阅读难度：★★☆
适合读者：有一定安全基础的读者




就这样被闪存病毒“征服”







菜菜鸟：前几天我中了闪存病毒，利用《电脑报》教的方法查杀了。我对闪存病毒的工作原理比较好奇，想知道它是怎么危害我们这些网民，那位大虾可以指点迷津？


唉！现在闪存病毒四处肆虐，像你这样的受害者举不胜数。之所以这种方法流行，一个重要原因就是黑客发现对病毒进行闪存化很简单，当真是谁用谁知道！
闪存病毒主要是通过闪存等可移动存储设备进行感染，一般是利用“Autorun.inf”文件进行病毒激活，让系统的“自动播放”功能来触发病毒运行进行传播，而且每当我们双击闪盘分区图标时，该病毒就会通过“Autorun.inf”文件中的设置再次激活病毒，导致病毒复发，难以清除。
小知识：Autorun，也指Autorun.inf，是电脑操作系统的DVD以及闪存自动播放功能，也可以用于自动运行文件及修改磁盘图标。
一般情况下，只要右击自己的闪存盘，第一项显示的不是“打开”而是“Auto”、“自动播放”、“Open”、“Browser”等选项，则说明你的闪存可能已经中病毒或曾经中过病毒了（图1）。



一般Autorun.inf有这么几行命令：
[autorun]
open=****      //双击盘符自动打开****文件
icon=****.ico  //将盘符图标变成****.ico
shell=****    //新增右键选择菜单项目为****
当读者打开盘符的时候就已经自动运行****这个文件了，下面我们就来剖析闪存病毒的工作原理。
第一步：制作病毒
新建一个文本文件或记事本文件，在文件中输入以下内容：
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
其中sxs.exe是服务端文件名，也就是病毒或木马文件名。输入完毕后保存，然后用鼠标右键点击该文件，在弹出菜单中选择“重命名”，将其改名为AutoRun.inf。把AutoRun.inf和配置好的服务端sxs.exe一起复制到用户的驱动盘根目录下，这样不需对方运行服务端程序，而只需他双击D盘就会使病毒或木马运行（图2）。



第二步：感染病毒
当计算机用户将没有任何病毒的闪存盘插入潜伏了病毒的主机上，通过一些常用的操作后，可能就会激发病毒程序。病毒首先会将自身复制到闪存盘中，同时创建一个名为Autorun.inf的文件。此时，病毒顺利在闪存盘上扎根了。
第三步：传播病毒
由于Windows系统的自动播放功能，当计算机用户把闪存盘插入到计算机上后， Windows系统的“自动播放”功能就会自动运行Autorun.inf文件里面的设置，将病毒种植在这台计算机上，此时病毒就会在Windows系统中扎根了。
即便计算机用户利用杀毒软件杀掉了硬盘中的病毒，但只要双击闪存盘符，照样会激活闪存盘Autorun.inf文件，病毒程序就会再次运行。

总结


知道了原理，我们就好防范了。除了要对电脑安装防火墙和杀毒软件并经常进行升级外，还应该关闭操作系统的“自动播放”功能。此外，在使用闪存之前，最好先查杀一下。
（风之梦）


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

安全月报


编辑评估标准：关注 警惕 高危 恐怖 致命
本月安全状况



9月，股票交易、Emai、网络游戏安全系数上升。即时通讯受MSN蠕虫持续影响仍有下降趋势。Web浏览波动较大，安全基数整体偏低。

10月安全预测



预计10月股票交易、Email收发安全指数基本平稳，源于新一轮邮箱扩容运动，各服务商加大了对垃圾、病毒邮件的识别拦截力度，垃圾邮件增长速度将稍有减缓。网络游戏波动较大，相关玩家注意新近出现的几个“免杀”盗号木马，及时了解官方信息。
即使通讯稍有下降，沉寂一段时间的QQ蠕虫又冒了出来，这次换作了冒充好友留言欺骗用户拨打12590声讯电话，榨取高昂话费，请大家注意辨别。Web浏览依旧令人担忧，伴随多个隐性恶意网站的出现，安全指数仍将持续下降。




致命
网络惊现“隐身僵尸”


最近，全国各地都有网民反映电脑不时弹出6.cn/xx.或其他广告页面，但并无其他破坏行为，几乎所有杀毒软件均不能发现其踪迹，HijackThis、SREng等安全工具的扫描日志中也未见异常状况。一时间猜测四起，有网民怀疑电信、网通在网关处做了手脚，强推广告。
众说纷纭，更加深了此事的诡异程度，与此同时感染数量仍在持续增加，已有超过数十万网民受此影响。经国内安全厂商分析，这个名为“隐身僵尸”木马病毒终于现出了身影，此病毒侵入系统后进入“潜伏期”，企图等待时机偷盗网游帐号密码。
“隐身僵尸”随系统自动加载后删除注册表项，并利用Rootkit技术注入正常进程，在用户关机前迅速回写注册表从而达到循环加载，逃避杀毒软件查杀的目的，作案手法与之前my123极为相似，疑为出自同一人之手。
编辑点评：据调查，“隐身僵尸”利用框架调用方式弹出6.cn网页，迷惑网民误以为是6.cn在弹出广告，实则是名为“渺茫社区”的网站从中作梗嫁祸他人。而其采用的恶意手段实属罕见，为了对抗查杀近乎做到了天衣无缝，蒙蔽网民达数周之久。这也预示着，恶意网站2.0时代已经到来，各种变态传播手法将频繁出现，网络安全面临新的挑战。




警惕
新AV终结者更恶毒


近日，AV终结者病毒再次爆发，此变种抛弃了之前的映像劫持手段，而是愈发变本加厉的采用了ring3级hook技术直接删除杀毒软件(ring X是指CPU指令的特权级,不同的特权级拥有访问系统资源的能力不一样
)，劫持包括安全厂商在内的众多知名网站，阻止杀毒软件升级更新。病毒注入系统进程后终止杀毒软件进程，删除安全工具驱动文件。随后窜改HOSTS文件，企图嫁祸于中国雅虎。
编辑点评：AV终结者自6月以来愈演愈烈，已出现多个破坏性极强的变种，从映像劫持到强行删除，矛头无一不指向杀毒软件，同时也学会了流氓软件惯用的嫁祸栽赃法。今后公开对抗杀毒软件的病毒会越来越多，逐渐从幕后走到台前。




关注
杀毒软件大吹免费风


本月，继瑞星宣布2008全功能体验版免费3个月后，紧接着江民2008版杀毒软件宣布免费30天，加之金山一贯的37天免费政策。
近日更是有消息传出趋势科技正酝酿在个人消费市场推出全面免费的趋势杀毒软件，如果算上McAfee、卡巴斯基、**等，目前已有超过6家主流安全厂商加入免费军团。尽管免费时间各有长短，但最大的赢家无疑是广大用户，甚至出现了挨个享受免费大餐的精明用户，难道杀毒软件即将全面进入免费时代？
编辑点评：个人版杀毒软件免费将是大势所趋，反病毒厂商的赢利点更多的放在了企业级用户上，至于如何弥补免费带来的损失，各厂商正在尝试多种解决方案。
例如此前AOL与McAfee合作推出的免费软件就内置了商业广告，而趋势酝酿中的免费版也计划采用软件内置广告的方式。这看起来更像邮箱服务商的经营策略，免费邮箱插播适量广告，收费邮箱获得更好服务，细化市场让用户各取所需。




关注
网络严打收效显著


来自公安部的消息，为期半年的全国依法打击网络淫秽色情专项行动取得显著效果，共清理网上淫秽色情信息25万余条，清理六合彩赌博、诈骗、违法销售卫星接收器、窃听窃照器材和违禁药品等有害信息27万余条；关闭淫秽色情网站13000余家，关闭赌博、诈骗网站、栏目4500余个。 其中涉及刑事案件近400起，有力地打击和震慑了网上违法犯罪活动。
编辑点评：近年来，充斥网络色情淫秽信息严重影响了广大青少年的身心健康。犯罪分子利用多种方法掩人耳目逃避打击、招纳会员参与色情表演，大发不良之财，诱使青少年走上犯罪道路。这已成为互联网一大毒瘤，专项整治行动仍将继续，《黑榜》也将在近期的专题中集中曝光一批网民反映突出的诈骗、色情等网站，积极构建健康文明、绿色的网络环境