Web内容安全过滤设备应注重多层次管理功能

来源:赛迪网  作者:子鉃
摘要:【赛迪网-IT技术报道】国庆长假日益临近,按照以往的经验,国庆长假期间,电脑病毒将更加活跃。但电脑病毒其实也并没有那么可怕,只要用户安装了正版杀毒软件,并养成良好的上网习惯,就将远离病毒的烦恼。为了让广大用户能够安心的度过一个长假,金山毒霸反病毒专家李铁军特别…

【赛迪网-IT技术报道】国庆长假日益临近,按照以往的经验,国庆长假期间,电脑病毒将更加活跃。但电脑病毒其实也并没有那么可怕,只要用户安装了正版杀毒软件,并养成良好的上网习惯,就将远离病毒的烦恼。为了让广大用户能够安心的度过一个长假,金山毒霸反病毒专家李铁军特别提出了电脑安全过十一的“三大纪律 六项注意”,供广大在节日期间上网冲浪、玩网络游戏、网上购物的用户参考。

电脑安全过十一之三大纪律:

1、安装正版杀毒软件,及时升级

近年来,有报告显示,“老”病毒的数量呈上升趋势。而一些几年前发作过的老病毒仍然能够对用户的电脑造成破坏,其主要原因就是有相当一部分用户没有安装杀毒软件或安装了非正版的杀毒软件而没能及时升级。金山毒霸反病毒专家李铁军表示,安装正版的杀毒软件是保障电脑安全的第一步。目前杀毒软件百元左右的价格,用户相对更容易接受,而且用户也可通过网络(如www.duba.net)免费下载正版杀毒软件,并免费试用。

2、系统漏洞不容忽视

系统漏洞已经成为电脑病毒传播的主要途径之一。2008年9月份微软公布的4个严重级别的漏洞值得关注。其中的GDI+ 中的漏洞被国内安全厂商喻为“史上最大的安全漏洞”。受此漏洞影响,几乎所有浏览器、即时聊天工具、Office程序、看图软件以及视频播放软件等第三方软件都可能成为病毒、木马传播的渠道。07年以来,除系统漏洞外,第三方软件漏洞也越来越多的被病毒利用,如影响较为严重的以Adobe Flash Player漏洞等。目前修补漏洞的软件比较多,以金山清理专家为例,该软件为完全免费的产品,而且其修复漏洞的速度也非常快,用起来很便捷。用户在为电脑“查缺补漏”的同时还可以利用清理专家为自己电脑的健康情况打打分。(免费下载地址:http://www.duba.net/qing/)

3、防火墙、实时监控、定时查毒 全方位防护

虽然一些用户认为开启防火墙后,会不停的弹出一些提示窗口,比较麻烦,但在麻烦和安全之间选择,你会选择哪一个呢?尤其是对一些网银、网游用户来讲,安全还是第一位的。而对于大部门用户两讲,实时监控、定时查毒等功能都是非常有必要的。

电脑安全过十一之六项注意:

1、即时聊天工具传播病毒

随着QQ、MSN等聊天工具的安全防范措施的加强,这类攻击已经不是主流,但还存在,有些病毒会通过QQ、msn等聊天工具自动向好友发送带毒信息或病毒文件。用户在聊天过程中切忌:好友突然发送过来的陌生链接不要轻易打开,询问清楚后方可打开;MSN用户需要警惕好友发送过来的英文信息,以及.zip格式的压缩文件,以防感染病毒。

2、警惕陌生人的来信

电子邮件在广大网民中的广泛应用也为病毒传播提供了通道。十一将至,各类促销、打折的垃圾邮件充斥着用户的电子邮箱。一般通过电子邮件传播病毒的方式有两种,一种是开启邮件即感染病毒,一种是打开邮件,诱使用户去点击带毒的链接。金山毒霸反病毒专家提醒,再打开这些邮件时一定要开启杀毒软件的实时监控功能。

3、不良网站的诱惑

虽然反病毒厂商一直在呼吁广大网民,不要登陆不良网站,但仍然有一小部分网民以身试“毒”。不良网站往往是病毒的聚集地,只要登陆了这样的网站,80%都会遇到安全威胁。不要让自己的一时的好奇,带来一系列的麻烦。

4、U盘传播病毒

U盘等移动存储设备一直以来都是病毒传播的主要途径之一。十一期间,数码相机使用率集中增加,广大用户习惯用U盘将拍摄的照片在不同电脑间传来传去,而数码相机自身的存储卡 也可以说是存储设备的一种,因此U盘传播病毒也需要特别注意。使用U盘前最好开启杀毒软件的防火墙和实时监控功能,以防遭遇病毒攻击。

5、钓鱼网站

钓鱼网站也是一种常用的攻击手段,如www.jx2dbt.com是一个外挂的官方网站,而www.jx2dbtwg.com是钓鱼网站,但钓鱼网站做得跟官方网站一模一样,使得不少用户浏览了钓鱼网站或者下载了钓鱼网站的文件,导致中毒。另外一种方式不需要带毒,如银行的钓鱼网页,用户在登录的过程中,他会先记录下帐号和密码,然后再进行登录到正确的网站,而此时你并不知道你的帐号密码等信息已经失窃。

6、下载软件要小心

一些病毒会感染或者修改正常共享软件的安装包,使得用户在网站下载安装这些软件时感染病毒。另外一些病毒则直接替换掉下载链接的文件。此外,当用户上网搜索一些当下比较流行的信息或电影的时候,如“艳照门”、“色戒”等,搜索到的网页中很多都是带毒的,这是不法分子利用人的心理而设的圈套。

十一长假期间需要关注的十大病毒:

1、“AUTO广告木马1513749”(Win32.Troj.Agent.yb.1513749) 威胁级别:★★

该木马的主要行为是刷广告流量。该毒调用库函数里的数据,解密自己的配置文件,获取病毒作者安排好的广告网址,不断登录,为这些地址刷流量。而这些网站中,有不少是挂马网页,如果用户系统有安全漏洞,就很容易被其它病毒木马趁虚而入。该毒每30秒遍历一次系统,判断是否有U盘等移动存储器,若有,就复制自己到其根目录下,命名为Recycled.exe,并创建对应的AutoRun.inf文件。这样,只要用户将染毒U盘插到别的电脑上,此毒就能实现传染。关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/auto-1513749-51786.html

2、机器狗病毒

机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”,该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,与AV终结者病毒相似,病毒通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给用户电脑带来严重的威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点,影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK),映像挟持,进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁,部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。

3、“FTP傀儡34816”(Win32.TrojDownloader.Mnless.34816) 威胁级别:★★

这个病毒能够利用捆绑其它文件的方式进行传播。该毒进入电脑后,将自己的文件setupapi.dll释放到IEXPLORER目录下。接着检查自己的dll文件是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE等浏览器的进程加载,若不是,便退出程序,以载入指定动态链接库的方式加载自己。无论采取哪种加载方式,一旦得以运行。此毒便检查注册表,查看用户是否安装有FlashFXP、VanDyke SecureFX、Ipswitch WS_FTP、LeapFTP等工具。如果发现用户有安装以上FTP工具,此毒则调用这些工具去病毒作者指定的远程地址http://66.1*9.2*1.1*8/ftpg/ftp.php下载一份FTP列表,然后根据其中的地址下载更多的其它病毒。关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-mnless-34816-51776.html

4、“摄影师下载器81071”(Win32.Troj.QQRobber.sd.81071) 威胁级别:★

此毒的主文件名称为VM_STI.exe,会被释放到%WINDOWS%\SYSTEM32\目录中。由于其名称与一款摄像头驱动文件一样,一些安装了该驱动的用户就会被蒙蔽。该文件会被写入注册表启动项,随系统自启动,从http://dd6.t***kl.info 这个由病毒作者指定的地址下载其它木马文件。安装了摄像头驱动的用户如果发现自己系统中同时有两个VM_STI.exe运行,很有可能就是中了此毒。关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-qqrobber-sd-81071-51775.html

5、剑侠世界飞贼90112”(Win32.Troj.GameT.xf.90112) 威胁级别:★

俗话说树大招风,网络游戏如果知名度和玩家数量比较可观,无一例外的会吸引来盗号木马。这次金山毒霸反病毒工程师就发现了一个针对《剑侠世界》的新木马。此毒制作较为精细,病毒作者将病毒字符串分割为若干小段,当需要运行时,才临时组装起来。试图以此来干扰反病毒工作者的分析,以及躲避杀毒软件的检查。病毒运行起来的第一件事是遍历当前所有进程,如发现“360Tray.exe”和“360Safe.exe”,就尝试将其结束。接着,该毒通过特征码和窗口定位《剑侠世界》的游戏进程,注入其中,读取玩家的账号密码人物名称等级等数据,然后解密配置文件,得到收信地址http://a***w110.3322.org,将赃物发送过去。关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-gamet-xf-90112-51768.html

6、“广告男孩249856”(Win32.Adware.Agent.249856) 威胁级别:★

该毒属于一个庞大木马家族的成员,拥有大量变种。根据病毒作者的设置,各变种拥有不同的功能。此样本的功能是弹广告和下载。它的行为比较简单,进入用户电脑后就释放自己的文件spoclsv.exe到%WINDOWS%\SYSTEM32\drivers\目录下,然后修改注册表启动项,实现开机自启动。运行起来后就注入IE浏览器进程,发出指令,弹出病毒作者指定的网页。同时,它会从http://www.w**oy.net/update/这个由病毒作者安排好的远程服务器下载一份木马列表,根据其中的地址下载更多其它木马。病毒的中文名称是缘于其下载地址中包含一个英文的BOY单词。关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-agent-249856-51769.html

7、OnlineGames系列盗号木马

这是一类盗号木马系列的统称,这类木马的特点就是通过进程注入盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着AV终结者、机器狗等病毒出现

8、Downloader系列下载者

这类病毒是典型的盗号木马下载者。通过映像挟持,进程操作,窗口监控等方式对抗杀毒软件、会下载安装大量盗号木马到用户电脑。Downloader系列下载者在下载执行完盗号木马后,会自动删除,原程序不会驻留用户计算机。给杀毒软件获取样本分析带来了麻烦。

9、Rootkit系列病毒

这类病毒经常伴随着OnlineGames系列病毒出现。这类病毒使用Rootkit技术来隐藏加载OnlineGames系列病毒。还会通过驱动来恢复SSDT Inline HOOK, 使得杀毒软件失去对系统的保护功能。通过rootkit技术盗号木马能够更有效地盗取帐号密码。

10、MSN机器人系列变种

这是一个通过MSN传播的病毒,该病毒有很多变种。该病毒的主要特点是通过MSN发送消息+病毒文件给好友。好友接收运行文件后,就会感染病毒。该病毒会连接IRC聊天室,由IRC聊天室接受黑客指令进行远程控制,使用户文件、资料、信息等面临被盗;并且用户主机可能成为“肉鸡”。

(责任编辑:李磊)

【相关文章】好搜一下
企业网络安全:走集结化攻防道路

企业网络安全:走集结化攻防道路

要想成为一个优秀的企业网管,那就需要不断的学习与努力,从每一次的攻防实战中分析对…