http://www.sina.com.cn
从1986年出现第一个感染PC的计算机病毒开始,到现在短短20年,已经经历了三个阶段。第一个阶段为DOS、Windows等传统病毒,此时编写病毒完全是基于对技术的探求,这一阶段的顶峰应该算是CIH病毒。第二个阶段为基于Internet的网络病毒,比如我们知道的红色代码、冲击波、震荡波等病毒皆是属于此阶段,这类病毒往往利用系统漏洞进行世界范围的大规模传播。目前计算机病毒已经发展到了第三阶段,我们所面临的不再是一个简简单单的病毒,而是包含了病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。
什么是网络威胁?
所谓“网络威胁”,不光是指“CIH”、“冲击波”等传统病毒,还包括特洛伊木马、后门程序、流氓软件(包括间谍软件、广告软件、浏览器劫持等)、网络钓鱼(网络诈骗)、垃圾邮件等等。它往往是集多种特征于一身的混合型威胁。
网络威胁的分类
根据不同的特征和危害,网络威胁可分为病毒、流氓软件、黑客攻击、网络钓鱼等。
一、病毒(Virus)
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。随着信息安全技术的不断发展,病毒的定义已经被扩大化。目前,病毒可以大致分为:引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等。
1、 引导区病毒(Boot Virus)
通过感染软盘的引导扇区和硬盘的引导扇区或者主引导记录进行传播的病毒。
2、 文件型病毒(File Virus)
指将自身代码插入到可执行文件内来进行传播并伺机进行破坏的病毒。
3、 宏病毒(Macro Virus)
使用宏语言编写,可以在一些数据处理系统中运行(主要是微软的办公软件系统,字处理、电子数据表和其他 Office 程序中),利用宏语言的功能将自己复制并且繁殖到其他数据文档里的程序。
4、 蠕虫病毒(Worm)
通过网络或者漏洞进行自主传播,向外发送带毒邮件或通过即时通讯工具( QQ 、 MSN等 )发送带毒文件,阻塞网络的病毒。
5、 特洛伊木马(Trojan)
通常假扮成有用的程序诱骗用户主动激活,或利用系统漏洞侵入用户电脑。木马进入用户电脑后隐藏在的系统目录下,然后修改注册表,完成黑客制定的操作。
6、 后门程序(Backdoor)
会通过网络或者系统漏洞进入用户的电脑并隐藏在的系统目录下,被开后门的计算机可以被黑客远程控制。黑客可以用大量被植入后门程序的计算机组成僵尸网络(Botnet)用以发动网络攻击等。
7、 恶意脚本(Harm Script)、恶意网页
使用脚本语言编写,嵌入在网页当中,调用系统程序、修改注册表对用户计算机进行破坏,或调用特殊指令下载并运行病毒、木马文件。
8、 恶意程序(Harm Program)
会对用户的计算机、文件进行破坏的程序,本身不会复制、传播。
9、 恶作剧程序(Joke)
不会对用户的计算机、文件造成破坏,但可能会给用户带来恐慌和不必要的麻烦。
10、键盘记录器(Key logger)
通过挂系统键盘钩子等方式记录键盘输入,从而窃取用户的帐号、密码等隐私信息。
11、黑客工具(Hack Tool)
一类工具软件,黑客或其他不怀好意的人可以使用它们进行网络攻击。
二、流氓软件(Rogue Software)
“流氓软件”是介于病毒和正规软件之间的软件,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。流氓软件包含:间谍软件、广告软件、浏览器劫持、行为记录软件、自动拨号程序等等。
1、间谍软件(Spyware)
是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
2、广告软件(Adware)
指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。
3、浏览器劫持(Brower Hijack)
是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
4、行为记录软件(Track Ware)
指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。
5、恶意共享软件(Malicious Shareware)
指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。
6、自动拨号程序(Dialer)
自动下载并安装到用户的计算机上,并隐藏在后台运行。它会自动拨打长途或收费电话,以赚取用户高额的电话费用。
三、远程攻击(Long-distance attacks)
远程攻击是指专门攻击除攻击者自己计算机以外的计算机(无论其是同一子网内或处于不同网段中)。远程攻击包括远程控制、拒绝服务式攻击等等。
四、网络钓鱼(Phishing)
网络钓鱼是指攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
五、垃圾邮件(Spam)
《中国互联网协会反垃圾邮件规范》定义垃圾邮件为:(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(二)收件人无法拒收的电子邮件;(三)隐藏发件人身份、地址、标题等信息的电子邮件;(四)含有虚假的信息源、发件人、路由等信息的电子邮件。垃圾邮件的主要来源包括邮件病毒产生的、商业性的恶性广告邮件。
如何防范网络威胁?
传统意义上单一功能的病毒已经不断发展为以经济利益为驱动的一个混合体。它是包含病毒、黑客攻击、间谍软件等多种危害于一身的网络威胁。因此,要解决网络威胁的问题就不能仅仅只依靠单一的一款产品。而是需要杀毒软件、个人防火墙、上网安全助手等多种防护手段互相联动、配合,从各个角度去进行全面立体防范。
清剿弹出广告 就这么几招
经常上网的用户,一定都曾遭受过弹出广告的骚扰。在浏览某些网站的时侯,经常会弹出许多广告窗口,有的时侯弹出的窗口能让计算机死掉。更有甚者,只要一连接网络,不管用户有没有打开网页,都会不停的弹出广告窗口,让人厌烦。严重干扰了用户正常使用电脑工作和娱乐。
清剿广告软件,说起来容易,真正做起来就需要一些技巧了。针对不同的原因,应对的方法也不同。
情景一:浏览网页的时侯弹出广告
当我们登陆到新浪、搜狐、网易的首页时,通常会弹出一个很大的“背投广告”窗口。这个广告窗口就是由这个网站本身弹出的。此类网站弹出广告是一种比较常见的弹出广告方式,通常采用Java脚本的方式实现。
应对方法:
对付网站的弹出广告有两种方法可供选择:
方法一,使用Windows XP + SP2
在安装了SP2补丁的WindowsXP系统上,IE浏览器会自动被安装一个“弹出窗口阻止程序”。当用户浏览带有弹出窗口的网站时,这个程序会自动进行拦截并提示用户。
此种方法的优点是操作简单,缺点是只有WindowsXP+SP2以上的系统才具有此功能,并且不能屏蔽浮动广告、Flash广告等其他形式的广告。
方法二,安装上网助手类软件
目前,有许多上网助手软件都可以很好地屏蔽网站广告。这里我推荐使用卡卡上网安全助手,它是由国内著名信息安全公司瑞星开发的。完全从安全角度设计,针对流氓软件问题开发,没有花哨的功能,但比较实用。
安装卡卡上网安全助手比较简单,直接登陆到http://tool.ikaka.com,点击页面上的“我要下载”按钮,下载安装即可。
卡卡上网安全助手默认开启广告拦截功能,并且会在IE的右下角显示已经拦截的广告个数。点击卡卡上网安全助手的“广告拦截”按钮,可以对广告过滤进行设置。
卡卡助手的广告过滤功能比较强大,支持弹出窗口、Flash、浮动广告、插件下载以及信使服务等多种广告的拦截,并且支持用户自定义拦截名单,防止误拦。
情景二:上网时自动弹出有广告内容的对话框
当我们上网时,经常会遇到机器莫名弹出有广告内容的消息框,如下图所示。
这种广告被称作信使广告。它是使用Windows自身提供的系统功能“信使服务”进行消息群发的一种广告形式.
应对方法:禁用“信使服务”
点击“开始”菜单,选择“运行”,输入“services.msc”,点击确定,将会弹出“服务”设置窗口。
在右面的窗口中找到“Messenger”一项,双击打开。查看服务状态,如果是“已启动”,则点击下面的“停止”按钮,将服务关闭,然后在“启动类型”中选择“已禁用”。这样,以后就不会再收到通过信使服务发来的消息了。
但是,在一些企业网络中,网管员往往会需要这个功能发送公司通知等消息,我们可以通过同样的方法将这个服务重新开启,并设置为自动启动.
此外,上文提到的卡卡上网安全助手也可以拦截信使服务广告,只需点击“广告拦截”按钮,在下拉菜单中选中“拦截信使服务”一项就可以了。
情景三:右下角自动弹出广告窗口
只要一连接网络,屏幕的右下角(有些是左下角)就会自动升起广告窗口。通常,弹出的广告和你浏览的网站内容有关。这是“流氓软件”在作祟,一些企业雇佣流氓软件公司,强制在用户的计算机上安装广告软件,进行廉价的广告投放。
应对方法:
目前会自动弹出广告窗口的“流氓软件”很多,比较“著名”的有很棒公司的“Rich Media”、千橡公司的“DMCast桌面传媒”以及中搜在线的“网络猪”等。这些软件通常通过共享软件捆绑安装,强制入住到用户的计算机当中。如果不是对电脑很熟悉的用户很难发现并卸载他们。
一、 RichMedia
RichMedia安装后用户无法在开始菜单中看到它。每次启动计算机时,该程序都会自动在后台运行,用户无法打开或者关闭这个程序。RichMedia会监视用户正在浏览的网页,并且弹出与用户浏览网页内容相关的广告。
这个“流氓软件”提供了卸载程序。可以打开“控制面板”里的“添加/删除程序”,找到“Rich Media”一项,点击“更改/删除”按钮将其卸载掉。
二、 DMCast桌面传媒
DMCast和RichMedia的性质差不多,也会在后台运行,自动弹出广告窗口。直接在“添加/删除程序”中找到“DMCast桌面传媒”一项将其卸载掉。有些共享软件捆绑它的时侯,安装完在“添加/删除程序”中找不到它的卸载。我们需要手工进入到“C:Program FilesDesktop MediaCast”目录,运行“Uninstall.exe”进行卸载。
三、 网络猪
网络猪安装后也会自动弹出广告,与其他两个“流氓软件”不同。“网络猪”还提供了用户需要的有用的功能。如果用户不想弹出广告,则需要将网络猪整个卸载掉。
大多数情况下,弹出广告都和“流氓软件”有关。许多“流氓软件”在安装后都不提供卸载功能。这时,我们可以试试瑞星的卡卡上网安全助手.
点击“卡卡助手”上的“系统修复”按钮,在弹出的界面上点击“疑难杂症”。在“疑难杂症”的选项对话框中,有一项“屏幕右下角自动升起小广告”。将这项选中,并点击“清理”。
当然,要想从根本上解决弹出广告的“流氓软件”问题,仅从技术手段上还是不够的,需要社会及有关部门的共同努力.
如何保护你的隐私安全?
从今年1月到
面对今天的网络安全问题,我们应该采用什么样的技术、安全策略来保护自己的帐号安全呢?要回答这个问题,我们首先要了解黑客、病毒编写者们是如何盗取用户的帐号和隐私信息的.
我们在以前的专栏中曾经从应用手段上介绍过黑客是如何盗取你的密码,今天我们要从技术上更深一步的探讨这个问题。
根据我们对今年截获的盗号木马、间谍软件进行分析后发现,它们经常采用的盗号手段主要有以下三种:
1. 发送消息法
主要利用给目标进程发送一个GET_TEXT消息,获取目标进程输入控件中的用户输入。
示意图如下:
采用这种技术编写的木马目前并不是很多,它们主要针对安全性不强,没有进行消息来源验证的程序进行攻击。
2. 全局键盘钩子法
通过编程方式在操作系统中安装全局的键盘钩子,相当于一个键盘记录器,用户所有的键盘敲击动作都会被记录。
示意图如下:
目前绝大多数的盗号木马、间谍软件等都是通过此种手段对用户的帐号、密码进行盗取的。
3. 内存搜索法
恶意程序将一部份代码或者DLL注入到目标进程中,用于搜索目标进程内存空间中存储的用户名和密码。
示意图如下:
采用此种技术编写的盗号木马我们也截获了不少,大多是针对网络游戏帐号以及网络银行帐号的盗取。
我们可以看出尽管木马、间谍软件千差万别,但最终都是采用这三种手段进行隐私信息的盗取。因此针对此种情况我们开发了一种进程保护的技术,将其命名为“木马墙”并在瑞星的个人防火墙2006版中加以应用。“木马墙”技术基于行为拦截,不管木马是已知还是未知都可以进行阻断。
下面,我们就以QQ2005和招商银行网上银行专业版为例介绍一下如何使用瑞星“木马墙”技术保护帐号安全。
1、 QQ2005
打开瑞星个人防火墙2006版,点击上面的标签页,切换到“游戏保护”界面。点击“添加游戏”按钮。在弹出的窗口中点击“浏览”按钮,选择QQ2005的快捷方式,在“游戏名称”中输入“QQ”,游戏版本中输入“2005”。
点击“确定”,然后启动QQ。右下角会提示防火墙已切换到“游戏保护”模式。
退出QQ后,右下角弹出提示有程序要访问QQ的进程,点击“详细信息”。在弹出的窗口中会有“C:WindowsExplorer.exe”(这是系统的Shell进程)一项,将其选中并点击“确定”。或在“游戏保护”界面中点击“信任模块”按钮,点击“添加模块”,选择“C:WindowsExplorer.exe”并确定即可。
2、 招商银行网上银行专业版
保护招商银行网上银行专业版和保护QQ2005的操作基本一样,不过需要一点小技巧。和上面的操作一样,将“个人银行专业版”添加到瑞星个人防火墙2006版的“游戏保护”列表中。
启动“个人银行专业版”,这时我们会发现开启了瑞星个人防火墙的保护功能后,无法在登陆界面输入密码。这是因为,瑞星的“木马墙”拦截了个人银行专业版用户输入密码信息的控件。
在“个人银行专业版”的登陆界面上点击“系统检测”,这时瑞星个人防火墙提示进入游戏保护模式。然后退出“个人银行”,防火墙提示有程序要访问“个人银行专业版”的进程。点击“详细信息”,会看到“C:WINDOWSsystem32CMPB40.ocx”一项。这就是“个人银行”用于输入密码的控件,将其选中并确定,下次启动招商银行的网上银行就可以正常登陆了。
小结:
虽然“木马墙”技术被应用在“游戏保护”功能当中,但其可以保护的程序不仅仅限于网络游戏,它同样可以对网上银行、即时通讯工具等的帐号、密码进行保护。通过上面的操作,我们可以看到使用瑞星“木马墙”保护帐号、密码是非常方便的。用户可以自己添加需要保护的程序到“游戏保护”当中。
同时,瑞星个人防火墙2006版还可以自动识别“魔兽世界”、“天堂Ⅱ”、“传奇”、“大话西游II”、“剑侠情缘网络版II”等几十种网络游戏而无需用户手工添加。
巧用“家长保护”防范恶意网站
细心的用户一定发现了,瑞星个人防火墙升级到18.09版以后,会多出一个叫做“rfwproxy.exe”的进程。不少人对它提出了疑问,到底它是做什么用的?它是瑞星个人防火墙2006版中的新版“家长保护”程序,支持用户自定义黑白名单并自定义端口.
打开瑞星个人防火墙2006版(18.09或更高版本),选择“设置”-〉“详细设置”,可以看到“网站访问规则一项”。
我们在这个界面勾选“启用家长保护”后,这个功能就开始生效。瑞星个人防火墙2006的家长保护功能通过底层驱动实现,对于各种浏览器(如IE、Firefox、Opera等),甚至是应用程序内置的浏览器窗口都同样使用。
当用户访问带有病毒、木马、不良内容或在黑名单中的网站时,用户的浏览器将会提示“瑞星个人防火墙禁止了对当前网站的访问。您访问的网站可能存在高风险或已被设置为禁止访问。
瑞星个人防火墙2006版的“家长保护”程序内置了一些不良网站列表,同时也允许用户手工添加黑名单来阻止对这些恶意网站的访问。点击详细设置对话框左边树中的“黑名单”,在右边的区域将会显示“URL黑名单列表”。点击“增加规则”,输入需要进行屏蔽的网站地址,比如我们这里输入“www.18hi.com”,点击确定。
当使用浏览器输入“www.18hi.com”时,用户将不会登陆到实际的恶意网站上,而是会看到瑞星个人防火墙2006生成的一个页面。
用户也可以用相同的方法设置“白名单”来对一些具有风险的网站进行访问。
根据不同的需求,瑞星个人防火墙2006的“家长保护”功能还可以指定需要监控的端口。点击“详细设置”窗口左边的“网站访问规则”,然后点击窗口右边的“监控用户指定的端口”。在下面的文本框中输入需要监控的端口号,并用英文半角的“,”隔开,如“80,8080,
瑞星个人防火墙2006的“家长保护”功能是从18.09版本新增强的一个功能,也是瑞星增值服务的一个体现。瑞星杀毒软件2006、瑞星个人防火墙2006以及卡卡上网安全助手都会在未来不断增强,并增加一些实用的新功能,以更好的保护用户的信息安全。
使用杀毒软件的十大误区
几乎每个用电脑的人都遇到过计算机病毒,也使用过杀毒软件。但是,对于病毒和杀毒软件的认识许多人还存在误区。杀毒软件不是万能的,但也绝不是废物。撰写此文的目的就是让更多的人能够对杀毒软件有正确的认识,更合理地使用杀毒软件。
误区一:好的杀毒软件可以查杀所有的病毒
许多人认为杀毒软件可以查杀所有的已知和未知病毒,这是不正确的。对于一个病毒,杀毒软件厂商首先要先将其截获,然后进行分析,提取病毒特征,测试,然后升级给用户使用。
虽然,目前许多杀毒软件厂商都在不断努力查杀未知病毒,有些厂商甚至宣称可以100%查杀未知病毒。不幸的是,这是经过专家论证不可能的。杀毒软件厂商只能尽可能的去发现更多的未知病毒,但还远远达不到100%的标准。
甚至,对于一些已知病毒,比如覆盖型病毒。由于病毒本身就将原有的系统文件覆盖了。因此,即使杀毒软件将病毒杀死也不能恢复操作系统的正常运行。
误区二:杀毒软件是专门查杀病毒的,木马专杀才是专门杀木马的
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。随着信息安全技术的不断发展,病毒的定义已经被扩大化。
随着技术的不断发展,计算机病毒的定义已经被广义化,它大致包含:引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本、恶意程序、键盘记录器、黑客工具等等。
可以看出木马是病毒的一个子集,杀毒软件完全可以将其查杀。从杀毒软件角度讲,清除木马和清除蠕虫没有本质的区别 ,甚至查杀木马比清除文件型病毒更简单。因此,没有必要单独安装木马查杀软件。
误区三:我机器没重要数据,有病毒重装系统,不用杀毒软件
许多电脑用户,特别是一些网络游戏玩家,认为自己的计算机上没有重要的文件。计算机感染病毒,直接格式化重新安装操作系统就万事大吉,不用安装杀毒软件。这种观点是不正确的。
几年前,病毒编写者撰写病毒主要是为了寻找乐趣或是证明自己。这些病毒往往采用高超的编写技术,有着明显的发作特征(比如某月某日发作,删除所有文件等)。
但是,近几年的病毒已经发生了巨大的变化,病毒编写者以获取经济利益为目的。病毒没有明显的特征,不会删除用户计算机上的数据。但是,它们会在后台悄悄地运行,盗取游戏玩家的账号信息、QQ密码甚至是银行卡的账号。由于这些病毒可以直接给用户带来经济损失。对于个人用户来说,它的危害性比传统的病毒更大。
对于此种病毒,往往发现感染病毒时,用户的账号信息就已经被盗用。即使格式化计算机重新安装系统,被盗的账号也找不回来了。
误区四:查毒速度快的杀毒软件才好
不少人都认为,查毒速度快的杀毒软件才是好的。甚至不少媒体进行杀毒软件评测时都将查杀速度作为重要指标之一。不可否认,目前各个杀毒软件厂商都在不断努力改进杀毒软件引擎,以达到更高的查杀速度。但仅仅以查毒速度快慢来评价杀毒软件的好坏是片面的。
杀毒软件查毒速度的快慢主要与引擎和病毒特征库有关。举个例子,一款杀毒软件可以查杀10万个病毒,另一款杀毒软件只能查杀100个病毒。杀毒软件查毒时需要对每一条记录进行匹配,因此查杀100个病毒的杀毒软件查毒速度肯定会更快些。
一个好的杀毒软件引擎需要对文件进行分析、脱壳甚至虚拟执行,这些操作都需要耗费一定的时间。而有些杀毒软件的引擎比较简单,对文件不做过多的分析,只进行特征匹配。这种杀毒软件的查毒速度也很快,但它却有可能会漏查比较多的病毒。
由此可见,虽然提高杀毒速度是各个厂商不断努力奋斗的目标,但仅从查毒速度快慢来衡量杀毒软件好坏是不科学的。
误区五:杀毒软件不管正版盗版,随便装一个能用的就行
目前,有很多人机器上安装着盗版的杀毒软件,他们认为只要装上杀毒软件就万无一失了,这种观点是不正确的。杀毒软件与其它软件不太一样,杀毒软件需要经常不断升级才能够查杀最新最流行的病毒。
此外,大多数盗版杀毒软件都在破解过程中或多或少地损坏了一些数据,造成某些关键功能无法使用,系统不稳定或杀毒软件对某些病毒漏查漏杀等等。更有一些居心不良的破解者,直接在破解的杀毒软件中捆绑了病毒、木马或者后门程序等,给用户带来不必要的麻烦。
杀毒软件买的是服务,只有正版的杀毒软件,才能得到持续不断的升级和售后服务。同时,如果盗版软件用户真的遇到无法解决的问题也不能享受和正版软件用户一样的售后服务,使用盗版软件看似占了便宜,实际得不偿失。
误区六:根据任务管理器中的内存占用判断杀毒软件的资源占用
很多人,包括一些媒体进行杀毒软件评测,都用Windows自带的任务管理器来查看杀毒软件的内存占用,进而判断一款杀毒软件的资源占用情况,这是值得商榷的。
不同杀毒软件的功能不尽相同,比如瑞星杀毒软件2006版有文件、注册表、漏洞攻击、邮件发送、接收、网页、引导区、内存八大监控系统。比起只有文件监控的杀毒软件,内存占用肯定会更多,但却提供了更全面的安全防护。
同时,也有一小部分杀毒软件厂商为了对付评测,故意在程序中限定杀毒软件可占用内存数的大小,使这些数值看上去很小,一般在100KB甚至几十KB左右。实际上,内存占用虽然小了,但杀毒软件却要频繁地进行硬盘读写,反倒降低了软件的运行效率。
误区七:只要不用软盘,不乱下东西就不会中毒
目前,计算机病毒的传播有很多途径。它们可以通过软盘、优盘、移动硬盘、局域网、文件甚至是系统漏洞等进行传播。一台存在漏洞的计算机,只要连入互联网,即使不做任何操作,都会被病毒感染。
因此,仅仅从使用计算机的习惯上来防范计算机病毒难度很大,一定要配合杀毒软件进行整体防护。
误区八:杀毒软件应该至少装三个 才能保障系统安全
存在这种观念的用户不在少数,很多用户的计算机上都安装了不止一种的杀毒软件。但是,他们的计算机却常常出现死机、蓝屏等莫名其妙的问题。这其实是杀毒软件造成的冲突所致。
尽管杀毒软件的开发厂商不同,宣称使用的技术不同,但他们的实现原理却可能是相似或相同的。同时开启多个杀毒软件的实时监控程序很可能会产生冲突,比如多个病毒防火墙同时争抢一个文件进行扫描。安装有多种杀毒软件的计算机往往运行速度缓慢并且很不稳定,因此,我们并不推荐一般用户安装多个杀毒软件,即使真的要同时安装,也不要同时开启它们的实时监控程序(病毒防火墙)。
误区九:杀毒软件和个人防火墙装一个就行了 都装上浪费资源
许多人把杀毒软件的实时监控程序认为是防火墙,确实有一些杀毒软件将实时监控称为“病毒防火墙”。实际上,杀毒软件的实时监控程序和个人防火墙完全是两个不同的产品。
杀毒软件的实时监控的作用是动态监视计算机读写文件的操作,防止病毒的侵入。个人防火墙是过滤网络数据的软件,它的作用是监视网络数据流,防止黑客对用户计算机进行攻击,同时阻止一些未知程序向外发送含有隐私信息的数据。
通俗的说,杀毒软件是防病毒的软件,而个人防火墙是防黑客的软件,二者功能不同,缺一不可。建议用户同时安装这两种软件,对计算机进行整体防御。
误区十:专杀工具比杀毒软件好 有病毒先找专杀
不少人都认为杀毒软件厂商推出专杀工具是因为杀毒软件存在问题,杀不干净此类病毒,事实上并非如此。针对一些具有严重破坏能力的病毒,以及传播较为迅速的病毒,杀毒软件厂商会义务地推出针对该病毒的免费专杀工具,但这并不意味杀毒软件本身无法查杀此类病毒。如果你的机器安装有杀毒软件,完全没有必要再去使用专杀工具。同时,不是每种病毒都有专杀工具,因此建议用户还是使用杀毒软件进行病毒防范。
专杀工具只是在用户的计算机上已经感染了病毒后进行清除的一个小工具。与完整的杀毒软件相比,它不具备实时监控功能,同时专杀工具的引擎一般都比较简单,不会查杀压缩文件、邮件中的病毒,同时一般也不会对文件进行脱壳检查。
瑞星帮你杀“鸽子”
“灰鸽子”是目前国内最流行的木马病毒之一。由于其使用简单,不需要特别的计算机专业知识的人就可以利用这个木马盗取其他人的帐号、密码等隐私信息,甚至还可以不经过别人的许可,完全控制受害者的计算机。因此,“灰鸽子”深受初级“黑客”们的亲睐。
由于灰鸽子生成的文件名称不固定,并且采用了一些特殊的技术手段,隐藏自身的文件、服务、进程以及注册表信息等,给手工清除该病毒带来很大难度。并且,不少黑客网站,甚至一些杂志都在讨论、教授一些如何给“灰鸽子”加壳、加密修改以躲避杀毒软件查杀的方法。致使该木马病毒的变种大量出现,用户即时安装了最新的杀毒软件也难以完全保证不被“灰鸽子”木马侵袭。
近日,瑞星公司针对此种情况推出了新版的“灰鸽子木马专用诊断清除工具”。该工具采用“变种共性特征比对”技术,可对“活体”(运行中)的“灰鸽子”进行检测和清除。反病毒工程师通过对大量的“灰鸽子”进行分析,对其病毒检测率可以达到近100%。
“灰鸽子木马专用诊断清除工具”使用比较简单,只需要点击界面上“扫描”按钮,就会自动对计算机的内存进行扫描,检测用户计算机是否感染有灰鸽子病毒。如果发现有“灰鸽子”存在,会提示用户病毒名及文件所在的路径,并提示“怀疑是灰鸽子病毒,是否提取样本上报瑞星?”。点击“是”后会提示用户是否清除。
检测到的“灰鸽子木马”样本会自动保存在工具所在目录下的VirusUp目录中。杀毒后建议用户将该目录打包,并通过http://csc.rising.com.cn上报给瑞星进行处理。同时,为了保证完全清除该病毒,最好在杀毒后重新启动计算机再查一次。
对于一些“模块覆盖型”的灰鸽子木马病毒,目前版本的诊断工具还不能完全将它们清除干净。此类灰鸽子会注入到IE浏览器的进程当中,因此该工具会报IE为病毒文件,这属于正常现象。遇到此类病毒时,可以联系瑞星公司的客户服务中心解决。瑞星将在今后对“灰鸽子木马专用诊断清除工具”进行升级,查杀此类病毒。
“灰鸽子木马专用诊断清除工具”是免费的,用户可以登录http://it.rising.com.cn/service/technology/Ravgpk_Download1.htm下载使用。通过该工具与瑞星杀毒软件2006版的配合使用,可以检测出几乎全部的灰鸽子病毒,并对它们进行清除。建议用户定期或发现计算机异常时,使用该工具对进行扫描,以免受“灰鸽子”的侵袭。
免费请个专家给你修电脑
可能很多人跟我一样,是菜鸟级别。当遇到电脑故障、病毒问题,经常去请教周围熟悉电脑的朋友帮忙。甚至有时候,我们会求助一些所谓的“电脑医院”,他们的维修费通常不便宜。明知道可能被JS下刀子也没办法,谁让自己不懂呢。
瑞星今年新推出了另一项名为“在线专家门诊”的服务,就是针对这个问题的。它是瑞星独家提出的一种服务,可以通过客户端与工程师进行实时的在线交流(类似我们使用QQ、MSN等工具进行聊天)。同时还可以在用户允许的情况下让瑞星工程师直接远程操作电脑来解决问题。
目前这个服务已经向全社会免费开放了,任何人只要能连接互联网,不管使用的是何种杀毒软件都可以享受这个服务。
要使用瑞星专家门诊,首先需要注册。需要作下面简单的几步操作:
一、注册用户
1、 在浏览器地址栏中输入http://help.rising.com.cn,进入“瑞星远程救助中心”网页。
2、 在页面左上方的“网站登录”处,点击“用户注册”。
3、 在“网站用户注册”页面中,输入用户名、密码等信息后,点击注册。
4、 注册后网站提示“注册成功”。
二、订购服务
1、 在“瑞星远程救助中心”http://help.rising.com.cn中输入用户名和密码,点击“登录”。
2、 点击“在线门诊”后的“订购”按钮。
3、 在“订购产品确认页面”中检查订购的服务项目和次数,确认无误后点击“订购”按钮。
4、 页面提示“订购成功”,请记录下产品编号、登录用户名、密码。注意:专家门诊是免费的,收费金额应为0元。
三、登陆客户端,享受免费服务
1、 点击“瑞星远程救助中心”http://help.rising.com.cn网页左上角的“点击下载”按钮,下载并安装“通用客户端”程序。
点击桌面上的“瑞星专家服务系统-标准版”图标,启动客户端程序。在登录界面输入订购服务的登录用户名和密码,钩选“我已阅读,并接受《软件使用授权协议》”,点击“确定”。(注意:订购的服务会在15分钟后生效。
下面就可以开始享受VIP级的服务了。在“在线专家门诊”的软件中输入正确的通行证名称和密码后会弹出一个等待对列的对话框,用户会被告知所排队的位置和所需等待时间。
随后会提示由哪位工程师为您服务,并弹出交流的对话框,它和一般的即时通讯软件操作相似,一般用户很容易进行操作。
如果用户遇到无法自行解决的问题,还可以要求工程师进行远程协助救治。操作前需要用户进行确认,充分地保护了用户的隐私权。
在线专家门诊是瑞星杀毒软件2006版区别于其他杀毒软件服务的最大区别。它与瑞星杀毒软件2006的关系就像是医生与药物。对于一般的病,吃一些药物就能够治好,但是对于一些特殊的病症,如果药物不能解决就需要去找医生进行专门的诊断了。
有了瑞星在线专家门诊,电脑出问题再也不用找JS了,直接找专家就全搞定了,而且还是免费的。怎么样?您也来体验一把吧!
《中国大陆地区2005年电脑病毒疫情和安全趋势报告》
(节选)
报告节选一:病毒以经济利益为目的 灰鸽子、盗号木马等数量剧增瑞星全球反病毒监测网的统计数据(中国大陆部分)显示,2005年被截获的新病毒数量达到了72836个,比2004年增长了一倍还多。
2005年截获的新病毒中,很多属于同一病毒种族的不同变种:其中新增波特类(Bot)病毒变种数为23844个,瑞波变种12389个、波特间谍变种4920个、高波变种2352个、IRC波特变种850个。
2005年新病毒中“盗号木马”的数量为5484个,由国内作者编写的“灰鸽子”木马成为本年度头号病毒,它危害极大,变种极多(共有4257个变种),是国内近年来非常罕见的恶性木马病毒。
2005年病毒的发展呈现四大趋势:
1.可以获取经济利益的“商业病毒”泛滥
病毒编写者不再单纯炫耀技术,而更多以经济利益为目的。跟过去那种恶性病毒突然爆发相比,目前这种“悄悄潜入”的“商业病毒”给全社会造成了更大的实际损失。
盗号木马是“商业性病毒”的典型代表,它们在后台运行,没有任何提示信息,一般用户根本察觉不到机器已经中毒。这些木马偷偷记录用户的输入信息,比如QQ密码、网络游戏账号、网上银行卡账号等,并将这些信息直接发送到黑客手中,给用户带来直接经济损失。
2005年大量出现的“波特(bot)”类病毒则是“商业性病毒”的另一种体现。波特类病毒感染计算机之后会在这些机器上开置后门,接受黑客的远程控制。被安装了后门的计算机被称为“肉鸡”,由许多“肉鸡”组成的计算机网络被称为“僵尸网络(Botnet)”。
黑客往往不直接控制僵尸网络,而是将僵尸网络租用给需要的其它组织或个人。这些人可以用僵尸网络收集用户信息、对竞争对手网站进行攻击等等。曾有多家国外媒体报道,意大利和俄罗斯的黑手党利用僵尸网络攻击网站,然后对其进行敲诈勒索。
2.病毒传播范围更小,目的性和针对性更强
现阶段的病毒不同以往,它们不会毫无目的的爆发,相反只影响很小的一部分区域。对于黑客来讲控制小范围的计算机所带来的利益已经足够,并且风险要小得多。例如:2005年5月,瑞星截获了一个专门针对安徽电话卡用户开发的木马程序,它会弹出虚假提示框,骗取用户的200、201电话卡账号和密码。
同时,以前那种全能型的病毒在2005年很少出现,取而代之的是功能单一但是高效的病毒、木马。比如:“传奇木马”只针对网络游戏《传奇》开发,盗取其玩家的游戏账号,获取虚拟财产。
3.传播方式更加先进,利用社会工程学原理等新手法传播
病毒的传播方式比2004年更为先进,通过软盘、光盘等传统渠道传播的病毒数量减少,通过QQ、MSN、电子邮件以及病毒下载器等网络方式进行传播的病毒成为主流。
2005年曾出现了多起网站被黑事件,黑客在这些网站上放置病毒、木马,其他用户只要访问这些网站就有可能被感染。
即时通讯工具成为了病毒新的传播途径,利用MSN传播的蠕虫病毒初现端倪。2005年十大病毒中有三个就是跟即时通讯软件QQ相关的,它们主要通过QQ进行传播。而2005年2月的“性感烤鸡”爆发,是第一次有蠕虫类病毒通过MSN传播,并且给国内用户造成了比较大的影响。
去年,黑客们也开始利用社会工程学来促进病毒的传播,他们采用社会热点话题伪装病毒邮件和恶意网站,“芙蓉姐姐”、“超级女声”、“禽流感”等社会热点事件都成为病毒编写者吸引用户上当、主动运行病毒的诱饵。
4.与反病毒软件的对抗性进一步加强
从2005年上半年开始,Rootkits技术被病毒编写者所广泛应用。它们通过修改系统内核或取得系统最高权限,从而将自身、内存数据和注册表信息隐藏起来,躲避杀毒软件对其进行检测。
除了Rootkits隐藏自身外,病毒和木马对抗反病毒软件又增加了其它的手段。
其一是Downloader(下载器)被大量的应用。它们在后台运行,自动下载病毒、木马、恶意程序或者其他的下载器。对于一个企业网络,如果任何一台计算机存在有未被清除的下载器程序,则一旦这台机器连接互联网,它会自动从黑客指定的网站去下载最新的病毒程序,重新感染整个企业网络。由于Downloader的广泛应用使病毒的变种大量出现,这也给反病毒厂商收集病毒样本带来了一定的难度。
其二,超级病毒自动生成新病毒,躲避杀毒软件追杀。05年3月,瑞星截获了一个名为“琼斯(I-Worm.Jeans.a)”的概念型病毒,它内置了病毒源代码和编译器,每次随机对源代码进行自动改写,并利用内置的编译器重新编译出新的病毒程序。对于杀毒软件来说,每次生成的病毒程序特征都不同,都可以视为是一种新病毒。
今年大量出现的一个通过QQ进行传播的蠕虫病毒也是如此,它自动向QQ在线好友发送含有病毒的网站地址,其他用户登陆该网站就可能被病毒感染。该网站上的病毒样本每几个小时就会发生一次变化,这些变化是由程序自动完成,目的就是为了躲避杀毒软件的查杀。
因此针对这些情况,杀毒软件也需要在技术上作一些改进,比如瑞星2005版曾经采用Gen技术有效阻止了一些QQ尾巴病毒的传播。
报告节选二:流氓软件趋于商业化、集团化 产业链条已经形成
2005年,“流氓软件”在电脑用户中激起公愤。此类软件会修改用户的浏览器、频繁弹出广告等,并且很难卸载,极大地干扰了用户正常使用计算机。根据瑞星客户服务中心、全国反病毒服务网(国内部分)、瑞星病毒疫情监测网的统计,“流氓软件”已经成为危害广大用户信息安全的又一新兴威胁。
6月底,经过国家主管部门和瑞星等厂商联手打击,特别是“卡卡上网安全助手”公测以来,“流氓软件”泛滥的势头得到了有效控制。“卡卡助手”具有完备的反广告、反流氓软件功能,可以屏蔽绝大多数的流氓软件,在“卡卡助手”发布后的7、8、9三个月内,流氓软件的投诉量有所下降。
但是在利益驱使下,部分不良企业开始采用新的手段传播流氓软件,他们在上千种免费软件、共享软件、汉化软件里强制捆绑插件,用户安装这些软件后就会中招。
由于流氓软件越来越趋于商业化、集团化,并且已经形成了一套完整的产业链条。很多正规的软件公司和共享软件作者加入到流氓软件的黑色利益链条中来,这大大加强了流氓软件的传播能力。
例如,某反病毒软件厂商一边举着打击流氓软件的幌子,一边通过流氓软件、流氓网站推广自己的杀毒软件产品。当用户上网时,就会频繁收到弹出式广告:“你的计算机可能已经中毒,请立即下载XXXX进行杀毒”。同时,当用户电脑上没装杀毒软件时,该厂商会强行为用户安装杀毒软件。
可以说,流氓软件厂商与正规公司的合谋,加大了主管部门、行业厂商打击流氓软件的难度。在流氓软件的制作和传播过程中,广告主(投放广告的企业)、广告代理商、共享软件作者、个人网站站长都可以从中获利,而这是以严重侵犯用户利益为代价的。
在对“流氓软件”产业链的分析中,我们也发现了它的新发展趋势:
1.在达到了一定的推广效果之后,有些厂商会停止他们的流氓推广
比如:某网站采用流氓软件推广一段时间后,现在已经发布了卸载自身的软件工具。这种情况多出现在网站的推广中,达到了预期的流量后可能会暂停这种流氓推广方式。
2.在群众的声讨声中停止流氓推广,但大多数“从良”的厂商都是已达到自己的推广效果或者出于对自身名誉的重视。
比如:被网络行业协会列为流氓软件的某软件,现在已经在安装时提示用户相关信息。
但这些新的趋势并不意味着“流氓软件”产业链发生了根本性改变,目前的法律还没有对流氓软件做出明确规定,杀毒软件厂商只能在技术上提供清除措施,这是治标不治本的办法。只有在未来法律做出明确规定,人民群众的安全意识也得到提高之后,流氓软件的泛滥才能得到根本遏制。
报告节选三:手机病毒数量增多 短时间内不会大规模爆发
截止05年12月中旬,瑞星已截获“手机病毒”100余个。尽管2005年截获的“手机病毒”数量比04年有所上升,但瑞星专家认为,手机病毒不会在短时间内大规模爆发。
瑞星反病毒专家说,手机病毒传播需要有三个最基本的要素,即“传染源”、“传染途径(介质)”、“传染目标”。现阶段,手机操作系统主要是基于Symbian和微软的WinCE两大操作系统(Smartphone、PocketPC)。
从我们截获的手机病毒分析,97%以上都是基于这两个系统的,剩下的部分是基于Palm OS以及针对某一型号手机的恶意攻击代码。其中Symbain类的手机病毒需要在Symbian 60以上版本的操作系统上才能够运行。这就意味着只有价格比较高昂的“智能手机”才有可能成为手机病毒的“传染源”和“传染目标”。
从对这百余种手机病毒进行分析得出,其中大部分是通过蓝牙方式传播,也有少数通过诱骗用户下载、与计算机上安装的管理程序同步或通过MMS传播。现阶段,手机配备的蓝牙适配器主要基于V1.1标准,有效传输范围为
目前,手机病毒还没有非常适合的“传染源”、“传染途径”和“传播目标”,所以短时间内并不会大规模的爆发。但是,随着智能手机的普及,以及其他传播方式的出现,手机病毒所带来的问题不容忽视。
从2001年开始,瑞星公司对手机及其它移动设备的信息安全进行了研究,并密切关注其最新动向。瑞星已经针对各个操作系统开发了相应的手机版安全防护软件,并在适当的时候予以发布。
报告节选四:2005年十大病毒排行(中国大陆地区)
2005年对用户造成破坏最大的十大病毒排行如下:
1、 灰鸽子(Backdoor.Gpigeon)
2、 传奇木马(Trojan.PSW.LMir)
3、 袋子木马释放器(TrojanDroper.Worm.Bagz)
4、 瑞波(Backdoor.Rbot)
5、 QQ盗贼(Trojan.PSW.QQRobber)
6、 QQ通行证(Trojan.PSW.QQPass)
7、 波特后门(Backdoor.Sdbot)
8、 PC客户端后门(Backdoor.PcClient)
9、 高波(Backdoor.Agobot)
10、 狐狸王(Worm.QQ.TopFox)
