各种病毒分析及防御手册(6)

著名病毒的攻击原理

  当然,攻击的方式从来不是被单独利用的 ,让我们分析一下几个著名病毒的攻击原理看看就知道了;

  冲击波病毒(蠕虫类病毒):通过ping命令探测主机——检查是否为win2k/xp系统——利用rpc漏洞获取权限——通过tftp上载必要文件——修改注册表,添加服务——感染其他机器;

  这类病毒的预防手段:

  禁止ping的icmp回应封包发出;
  打patch将漏洞补上;
  在管理工具 ——服务 中 ,将“允许远程编辑注册表”功能禁用;

  网络天空病毒(邮件类病毒):广发病毒邮件——用户收到邮件后打开运行——利用漏洞/欺骗执行邮件中的带毒程序 ——修改系统注册表设置——复制自身到系统目录——搜索本地htm,eml等文件中的邮件地址——利用自带smtp将病毒以多种标题连带欺骗文字向各个地址发出——某些病毒会ddos攻击某些站点;

  这类病毒的预防手段:

  不阅读来历不明和没理由收到的信件;
    使用web方式在线阅读、管理信件;
    打上最新的浏览器、outlook补丁;
    禁止信件以html格式显示信件;
    平时不用administrator身份登陆,而以普通用户登录,让病毒修改注册表和系统文件的权限受到抑止;
    使用带邮件即时监控的杀毒程序;

  新欢乐时光病毒(脚本类病毒):outlook传播——浏览染毒邮件时利用outlook漏洞运行vb代码——各个目录下生成大量folder.htt和desktop.ini文件,由于资源浏览器的脚本检查漏洞,浏览该目录即感染——搜索网络内其他机器共享——对有可写权限的(新变种能自动枚举尝试123,111,用户名123这样的简单密码)其他机器共享目录上载folder.htt和desktip.ini文件——其他机器使用资源浏览器浏览该文件夹时被感染

   此类病毒的预防手段:

    最好不使用网络邻居,必要使用的时候请只开放读取权限;
      打上outlook补丁和浏览器补丁;
      禁止采用html格式查看信件;
      采用带即时文件监控的杀毒程序:
    采用第三方资源浏览器浏览网络邻居资源,如total command等等;

  由此可见,目前的主流病毒/攻击,都是将上面介绍的病毒方式/攻击方式进行复核后,以多种方式传播,力争在最短时间内感染数量尽量多的机器。行文到这里,基本上主要的攻击方式都介绍完了,在下面,我例出一张表,各位可以大致地看看应对方法。

  病毒/攻击防御 ——对应主动攻击:

  <扫描存活主机>( 防御方法:禁止icmp反馈,用防火墙实现);

  <扫描端口、漏洞> (防御方法:1,禁用不必要的服务;2.禁止一些不对外的敏感端口; 3打系统补丁)

  <攻击> (防御方法:1.用户密码设置得复杂一些;有特定服务的一定留意该服务的权限设置和打上针对该服务的最新补丁)

  病毒/攻击防御2——对应欺骗攻击:               

  <发起欺骗> (防御方法:检查对方可信任度,这里的对方,不光是指操作计算机的人,而是指对方的机器是否可*——如果对方是可信任的人,给你发了个url,你可以询问是不是对方发给你,因为病毒是不会自动应答你的询问的,由此你可以判断出是对方给你发的,还是对方机器已经中毒后自动发的)
       
  <访问潜在欺骗源> (防御方法:每一个web页,每一封信件——不管是不是来自朋友,也不管是不是门户站点,都有可能存在木马或脚本病毒,最好的办法就是禁用activex,必要的时候才打开,及时升级浏览器/邮件工具补丁,防止浏览器漏洞被利用;)

  病毒不断演化,随着编程技术的进步,目前的病毒具备越来越多的欺骗特征——可以说目前病毒传播的2条主要途径就是漏洞和欺骗;对待漏洞没说的,第一时间打上补丁是最好的解决办法,对待欺骗则就要依*用户主观的判断了。虽然很难量化标准,但天缘还是尽力把防止病毒/攻击的办法大致例举一下,下面的有些条件比较苟苛,但还是希望能尽力做到——虽然麻烦一点,但总比中毒/攻击后受到损失强。

  1.用户密码足够复杂,推荐8~16位数字+大小写字符+特殊符号 ;win2k/xp可考虑把administrator用户改名;

  2.尽量使用网络共享,采用ftp等更安全的方式代替(默认共享目录,例举用户名,空密码漏洞是著名的容易被利用);如果必要情况下需要使用,请一定设置上8位以上的复杂密码,并制定文件目录的确实需要的最小权限(例如提供资料让人下载的,就只需要设置成只读权限就行了)

  3.及时升级系统和工具补丁;(这点我在此文中一直在强调,但事实上是——不少用户宁可每天花10个小时的时间玩游戏,也不愿意花10分钟去访问一下windows的update站点,安装杀毒软件/防火墙是治标,打patch才是治本,随时打好patch是每日必修功课);

  4.安装带有病毒即时监控/邮件监控的杀毒程序,并及时升级病毒库;(很多朋友强调自己用的是正版杀毒软件,但一直忽略了购买正版杀毒软件的最必要因素——获得良好的升级支持服务,不升级病毒库的杀毒软件是无法捕捉到新病毒的。因此天缘个人建议每天2次升级最新病毒库是比较适合的,一次在早上开机时,一次在下午开机时);

  5.使用更优秀的软件代替产品;(例如用myie2代替ie,用total command 代替资源浏览器。不是说微软自身的产品不能用——有时候就是因为微软的产品功能太多,众多的功能中有可能有存在漏洞的,就会危机到系统安全了,所以推荐使用代替产品。而事实上不少第三方软件的确相当好用的)

  6.使用个人版网络防火墙,将icmp反馈禁止,再根据自己需要把敏感端口全部禁止掉;(在金山等防火墙设置中,很容易找到“禁止icmp回应”,“禁止ping响应”这样的规则,勾选上就行了)win2k/xp自带的ipsec也能实现,不过比较繁复一些,个人感觉适合系统管理员而不是普通用户,另外winxp自带的防火墙也能作到禁止ping回应,各位可以试着开启它)

  7.修改xp/win2000的默认设置,在服务中禁止掉自己不需要的一些服务。如messager和远程操作注册表都是常常被利用的服务程序;(在中文版本中,都有详细的中文提示,yesky网站上的介绍文章也相当多,各位可以搜索一下)

  8.养成安全意识。网络前辈说过一句名言“安全,从来都不是技术问题,而是一个意识。”前面几条都是在第8条的基础上得到体现的,如果没有了安全意识,即使用再昂贵的杀毒软件也懒于升级、用再优秀的操作系统也懒于打patch,那么一切都是白费了。特别是对待目前逐渐成为主流的病毒/攻击欺骗而言,如果用户不在主观上保持“存疑”的态度,那么随意接受/打开外来的文件,中毒的可能性是相当大的。另外补充一句,网络上只有“本地”和“远程”2个概念,不管是不是朋友的计算机,是不是同一个工作组内的机器,它始终是台远程机器发送过来的数据——保持必要的怀疑,不管该计算机是谁拥有。

  9.在金山的主页,对待流行病毒,都有专杀工具和注册表修复工具免费下载,如果用户能确认自己所中的是何种病毒时,使用专杀工具能获得更高的杀毒效率;而且在这些站点上,还有最新的病毒预报可以看到,方便用户提前作好准备以及了解攻击细节。

  后记

  目前对待联网的桌面操作系统而言,安全主要在于对网络上病毒/攻击的防御,事前充分地做好准备工作,远比病毒、攻击入侵后再进行补救更好。病毒、攻击除了依赖于技术实现,更重要的是依赖于用户自身的安全意识——天缘接触的不少用户都知道要升级操作系统、要买正版杀毒软件、不在网络上随便下载东西,但真到实施的时候却常常因为贪图便利和抱有侥幸心理,最后到病毒、攻击入侵机器后才悔之晚矣。现在的windows系统的升级做的相当方便、杀毒软件更是做得相当贴心,升级不是多麻烦的事情,贵在持之以恒。

  安全在各个行业都是一个永恒的话题,桌面操作系统从单机时代走向网络时代是一次计算机业的重大进步,随着互联网络的资讯增多、娱乐丰富、商机渐显,它在我们的生活中变得越来越重要,而随之而来的病毒和攻击也越来越猖獗。希望此文能对饱受病毒/攻击之苦的朋友一点点启示。
最后编辑2005-08-12 16:09:08