对于任何一位电脑用户来说,间谍软件一直是挥之不去的“梦魇”。而现在,随着间谍软件的更新换代,其对电脑用户的安全威胁也日益加剧。据业内专家分析,间谍件已经悄悄地感染了全球约四分之三的PC,而企业电脑感染率则达到了80%以上。毫不夸张地说,间谍软件已成为继病毒、蠕虫、特洛伊木马之后最常见的安全问题。
多年来,业内围绕间谍软件的斗争一直在继续。反间谍软件厂商可谓“八仙过海,各显神通”,向消费者及企业市场推出了众多的反谍产品。雅虎、微软、赛门铁克、趋势科技等不断扩大安全产品阵营,大打“反间谍”牌,也着实赚了一笔,火了一阵。
但是,间谍软件并没有在业内的打杀声中消失。相反,其愈战愈勇,反“扫荡”技术炉火纯青,令不少的反谍高手败下阵来。
微软Windows系统,在市场称雄多年,自然成为间谍软件的攻击重点。在过去的数年中,间谍件已经成为微软操作系统用户面临的一个严重安全问题,也为第三方反间谍件工具提供了机遇。在这场矛与盾的较量中,双方的博弈犹如潮水,此消彼长,呈现出“你进则我退,你退则我进”的拉锯状态。
现在,随着微软下一代操作系统Vista推出日期的临近,业内反谍之战似乎迎来了“柳暗花明又一村”,人们对反间谍软件的前景再度看好。据微软透露,公司对Vista系统内核、IE浏览器、Windows Defender反间谍件工具进行了重大修改,Vista操作系统在反间谍软件方面功能强大,前所未有。而业内分析师也对Vista寄予厚望,认为反间谍软件斗争再现曙光,甚至预示着间谍软件时代的终结。Gartner机构的分析师约翰分析,随着Vista在社会的普及,间谍软件威胁将会日益下降甚至完全消失。垃圾邮件已经得到了有效控制,间谍软件的“好日子”也会一去不复返。
Vista,真是灵丹妙药,会成为间谍软件的终结者吗?
恐怕这只是微软一厢请愿的美梦。尽管Vista具有三层安全防护盾牌,宣称能清除感染电脑的任何间谍件,但这种技术的完美并不能代表现实的完美,用户要采用并认可Vista的反谍实力,还需要一段长路要走。
首先,Vista跳票使人们对其反谍性能产生质疑。Vista操作系统,可以说是微软耗资巨大的呕心沥血之作,与Windows其它版本相比具有划时代的意义。正因为Vista集大成于一身,其推出时间必然成为业界关注的焦点中的焦点。在所有的亮点中,安全性是Vista 体系结构的基础,用户帐户保护、自定义验证机制、网络访问保护、IE 7增强功能等都体现了其安全防护的新理念。
微软Windows客户端集团的主管威尔逊说,尽管间谍件能够在XP系统上“来去自由”,但黑客要在Vista系统上植入间谍件就不那么容易了。而实际上,Vista的安全防护并非固若金汤。业内分析,微软把Vista推出时间推迟到2007年1月,与其安全性能不够完善有着内在的联系。此前,在内部用户测试中,Vista版本就曾暴露出网络防护方面的安全隐患,说明其并非是无法攻破的“马奇诺防线”。
其次,Vista无法通吃反间谍软件市场。近年来,反间谍件市场发展异常火爆,不论是传统的安全软件厂商,还是硬件厂商,都在竞相涉足这一市场,瓜分这块利润丰厚的蛋糕。据统计,2004年全球的反谍软件市场规模达到了9700万美元,较2003年增长了240.4%。未来几年,市场的增长势头仍很迅猛。
Yankee集团指出,随着Vista的问世,Windows平台上的反间谍件工具市场将彻底萎缩,Windows Defender将成为缺省的反间谍件工具。人们一致的看法是,在Vista系统中整合Windows Defender等于给独立反间谍件工具的棺材钉上最后一颗钉子。
可见,Vista是用户的福音,也是靠销售反间谍件工具谋生的厂商的“死刑”宣判书。笔者认为,反间谍件工具市场不会在一夜之间消失。而Vista的跳票则为反间谍软件专业厂商的生存提供了延续的机会,这些厂商也会利用喘息之际抓紧时机开拓Vista涉足未深或是尚未探索的领域,开发属于自己的“独门绝活”。
最大的独立反间谍件工具厂商Webroot认为,Vista的发布意味着反间谍件产业消亡的说法是没有任何根据的,Vista胃口再大也无法吃下整个间谍软件市场。未来,Vista会与其它反谍厂商共生共存,在竞争中合作,在合作中竞争。
第三,受利益的驱动,间谍软件也会“水涨船高”,与Vista较劲。我们相信,Vista的推出,必会给间谍软件以沉重的打击,但其不会彻底关闭间谍件感染系统的通道。众所周知,广告件是一种恶名远扬的间谍软件,它通过合法或是非法的渠道悄悄安装在用户电脑上,跟踪用户的上网活动,为其广告客户提供有价值的信息。
尽管他们行为卑鄙,成为人人喊打的“过街老鼠”,但是,在巨大的经济利益驱动下,广告件公司犹如“野火烧不尽”,仍或明或暗地生存下去,他们会继续编写、发布间谍件,利用更复杂的技术攻击应付 Vista系统,不断挑战Vista的安全极限。
同时,广告件公司也在不断适应新的网络环境,试图弃暗投明,争取获得合法身份,希望给黑暗的业界带来一丝光明。
由此可见,Vista的推出,无疑会大大增强业内的安全防护能力,扼制间谍件的嚣张气烟。但是,Vista绝不是万能杀手和间谍件终结者,双方的较量仍将是一场此消彼长的持久战。
分类 : 技术文摘 | 发表时间 10-04-2006
分类 : 业界动态 | 发表时间 25-03-2006
我们看新闻的时候,不断看到这样的消息:身份被盗、数据遭窃、隐私信息落入非法人士之手……
但是,这些问题几乎都是可以避免的。做到了本文列出的5步,你就可以保证任何一台PC机的安全,免遭在线攻击和数据窃取,无论是在公共网上还是在家里都可以做到。有的步骤看起来可能有点眼熟,这样当然很好了,因为这表示你已经在向着正确的方向加速。但是,即便是专家,也不免偶尔会落掉一两步,所以,列一个单子或者写一个像本文一样的小指南会让人执行起来方便很多。
好,现在我们开始吧!
一、关掉漏洞
所有的软件,无一幸免,都包含有bug、错误、遗漏以及安全漏洞。没有哪个品牌或厂商或开发团体对此免疫。因此,为了保证PC机的安全可靠,在安全补丁出现的时候去获取并且打上补丁当然就是首要的事情了。大多数厂商都提供自动的或半自动的工具帮助用户及时获取补丁,最明显的,也是最普及的就是微软的Windows Update和Office Update。大多数厂商的官方网站也会提供所有更新的索引页或目录,帮助用户不会漏掉以前错过的任何一个补丁。不管你在用什么软件,一定要保证你100%地做到了保持所有重要的补丁、更新和bug修补都是最新的。
二、阻止入侵者
现在,差不多每个人都认识到,用防火墙一类的东西阻止恶意攻击者和外部链接是非常必要的。并且,几乎每个人至少都安装了一个基本的桌面防火墙。
但是,还是有混淆和误解存在:如果某台PC已经用一个硬件防火墙或者路由器、NAT之类保护了起来,那么是不是就不必在桌面上安装防火墙了?不,还是需要桌面防火墙!是的,硬件防火墙、路由器、NAT之类的设备抵挡外部入侵都没有问题,但是多数这些设备对于“phone home”攻击和类似的“来自内部的攻击”都束手无策。一些恶意软件会采用“内部攻击”的方式:这些恶意的发向外面的链接伪装成来自内部某台PC,从而骗过大多数外部自动防御设备。
与之形成鲜明对比的是,效果更好的桌面防火墙在第一次激活的时候就会阻止或标记所有发向外部的链接,在“phone home”及类似的发向外部的链接开始动作之前就加以阻止。因此,即便你的PC机受到独立的外部防火墙的保护,也一定要安装桌面防火墙。
三、停止感染
“关掉漏洞”和“阻止入侵者”对保证PC的安全大有帮助,不过,恶意软件还是可以通过其它几个方面进入你的PC;尤其是通过来自可信源的感染达到目的,比如,被同事的PC或公司局域网内的其它PC所感染。基于这个原因,也是为了把基础的数字卫生工作做好,每一台PC都需要高效的、最新的防病毒保护。
网上可以下载到很多免费的防病毒工具和服务,所以,我们没有理由让哪一台PC不受保护就开始运行。
四、防止颠覆情况
即使是最好的防病毒软件也做不到可以对付所有类型的恶意软件,这些恶意软件一旦得逞,就会控制你的PC机,或者是危及你的数据的安全。不过,有很多其它的免费或者廉价的工具,可以弥补防病毒软件留下的空白,能够对付所有最普通的问题。
像微软的免费而且卓越的Antispyware和Javacool的SpywareBlaster这样的工具,不仅可以防止间谍软件及其它恶意软件安装到你的PC机,而且,如果间谍软件或恶意软件已经安装了,这些工具还可以帮助你找出并消灭它们。
像StartUpMonitor和WinPatrol这样的工具,可以帮助监控并阻止恶意软件把自身插入到你的PC的启动序列中。
像Spybot S&D和Ad-Aware这样的工具,可以提供对许多种类的恶意软件的聚焦搜索。
甚至有些工具还能够执行多种功能,把数种防护聚合到了一个工具中,为用户提供各个层级的保护,帮助用户确保某个工具可能错过的迹象一定会被另一个工具捕捉到。
五、彻底锁住
在最简单的层次,一个好的口令就可以帮助阻止登录你的系统或实行管理员权限的功能。为了更安全一点,你还可以加密并用口令保护自己的文件、文件夹或整个硬盘,保证数据免受snoop和数据窃贼的侵害。
分类 : 技术文摘 | 发表时间 09-03-2006
信息来源:安全中国
间谍软件(英文名称为“spyware”)是一种来自互联网的,能够在用户不知情的情况下偷偷进行非法安装(安装后很难找到其踪影),并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并已经建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。作为互联网用户,应该对此保持警惕了。
间谍软件横行网络
美国EarthLink通过对约100万台个人电脑进行扫描,检测出了2954万个间谍软件,平均每台家用电脑感染了28个间谍软件。2004年10月25日,美国国家网络安全联盟和美国在线公司联合发布的一项全国性调查报告说,因特网用户在家里上网时远不像他们想象的那么安全,大多数用户没有“防火墙”保护,安装的防病毒软件落后而且受到多个暗藏的盗窃信息软件的侵蚀。
在美国政府部门的支持下,调查人员通过电话访问了全国12个州22个城镇的326名成人用户,其中77%的人都说他们使用因特网时没有受到威胁,而且几乎多数人都认为已有的安全措施足以抵抗病毒和“黑客”的侵袭。但当调查人员到受访者家里去实地考察时,他们发现三分之二的用户实际上至少7天内没有更新防病毒软件,有三分之二的用户没有安装“防火墙”软件,有80%的用户的电脑上有间谍软件。在其中一个用户运行缓慢的电脑上,居然有1000多个间谍软件。
用户一方面满足于已有的安全现状,另一方面用户对使用因特网的安全知识了解得还不够,缺乏必要的有关安全保障的专业指导。有的用户以为服务商提供的商业防病毒软件和“防火墙”软件足以抵御网络上可能出现的威胁,实际上她被误导了,大多数商业防病毒软件和“防火墙”软件并不能检测间谍软件。
目前因特网服务商、软件公司和电脑制造公司都在采取措施,提供新的保护工具,同时帮助用户提高防范安全威胁的意识。微软已经为其最新版本视窗软件的用户支出将近10亿美元的安全维护费用。美国在线承诺向用户提供更好的安全服务。戴尔公司也开始行动,指导用户如何检测和删除间谍软件。 美国国会众议院已经批准两项加大对间谍软件犯罪处罚的议案。国土安全部则向因特网家庭用户提供免费的指导邮件。
间谍软件在干些什么
根据使用者的目前,间谍软件可分为两类,一类是“广告型间谍软件”。与其他软件一同安装,或通过ActiveX控件安装,用户并不知道它的存在。记录用户的姓名、性别、年龄、密码、域、电话号码、邮件地址、VPN、Web浏览记录、网上购物活动、硬件或软件设置等信息。 这类间谍软件还会改变目标系统的行为,诸如霸占IE首页与改变搜寻网页的设定,让系统联机到用户根本不会去的广告网站,以致计算机屏幕不停弹跳出各式广告。而且软件设置简单,只要填写自己的邮件地址和设置一下运行即可。
美国Claria(原称Gator)司的“Gator”是一款自动向网页界面的输入画面自动输入用户口令的软件。Spyware-Guide.com指出,该软件的主要目的就是下载名为“OfferCompanion”的广告模块。这就使得用户在浏览各种Web网页时都显示弹出式广告。该软件还将用户所访问网站的内容信息、域名以及用户的名字、邮政编码、所属国名等发送给该公司。
美国的一家名为WhenU吧的广告软件公司的广告软件与免费发布的PtoP软件等捆绑在一起在网上发布。用户下载PtoP软件后无需支付软件使用费,代价是广告软件在个人电脑画面上弹出广告。该公司解释说,用户在这种情况下没有必要担心个人隐私问题。由于不对用户的数据进行跟踪,所以该公司主张不属于间谍软件。
另一类被称为“监视型间谍软件”,它具有记录键盘操作的键盘记录器功能和屏幕捕获功能,可以用来在后台记录下所有用户的系统活动,比如网站访问、程序运行、网络聊天记录、键盘输入包括用户名和密码、桌面截屏快照等。主要被企业、私人侦探、司法机构、间谍机构等使用。间谍软件的恶行不仅让机密信息曝光,对产能亦造成负面冲击,同时也拖累系统资源,诸如瓜分其它应用软件的频宽与内存,导致系统没来由减速。
间谍软件就目前来说主要是良性的,不过间谍软件在未来将会变得更具威胁性,不仅可以窃取口令、信用卡号,而且还可以偷走各种类型的身份信息,用于一些更加险恶的目的,如捕捉和传送Word和Excel文档,窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道,那么用户面临的危险将是不可想象的。当前许多网络游戏用户的账户财物等被盗与很多间谍软件有关。
间谍软件潜入非常隐秘
间谍软件发展之初,多被一些在线广告商以及Kazaa等音乐交换网站使用,这些公司将一些监控程序放在用户电脑内监视其网上行为、收集其兴趣爱好,或者在空闲时间进行其它操作。这些公司以让用户上网免费赚钱或免费获得音乐为幌子,吸引了众多用户下载,而这些软件中所带的间谍程序便悄悄地收集用户信息,然后根据这些信息发送广告,或者把这些收集的信息转卖给其他广告公司获取利益。而到了现在,间谍软件已被更多的公司及个人利用,其目的也从初期的“单纯化”向“复杂化”发展,如直接盗取用户账号、密码等。
软件捆绑方式是间谍软件采用得较多的一种,它通常和某实用软件放在一起,当用户在安装这款实用软件时,间谍软件便悄悄进行自动安装。这种“明修栈道,暗度陈仓”的方法非常容易让人放松警惕。而对于嵌套有向第三方发送信息的间谍程序中还有一种更高超的手段,即一般都在使用许可协议的第N页或N行中给出了一些模糊的声明,这对于不去逐字逐句细看协议的用户来说,如果单击了“同意”或“接受”按钮,则表示同意了他们的做法,给他们安放间谍软件提供了冠冕堂皇的理由。
浏览一些不健康网站或一些黑客站点。当用户在访问这些站点或单击其中某些链接后,便会自动在你的浏览器或系统中安装上间谍程序。当你上网时,这些间谍程序便可让你的浏览器不定时地访问其站点,或者截获你的私人信息并发送给他人。
电子邮件向来就是一个易惹事非的地方,由于邮件的方便、快捷性,它同样也成了间谍软件抢夺的宝地。最近一家自称为情人间谍(LoverSpy)的公司推出了一种新方法,只需向对方发送一张含有该公司间谍程序的贺卡,对方阅读后便可让你轻松地监控他(她)的网上行踪。
如何防范间谍软件
2004年10月,美国两项旨在防止互联网间谍软件进一步扩散的法案在众议院以压倒性的优势获得通过。法案规定,发送间谍软件的用户可被判刑5年。本该法案规定,在未禁允许的情况下,公司和个人在它人电脑上安装间谍软件要处以重罚。美国犹他州通过了反间谍软件法案“Spyware Control Act”。该法案禁止一切下列
分类 : 技术文摘 | 发表时间 03-01-2006
据国外媒体报道,2005年全球IT安全市场可谓极不平静,如果分析推动整个安全产业蓬勃发展的主要动力,其实原因相当简单:追逐金钱,无论从黑客还是反病毒厂商来看,都是如此。如今的黑客已不再是当年那些不谙世事的少年,单纯出于炫耀的目的而攻破某一网站或编写一些恶意程序。2005年,整个业界目睹了真正邪恶的黑客一族的出现,他们的目的相当明确,即盗取金钱,所使用的手段更为隐蔽,技术也更加高超。此外,过去的一年也让恶意黑客们尝到了可能将为自己的行为付出的经济代价,这主要得益于加州的一项立法,该立法有望被写进联邦法庭的案例。
网络犯罪更为猖獗
网络犯罪越发猖獗,专门用于盗窃和欺诈的恶意软件充斥整个互联网。尽管2005年没有大规模的病毒爆发,然而黑客们却制作了大量的蠕虫和病毒变种,完全可以突破反病毒软件的防护而对PC实施控制。这些被控制的PC被称作”僵尸PC”,可以被被用作展开网络欺诈的基地,或者发起大规模的拒绝服务式攻击。
隐私保护面临挑战
假如你还在为安全方面的支出而犹豫不决的话,那么你有必要询问一下ChoicePoint公司的员工,该公司数千名客户的信息被黑客盗走,造成的直接损失达600万美元。信用卡服务商CardSystems Solutions受到黑客攻击后已频临破产,该公司位于亚里桑那州图森的运营中心遭遇了一次致命性的攻击。
美国20个州的法律规定,必须对安全入侵事件进行披露,而一旦公司的计算机网络遭到入侵,公司在客户关系方面将遭遇巨大的损失。目前联邦立法机构已打算将该条法律在全美推行。
根据最近对网络攻击受害公司的调查显示,客户非常担心自己的数据可能丢失,其中占60%的客户表示他们将中断与受到攻击的数据公司的业务合作。
路由器成为攻击目标
迈克尔-林恩很可能将与今年的 Black Hat安全大会无缘,但他引起了全世界的注意,因为他披露了路由器也会受到黑客攻击这样一个事实,此前知悉这一情况的只限于少数安全专家。
林恩为此还面临着一场诉讼,他此前是Internet Security Systems的一名研究人员,因为公开演示了如何在思科路由器上运行未经许可的”外壳代码”而被起诉。或许是由于林恩的发现,思科紧急修补了其路由器上运行的Internetwork Operating System中存在的诸多漏洞,安全专家称,很快将出现第一个专门针对路由器的蠕虫病毒。
Rootkits大肆泛滥
去年,Rootkits还仅仅被看作是针对Unix电脑的相对晦涩的木马程序,然而随着今年11月份索尼问题唱片的出现,Rootkits几乎无所不在。索尼BMG在其唱片中嵌入Rootkits作为拷贝保护软件,尽管索尼后来宣布召回了问题唱片,但基于Windows的Rootkits将会永远保留下来。
微软觊觎安全市场
安全软件厂商赛门铁克与McAfee已将反病毒软件市场做到每年25亿美元的规模,眼看着又多了一个竞争对手,而且是不可一世的微软,它们感到极为不安。微软已经推出了免费的测试版反间谍软件产品,而面向企业用户的反病毒软件Microsoft Client Protection很快将会推出。
尽管赛门铁克对呼吁欧盟反垄断当局对微软展开调查的报道保持低调,但不难看出,公司CEO约翰-汤普森对微软已多加一份提防,今年初他曾表示:”微软借助Windows的支配地位展开一系列垄断行为,这是不公正的,全世界都有目共睹。”
分类 : 技术文摘 | 发表时间 02-01-2006
2005年,总有一些事件震撼人心,总有一些东西备受瞩目。这些关键词的背后,不仅仅是我们曾经关注的焦点,更是留给我们长久思考:2005年,我们的网络生活一起经历了什么?
“MSN性感鸡”,网络提前遭遇“禽流感”
2005年,禽流感席卷全球,让人闻鸡色变。
而网络上的“禽流感”更是早于现实,从2月3日开始,席卷全球互联网。
2月3日上午,金山、瑞星、江民等国内多家安全软件厂家,接到大量MSN用户中毒信息,一个名为“MSN性感鸡”的病毒迅速在互联网上疯狂传播。msn用户感染后会向所有好友发送病毒文件。MSN性感鸡除了利用MSN向外界发送病毒文件、消耗系统资源外,还会在中毒电脑里放置后门程序,使黑客可以远程控制该电脑,从而使用户面临极大的安全威胁。
在相对平静的2005年网络环境中,“MSN性感鸡”造成危害最严重的一个病毒。随着各大门户网站的即时通讯工具的推出,以及金山加加、盛大圈圈等的加入,病毒制造者利用IM(即时通讯工具)做为传播,已经成为了病毒传播的首选方式。金山毒霸反病毒服务中心整个2005年接到的感染报告中,通过IM工具传播的病毒高达270万次,排在所有病毒之首。这也使的国内IM厂家高度重视,腾讯推出的QQ2005,就在业界率先与杀毒厂商合作,与金山公司合作推出了国际首创的“QQ安全中心”。
金融机构成为网络钓鱼最青睐对象
2005年,美国超过300万的信用卡用户资料外斜,导致用户财产损失,同时,中国工商银行、中国银行等金融机构先后成为黑客们模仿的对象,设计了类似的网页,通过网络钓鱼的形式获取利益。这一现象在2005年以平均每个月73%的数字增长,使很多用户对于网络交易的信心大减。导致年底各家银行对于网络交易安全提高重视。
针这些对愈演愈烈的网上银行诈骗事件,中国人民银行于10月30日向社会公布《电子支付指引(第一号)》,对银行从事电子支付活动提出了指导性要求,对银行针对不同客户在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。
各杀毒厂家纷纷披露主动防御计划反病毒欲改被动劣势
5月,业界一条以“网络安全惊曝黑幕”为题的报道,在原本还算平静的网络安全行业搅起千层巨浪。这篇报道毫不客气地将杀毒软件比做“过期药”,更将信息安全厂商们斥之为贩卖“过期药”的贩子。随后,国内著名信息安全厂商金山公司对外宣布,其杀毒软件“主动防御(ADP)”业已完成第二层(网络自防御)计划,并且证实该计划已经应用到当天发布的金山毒霸2005中小企业版当中。至此,包括金山、瑞星在内的国内主流信息安全厂商均做出高调反应,表明中国的信息安全厂商正试图扭转在与病毒竞争中长期被动的局面。
“主动防御”更像是一个贴身的保镖,勤勤恳恳、认认真真的监视着周围的可疑人物,让危险总能在最后一刻之前化解。“主动防御”以事实为依据,掌握用户计算机真实的安全状况,在用户还没有意识到之前,能给予用户更多的提示与建议,帮助用户构筑专家级水准的计算机安全防线。它是传统杀毒软件的超集,虽然它也需要传统方法的补充,但它的理念已经超越了单纯的杀毒,而是全面保护用户计算机的安全。它是安全软件未来的发展方向。
流氓软件引起公愤,人人喊打
6月21日,北京市网络行业协会联合新浪、搜狐、金山、瑞星等16家网络和软件企业联合起草了《软件产品行为安全自律公约》,联合承诺共同防范“流氓软件”带给网民的麻烦。随后,在北京市网络行业协会的网站上,接受网民的投诉,引起众多网民的关注与投诉。7月11日,网络行业协会根据网民的投诉,点名公布了10家流氓软件名单,包括了3721、淘宝、e趣、DUDU等家加知名软件。
2005年,间谍软件已经大面积闯入了我们的网络生活中。间谍软件从以前单一的收集用户信息和盗取有价账号等方式扩展到恶意广告。恶意广告的典型特征为:悄悄安装;不易卸载;保护自己使用低层技术与多种软件冲突;随时随地弹出骚扰广告。而目前在国内用户被侵扰最多的间谍软件就是恶意广告和盗号木马。90%以上的网民都直间或间接的受到此类间谍软件的侵扰。
狙击波,与时间赛跑的病毒
8月15日,金山公司率先截获了被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波”,危害程度直指当年的震荡波。在随后的24小时内,变种迅速,出现多个变种,给相对平静的2005年网络环境,带来阵阵涟漪。该病毒源自欧洲芬兰,之后在欧洲迅速流传。其中在美国蔓延,美国国会、美国有线电视台(CNN)、美国广播公司(ABC)、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成部分网络瘫痪。在国内,华南地区尤其是广州地区的个人及企业用户中毒的较多。
名人、热点新闻成为病毒载体
2005年8月30日,被全国关注的“超级女声”总决赛进行之际,一个借着“超级女声”的名气传播的QQ病毒现身网络,盗窃用户的信息。“超级女声”也成为了2005年带毒的明星、热点事件最为突出的事件,其前后,包括:拉登、羽泉、周杰伦、禽流感、伦敦地铁爆炸等等,也成为了一个特别的现象。每当网上出现热点新闻或者热点人物的时候,各病毒监测中心的精神也都高度集中,不知道下一个遭毒手的会是哪一个?
手机病毒过百
11月15日,金山反病毒监测中心向国内智能手机用户发出预警在手机上传播的病毒已经跨越100个大门,达到102个。自从2004年6月第一次发现在手机上传播的病毒以后,手机恶意程序的数量大幅提升。目前手机病毒主要采用蓝牙、电子邮件、链接PC以及浏览互联网下载安装软件等多种方式传播。以损坏联系人名单、损耗电池、盗取资料和浪费话费等破坏为多。
为了应对越来越猖狂的手机病毒,金山公司于11月7日在国内率先推出了自主研发的手机杀毒软件——金山毒霸手机版(Kingsoft Mobile Secrity)杀毒软件,广大用户可以通过金山毒霸手机版专题免费下载,软件试用期为3个月。金山毒霸手机版具备运行在PC上的杀毒软件所有的必备功能,支持Windows Mobile与Symbian手机操作系统,不仅仅可以查、杀流行的手机病毒,对运行在手机上的宏病毒也能彻底清除。此外,金山毒霸手机版已经开始酝酿手机短信诈骗防范功能。
中国安全软件与国际接轨
11月17日,国际安全软件行业的重要会议,AVAR 反病毒大会第八届年会在天津经济技术开发区举行。这次AVAR反病毒大会在国信办、公安部和天津市政府的支持下,由国家计算机病毒应急处理中心、天津经济技术开发区、天津市信息办、天津市科委和天津市公安局等单位承办,这是AVAR年会首次在中国大陆举行。今年反病毒大会的主题是“从有线拓展到无线安全,从技术追求蜕变为网络犯罪”。来自美国、俄罗斯、法国、日本、冰岛、韩国等反病毒领域的专家做了精彩的报告。
在国际业界更多的关注中国安全事业的同时,国内通用软件也积极
的走出国门,与世界接轨。9月14日,国内安全软件的重要厂商金山公司,率先走出国门,宣布正式进入日本市场,并同时发布了金山毒霸日文版。日本媒体对于金山公司此次大规模进军日本市场给予了高度关注。会场座无虚席,包括日本NHK电视台、日经新闻社等八十多家主流媒体参加了发布会并予以报道。日本最大的电视台NHK在当晚以高度的关注的态势介绍了这次新闻发布会的情况,足见其对中国通用软件公司第一次进入日本市场的重视程度。该新闻以“日本用户接触到大量中国品牌的软件产品的日子,已经不远了”作为结束语。截至2005年11月,金山毒霸在日本的安装量已经超过50万。
金山、瑞星、赛门铁克集体转向互联网应用
12月6日,金山、瑞星、赛门铁克三家杀毒厂商不约而同地选择了同一天作为新品发布日期。几大杀毒厂商经过对2005年的病毒趋势分析,在2006年新品发布中,纷纷加大了针对互联网的应用产品。
回顾2005年的“安全状况”,除了“MSN性感鸡”、“狙击波”引起一定的关注之外,在2005年利用漏洞的病毒已经逐渐不再唱主角了。对电脑用户安全的最大威胁已经让位于以商业为目的,以欺骗用户为手段,严重干扰人们日常工作、数据安全和个人隐私的各类间谍软件。据《金山2005年安全报告》显示,间谍软件的危害已经超越传统病毒,成为互联网安全最大的威胁,感染率由2004年30%激增到2005年的90%。网络钓鱼事件更是层出不穷,这使得杀毒软件的发展方向将由传统的反病毒机制转向了捍卫全面的互联网安全。
中国互联网协会反垃圾邮件工作委员会成立
2005年12月9日,中国互联网协会在“中国互联网协会反垃圾邮件协调小组”的基础上正式成立中国第一个在行业内最具代表性的反垃圾邮件组织——“中国互联网协会反垃圾邮件工作委员会”,该工作委员会的成立意味着中国反垃圾邮件事业迈上了新的台阶。反垃圾邮件工作委员会由政府、商务网站共同创立。来自安全软件业界的金山公司、诺顿公司成为了理事会成员,为工作委员会提供技术方面的支持。
垃圾邮件的泛滥,占用了网民们本来就不大的信箱空间,使得真正有用的E-mail要么因为信箱已满而进不来,要么淹没在一大堆的垃圾邮件中。为了处理这些垃圾邮件还得让网民搭上不少宝贵的上网时间,总之空耗大家的时间、精力和钱财。更重要的是,垃圾邮件往往散布一些不确切的、夸大其词的消息,干一些骗人钱财的勾当,有的已经触犯了法律,它们对现实社会的危害也随着网络的日益普及而逐渐显现出来。
金山公司岁末公布“2005年十大病毒”
近日,金山毒霸反病毒中心根据金山毒霸全球反病毒中心、金山毒霸客户服务中心以及金山毒霸运营部门的联合统计,对外公布了“2005年十大病毒”。根据十大病毒名单的分析:2005年利用漏洞攻击的病毒已经不再唱主角,病毒的发展及危害呈现新的传播方式及破坏方式,不过漏洞攻击依然是混合型病毒常用的一种攻击方式。
报告显示:2005年,1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价帐号的木马病毒(如网银、QQ、网游)为主,多达2000多种,如果算上变种则就要超过万种,平均下来每天有30个病毒出现。
金山公司根据金山毒霸客户服务中以及金山毒霸全球反病毒中心提供的数据,总结出的2005年度十大计算机病毒包括:
QQMyRun (Worm.QQmsgMyRun.a)
传奇木马(Troj.PSWLMir)
台湾女孩(JS.Twgirl(Mht exploit)
MSN性感鸡(Worm.MSNLoveme.b)
罗伯特Hack.RBot(Blaster exploit)
灰鸽子(Win32.Hack.Huigezi)
狙击波(Worm.Zotob/Worm.Mytob)
书虫(Win32.Troj.QQMsgBook)
恶鹰 (Worm.Beagle)
10. Rootkit (Win32.Troj.Rootkit)
在这一年里,互联网虽然没有受到类似于去年的“振荡波”等恶性病毒的大面积侵害,而蠕虫病毒、间谍软件、网络钓鱼、木马病毒等就像“平静水面下的暗流”,不经意间即给电脑用户造成巨大的损失。具体呈现以下特征:
即时通讯平台成为病毒传播的温库
2005年即时通讯平台成为病毒的温床,攻击QQ、MSN的病毒大量衍生。例如攻击QQ的QQmsgMyRun、QQmsgBook已经成为了今年攻击QQ的毒王,而年初的“性感鸡”则是攻击MSN的典型病毒,在年初的互联网大兴风浪。病毒制造者利用即时通讯工具传播病毒,多是以重大事件、执点新闻和人物来欺骗用户,从而达到传播、感染的目的。
利益驱动病毒的产量
因为利益的驱动,以及网络游戏迅速成为网络生活的重要组成部分,因此导致网游木马的迅速衍生,大量的网游也造就了大量的网游木马,在本年专业的网游制作队伍大量出现,并通过互联网进行买卖。
漏洞仍是最大危胁
漏洞仍然是蠕虫病毒的最常规手段,从今年来看,出现了最新的漏洞利用攻击方式。分别是“狙击波”(Worm.Zotob)利用的“MS05-039 即插即用服务漏洞”,以及年底才出现的利用“MS05-051 分布式事务处理协调器服务漏洞”的“大师”(Worm.Dasher)。随着漏洞攻击代码在网上的详细公布,造成的后果便是迅速被多种病毒利用,作为传播的手段。
网站的漏洞——脚本病毒,木马、黑客的帮凶
脚本病毒已经不再作为攻击系统的主要方式,而转而成为了各种木马、黑客的辅助工具。2005年脚本病毒出现了一个非常重要的现象,这便是互联网本身的安全问题,本年度大量网站被黑,政府网站、娱乐网站、个人主页等等无一例外,被注入的大都是JS.Twgirl等一类的脚本病毒,当用户访问此类网站时就会激活JS.Twgirl,从而下载木马、黑客等恶意代码,遭受各种病毒侵袭以及安全威胁。
邮件蠕虫——寻找更新的传播方式
传统的邮件蠕虫随着网络生活的丰富,也出现新的传播方式,以今年最臭名昭著的“恶鹰”病毒来说,病毒将用户邮件地址收集到服务器,当出现新变种时会对这些邮件地址发送病毒邮件,使用户只要收到过“恶鹰”的某一个变种就会继续收到以后的变种。
驱动技术——病毒新趋势
病毒驱动技术的使用,是病毒技术的提高,也成为了病毒发展的一个全新的趋势。特别是对病毒自身的保护上做足了功夫。病毒通过驱动技术实现了隐藏进程、隐藏文件、隐藏注册表加载项,在正常系统中完全看不到病毒的综迹,给查杀病毒带来了巨大的困难。
根据对本年病毒的总结,金山反病毒监测中心预测在未来的2006年里:
以利益驱动的病毒(木马、黑客)会成为主流,这一类的病毒数量和病毒感染量将会占到80%以上,为此将出现更多的网游、网银盗号木马、病毒。
即时通讯平台继续成为病毒传播的温床,可能再添新的欺骗手段,这将与网络钓鱼同步进行。每年都有新装机、新系统,用户都有可能忘记修补旧的系统漏洞和新系统漏洞的出现,因此系统漏洞
分类 : 技术文摘 | 发表时间 19-12-2005
这个小贴士是关于在处理间谍软件(spyware)和广告软件(adware)时如何理解和应用最优方法的,它可以用在一台单独的台式机、家庭网络、小型办公室网络或者是企业级网络中的一定数量的计算机中。它最好是表示为一系列的警告以此来确保你的计算机(以及用户)能够识别那些间谍软件,并且知道如何保护自身不受这些软件的危害。
阻止间谍软件是一个过程,它有很多层次。有些任务得让用户来做,另外的一些得让管理员来做。这些忠告贯穿最基本的开始直到发展到高级的实践。
“保护你的个人电脑”
这实际上是在微软主页上的一个十分有用的提供资料的网页的标题。当这个网页第一次出现的时候,它就建议每一个访问者在访问之后要做到(a)使Windows保持最新,(b)使用个人防火墙,以及(c)使用最新的反病毒软件。
最近这个网页忠告访问者“使用微软的Windows 安全中心(Windows Security Center)”(它包括上述所有的主要部分),并且“得到微软的反间谍软件,”它包括优秀的微软反间谍软件的试用软件包(仍旧是免费获得;同时微软也在它的反间谍软件( antispyware) 页面中链接了Lavasoft Ad-Aware SE 和Spybot Search & Destroy来清除间谍软件和广告程序,这个使我大吃一惊)。
使用间谍软件的扫描器/ 筛分器
只有当你安装了适当的反间谍软件的软件包,你才不会受到间谍软件和广告程序软件的侵害,(参见TopTenReviews 公司的反间谍软件排行榜,在那上面列出了各种软件的类型特点以供参考)。第一个安装在你的机计算机上的该类型的软件包,它通常也仅仅就像是反病毒软件一样地工作。但是,它不仅是定期地运行并且扫描你的硬盘,而且它会检查所有接踵而来的文件、 消息、 网页等,从而找出并且阻止间谍软件、广告程序软件以及其它恶意软件进驻你的机器。就因为那个原因,扫描的作用是非常重要的,因为它提供实时保护以防止潜在的大量恶意软件的攻击。
每周运行至少一次备份扫描
最近研究表明,与反病毒的软件包不同(大多数的软件包在病毒处理部门是按规定达到100%的有效率等级,就像是病毒通报100%清除(Virus Bulletin 100% award)所表明的那样),没有一个单独的反间谍软件的软件包能够正确的识别或者是阻塞所有我们知道的间谍软件(更别提那些新的、我们不知道的间谍软件的了)。
因此,最佳的实践表明你需要在所有的机器上至少安装两个反间谍软件包。其中的一个软件包用于实时筛选和定期扫瞄;另外一个软件包每周作为备份扫描器使用一次,目的是捕捉另一个软件包可能错过的间谍软件和广告程序软件。当然,必不可少的一点就是:保持这两个或者更多的软件包的不断更新,以此来确保它们能够扫描出那些确实存在的恶意软件。最好是自动完成这些扫描以防人为错误导致没有发现间谍软件。
了解清除:过程和工具
反病毒软件还有很多用处,反间谍软件工具能够在已知形式的间谍软件蔓延之后将其检测出来并且进行清除。然而,值得我们关注的是那些功能强大、多种用途的清除工具如Hijack This!。你可以在MajorGeeks.com这个网站上去下载它,而且在这个网站你还会发现大量的关于间谍软件、广告程序软件以及病毒的清除指南,它讲述了清除的基本任务和相关过程。“官方”的Hijack This!套装软件还涉及到了许多关于如何使用它来检测以及帮助指导清除这方面的信息和用法说明。
MajorGeeks 的间谍软件工具页也是一个列出这些最有用的工具的纲要。它值得我们花时间来研究。
使用一台rootkit 检测器
近来还有另外一种恶意软件在网上蔓延。它是一种很特殊的、极其难以察觉的软件,而且它能够尽可能不被发现的自动安装和运行。
Rootkits是一个有特殊恶意的软件工具包,它是针对特定的操作系统的(或者是一系列系统,例如所有的32位的Windows版本),而且它能够掩人耳目的以管理员级别的身份入侵。Rootkits通常安装在一个或者多个操作系统中、在后台隐蔽运行、搜集用户名和密码,以此来进行更进一步入侵和破坏。
虽然这些工具能经常的自动运行(并且在那种模式下仍存在很大危险性),但是它们越来越多的融入到高明黑客散播的间谍软件和病毒中。它们甚至可能与Trojans病毒结合在一起通过局部地区网或者互联网将其获得的信息传送到边远地区。它们允许键盘记录软件(keyloggers)来捕获帐户信息、密码以及其他敏感数据。
Rootkits最现实的问题在于:大多数的反病毒或者反间谍软件的工具并不能检测到它们。我们急切需要一类称作rootkit检测器的特殊的工具来检测捕获这样的恶意软件。更为糟糕的是,到目前为止还没有自动的清除工具能够清除掉rootkits,因此阻止这种蔓延的唯一办法只能是清除驱动,重新安装你的系统(然后通过你知道的安全干净的备份来恢复你的数据文件和软件)。
为了了解更多的关于这个主题的知识,得到更多的关于检测器的说明指导,请访问rootkit.com这个网站或者阅读该网站管理员Greg Hoglund and Jamie Butler所著的书:《Rootkits:Subverting the Windows Kernel》(Addison-Wesley出版社,2005年,国际标准图书编号ISBN:0321294319)。
通过遵循这些简单步骤——选择正确的软件组件来处理这里描述的各种问题、执行保护措施——个人以及组织都可以进行适当的保护以防止恶意软件。下周的小贴士钟我会讲述更多的细节(和工具)。
分类 : 技术文摘 | 发表时间 04-12-2005
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
分类 : 技术文摘 | 发表时间 29-09-2005
1.Kurt Dillard:缺少细节,但是,有一些关键的信息。以前一直很可靠的各种计算机系统频繁出现操作系统崩溃的问题意味着受到感染的计算机中的某些东西被改变了。另一个重要的线索是杀毒软件自动关闭自己。最后一个线索是,标准的安全工具不能发现任何恶意软件表明如果这些计算机中有新的软件,这种软件正在偷偷地运行。这种文件隐藏起来了看不到,但是,仍在运行。如果惟一奇怪的事情是数不清的系统崩溃,我会怀疑操作系统最新使用的补丁、设备驱动程序或者一个安全应用程序有问题。这些症候结合在一起暗示某些恶意的东西在起作用。然而,它也许不是一个rootkit。你必须要做额外的研究以便发现正在发生的是什么。
Lawrence Abrams:当你的计算机开始出现异常情况时,我想到的第一件事情就是你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题,那么,这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序,看看是否存在当前杀毒软件定义中没有的新的恶意软件。某些检测故障的软件程序是:
HijackThis:这是一种通用的主页劫持者检测和清除工具,能够连续不断地更新。
WinPFind:这个工具软件可以扫描硬盘中的普通位置,查找与已知的恶意软件使用的方式相匹配的文件。
Silent Runners:这个软件工具检查Windows是如何启动的并且创建一个文本文件以便进行研究或者作为一个基准储存起来。如果没有检测到任何东西,设法用安全模式运行这个程序和你的杀毒/反间谍软件。很多与蠕虫一起发布的普通的rootkit在安全模式不能够运行。因此,故障排查软件在安全模式下可以看到这些恶意软件。
如果在安全模式下发现新的记录和文件,计算机很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面,如果你在安全模式下运行同一个工具软件之后仍没有发现任何可疑的现象,但是这个恶意软件的行为继续存在,你可以推测你正在应付一个更高级的rootkit。
Kevin Beaver:考虑到安装的应用程序的奇怪行为,你很可能正在对付某种类型的恶意软件,最有可能是rootkit或者以远程接入特洛伊木马。这些恶意软件能够让黑客从外部偷偷进入没有保护措施的计算机。了解这个事情的惟一方法是运行能够扫描或者监视异常行为和rootkit的存在的其它扫描软件。这种工具可以是Sana安全公司的“Primary Response”,或者Finjan软件公司的各种解决方案以及Sysinternals公司的“RootkitRevealer”。
我还建议同时运行至少二种或者三种反间谍软件工具。也许还会有一些工具软件你没有用到。除了Spybot–Search & Destroy等常用的解决方案和Lavasoft Ad-Aware安全软件之外还有一些工具。我很幸运地使用了冠群国际的PestPatrol和微软的AntiSpyware等工具软件。监视老系统活动的另外两个工具是监视和封锁出站通讯的个人防火墙(不是Windows防火墙)以及能够监视可疑的系统进出的网络通信的网络分析器。当然,只有你的系统连接到网络的时候后一种选择才是可用的。
2.Kurt Dillard:首先,将受影响的系统从网络断开是一个好主意。接下来,你需要决定你愿意投入多少时间。你愿意收集可能用来提出犯罪指控的证据吗?收集证据非常耗费时间,而且你必须要认真遵循适当的证据收集程序来做。你要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?这也需要耗费很多时间。或者像我们大多数人一样,你没有那样多的时间,只是想尽快摆脱故障使系统恢复正常?无论你选择什么办法,我都希望你在事件发生之间制定一个具体的事件反应计划。如果你没有这个计划,你要确定写出一个适合你的机构的业务需求的书面计划。
收集能够用于法庭上的信息系统的证据需要严格的程序,把发生的一切事情都存档保存并且保护原始的数据。我建议,你应该在事件发生之前与你们机构的法律代表和一些业内专家合作制定一个计划。你要使用逐个字节拷贝的工具等软件(也就是Guidance软件公司的EnCase、AccessData公司的FTK Imager或者X-Ways软件技术公司的WinHex等工具软件),在安全的地方存储受到影响的系统,对这些工具软件创建的数据做适于法庭使用的整理工作。
找出发生问题的细节可能需要很多时间。但是,这项工作是令人着迷和有教育意义的。有一些rootkit检测工具:
·RootkitRevealer(成名的和令人尊敬的安全专家Mark Russinovich和Bryce Cogswell制作的)
·Blacklight(知名安全软件厂商F-Secure公司制作的)
·Klister(卑鄙的内核模式rootkitFU的作者制作的–你自己需要决定是否让你的网络信赖这个程序员)
这些工具都有自己独特的功能和缺陷。我喜欢使用RootkitRevealer。但是,恶意软件作者不断地更新他们的工具以便避开最新的检测应用程序,因此,我最喜欢的工具也许也不能检测出所有的恶意软件。你也许需要手工执行微软研究院2004年发布的工具软件“Strider GhostBuster”的白皮书中解释的那些程序。简言之,你要在系统启动的时候拍下系统的快照,收集每个硬盘的目录列表等信息。然后,你使用替代的操作系统启动计算机,用你在干净的操作系统中所看到的东西与被攻破的操作系统中的东西进行比较。
如果你没有时间了,在使受到影响的计算机系统脱离网络之后,你可以直接进入恢复阶段。
Lawrence Abrams:如果你发现的rootkit看起来像是与各种恶意软件捆绑在一起的普通的rootkit,那么,断开这台计算机的网络连接作为你的第一个措施应该是足够的。这将阻止其传播以及可能下载和安装更多的恶意软件。
另一方面,如果你确定那就是目标rootkit,是一个人专门攻破这台计算机并且安装的rootkit,那么,你应该按照你们的机构对付入侵的政策去做。遗憾的是,大多数公司对于这类事件没有政策。如果你可能采取法律行动的话,最低限度你要立即制作一个可在法院使用的硬盘的镜像,把原始的计算机保存起来以便在法庭上当作证据。如果你不打算采取法律行动,你就可以直接进入恢复阶段。
Kevin Beaver:我首先的建议是断开计算机的网络连接,不过,这只能在你能够承受这种损失的情况下才可以这样做(也就是说,如果这样做不影响主要的业务经营的话)。这样做有助于阻止任何恶意软件传播或者影响其它的网络计算机。第二,安装/运行我在诊断阶段提到的应用程序。你可能需要运行这些程序来监视系统的行动。然而,一旦系统受到感染,检测程序要发现异常或者正常的行为都是很困难的,如果不是不可能的话。这主要取决于具体的工具的工作情况。
3.Kurt Dillard:遗憾的是“用核打击让站点进入轨道”是最有力的恢复方法。一旦黑客攻破了你的计算机,你永远不会确定你发现并清除了每个一被修改的地方。
如果你拥有最新的备份,按下列步骤执行:
1.把硬盘从被感染的计算机中拆下来安装到另一台干净的计算机中。
2.从干净的系统备
份数据。
3.删除受影响的计算机的操作系统,并且使用已知的良好的介质重新为受影响的计算机安装操作系统。
4.采取在预防措施阶段中介绍的步骤尽最大努力保证系统的安全。
5.把数据恢复到重建的计算机中。
6.使用最新的杀毒软件和反间谍软件全面扫描恢复的数据。
7.不要存储任何可执行文件。最佳方法是故意删除二进制、脚本、ActiveX控件等任何可执行文件。
Lawrence Abrams:从rootkit的影响中恢复过来是很棘手的。如果rootkit是通过普通的没有针对性的恶意软件安装的,清除这种侵犯你的计算机的恶意软件应该比恢复你的计算机还要困难。
另一方面,如果你对付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit,那么,那就是黑客故意把这些rootkit安装到目标计算机中的。记住这个问题,你绝对想不到这些rootkit在你的计算机中安装了什么或者修改了什么。黑客也许会通过注册表修改安全设置,用黑客版本的文件替换你系统中的重要文件,或者以其它方式控制受害者的计算机或者网络。在这种情况下,我总是建议备份数据和重新安装操作系统。在你把数据复制到新安装的计算机之前,扫描一下数据,检查是否被感染。
如果重新安装计算机不是一种选择,你可以使用rootkit检测程序查找属于rootkit的文件。这类工具软件包括Blacklight、RootkitRevealer和Flister等。由于这些文件在rootkit程序之外很可能看不到,你可以使用可启动的Linux发布版软件如KNOPPIX、启动盘或者通过一个网络共享(不建议这样做)清除那些文件。
最后,如果你有资源重新安装计算机,那可能是你最佳的选择。
Kevin Beaver:如果你没有检测到任何rootkit,但是,异常的行为继续出现,你的最佳和最安全的选择是重新格式化和重新安装系统。在进行这种操作之前,你要确保备份一切必要的文件。由于目前大多数恶意软件(特别是rootkit)不感染二进制或者文本文件,这样做是很安全的。恶意软件主要感染可执行文件和操作系统以及应用程序使用的支持库文件。如果你能够清洁系统(如果发现了rootkit就很难做到),你需要经常扫描系统并且监视其它的可疑行为。再说一次,一定要使用我在诊断阶段所提到的那些工具.
4.Kurt Dillard: 你可以采取很多应对措施。下面是最有效的五个措施:
1.避免使用具有管理员权限的账户登录。你可以使用Windows内置的工具RunAs或者MakeMeAdmin等工具软件做到这一点。
2.运行一个为你的整个网络设置的防火墙以及分配给每个端口的防火墙软件,如Windows防火墙(包括Windows XP SP2)。
3.保持你的Windows和其它软件都是用最新的补丁和服务包。如果你只有少量的系统,你可以使用“Automatic Updates”(自动更新)等工具。如果你有很多系统,你可以使用Windows服务器更新服务。
4.使用拥有最新签名库的流行的杀毒软件。要了解更多的杀毒软件厂商,请参阅微软杀毒合作伙伴网页。
5.使用最新的间谍软件保护工具,如微软的Windows反间谍软件。
要了解更多的有关减小受到这种恶意软件攻击的风险的想法,可以参考我最近发表的技术指南。
Lawrence Abrams:安全方面最重要的步骤是尽一切努力阻止用户使用管理员的权限登录网络。可以理解的是,使用当前的Windows结构,这不可能总做到。当恶意软件感染一台计算机的时候,这个恶意软件将以登录用户同样的安全级别运行。因此,如果用户具有管理员权限,这个恶意软件也将拥有管理员权限。这种权限就给予恶意软件全面访问你的计算机的权利。
使用阻止其它恶意软件的最佳做法同样可以防止rootkit(无论是有针对性的蠕虫携带的还是病毒式的蠕虫携带的)。
1.使用防火墙封锁经常被黑客攻破的Windows TCP端口,如20、21、23、80、135、139、443和445端口。通过从源头封锁这些端口,你首先会减少被黑客攻破的风险。最佳的做法的是封锁每一个端口,仅把一个端口映射到一台需要打开端口的机器上。最近的蠕虫利用的程序中的安全漏洞就是使用这些端口。如果一台计算机需要使用上述端口,防火墙应该确定哪一台计算机可以通过这个端口远程接入这台计算机,而不是把端口完全敞开。
2.而且,每一台计算机都应该一直拥有最新的安全更新,并且运行每一天都更新的杀毒软件。病毒软件的新的定义是经常发布的,拥有这些最新的定义是非常重要的。
3.除了杀毒软件之外,你至少还需要两种反间谍软件工具,如在计算机上安装Spybot-Search and Destroy、Webroot软件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具软件。使用最新的更新每天或者每个星期扫描一次能够自动发挥最新的病毒定义的优势。
4.最后一条,但是不是最不重要的一条。要教育用户采取良好的做法。用户应该知道不要点击互联网广告、陌生人从即时消息中发来的链接或者陌生人发来的电子邮件的附件。如果一个新的蠕虫开始传播,IT工作人员应该立即发出电子邮件通知所有的用户,解释这种附件、配置或者措词。
拥有可随时使用的防火墙、反恶意软件工具、最新的安全更新和为用户提供的良好的互联网指南,你应该能够避免受到这些类型的恶意软件的感染。
Kevin Beaver: 只要计算机是由人类操作的或者是连接到网络的,就没有办法绝对保证安全。然而,你可以安装反间谍软件、rootkit检测工具和监视异常情况的软件来保证系统的安全。最理想的是,如果你受到过一次攻击并且不想再次受到这种攻击,你最好安装上述的全部三类安全软件。此外,这句话也许是老生常谈,但是还是要强调一下。你要确保你严格执行所有的操作系统和应用程序都使用最新的安全补丁的规定。
