统就像是说“当灯灭了的时候我们怎么办?”,我们需要让等持续亮着。

你需要经常性地测试一下,看公司业务的持续性怎么样,灾备计划是不是能够被很好地实施。这种测试最好每年都进行几次,在非业务高峰的时候进行,比如周日晚上。

进行这样的测试最好可以从一些常见问题的解决方案开始,让员工们了解如果出现下面的情况该怎么办。
a) 电源断电
b) 路由器死机
c) 电话系统中断
d) 互联网中断
e) 服务器掉线
f) 某一硬件设备故障
g) 某一应用程序崩溃

h) 网络中出现可以被攻击的漏洞
i) 空调故障
j) 自然灾害
k) 流行感冒席卷全公司


=============================================
中国台湾海域发生地震,造成通讯光缆受损。诺顿、卡巴斯基等国外杀毒软件由于升级服务器地处国外总部,病毒库升级服务受阻。因势利导,瑞星、金山、江民互有默契地导演了一场轰轰烈烈的“自残式”反击战。
  本报记者 窦毅北京报道 “伤敌1000,自损800”。台湾地震导致国际海底光缆中断,却无意中给了身处外敌压境威胁中的中国防病毒软件厂商一次反击的机会。

  1月15日,瑞星发布2007版网络杀毒软件,宣告再度向企业级市场提供免费杀毒服务试用计划。耐人寻味的是,此时距离其开放个人版免费试用仅仅两周多一点儿时间。如此密集地发布产品对于这家国内老牌防病毒软件企业而言相当少见。

  在记者一再追问之下,瑞星市场部经理马刚最终承认:原定网络版发布在春节之后,而本次有意提前是为了利用断网机遇,再一次围剿国外的对手。

  2006年12月26日晚8时,中国台湾省海域发生地震,造成通讯光缆受损。诺顿、卡巴斯基等国外杀毒软件由于升级服务器地处国外总部,病毒库升级服务受阻。而偏在此时,熊猫烧香(又名:武汉男生)、MY123等大批恶性病毒、流氓软件集中爆发,致使大批互联网用户遭受无安全防范软件保护的尴尬。

  因势利导,瑞星、金山、江民互有默契地导演了一场轰轰烈烈的“自残式”反击战。

  惊魂72小时

  记者了解到,断网后次日——2006年12月27日一大早,瑞星、金山客服人员相继接到大批客户问询电话,到28日两家客服电话几近被打爆的状态。来电者除了一小部分瑞星、金山客户外,更有大量是诺顿、卡巴斯基等国外杀毒厂商的用户。

  金山软件副总裁毒霸负责人王全国回忆当时的场面:“很多用户并不管自己使用的是哪个品牌的产品,出了问题挨家找杀毒软件公司问罪。”此时在几家专业的防病毒论坛网站上,也开始相继增多各种寻求帮助的讨论帖。

  瑞星、金山内部各自迅速展开行动。瑞星副总裁毛一丁当时非常紧张:2006年12月27日起公司就开始进入紧急状态,中午左右召开内部会议,并提出了几套方案。而经过公司各部门反复讨论和沟通,最终决定采用最为“极端”的方案——提供一个月免费的下载版软件产品。

  不过这套看似极具杀伤力的方案究竟能否见效?相当多的人心里并没底。免费在杀毒领域的商战中并不算是“创新”。俄罗斯卡巴斯基实验室早在两三年前就以轰轰烈烈的免费行为来“入侵”中国市场,抢走了大量的中国用户。

  2006年12月28日,瑞星技术部开始准备产品和服务器调试工作。由于考虑到免费将会造成流量迅速增大,一旦服务器和带宽不足,造成“当机(死机)”,反而造成负面影响,不堪想象。公司为技术部门留下了一天时间去调整。

  同时这一天,市场部准备对外发布的“免费”新闻稿。

  此外不为人所知的是,瑞星还有专人时刻跟进了解电信部门对海底通讯光缆的修复信息,对于这一信息毛一丁等人相当紧张:因为一旦修复成功,免费方案需要立即停止,而如果29日发布免费后几天之内便修复,对瑞星而言,也将是灭顶之灾。

  2006年12月29日一大早,通过新浪、搜狐等重要门户网站将“一个月免费”的消息发出后,瑞星下载服务器开始接受来自四面八方的大批下载请求,下载量直线飞涨。

  但少许兴奋之后,毛一丁很快开始进入更高度的紧张状态。由于新下载客户大部分是冲着免费一个月而来的,这些用户不会用手机为此充值10元的月使用费,瑞星网络销售业绩直线下滑。1月15日毛一丁向记者表示:“当然很揪心了,毕竟是大把大把的钱全收不上来了。幸好再有不到两周就结束。”

  同时,瑞星还必须要安抚传统光盘形式的渠道。尽管毛一丁表示“网络免费对传统光盘销售渠道影响不大”,但据记者了解到,事实上并非完全如此。而且最关键的是销售商开始恐慌,大批用户开始习惯于网络购买获得瑞星后,光盘业务必然在免费事件后受到很大的影响。这样的事情曾经在2003年“非典”期间发生过一次,大批用户在习惯在线购买瑞星后,不再回到卖场购买光盘版产品了。

  集体的冒险游戏

  从2006年12月26日晚到29日清晨发布免费信息之间的近三天时间中,瑞星上上下下还有一项很重要的工作,那就是时刻盯着竞争对手的动作——诺顿、卡巴斯基这样的外资病毒软件厂商是瑞星的狙击对象,而金山这样的国内同道者是不是会有更狠的招数呢?

  就在瑞星2006年12月29日清晨发布“免费一个月”的方案后,金山几乎同时也发布了“免费37天”的方案,此外还推出了为预付费2006年12月的用户自动延长一个月使用的承诺。如此计算,金山等于完全放弃了1月份的毒霸网络服务的收入。王全国透露:公司的CEO雷军亲自拍板,整个毒霸销售团队咬牙接受现实。王全国估计损失可能会大于毒霸月销售收入的15%。“熊猫烧香等大型恶意病毒泛滥,应该是杀毒软件挣钱的最好机会。且光缆一断,必然会有大量用户购买国内杀毒产品。本来是一个发财日,最终全放弃了,损失可见有多大。”

  瑞星、金山相继免费后,2006年12月30日,江民被“逼”出手,开始提供免费一个月的杀毒软件。之所以称之为被逼,有知情人告诉记者:“做出免费举措,江民远比瑞星和金山要艰难。”江民刚刚在2006年9月将2007年江民KV软件的全国销售权拍卖,按省为单位,价高者以“买断”方式固定金额拿走一省一年的销售权。也就是说无论销售出多少套都是一个价。随着江民推出免费一个月,这些大代理的销售不可避免地要受到很大影响。记者了解到,江民就此事与各省大代理的协调工作一直在继续。

  “整个过程中最担心的就是网络短时间即被恢复过来。”王全国说出自己的担心:那时候,免费策略已经放出去收不回来了,而大量的诺顿、卡巴斯基用户又不再需要转换服务平台了,最终结果可能是赔了夫人又折兵。

  1月15日,电信运营商在承诺的修缮日期后未能如愿,并将通网时间延续到2月1日。可以想象的出,毛一丁、王全国二人心中必定大喜。瑞星乐观估算免费一个月至少能新增“潜在用户”1500万。而金山透露,截至1月16日,毒霸2007下载数量已经从2006年12月26日的700万猛增到1600万。

  新增用户大部分都是原来的诺顿和卡巴斯基使用者。尽管这些新增用户在网络修复后,会有一部分用户回到原来的软件平台上,但马刚认为:还有相当多的用户会更了解到国产软件的好处。

  台湾地震断网后,国内杀毒软件厂商借机展开了一场冒险游戏。

推荐日志 堵住日常操作易泄密的漏洞

[ 2007-03-25 03:20:55 | 作者: sun ]
进入Windows 9X/2000中的一切操作,无论是工作、学习或娱乐,自进入Windows系统开始,都将被Windows以及它所有的服务(程序)记录在案,并保存在硬盘中,此项“功能”原本是系统设计者为了方便用户而设置的,但会成为泄露您所进行的工作的漏洞。窥探者在您刚用过的计算机中查找一阵后,就会发现大量信息:已经被您删除的收到和发出的邮件、您访问过的Internet网站、搜索规则及您在网页表单中输入的数据。这些“记录”可能会把您的“隐私”泄露,使您的信息安全受到威胁,这也许是您所不希望发生的。泄密的漏洞都在哪儿?

“运行”记录

使用Windows 9X“开始”选单中的“运行”选单项运行程序或打开文件,退出后,“运行”中运行过的程序及所打开文件的路径与名称会被记录下来,并在下次进入“运行”项时,在下拉列表框中显示出来供选用。这些“记录”会被窥视,需要清除。

通过修改注册表项可以达到清除这些“记录”的目的。首先通过Regedit进入注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\RunMRU这时在右边窗口将显示出“运行”下拉列表显示的文件名,如果您不想让别人知道某些记录的程序名,将它们删除就可以了。具体方法是:用鼠标选中要删除的程序,再选注册表编辑口的“编辑”选单中的“删除”项,“确认”即可。关闭计算机后,再启动计算机,刚才删除的项就不再显示出来了。


“历史” 记录

用IE 5.X 浏览器浏览文件后,在Windows\History文件夹中将“自动”记录最近数天(最多可记录99天)的一切操作过程,包括去过什么网站、看过什么图片等信息。这个文件夹相当独特,不能进行备份,但会暴露您在网上的“行踪”。不想让他人知道您的“历史”的话,记住删除Windows\History文件夹中的一切。有两种方法可以将“历史”记录删除:

方法一,从资源管理器中进入该文件夹并删除其中的所有文件;方法二,单击“开始”→“设置”→“控制面板”→“Internet属性”→“常规”标签,在“网页保存在历史记录中的天数”输入框中敲入“0”→“应用”(或“清除历史记录”)按钮。

“剪贴板”中的信息

剪贴板是Windows平台上程序之间静态交换“住处”的驿站,它是由Windows在内存中开辟的临时存储空间。不管什么时候剪切、复制和粘贴信息,在新的信息存入之前或是退出Windows之前,都一直保存着已有的“内容”信息。而且,Word 2000(包括Office 2000家族系列软件)的“剪贴板”可以存储12个“剪切”信息。所以,需要保守您的“秘密”的话,可不能忽略了“剪贴板”啊!

“文档”选单

“开始”的“文档”选单中,以快捷方式“保存”着您最近使用过的约15个文件(包括您刚从网上Download下来并打开过的文件)。通过它,我们可以迅速地访问一段时间前编辑过的文档。但对于那些使用计算机编辑个人文件或机密文件的朋友们来说,这种设置却会向他人泄露自己的秘密。

清除方法:

单击“开始”→“设置”→“任务栏和开始选单”,点击“开始选单程序”栏目下的文档项目的“清除”按钮,就把“文档”选单中的历史记录全部清除掉。若要不完全清除,从资源管理器中进入\windows\Recent文件夹,删除需要删除的项目即可。

“被挽救的文档”

我们在使用Word 97/2000等Office软件的过程中,有时会遇到“非法操作”提示,或是操作中机器突然掉电等一些意外情况,这样,在硬盘中(一般是安装Office软件的分区的根目录)或桌面上会冒出一些“被挽救的文档”,这些“被挽救的文档”,可能就是您刚刚编辑的文稿的全部或部分内容。所以,要提防“秘密”在此泄露:删除它!

Office的“文件”选单

大家知道,使用Microsoft Office家族的Word、office/9.shtml target= _blank class= article >Excel等软件进行工作后,会在“文件”选单中留下“记录”,由于“工具”的“选项”中设置“列出最近所用文件数”的不同,“文件”选单“记录”数也不同,但都会记录下您最新的操作。不想让他人知道的话,可按“Ctrl + Alt + -(减号)”键,光标会变成一个粗“减号”,打开“文件”选单后,用粗“减号”单击需要删除的文档即可。也可在Word中单击“工具”选单→“选项”→“常规”标签→选择“列出最近所有文件”选项,在其后的输入框中输入“0”,最后单击“确定”按钮。

Word 2000等Office 2000系列软件的“打开”对话框新增了一个“历史”按钮,利用它可以快速打开最近使用过的数十个文档。所以,此处也须提防。

Temp中的“物件”

我们常用的Word 97/2000和其他应用程序通常会临时保存您的工作结果,以防止意外情况造成损失。即使您自己没有保存正在处理的文件,许多程序也会保存已被您删除、移动和复制的文本。这些“内容”被存放在\Windows\Temp目录下。应定期删除各种应用程序在\Windows\Temp文件夹中存储的临时文件,以清除上述这些零散的文本。还应删除其子目录中相应的所有文件。虽然很多文件的扩展名为TMP,但它们其实是完整的DOC文件、HTML文件,甚至是图像文件。

还有,在Foxmail中打开邮件的“附件”,也会在\Windows\Temp文件夹中留下“备份”。所以,对于\Windows\Temp文件夹中近乎“纯垃圾”的内容,一定不要忘记予以坚决地清除。

Foxmail的“废件箱”

Foxmail 3.0 beta2及以后的版本,提供了和“回收站”类似的“废件箱”,Foxmail在清除“废件箱”中的邮件时并没有真正将其从硬盘上删除,而是像数据库系统那样只是打上删除标记而已,只有用户执行“压缩”操作之后被删除邮件才会被真正删除,这就为窥视者提供了恢复被删除邮件的可能。

所以,在公用计算机上使用 3.0 beta2及以后版本的Foxmail,记住把不需要的信件从“收件箱”清除时,按“Shift+Del”直接删除,使其不转入“废件箱”,并对邮箱进行压缩。

“日志”文件

存放在Windows目录下的Schedlog.txt是“计划任务”的“日志”,忠实地记录了“以往计划任务的执行情况”,以及您每次开机启动Windows系统的“时刻”信息,可以用任何字处理软件打开它。所以,您的“开机”及一些“任务”(程序)的执行信息,都会由此“暴露”。

要修改Schedlog.txt删除您的“行踪”记录吗?需要费一些周折,因为,用Windows系统下的任何编辑软件都只能打开但不能做修改后保存。例如,“记事本”打开“Schedlog.txt”后,可以在屏幕上做添加、删除等编辑操作,试图将改动过的“Schedlog.txt”存盘时,系统提示“无法创建文件C:\Windows\Schedlog.txt,请确定路径及文件名是否正确。”,按“确定”按钮后,自行退出“记事本”。即使进入Windows的MS-DOS方式,用“Edit”编辑也不行!只能以纯DOS方式启动计算机,再去Del、Edit或……随您的便,怎样处置这个“Schedlog.txt”都成!

使用OICQ后

若是按默认目录安装,那么,在C:\Program Files\oicq\下可以看到许多账号。双击进入任意一个账号,可以看到.cfg的文件,那是本账号的配置文件。还会有很多.msg文件,.msg文件的文件名就是您的OICQ的朋友的账号。如果有Tempfiles.tmp文件,通常是其他人用“语音传送”发来的声音文件,Tempfiler.tmp通常是本账号用户发给其他人的声音文件,可以用录音机打开播放。

解决的办法(很简单,也很有效):

下网后删除自己用的账号目录,尤其是在“网吧”。下次使用时选注册向导,选“使用已有的OICQ号码”,再逐步注册就行。

曾访问的网页

为了加快浏览速度,IE会自动把您浏览过的网页作为“临时文件”,保存在\Windows\Temporary Internet Files 文件夹中,这些“记录”文件会被MS IE Cache Explorer一类的程序一览无遗。

解决办法:

从资源管理器中进入该文件夹中,全选所有网页,删除即可。或者打开IE属性,在“常规”栏目下单击“Internet 临时文件”项目的“删除文件”按钮(这种方法不太彻底,会留少许Cookies在目录内)。如果浏览过的网页较少且希望保留部分网页时,在上述目录中查找并删除不想要的网页即可。

“小甜饼”

Cookie翻译为中文就是“小甜饼”。打开\Windows\Cookies,该目录下有很多Cookies!这些“小甜饼”都是一些网站“白送”的,当您访问这些网站时,它们便会自动记录您所访问的内容、浏览的网页,并“储存”在Cookies中,以便下次达到快速链接,加快浏览速度。\Windows\Cookies文件夹中的“数据”,类型如yyy@202.102.224.68[1],大都是:Windows用户名+ @ + 域名或IP地址,并以文本文件形式保存。“小甜饼”多了,不但会撑破硬盘肚皮,而且会暴露您的行踪。所以,不能贪图“甜”,该舍弃的就要扔!

解决办法:

将\Windows\Cookies文件夹中的文件(除系统自身所形成的“Index.dat"外),删除掉。

浏览过的地址(URL)

下网后,按一下地址栏的下拉选单,已访问过的站点无一遗漏尽在其中。怎么办?用鼠标右键点击桌面上的IE图标,打开属性,在“常规”栏目下点历史记录项目的“清除历史记录”。若只想清除部分记录,单击浏览器工具栏上的“历史”按钮,在右栏的地址历史记录中,用鼠标右键选中某一需要清除的地址或其下的一网页,选取“删除”。

注意,在Win 98/2000中,还有一处“隐藏”的“地址”栏,它同样会记录您曾去过的网址。该“地址”栏在“任务栏”上(在“任务栏”的空白处单击鼠标右键→“工具栏” →选择“地址”),在这个“地址”栏中输入网址便能激活IE浏览器上网,输入的网址就被记录下来。还好,此处的“记录”被放在Windows\History文件夹中,非常容易清除。在此说明的是,不要因为IE浏览器的“地址”栏和资源管理器的“地址”栏中没“记录”,就觉得“完事”了。

“拨号口令”

很多用户喜欢让Windows替他来记住口令,即建立拨号连接后,随着“连接到”窗口的出现,输入用户名,再输入登录口令(即密码),输入时密码以星号(“*”)的形式出现在口令栏中,在下面的“保存口令”前打勾,这样每当出现“连接到”窗口时您就不必重复输入用户名和口令了。但是,使用Revelation 这个大小只有70kB的软件可以轻松地得到您的密码。为了安全起见,建议不要在“保存口令”前打勾了。

另外,在\Windows文件夹中 .PWL文件记录着拨号上网的账户,注意删除掉。

文档的“属性”信息

对于存储在公用计算机的Word文档,许多用户采取设定“打开权限密码”以防止未经授权用户打开的办法,来防止泄露有关该文档的信息。但是,该文档的“属性”信息,会帮“倒忙”——泄密。

Word 97的“属性”对话框包括“常规”、“摘要信息”、“统计信息”、“内容”和“自定义”五张选项卡。自动存储到“摘要信息”选项卡上的信息有三项,“作者”、“单位”和安装Word时输入的用户信息。第一次保存文档时,将文档中第一行的内容存放到“标题”框中(通常是您写作的“题目”)。

查看文档的“属性”对话框,虽然依据文件名无法判断出文档的内容,但“摘要信息”选项卡“标题”框中(该文档第一行)的内容,却会泄露文档的秘密。由于“打开权限密码”只限制打开文档,并不限制打开“属性“对话框,所以,“标题”框是一个易被忽视的泄密漏洞。

堵住这个泄密漏洞的方法是:第一次保存文档后,打开“属性”对话框,将“摘要信息”选项卡上“标题”框中的内容删除(“内容”选项卡上的内容就会自动删除)即可。

ACDSee 32看图程序的“记录”

在默认的情况下,ACDSee 32看图程序的历史记录是“隐藏”的。但若是这样:单击“工具”选单→“选项”→“浏览”标签→选择“显示路径框”,按“确定”按钮,那么,您以前看过的图片就会显露。 ACDSee 32看图程序的历史记录,在其“工具”栏的下方。清除方法是,用Regedit打开注册表,展开左窗口的“HKEY_CURRENT_USER\Software\ACD Systems\ACDSee32”分支,再把ACDSee32主键对应的右窗口的“HistFileFilers”、“HistFindScope”和“HistPaths”三项内容删除即可。

“收藏夹”中的记录

大多数朋友上网时,常把喜爱的网址添加到“收藏夹”中,甚至设置为“允许脱机使用”,其优点当然是便于下次快速地进行浏览。但您的爱好和兴趣就必然暴露给他人了。\Windows\Favorites文件夹,即是“收藏夹”的位置,要想清除“收藏夹”中的历史记录,只要进入它,选中目标文件,执行“删除”操作即可。

“记事本”和“写字板”中的记录

记事本的历史记录保存与否,受制于Windows系统的设置。以Win 98为例,若保存,则仅存在于Win 98的“文档”选单中,而写字板的历史记录则同时存在于它的“文件”选单和Win 98的“文档”选单中。

对于“文档”中的记录很容易清除,这里不再赘述。至于“写字板”中的记录,可用修改注册表的方法来清除:用Regedit打开注册表,展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Applets\Wordpad\Recent FileList”分支,将其对应的主键值全部删除,再重新启动计算机,即可清除写字板的“文件”选单中的历史记录。

“回收站”

“回收站”是已删文件的暂时存放处。在“清空回收站”之前,存放在那里(回收站)的文件并没有真正从硬盘上删除。Windows操作系统,除了在“桌面”上放置一个图标为灰色的“垃圾筒”外,在每个硬盘(分区)的根目录下建立了一个隐藏属性的文件夹——Recycled,这个“Recycled”子目录(文件夹)就是回收站实际的位置所在。窥探者可以从“回收站”中恢复(还原)被删除的文件,发现您的工作内容。所以,每次结束操作,离开计算机之前,要记住“清空回收站”。

其它地方

Windows的“附件”中的“画图”、“娱乐”用的“Windows Media Player ”等工具,其“文件”选单都蕴藏着丰富的记录,不可小视。

WPS 97/2000、CCED 2000等字表处理软件的“文件”选单,也饱含着最近编辑(或打开查看)的文件,同样需要做清理。

好了,不再危言耸听了!本文的介绍,只是希望给朋友们有所启示:电脑应用中存在着一些“副”作用,需要引起足够的注意,以更好、更安全地使电脑为我们服务。

推荐日志 揭秘熊猫烧香病毒肆虐内幕

[ 2007-03-25 03:20:42 | 作者: sun ]
新年伊始“熊猫烧香”病毒愈演愈烈

  -“熊猫烧香”病毒档案

  追杀目标:Worm.WhBoy.h

  中 文 名:“熊猫烧香”

  病毒长度:可变

  病毒类型:蠕虫

  危害等级:★★★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  典型表现:

  “熊猫烧香”是一个由Delphi工具编写的蠕虫,终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe、.com、.pif、.src、.html、.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

  日前,电脑用户张先生气愤地告诉记者:“今天早晨一打开电脑,我就快晕了。进入系统后,许多应用程序无法使用,重装软件后,不久又不能使用。更奇怪的是发现电脑中所有的.exe可执行文件全部变成小熊猫举着三根香的模样,而且系统运行异常缓慢,非常郁闷。”据记者从国内几家杀毒公司了解到,近期,一个叫“熊猫烧香”(Worm.WhBoy.h)的病毒把电脑用户折腾得苦不堪言。在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。据国内的病毒专家介绍,“熊猫烧香”蠕虫不但对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复。此外,该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。

  三大原因导致“熊猫烧香”肆虐

  近日,“熊猫烧香”病毒泛滥成灾,已经到了天怒人怨的地步。据悉,由于多家著名网站遭到此类病毒攻击而相继被植入病毒。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广。

  据瑞星反病毒专家介绍,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月。由于它一直在不停地进行变种,而且该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,因此,一旦一些网站编辑人员的电脑被该病毒感染,网站编辑在上传网页到网站后,就会导致所有浏览该网页的计算机用户也被感染上该病毒。

  同时,据金山毒霸反病毒中心表示,“熊猫烧香”除了通过网站带毒感染用户之外,此病毒还会通过QQ最新漏洞传播自身,通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。而局域网中只要有一台机器感染,就可以瞬间传遍整个网络,甚至在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒症状表现为电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为“熊猫烧香”,继而系统蓝屏、频繁重启、硬盘数据被破坏等,严重的整个公司局域网内所有电脑会全部中毒。

  对此,江民反病毒专家何公道分析认为:导致病毒快速传播目前存在三大原因。一是大量的企业用户使用国外杀毒软件,而国外杀毒软件对于此类国产病毒响应速度特别慢。二是由于被种植“熊猫烧香”病毒网站的点击量的全球排名均在前300名之列,而当一部分网站编辑本身机器感染了病毒之后,当他们把受感染文件上传到服务器后,访问者点击此类受感染网页即中毒,因此,该病毒才会得以迅速传播。三是其病毒具有极强的变种能力,仅从2006年11月至年底短短一个多月的时间,该病毒就变种将近30余次,因此在许多用户疏于防范而没有更新杀毒软件时,该病毒即可借机迅速传播。

  新年伊始“熊猫烧香”破坏继续加剧

  据了解,江民科技发布的2006年计算机病毒疫情显示,“熊猫烧香”(“威金”病毒变种)已成为2006年计算机病毒最大威胁。截至去年12月份,已有超过50万台计算机受此病毒感染,而受害企业用户更是达到上千家,多数企业业务因此停顿,直接和间接损失无法估量,病毒疫情十分严重。

  近日据记者从金山毒霸反病毒中心获取的最新消息:“熊猫烧香”(Worm.WhBoy.h)病毒目前再次进入急速变种期,从元旦至今,仅半个多月,“熊猫烧香”变种数已高达50多个,并且其感染用户的数量也在不断扩大。据金山毒霸客户服务中心初步统计,目前感染“熊猫烧香”病毒的个人用户已经高达几百万,企业用户感染数更是成倍上升。特别是在近一周内,金山毒霸客服中心有关熊猫烧香的日咨询量已高达73%,而感染用户主要以北京、广州、上海等大型城市为主。

  另据金山毒霸反病毒专家戴光剑指出,当前由于大部分感染了“熊猫烧香”的用户只能被动下载一些相关的专杀工具或杀毒软件进行查杀,而由于熊猫烧香变种多,传播速度快,一旦用户没能及时升级杀毒软件或专杀工具,查杀效果将大打折扣。所以如何彻底将“熊猫烧香”拦截于用户的电脑之外,成为各大杀毒厂商目前急需解决的问题。

  最全面的“熊猫烧香”整体解决方案

  近期,“熊猫烧香”病毒无疑成了互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法。这些方法都显得不尽完美,再加上熊猫的变种很多,有效性就更加大打折扣了。为此,记者通过对国内几家杀毒软件公司的采访,整理出了一套相对完整的解决方案供大家参考。对于已经感染“熊猫烧香”病毒的用户,可以采用以下几种方式对该病毒进行查杀。

  ★金山

  金山毒霸2007对“熊猫烧香”已经具备免疫能力,金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。在服务期内的毒霸用户,将会通过金山毒霸的主动实时升级功能,自动升级到最新版本,实现对“熊猫烧香”的免疫。对于没有安装杀毒软件的电脑用户,可以登录到tool.duba.net/zhuansha/253.shtml免费下载金山的“熊猫烧香”专杀工具。

  ★瑞星

  安装杀毒软件和瑞星卡卡3.1的用户,可将软件升级,并在上网时打开网页实时监控。同时,瑞星已经发布针对该病毒的专杀工具,并对该工具不断升级。因此,没有安装杀毒软件的用户,还可以登录it.rising.com.cn/Channels/Service/index.shtml免费下载使用“熊猫烧香”专杀工具。

  ★江民

  江民建议已安装江民杀毒软件的用户将杀毒软件升级到最新病毒库,并对电脑进行全盘查杀。未安装杀毒软件的用户,也可登录到www.jiangmin.com/download/zhuansha04.htm下载安装江民“熊猫烧香”专杀工具,可以有效清除病毒和修复被感染文件。

  五招远离熊猫烧香骚扰

  据金山毒霸反病毒中心表示,近期“熊猫烧香”的变种异常活跃,因此从目前至春节期间,该病毒还将会一直骚扰着电脑用户。虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。为此,记者在采访中,还总结了以下五招预防措施,希望可以帮您远离“熊猫烧香”病毒的骚扰。

  1.立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。

  修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

  2.利用组策略,关闭所有驱动器的自动播放功能。

  步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。

  3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。

  步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。

  4.时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。

  同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。

  5.启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。

  此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

推荐日志 安全系列之Icesword简明教程

[ 2007-03-25 03:20:30 | 作者: sun ]
IceSword,也称为冰刀或者冰刃,有些地址简称IS,是USTC的PJF出品的一款系统诊断、清除利器。

清除流氓软件工具无数,为什么称之为第一利器呢,有如下的理由:

1)你是不是经常有文件删不掉?如CNNIC或者3721的文件?

2)是不是经常有注册表不让你修改?如CNNIC的注册表是它自动保护起来的

3)是不是经常有进程杀不掉,提示“无法完成”?

4)是不是浏览器有N多的插件?

5)是不是有一些程序运行的时候隐藏了进程和端口?

6) 是不是有一些流氓软件的文件在资源管理器下看都看不到?

1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的,并且充分考虑内核后门可能的隐藏手段,目前可以查出所有隐藏进程。

2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内存,本质上都是对PEB的枚举,通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示,运行时剪切到其他路径也会随之显示。

3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺骗,而IceSword不会弄错(有极少数系统不支持,此时仍采用枚举PEB)。

4、 IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、 System进程、csrss进程,原因就不详述了。其余进程可轻易杀死,当然有些进程(如winlogon)杀掉后系统就崩溃了。

5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口,第三方协议栈或IPv6栈不在此列。

目前一些流氓软件采取的手段无所不用其极:线程注入,进程隐藏,文件隐藏,驱动保护,普通用户想把文件给删了或者找出进程来,是非常困难的。有的是看到了,删不掉,杀不掉,干着急,实在不行,还需要从另外的作系统去删除文件。比如采取驱动保护的流氓软件如CNNIC,雅虎助手之类,.sys驱动加载的时候,它过滤了文件和注册表作,直接返回一个true,Windows提示文件删了,但一看,它还在那里。象一些文件删除工具如unclocker都无效。IceSword是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件,不需要重启也可以完成了。

IS采取了很多新颖的、内核级的方法和手段,关于它的技术细节不在本文讨论之列,下面主要从使用者角度讲一下它的主要功能:

■查看进程

包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息,结束线程等。

■查看端口

类似于cport、ActivePort这类工具,显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具,在它下面,都一览无余。

■内核模块 加载到系统内和空间的PE模块,一般都是驱动程序*.sys,可以看到各种已经加载的驱动。包括一些隐藏的驱动文件,如IS自身的IsDrv118.sys,这个在资源管理器里是看不见的。

■启动组

Windows启动组里面的相关方式,这个比较容易理解了。不过可惜的是没有提示删除功能,只能查看。

■服务

用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示。提供对服务的作如启动,停止,禁用等。

■SPI和BHO

这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口,即所有Windows的网络作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉,这样就可以监视所有用户访问网络的包,可以针对性投放一些广告。如果不清楚的情况下,把这个.dll删掉,会造成网络无法使用,上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了,浏览器的辅助插件,用户启动浏览器的时候,它就可以自动启动,弹出广告窗口什么的。这两项仅提供查看的功能。

■SSDT (System Service Descriptor Table)

系统服务描述表,内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon。

■消息钩子

若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。

■线程创建和线程终止监视

“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若IceSword正在运行,这个作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建了这个进程,把它们一并杀除。中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。

■注册表Regedit有什么不足?

说起Regedit的不足就太多了,比如它的名称长度限制,建一个全路径名长大于255字节的子项看看(编程或用其他工具,比如 regedt32),此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开。

IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注册表实际内容。

如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport这个键值,就是通过它来加载cndport.sys这个驱动文件的。通过Regedit你删除会直接出错,根本无法删除。而用IS就可以轻易干掉。

■文件作

IS的文件作有点类似于资源管理器,虽然作起来没有那么方便,但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副作用是本来 system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。类似于已经加载的驱动,如CNNIC的 cdnport.sys这个文件,目前只有IS可以直接把它删除,其它无论什么方式,都无法破除驱动自身的保护。

即使对大多数有用的unlocker,CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制,通过在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations,这个是所有删除顽固文件工具的最后一招,但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个作系统下删除。

----那帮做流氓软件的可真是手段无所不用其及。

IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲.

IceSword大量采用新颖技术,有别于其他普通进程工具,比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程,就这一点,其他同类软件就是做不到的。当然有些进程也不是随便可以结束的,如系统的winlogon.exe进程,一旦杀掉后系统就崩溃了,这些也需要注意。

推荐日志 共享成果:杀熊猫烧香100%成功绝招

[ 2007-03-25 03:20:15 | 作者: sun ]
瑞星1月14号以后的病毒库都能杀,而且很灵。但瑞星的程序会被熊猫关掉。
  杀毒具体方法(100%成功)。注意!一定要看完完整的一步再进行,因为一旦断开,整步都要重做!

  1、右键点击托盘里的瑞星防火墙图标,选择“系统状态”,然后马上用右键点击任务栏中的防火墙窗口按钮,弹出窗口控制菜单,这样就可以锁住窗口,使其不被关闭。找出“熊猫”的进程,记下程序名。现在可以把菜单点掉了,你会发现瑞星的窗口马上被关了。没事,现在不管它。

  2、打开“任务管理器”(Ctrl+Alt+Del)。在窗口出来时马上点任务栏锁住它,然后打开“进程”标签(如果已经打开就跳过这一步)。然后按住标题栏锁住它。准备一下,迅速松开标题栏,按下刚才找到的“熊猫”的首字母,再按住标题栏。重复数次,直到选中“熊猫”。松开标题栏,马上按键盘上的“右键快捷键(右Ctrl左边的那个画着菜单的键)”、然后按“T”、“Y”,结束“熊猫”的进程树!

  3、至此,已经成功90%了,你可以稍稍放松一下。打开瑞星杀毒软件和防火墙,升级到最新版本后(可能要重启,重启后只能重复1、2了,但如果你是1月14号以后的病毒库就不用升级了),打开防火墙主程序的“启动选项”,显示所有启动项(什么应用程序劫持项、驱动程序的),删掉熊猫的键值。然后开着防火墙、监控中心进行整机杀毒!(包括引导区、内存、邮件。可以不断网,因为病毒已经进不来了)。

  4、杀完毒,看一看是不是几百个“Worm.Nimaya.W”全在网页里面?怪不得一开网际快车就重新中毒呢。重启电脑,再来一遍开机扫描,确定无毒,电脑也就无毒了。
目前网络中有一种攻击让网络管理员最为头疼,那就是拒绝服务攻击,简称DOS和DDOS。它是一种滥用资源性的攻击,目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。

今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法,虽然不能彻底防护,但在与DDOS的战斗中可以最大限度降低损失。

1、如何发现攻击

在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况,如果发现服务器突然超负载运作,性能突然降低,这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢?按照下面两个原则即可确定受到了攻击。

(1)网站的数据流量突然超出平常的十几倍甚至上百倍,而且同时到达网站的数据包分别来自大量不同的IP。

(2)大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分,往往指向你机器任意的端口。比如你的网站是Web服务器,而数据包却发向你的FTP端口或其它任意的端口。

2、BAN IP地址法

确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效,因为DOS往往来自少量IP地址,而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦,需要我们对IP地址分析,将真正攻击的IP地址屏蔽。

不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙,然后根据防火墙的日志分析来访者的IP,发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。

当然直接在服务器上过滤会耗费服务器的一定系统资源,所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段,然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0,而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。


cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,



这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。
小提示:在访问控制列表中表示子网掩码需要使用反向掩码,也就是说0.0.255.255表示子网掩码为255.255.0.0 。

3、增加SYN缓存法

上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。

修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。

(1)WIN2003下拒绝访问攻击的防范:

第一步:“开始->运行->输入regedit”进入注册表编辑器。

第二步:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。

第三步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

第四步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。

第五步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand

设置为1。

(2)WIN2000下拒绝访问攻击的防范:

在WIN2000下拒绝访问攻击的防范方法和2003基本相似,只是在设置数值上有些区别。我们做下简单介绍。

第一步:将SynAttackProtect设置为2。

第二步:将EnableDeadGWDetect设置为0。

第三步:将EnablePMTUDiscovery设置为0。

第四步:将KeepAliveTime设置为300000。

第五步:将NoNameReleaseOnDemand设置为1。

总结:经过上面介绍的察觉攻击法,BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点,实际上没有一台服务器能够彻底防范它,即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段,实际中能起到一定的效果。