国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

                                                                                            追擊Spyware 十大奇案 
 
 
 
來(lái)自互聯(lián)網(wǎng)的攻擊層出不窮，除了以往的Makware (流氓軟件)、Adware (廣告軟件)、Spyware (間諜軟件)、 Trojan (木馬程式)等傳統(tǒng)攻擊方式，更出現(xiàn)假檔、檔案綁架軟件(Ransomware)、Rootkit 系統(tǒng)入侵等新式攻擊軟件及方法，令人防不勝防。今期徹底解構(gòu)十大網(wǎng)絡(luò)安全奇案，並且尋找最終極的解決方案。

奇案一

流氓軟件惡意騷擾

對(duì)於經(jīng)常在互聯(lián)網(wǎng)上衝浪的人來(lái)說(shuō)，最怕見到的莫過(guò)於一些古靈精怪、經(jīng)常彈出廣告、布局零亂的網(wǎng)站，因?yàn)檫@些通常就是流氓軟件（Malware）出沒的地方。其實(shí)除了外觀吸引或者危言慫聽的廣告圖像彈出視窗外，流氓軟件有林林種種的方法使人無(wú)意間被植入至系統(tǒng)，很多大陸網(wǎng)站就以提供各類軟件供下載為名，實(shí)則是散佈流氓軟件或間諜軟件，就例如網(wǎng)站「星光下載」（http://www.xgdown.com）所提供的各下載項(xiàng)目，都設(shè)有所謂推薦的「電訊下載╱網(wǎng)通下載」連結(jié)，而該些連結(jié)其實(shí)是連結(jié)到「EyeTel全球視頻通訊」軟件的下載頁(yè)，並誘使瀏覽者註冊(cè)。

而最常見的，不得不說(shuō)是通過(guò)Internet Explorer的ActiveX Control及Java插件，甚至是通過(guò)不斷提示，令用家選擇安裝廣告或惡意程式，這些程式的例子有Gator以及3721上網(wǎng)助手等。

至於最近流行的，則是一款借Internet Explorer對(duì)Windows Metafile（WMF）圖檔的執(zhí)行漏洞，通過(guò)網(wǎng)頁(yè)傳播不良程式的途徑，MySpace.com月內(nèi)就被發(fā)現(xiàn)站內(nèi)一個(gè)來(lái)自deckoutyourdeck.com的廣告帶有惡意程式，而且證實(shí)事件的網(wǎng)絡(luò)安全組織iDefense尚未能確定廣告是否已被刪除。

流氓軟件在入侵電腦後，為了令自己可以不被用家發(fā)現(xiàn)，通常都會(huì)通過(guò)偽冒成系統(tǒng)檔、載入記憶體並監(jiān)察偵測(cè)行為、在登錄檔加入登錄碼使開機(jī)時(shí)自動(dòng)預(yù)載或者防止被刪除、設(shè)定成視窗的服務(wù)並運(yùn)作令系統(tǒng)不能刪除自己、甚至是通過(guò)欺騙視窗的手段令系統(tǒng)無(wú)法檢測(cè)軟件本身，使流氓軟件可在系統(tǒng)長(zhǎng)期運(yùn)作。

原理剖析

大部分流氓軟件其實(shí)都是通過(guò)廣告、Internet Explorer瀏覽器漏洞、自訂功能如ActiveX插件、甚至是不斷提醒的方法等，在非用家提出下載甚至是未經(jīng)用家同意的情況下，將有問(wèn)題的程式或程序安裝到用家的電腦，當(dāng)然用家對(duì)下載插件及程式的忽略和不小心，亦是促使流氓軟件可以為所欲為的方法。部分彈出視窗會(huì)使用Image Map假扮成類似作業(yè)系統(tǒng)視窗，令用家誤以為是系統(tǒng)的訊息而按下；部分網(wǎng)站更會(huì)在網(wǎng)頁(yè)的Meta-head部分加入自動(dòng)更新的內(nèi)容，以彈出程式下載視窗，配合視窗的內(nèi)容誘使瀏覽人士下載該程式檔；而即使是帶有信用狀的ActiveX控制插件，部分信用狀的簽發(fā)人例如「VeriSign」亦只證實(shí)該插件的發(fā)行者確實(shí)存在，並不會(huì)對(duì)於該插件是否流氓軟件或者其安全性進(jìn)行證明，因此信用狀只保障插件的使用者有追討的途徑，但並不保證該插件使用上絕對(duì)安全。

自保對(duì)策

對(duì)付IE ActiveX問(wèn)題插件及IE漏洞，可以通過(guò)更新IE及使用ActiveX插件管理的方式處理，自Windows XP Service Pack 2推出後，IE更加入了Pop-up過(guò)濾程式及ActiveX插件管理程式，用家只需要小心設(shè)定其實(shí)是可以防止大部分流氓軟件的攻擊，不過(guò)更為重要的是用家對(duì)無(wú)故彈出的視窗及插件安裝要求需要保持警覺，方為上策。若果用家發(fā)現(xiàn)自己的系統(tǒng)懷疑因流氓軟件而出現(xiàn)毛病，最好還是以Anti-Spyware程式為系統(tǒng)掃描。

奇案二

「開文件要交贖金？」檔案綁架勒索

網(wǎng)絡(luò)保安公司Kaspersky Labs指出，近年流行一種以電腦檔案綁架軟件（Ransomware）行騙的技術(shù)，用家執(zhí)行檔案綁架軟件後，部分電腦檔案便會(huì)被加密，騙徒便會(huì)藉詞提供該些檔案的解密鑰匙（Key）騙取金錢。該類軟件自2004年首次被發(fā)現(xiàn)以來(lái)，同類軟件的數(shù)目不斷上升，而且該類軟件由以往只使用簡(jiǎn)單的加密演算法（Encryption Algorithm）為檔案加密，或者使用登錄鎖定檔案的存取，演變成使用保密能力更強(qiáng)的加密演算法例如RSA加密法進(jìn)行加密，六月所發(fā)現(xiàn)的案例「Gpcode」木馬程式更以660-bit RSA為檔案加密，即使以2.2GHz處理器的電腦尋找解密鑰匙亦需30年的時(shí)間，一般的用家一旦中招，便難以為該些檔案解密。部分案例如「Skowr」更會(huì)卸載防毒軟件，並刪除防毒軟件的登錄檔記錄，防止用家自行解決問(wèn)題。類似的檔案綁架軟件還有「Archiveus」、「Krotten」、「Cryzip」、「MayArchive」等。

原理剖析

其實(shí)使用檔案綁架軟件行騙的原理相當(dāng)簡(jiǎn)單，一般來(lái)說(shuō)，騙徒會(huì)以一般間諜軟件的傳播方式，例如電郵附件的形式將檔案綁架軟件送交受害人，受害人一旦啟動(dòng)附件內(nèi)的檔案綁架軟件，檔案綁架軟件便會(huì)自動(dòng)為受害人電腦內(nèi)特定類型的檔案加密，並留下訊息要求受害人購(gòu)買解密用的鑰匙，否則用家並不能開啟該些加密檔案。

受害人中招的關(guān)鍵是檔案綁架軟件需要被執(zhí)行，因此該些軟件較常以電郵附件、附帶於免費(fèi)程式、或者網(wǎng)頁(yè)附件的形式下載，吸引受害者執(zhí)行該些軟件；該些軟件亦可以由騙徒直接經(jīng)駭客的手段，得知受害人的IP地址及通訊埠後，通過(guò)互聯(lián)網(wǎng)入侵受害人的電腦並植入。部分檔案綁架軟件為了使令用家更難清除自己，會(huì)以流氓軟件常用的方式例如隱身成Windows常見的程序，修改登錄使程式可以常駐於系統(tǒng)，或者修改API指令防止防毒程式發(fā)現(xiàn)等，使發(fā)現(xiàn)和消滅的難度增加。

自保對(duì)策

由於行騙者所使用的加密方法和難度日高，即使電腦的運(yùn)算效能不斷進(jìn)步，亦無(wú)法追上為檔案解密所需的速度，而且騙徒的手段亦層出不窮，網(wǎng)絡(luò)保安軟件公司即使得知檔案綁架軟件的出現(xiàn)，亦未必可以即時(shí)解決個(gè)別綁架軟件所造成的問(wèn)題，或者為用家替加密了的檔案解密，所以對(duì)付檔案綁架軟件的最佳方法，或多或少離不開以下數(shù)點(diǎn)：小心處理不明來(lái)源檔案例如電郵附件、下載而來(lái)的檔案；別隨意安裝不明來(lái)歷的軟件；小心駭客入侵漏洞等等。對(duì)於應(yīng)付檔案綁架所造成損失的最有效應(yīng)變方法，還是為重要及常用的檔案定時(shí)備份。

奇案三

深入系統(tǒng) 「隱」術(shù)玩轉(zhuǎn)防毒軟件

上一代蠕蟲病毒、後門程式要隱藏自己，主要是靠偽裝成一般視窗常見的程序，使用家較難分辨而未能手動(dòng)清除，不過(guò)用家只需更新防毒程式，這些程式便無(wú)所遁形。新一代使用了Rootkit技術(shù)的入侵程式則大大不同，由於使用了更高隱密能力的Rootkit技術(shù)，令該些程式的偵測(cè)及清除的難度比使用上一代技術(shù)的入侵程式高得多。

最近網(wǎng)絡(luò)保安公司發(fā)現(xiàn)了一種接近隱形的新一代Rootkit後門軟件，該軟件（Symantec命名為Backdoor.Rustock.A，F(xiàn)-Secure則稱為Mailbot.AZ）會(huì)先以木馬形式安裝駐地元件（Dropper Component），當(dāng)駐地元件完成Rootkit驅(qū)動(dòng)程式的安裝後，再由Rootkit驅(qū)動(dòng)程式複製成額外的資料串流（Alternative Data Stream），並設(shè)定於每次開機(jī)時(shí)運(yùn)作；而該後門軟件最強(qiáng)的地方，是可同時(shí)在「使用者模式」（User Mode）和更強(qiáng)「核心模式」（Kernel Mode）執(zhí)行，一般用家即使中招，亦不會(huì)感覺到有後門軟件作怪的徵兆。

Sony Music就曾經(jīng)在部分音樂光碟使用了數(shù)位版權(quán)管理（Digital Right Management）的Rootkit程式防止用家複製光碟內(nèi)的音樂三次以上，而因?yàn)樵摮淌搅钍褂谜叩碾娔X中病毒的風(fēng)險(xiǎn)增加，需要推出修正軟件補(bǔ)救，亦同時(shí)引起了大眾對(duì)Rootkit程式的關(guān)注。

原理剖析

Rootkit其實(shí)源自UNIX作業(yè)系統(tǒng)，是用以套取最基本root存取權(quán)限（root乃系統(tǒng)最高權(quán)限帳戶，一般為系統(tǒng)管理人員帳戶）的軟件工具組合，為這個(gè)原因Rootkit軟件通常會(huì)隱匿自己的動(dòng)作以免被發(fā)現(xiàn)，清除過(guò)程也較為複雜。由於程式的本意為入侵系統(tǒng)，通常會(huì)被歸納入惡意軟體，而因?yàn)镽ootkit程式本身無(wú)傳染的功能，通常會(huì)先以一般後門軟件進(jìn)行入侵，再植入Rootkit軟件竊取所需的系統(tǒng)帳戶資料。

由於Windows視窗作業(yè)系統(tǒng)設(shè)有「使用者模式」和「核心模式」，Rootkit程式亦分成「應(yīng)用層」（Application Level）及「核心層」（Kernel Level）兩種。應(yīng)用層的Rootkit通常會(huì)以自己的程序代替原有的程序，或通過(guò)hook更改原有程序的功能，例如以在記憶體載入DLL檔案，以檢查所有運(yùn)作中的程序，若果發(fā)現(xiàn)有程序有檢測(cè)Rootkit軟件的可能，Rootkit軟件介入該程序及其需要使用的應(yīng)用程序編程介面（API）之間，作為中間人並監(jiān)案和修改API回傳的結(jié)果，例如抽走有關(guān)該Rootkit程式的搜尋結(jié)果或者阻止刪除Rootkit程式的檔案，達(dá)到為Rootkit程式隱密的功能。

核心層Rootkit會(huì)更改系統(tǒng)核心，欺騙作業(yè)系統(tǒng)的系統(tǒng)服務(wù)描述表（System Service Descriptor Table），使程式碼運(yùn)作時(shí)會(huì)被調(diào)用Rootkit指定的API而非系統(tǒng)原本的API，使系統(tǒng)的搜尋、刪除等功能可被修改成忽略Rootkit程式本身，達(dá)到更高的隱密效果。核心層Rootkit需要利用驅(qū)動(dòng)程式實(shí)現(xiàn)，而由於視窗於運(yùn)作時(shí)所使用的API已經(jīng)Rootkit程式竄改，要偵測(cè)Rootkit程式非常困難。

自保對(duì)策

要偵測(cè)Rootkit程式，可根據(jù)程式本身的特徵及其運(yùn)作時(shí)的行為分析，不過(guò)由於Rootkit程式本身可能已經(jīng)修改了系統(tǒng)，有關(guān)偵測(cè)或者需要以第二個(gè)儲(chǔ)存媒體內(nèi)的作業(yè)系統(tǒng)進(jìn)行。若果要在懷疑受Rootkit程式感染的系統(tǒng)偵測(cè)，一般需要借助防毒╱防間諜軟件進(jìn)行，亦可以到下列網(wǎng)址下載免費(fèi)的Rootkit偵測(cè)程式「RootkitRevealer」。

奇案四

名牌Webmail被入侵

繼早前的紅藥水西瓜事件，在網(wǎng)絡(luò)上Yahoo及Google亦雙雙受害。6月中旬Yahoo Mail被Yamanner侵入，利用與JavaScript有關(guān)的弱點(diǎn)，發(fā)送郵件給你聯(lián)絡(luò)簿中的每一個(gè)人，最令人驚訝的是，這個(gè)程式根本毋須收件人打開附件或是點(diǎn)選任何連結(jié)或圖示即會(huì)發(fā)生，並將電郵上資料傳送至指定的網(wǎng)站。而W32.Ranky.FW間諜程式，建立於一個(gè)與Google Toolbar仿真度極高的虛假網(wǎng)頁(yè)上，然而使用者下載的正是間諜程式。

原理剖析

網(wǎng)上銀行、假討論區(qū)，就是駭客們進(jìn)行誘騙的地方。駭客誘騙方法也日新月異，從前是經(jīng)由網(wǎng)址導(dǎo)向，讓受害者連接至虛假外觀極似的金融網(wǎng)站，藉此騙取登入名稱及密碼，慶幸的是，細(xì)心讀者仍可由網(wǎng)址判斷一二。新一代的駭客行騙手法升級(jí)，假網(wǎng)站已不限於網(wǎng)上銀行，假網(wǎng)站擴(kuò)展至大家日常使用的入門網(wǎng)站或?yàn)g覽器上的工具欄。

Yamanner是透過(guò)Yahoo電郵散播訊息，危險(xiǎn)之處在於跳脫傳統(tǒng)病毒的防範(fàn)意識(shí)，使用者不再只是開啟附加檔案才會(huì)啟動(dòng)擴(kuò)散機(jī)制，只要在瀏覽器開啟主旨為「New Graphic Site」的信件，病毒即經(jīng)由Ajax這個(gè)JavaScript的關(guān)鍵技術(shù)，自行複製受感染者的通訊錄寄出給@yahoo.com或@yahoogroups.com用戶，而受感染的使用者所使用瀏覽器將會(huì)自動(dòng)導(dǎo)向「http://www.av3.net/index.htm」 網(wǎng)頁(yè)。

至於W32.Ranky.FW的病毒行騙手法更高，使用者下載相關(guān)檔案後，電腦將變成Zombie部分，通過(guò)傳統(tǒng)電子郵件內(nèi)含鏈接方式來(lái)傳播。

自保對(duì)策

新型的病毒散播模式，所使用的是突破目前人們所知的限制，利用使用者認(rèn)為WebMail及大型網(wǎng)絡(luò)服務(wù)網(wǎng)站可信任之疏忽。Symantec建議使用者，對(duì)於這種來(lái)路不明的惡意程式，應(yīng)習(xí)慣保持更新病毒定義檔及防火牆特徵至最新日期，並且封鎖任何來(lái)自「av3@yahoo.com」的電子郵件。

奇案五

騎劫IE亂發(fā)YM

惡意程式有多種讓人掉以輕心的手段，其中一種就是俗語(yǔ)所謂「局中局」或「賊喊捉賊」，當(dāng)人們被其正義的外表所瞞騙，沒有細(xì)意的觀察的時(shí)候，容易掉入騙局。最近發(fā)現(xiàn)一個(gè)針對(duì)Yahoo!Messenger而來(lái)的惡意程式，以Safety Browser為名，其實(shí)真正身份是一個(gè)惡意瀏覽器。

原理剖析

Symantec將這個(gè)惡意程式Safety Browser稱作Browaf，成功安裝完成後，會(huì)在開始功能表中加入一個(gè)微軟IE的圖示，令使用者誤以為正執(zhí)行IE。此外，它會(huì)修改IE的首頁(yè)設(shè)定，讓用戶一開啟瀏覽器便直接連線到惡意網(wǎng)站，並於開啟時(shí)發(fā)出不尋常的聲音。更會(huì)持續(xù)向你的YM朋友名單持續(xù)發(fā)出訊息。

自保對(duì)策

Symantec提供對(duì)Browaf惡意程式的移除功能，使用者可先更新病毒程式，並重新啟動(dòng)電腦至安全模式再執(zhí)行掃毒即可清除Browaf。而面對(duì)「?jìng)畏篱g諜軟件」，網(wǎng)絡(luò)上有反間諜軟件組織，使用者於安裝前宜多上網(wǎng)了解各軟件的資訊。

Check

Point

防間諜軟件有假貨

以上眾多的例子可能已喚起了你的安全意識(shí)，但當(dāng)要嘗試選擇安裝防間諜軟件時(shí)，若不幸選取「?jìng)畏篱g諜軟件」，便正中另一個(gè)賊喊捉賊的技巧。偽防間諜軟件慣常用各種手法，可能是出賣你的電腦訊息，或者是俘擄首頁(yè)，迫使使用者在沒有選擇的情況下購(gòu)買其產(chǎn)品，變相就是一種勒索行為。

有些間諜軟件本身就以防間諜為號(hào)召，如SpywareStrike、SpyAxe、SpyFalcon等，以上軟件雖自稱是防間諜軟件，然而它們卻正是喊賊捉賊的「?jìng)畏篱g諜軟件」典型例子。

奇案六

假即時(shí)聊天軟件

去年12月底，一個(gè)名為msgr8beta.com的網(wǎng)站，發(fā)放MSN Messenger 8 Beta的版本軟件，以新功能的號(hào)召力及吸引力，引誘使用者下載，其後證實(shí)下載的檔案為惡意程式代號(hào)Virkel，Virkel執(zhí)行後於Messenger連絡(luò)人中間互相感染。而傳說(shuō)中不會(huì)中毒的Mac OS X系統(tǒng)，亦於本年初二月中旬，證實(shí)受一種名為L(zhǎng)eap-A所困擾，讓iChat有自行傳播病毒的可能性。

原理剖析

駭客經(jīng)由人們對(duì)新鮮事物的好奇，以及對(duì)認(rèn)識(shí)互動(dòng)者的信任連結(jié)，藉此散播惡意程式。Virkel惡意程式就是藉由好奇的例子，經(jīng)由使用者對(duì)MSN 8 beta版的新鮮感而爭(zhēng)先下載，種下禍根後再將連絡(luò)人的資訊傳送至指定網(wǎng)站，其後連接遠(yuǎn)端的殭屍電腦網(wǎng)路（botnet）伺服器，讓它可以用這部機(jī)器發(fā)出指令，或傳送惡意的程式。iChat上的Leap-A惡意程式，則是利用人們對(duì)Mac OS X和連絡(luò)人名單的信任，Leap-A散播方法是當(dāng)電腦啟動(dòng)後，執(zhí)行Spotlight搜尋程式並自動(dòng)偵測(cè)iChat，若iChat正在開啟，Leap-A將經(jīng)過(guò)iChat傳送latestpics.tgz壓縮檔案予其他友好使用者。

自保對(duì)策

Virkel惡意程式源自使用者對(duì)著名程式的崇拜，使用者應(yīng)儘量避免至非官方網(wǎng)站下載軟件及安裝；若要遇到Virkel惡意程式，使用者可至趨勢(shì)網(wǎng)站下載HKTL_EVID.A更新程式。Leap-A惡意程式不會(huì)自動(dòng)擴(kuò)散，必須經(jīng)由使用者接收檔案並執(zhí)行才會(huì)散播，使用者只要不任意接收檔案及執(zhí)行，即可避免此問(wèn)題。

奇案七

安裝P2P軟件 引狼入室

經(jīng)常使用Peer-to-Peer網(wǎng)絡(luò)或下載加速軟件的用家需要特別留意，原來(lái)不少與下載有關(guān)的軟件，其實(shí)都帶有（甚至本身就是）木馬或惡意軟件。Peer-to-Peer軟件Kazaa、Lime Wire、Morpheus等，以及下載加速軟件FlashGet、GoZilla、Download Acclerator Plus等，在安裝的時(shí)候會(huì)同時(shí)在用家的電腦安裝附屬?gòu)V告軟件，用家無(wú)形中被記錄使用習(xí)慣，甚至是電腦的個(gè)人資料予廣告供應(yīng)商；部分著名的插件如暴風(fēng)影音CODEC亦傳出自帶廣告附屬程式，而最近更發(fā)現(xiàn)有安裝程式自帶多達(dá)七種附屬軟件。由於大部分該類軟件在安裝時(shí)會(huì)在條款中加入用家同意的細(xì)則，即使用家發(fā)現(xiàn)附屬軟件造成損失亦失去追討的理?yè)?jù)。

原理剖析

軟件就是要利用用家通常不會(huì)留意「使用者授權(quán)同意書」的習(xí)慣，使該些惡意甚至是木馬程式可以合法地安裝在用家的電腦，並且以該同意書為理?yè)?jù)，使其不需要為該些程式所造成的破壞需要負(fù)責(zé)。

自保對(duì)策

奇案十

樹大招風(fēng)微軟漏洞多

「不招人妒是庸才」，Microsoft正是這句話的最佳寫照，每日有數(shù)以千萬(wàn)計(jì)的駭客，以找出Microsoft產(chǎn)品的漏洞為榮，或是當(dāng)作個(gè)人技術(shù)的挑戰(zhàn)。以往只有一些系統(tǒng)的設(shè)定、背景程式或服務(wù)成為被攻擊的對(duì)象，時(shí)至今日Word、Excel、PowerPoint、Windows Media Player及IE等一連串的軟件均成為駭客們的目標(biāo)。江民反病毒中心於上月就曾接獲一個(gè)PowerPoint 0DAY漏洞傳播的惡意PPT檔案，該檔案的主題是為「老外拍攝的上海照片」，是以附件形式傳送的PowerPoint檔案，開啟該附件後，電腦即完全被黑客所控制。

而Windows Media Player的入侵方式，是散播者向使用者傳送以Bitmap或PNG為檔案類型的圖檔，並經(jīng)由Windows Media Player開啟，同樣是一經(jīng)連接後，系統(tǒng)便會(huì)被駭客取得完全控制權(quán)。IE方面的漏洞更一直是多不勝數(shù)，單是6月分就發(fā)出過(guò)9項(xiàng)安全更新修補(bǔ)漏洞。

原理剖析

PowerPoint 0DAY漏洞是Office軟件套裝一連串被入侵的其中一環(huán)，自今年五月尾，駭客們以Word 0Day漏洞展開一連串的侵?jǐn)_行為，其後六月中旬是Excel 0Day漏洞，當(dāng)使用者下載Office文件及執(zhí)行後，Office文件同時(shí)連接網(wǎng)站「http://218.75.***.130」及下載TEACHER.EXE程式。TEACHER.EXE自動(dòng)加入註冊(cè)表，讓系統(tǒng)每次執(zhí)行後即被駭客操作。

Windows Media Player的入侵方法是經(jīng)由處理BMP或PNG副檔案名稱的影像，這是一個(gè)存在遠(yuǎn)端程式碼執(zhí)行的弱點(diǎn)。使用者經(jīng)連接登入惡意網(wǎng)站，或是開啟含有惡意內(nèi)容的電子郵件，攻擊者就可利用蓄意製作的 Windows Media Player內(nèi)容執(zhí)行遠(yuǎn)端執(zhí)行程式碼，未知下啟動(dòng)WMZ的多媒體檔案，駭客利用此弱點(diǎn)同樣可取得系統(tǒng)的完整控制權(quán)。IE 6的問(wèn)題在於多項(xiàng)工具存在記憶體損毀例外問(wèn)題，其次還有偽造網(wǎng)址列及CSS 跨網(wǎng)域資訊洩漏，瀏覽器因而可能導(dǎo)致遠(yuǎn)端執(zhí)行程式碼漏洞，或顯示偽造內(nèi)容等。

自保對(duì)策

Word 0Day漏洞及Excel 0Day漏洞，微軟已經(jīng)相繼發(fā)出更新程式，而國(guó)內(nèi)的江民殺毒軟件KV系列，於7月20日的更新程式，亦可有效防止該類型病毒。確保有效維護(hù)微軟漏洞的方法是，不要隨便輕易打開來(lái)歷不明的Office文件、不要連接不明網(wǎng)站及可疑的多媒體網(wǎng)絡(luò)檔案，並且要及時(shí)更新防毒軟件和微軟的修補(bǔ)程式。IE方面，微軟也一直跟進(jìn)中，發(fā)展至IE 7 beta 3已經(jīng)修補(bǔ)千多個(gè)beta 2時(shí)的漏洞問(wèn)題。

Check

Point

微軟反盜版軟體WGA是否間諜軟件？

「Windows Genuine Advantage Notifications」計(jì)劃(簡(jiǎn)稱WGA)，是微軟為協(xié)助使用者驗(yàn)證Windows作業(yè)系統(tǒng)是否為正版的一個(gè)工具，其後微軟曾公布每次開機(jī)檢查時(shí)，該軟體都會(huì)向公司回報(bào)。然而這種回報(bào)卻呈現(xiàn)兩極爭(zhēng)論點(diǎn)，是公民自由運(yùn)動(dòng)者如Lauren Weinstein，就曾於其Blog中發(fā)表文章，指WGA與間諜軟件條件相符，原因是軟件並未取得使用者同意而回報(bào)任何電腦訊息予系統(tǒng)供應(yīng)商。

另一方微軟對(duì)這種說(shuō)法卻表示並不同意，因?yàn)閃GA執(zhí)行的回報(bào)是無(wú)害的，WGA回報(bào)目的是維護(hù)該軟件的必要?jiǎng)幼?。微軟回函寫道：「WGA Notification計(jì)畫檢查使用者的配置設(shè)定，以確定WGA是否該執(zhí)行，由於這項(xiàng)試驗(yàn)的一部份，回報(bào)讓微軟有能力在必要時(shí)關(guān)閉這個(gè)程式。」是非自有公斷，公理自在人心，重要的是使用者下載如微軟的著名系統(tǒng)供應(yīng)商的各種程式，應(yīng)同時(shí)留意下載細(xì)則。

全副武裝抵抗Spyware

對(duì)於形形色色的惡意程式，單是一套的防禦程式以不足應(yīng)用，我們可分門別類使用不同工具增加防禦消滅惡意程式的機(jī)會(huì)。種類包括商業(yè)付費(fèi)軟件、免費(fèi)軟件、檢查網(wǎng)頁(yè)專用的網(wǎng)站、檢查「?jìng)伍g諜軟件」網(wǎng)站、Rootkit專用移除軟件及瀏覽器上的新一代Toolbar防諜服務(wù)。

1. 商業(yè)付費(fèi)軟件

Norton Internet Security

防毒、防諜已不再單是防毒供應(yīng)商的任務(wù)，從以上例子得知，網(wǎng)絡(luò)服務(wù)、軟件及系統(tǒng)均有涉及其中，商業(yè)軟件的優(yōu)勢(shì)是有專業(yè)的人仕及有計(jì)劃的工作，為大家提供專業(yè)的服務(wù)。Norton聯(lián)合Yahoo就是一個(gè)好的例子，於7月26日雙方合作由雅虎提供新版的Norton Internet Security一站式的保安組合，此組合內(nèi)容包括Norton AntiVirus與Norton Personal Firewall，目前提供30天試用下載。

網(wǎng)址：http://downloads.yahoo.com/security

2. 免費(fèi)軟件

Spybot - Search

& Destroy 1.4

Spybot是免費(fèi)軟件且是Safer-networking組織下的工具，軟件特色之一是資料詳盡，讓你在清除間諜軟件之餘，確實(shí)知多一點(diǎn)點(diǎn)。Spybot - Search & Destroy最主要功能是偵測(cè)不同類型的間諜程式並加以清除，但也具有清除使用記錄（Usage Track） 的能力，較專業(yè)的用戶，可切換至進(jìn)階模式，使用設(shè)定自動(dòng)搜尋及清楚的功能、回報(bào)可能發(fā)現(xiàn)未知的病毒及自訂外觀。

江民KV2006

國(guó)內(nèi)的駭客無(wú)論思維與技術(shù)，與外國(guó)都並不一樣，由於防毒、防諜均採(cǎi)用資料庫(kù)形式比對(duì)，若是國(guó)內(nèi)的惡意程式交由國(guó)內(nèi)軟件偵測(cè)，更能藥到病除。江民KV2006既擁有齊全的防毒機(jī)制，包括過(guò)濾垃圾郵件、防毒、防駭 Bootscan、系統(tǒng)漏洞檢查、防惡意網(wǎng)站、防外置設(shè)備病毒及支援64位元作業(yè)系統(tǒng)掃毒，並自創(chuàng)「未知病毒檢測(cè)」，加上支援多國(guó)語(yǔ)言，適合香港人士使用。

http://dl.jiangmin.com

Ad-Aware SE Personal Edition 1.06

Ad-Aware SE分為二個(gè)版本，Ad-aware SE Personal是提供給個(gè)人免費(fèi)使用，Ad-aware SE Plus則是商業(yè)付費(fèi)版本。與Spybot最大分別是加入ADS Scan（Alternate Data Streams）功能，但在ActiveX及Hosts File處理能力並不及Spybot，可說(shuō)各有所長(zhǎng)。1.06版加入新的CSI技術(shù)，可辨識(shí)未知的變種病毒、多重帳號(hào)掃瞄、偵測(cè)動(dòng)態(tài)建立的參考連結(jié)。

http://www.lavasoft.de/software/adaware/

3.

檢查網(wǎng)頁(yè)專用的網(wǎng)站

Link Scanner

惡意網(wǎng)站的建立總是不動(dòng)聲免，如何檢查來(lái)歷不明的網(wǎng)站，可說(shuō)有一定難度，連防毒、防駭軟件可能也無(wú)法判別。網(wǎng)上有一種新興服務(wù)，工具是檢查簡(jiǎn)單的網(wǎng)址，是否有惡意工具內(nèi)藏於內(nèi)。LinkScanner就是其中一個(gè)免費(fèi)的網(wǎng)絡(luò)服務(wù)供應(yīng)商，適用於檢查「單一網(wǎng)頁(yè)」，使用者只需輸入網(wǎng)址，網(wǎng)站會(huì)「即時(shí)分析」該網(wǎng)站的程式碼，提供適當(dāng)?shù)慕ㄗh。

http://www.explabs.com/linkscanner

4.

檢查「?jìng)伍g諜軟件」網(wǎng)站

Spybot-S&D網(wǎng)站

Safer-networking.org組織是Spybot-S&D的軟件網(wǎng)站，我們可藉由他的搜尋服務(wù)，於該網(wǎng)站右上角輸入輸件產(chǎn)品名稱，若搜尋結(jié)果在威協(xié)一欄的範(fàn)圍內(nèi)，出現(xiàn)100%關(guān)聯(lián)結(jié)果，則表示該軟件已被納入惡意程式，並儲(chǔ)存於Spybot-S&D的軟件資料庫(kù)中。雖然Spybot-S&D偶有誤判的情況，但由於巿面上的軟件多有不同替代方案，遇到疑似個(gè)案，還是小心為上。

網(wǎng)址：http://www.safer-networking.org

SpywareGuide

廣告軟件同樣被定義為惡意軟件，然而有些人是接受廣告軟件所交換的效果。同樣是判斷「?jìng)伍g諜軟件」，SpywareGuide將軟件分類後，並對(duì)軟件提出分析及意見報(bào)告，以圖示形式分十級(jí)給使用者忠告，使用者可因應(yīng)接受態(tài)度慎選軟件。此網(wǎng)站並提供其他關(guān)於Spyware資訊，對(duì)了解、移除、學(xué)習(xí)均予使用有所助益。

Spyware Comment的部份客觀及公正，也給使用者一個(gè)更清楚的認(rèn)知。

網(wǎng)址：http://www.spywareguide.com

5.

Rootkit專用移除軟件

RKDetector

RootkitRevealer的創(chuàng)作者是發(fā)現(xiàn)Sony DRM Rootkit的Mark Russinovich，而另一個(gè)Rootkit的著名偵測(cè)工具，則是RKDetector。RKDetector的使用方法簡(jiǎn)單，功能卻並不含糊，可偵測(cè)移除問(wèn)題程式之餘，也可檢視程式碼，只需選擇頁(yè)面右邊功能，再於左上角輸入路徑，即可立即執(zhí)行分析。

網(wǎng)址：http://www.Rootkitdetector.com

6.

Toolbar式服務(wù)

McAfee SiteAdvisor

SiteAdvisor是一個(gè)安裝於IE及Firefox上的工具列，與LinkScanner相似，是檢查網(wǎng)頁(yè)的工具，但它是針對(duì)搜尋引擎而設(shè)，支援Google、Yahoo、MSN等。當(dāng)輸入關(guān)鍵字搜尋完成後，SiteAdvisor會(huì)直接在搜尋網(wǎng)址旁邊提出分析燈號(hào)，綠色代表安全，紅色驚嘆號(hào)代表危險(xiǎn)，灰色問(wèn)號(hào)代表尚未測(cè)試。

網(wǎng)址：http://www.siteadvisor.com

Yahoo! Toolbar

新一代的Yahoo! Toolbar功能已不再只是一些捷徑按鈕，內(nèi)置Anti-spy功能，可尋找及移除Adware、Browser Helper Objects、Hostile ActiveX、Spyware、Trojans及Worms等，不過(guò)並不具備檢查網(wǎng)址及網(wǎng)頁(yè)作用，也不是防毒軟件。

網(wǎng)址：http://toolbar.yahoo.com/

進(jìn)階必備：手動(dòng)消滅Spyware

讀者們或許會(huì)疑惑，為何會(huì)談及手動(dòng)移除Spyware的方法？縱使上面已有多個(gè)預(yù)防及消滅的軟件，但由產(chǎn)生惡意程式至被人、組織或公司解除惡意程式，中間會(huì)有一個(gè)空窗期，網(wǎng)上不可能出現(xiàn)及時(shí)資料及修補(bǔ)程式。此時(shí)，若讀者們懷疑可能遭惡意程式入侵，我們可借用HijackThis軟件分析，並嘗試手動(dòng)移除惡意程式。

Hijackthis

網(wǎng)址：http://www.merijn.org

Hijackthis 安裝及使用方法

Hijackthis是一個(gè)免安裝軟件，下載後解壓縮直接執(zhí)行即可。按「Do a system scan and save a logfile」。

< Step2

完成後轉(zhuǎn)至一個(gè)修復(fù)的程式介面，並彈出一個(gè)hijackthis.log文字檔案。

Step3 >

使用者若明白修復(fù)內(nèi)容，可直接進(jìn)行勾選，並按「Fix Checked」；若不能理解的話，請(qǐng)轉(zhuǎn)至下面交由專家解答，或自行了解分析內(nèi)容。

< Step4

使用者對(duì)部份項(xiàng)目，若肯定為必要安裝程式，可勾選項(xiàng)目後按「Add checked to Ignorelist」。

Step5 >

若移除錯(cuò)誤，發(fā)現(xiàn)部份程式不能再使用，可按「Config」執(zhí)行Backups功能裡面的「Restore」。

成為高手之路：

HijackThis專家討論區(qū)

對(duì)於Hijackthis選項(xiàng)無(wú)從入手者，不妨向網(wǎng)絡(luò)上各方精英討教。bleepingcomputer.com討論區(qū)內(nèi)有一個(gè)HijackThis Logs and Analysis專屬討論區(qū)，使用者預(yù)有疑難，可直接將剛才的「hijackthis.log文字檔案」貼上。此外，臺(tái)灣論壇中亦有一篇文章談及到，每個(gè)步驟分析設(shè)定的解析，花十分鐘時(shí)間細(xì)心閱讀定必得益良多。對(duì)於有興趣自行分析者，不妨可瀏覽HijackThis Log自動(dòng)分析網(wǎng)站，只是要Log內(nèi)容貼上或是上載Log檔案，網(wǎng)站會(huì)自行分析各連接並提供詳細(xì)分析，使用者可參考後再自行「Fix Checked」。

網(wǎng)址：http://www.twbbs.net.tw/

185539.html

網(wǎng)址：http://hijackthis.de

bleepingcomputer.com討論區(qū)有HijackThis討論區(qū)

網(wǎng)址：http://www.bleepingcomputer.com/

forums/forum22.html

5 大必備自我防衛(wèi)意識(shí)

以上所提及的防禦程式及手動(dòng)清理步驟，主要是供大家在遇到病毒及惡意程式時(shí)，有一定的對(duì)付及解決方法，不過(guò)，我們認(rèn)為最重要的，是在進(jìn)行網(wǎng)上活動(dòng)時(shí)，用家需要保持一套自我防衛(wèi)意識(shí)，大家若果在上網(wǎng)和使用電腦時(shí)保持以下五項(xiàng)自我防衛(wèi)意識(shí)，相信能有效抵禦互聯(lián)網(wǎng)的種種陷阱。

1. Click之前 停一停 諗一諗

瀏覽任何網(wǎng)站，Click廣告及按鈕之前，停一停，諗一諗，肯定插件並非廣告程式，肯定網(wǎng)站不會(huì)未得同意套取你的個(gè)人資料。安裝任何軟件，Click「下一步」之前，停一停，諗一諗，肯定自己詳細(xì)閱讀使用者授權(quán)同意書的內(nèi)容，肯定軟件唔會(huì)有不明的附帶程式。開啟任何檔案及電郵附件，Double Click之前，停一停，諗一諗，肯定檔案不是木馬程式的化身，肯定附件來(lái)自認(rèn)識(shí)及相信的人。電腦病毒和惡意程式往往就是利用用家的疏忽和不小心，所以，每個(gè)Mouse Click之前，停停先睇真。

2. 防毒更新不可少 時(shí)時(shí)記得2+3

　　要電腦保持「健康」，就需要記得以下2項(xiàng)留意、3項(xiàng)更新：

- 留意作業(yè)系統(tǒng)、防毒程式、防火牆軟件、瀏覽器等等有無(wú)更新。

- 留意最新病毒、木馬及惡意程式的最新資料，以及防毒和防駭?shù)淖钚沦Y訊。

- 定時(shí)更新登入帳戶密碼、信用卡密碼及各項(xiàng)網(wǎng)絡(luò)保安的相關(guān)身份辨識(shí)資料。

- 定時(shí)更新防毒程式的病毒定義、防火牆軟件，並檢查防火牆及瀏覽器的Firewall、Pop-up Blocker及其他安全設(shè)定。

- 更重要的是，定時(shí)執(zhí)行防毒程式掃描檔案。

3. 多行一步 用腦自然更美好

在今日網(wǎng)絡(luò)活動(dòng)頻繁的年代，相信要大家不在互聯(lián)網(wǎng)下載任何檔案，或者完全確定所使用的軟件百分百安全相信並不可能。不過(guò)在開啟電郵附件、下載/BT/P2P得來(lái)以及來(lái)歷不明的檔案，何妨多行一步使用掃毒程式，確保任何來(lái)自網(wǎng)絡(luò)的檔案「無(wú)添加」；至於在雙核心處理器和1GB記憶體大行其道的今日，又何妨多行一步為電腦加裝一套防火牆軟件呢？

4. 善用隨身裝備 防止電腦入侵行為

每個(gè)電腦用家身上都有最佳的裝備，以自己的力量對(duì)抗來(lái)自互聯(lián)網(wǎng)的電腦入侵行為，要正視問(wèn)題，不能視而不見。

眼：要不時(shí)監(jiān)察電腦各項(xiàng)電腦資源包括處理器、記憶體、硬碟等的使用狀況和用量、軟件及檔案的大小，以及網(wǎng)絡(luò)流量是否有不尋常的變動(dòng)，不常見的系統(tǒng)程序更特別值得留意。

耳：要提高警覺，多接收各項(xiàng)系統(tǒng)安全及病毒預(yù)防資訊，不能聽而不聞。

口：發(fā)現(xiàn)懷疑是新型病毒及惡意程式便要主動(dòng)向網(wǎng)絡(luò)安全機(jī)構(gòu)舉報(bào)，使更多人得知新型的系統(tǒng)安全問(wèn)題。

手：遇著系統(tǒng)有問(wèn)題或者不尋常的異動(dòng)，要第一時(shí)間動(dòng)手，切勿將問(wèn)題越滾越大。

5. 記得留一手 重要檔案要留一手

用電腦，記得留一手—不論你係電腦新手定係上網(wǎng)老手，重要的個(gè)人檔案、電郵、文件，通通Backup留一手，即使電腦受入侵攻擊甚至檔案綁架勒索，都毋須再為回復(fù)方法傷腦筋。

總結(jié)

「足不出戶」還是「與時(shí)並進(jìn)」的抉擇

面對(duì)住林林種種、推陳出新的電腦網(wǎng)絡(luò)安全威脅，不法份子以更高深的技術(shù)製作入侵和惡意程式進(jìn)行攻擊，或多或少令問(wèn)題更難對(duì)付。面對(duì)未來(lái)的電腦網(wǎng)絡(luò)安全問(wèn)題，究竟應(yīng)該以「足不出戶」、避免使用的態(tài)度防禦，還是應(yīng)該「與時(shí)並進(jìn)」、緊密留意最新的電腦保安技術(shù)對(duì)抗，相信會(huì)是一眾電腦用家需要深思的問(wèn)題。這一刻要令自己安心使用，不妨利用McAfee的SiteAdvisor檢查一下自己常到的網(wǎng)站有無(wú)可疑程式，以及到Microsoft的保安網(wǎng)站測(cè)試一下自己對(duì)Spyware的知識(shí)。

MaAfee SiteAdvisor

網(wǎng)址：http://www.siteadvisor.com/

Microsoft Spyware Quiz

網(wǎng)址：http://www.microsoft.com/athome/security/quiz/

spywarebasics1.mspxs

軟件之所以能夠得逞，完全是因?yàn)橛眉液雎攒浖陌惭b細(xì)節(jié)所致，要避免問(wèn)題發(fā)生，只需於安裝軟件時(shí)打醒十二分精神，留意「使用者授權(quán)同意書」的條文及安裝時(shí)有否發(fā)生異常的情況。亦建議用家避免使用帶有廣告程序的軟件（Adware），因?yàn)榧词挂话愕腁nti-Spyware軟件通?？梢郧宄撔┳詭Ф鴣?lái)的附屬軟件，不過(guò)其附屬軟件被清除後，該軟件通常都未必能再運(yùn)作。

奇案八

網(wǎng)上聽歌睇片都中招

播歌睇片的過(guò)程亦好有可能會(huì)中Spyware的圈套。繼去年發(fā)現(xiàn)有一款木馬程式「Trojan.StartPage.ahk」偽裝成MP3歌曲《輸了你贏了世界又如何》，以及網(wǎng)上流傳某版本的周杰倫《11月的肖邦》MP3帶有病毒後，又發(fā)現(xiàn)有人利用RealOne Player附有瀏覽器的漏洞，將木馬程式冒充成rm影片。就算唔播歌、唔睇片，最近Flash Player及QuickTime亦被發(fā)現(xiàn)有漏洞，只要播放軟件支援的檔案，系統(tǒng)就會(huì)有被入侵的危機(jī)。

原理剖析

有意散播病毒及不良程式的人會(huì)利用網(wǎng)絡(luò)用家貪小便宜的，及對(duì)媒體檔警覺性較低的習(xí)慣，將病毒及不良程式冒充成流行歌曲或影片檔案，用家下載後若果沒有細(xì)心檢查檔案，便直接播放就會(huì)中招。

至於RealOne Player的漏洞，散播者只需以Real Media編輯軟件在rm加入事件（Event），設(shè)定播片時(shí)在RealOne Player的瀏覽器開啟URL，便可成功引發(fā)入侵。至於Flash Player及QuickTime的漏洞，則會(huì)因播放導(dǎo)至Buffer Overflow令有問(wèn)題的媒體檔可執(zhí)行指令入侵電腦。

自保對(duì)策

用家最首要的，是保持對(duì)任何來(lái)歷不明檔案的警覺性，以及避免下載來(lái)歷不明的檔案。播放媒體檔時(shí)避免使用帶有瀏覽器的程式可避免不少問(wèn)題。而面對(duì)媒體播放程式的漏洞，用家可以經(jīng)常留意程式的更新狀況。針對(duì)Flash Player及QuickTime的問(wèn)題，用家可以更新至Flash Player 8.0.24及QuickTime 7.1或以後的版本，或者避免使用附有瀏覽器的媒體播放軟件。

奇案九

惡有惡報(bào) 盜版者反被盜

網(wǎng)上盜版隨處可見，下載後為了能延長(zhǎng)使用期，網(wǎng)絡(luò)上在有非法的破解方式存在。使用者藉由下載者的貪念，將惡意程式嵌入Key Generator或破解程式之中，使盜者上當(dāng)中招，正所謂螳螂捕蟬，黃雀在後，網(wǎng)上有流行的WinRAR Crack及遊戲玩具NetCrack均是此類惡意程式。

原理剖析

WinRAR Crack 的運(yùn)作方式是與ActiveX連接於破解網(wǎng)站，當(dāng)使用者下載時(shí)，惡意程式會(huì)同時(shí)執(zhí)行並自動(dòng)安裝AcitveX元件，可盜取個(gè)人資料及不停彈出廣告。NetCrack是為網(wǎng)絡(luò)遊戲而設(shè)的小程式，當(dāng)並未使用時(shí)不會(huì)做成任何損害，但當(dāng)經(jīng)NetCrack執(zhí)行網(wǎng)絡(luò)遊戲時(shí)，使用者同時(shí)開放Port，讓駭客可遠(yuǎn)端任意控制你的電腦。

一個(gè)程式能做多於一項(xiàng)事情本是正常之事，一方面解破程式會(huì)幫用戶破解軟件，暗地裡也可同時(shí)入侵控制用戶的電腦。製作破解軟件或產(chǎn)品序號(hào)產(chǎn)生器的人，就算是冠冕堂皇地自稱是甚麼難度挑戰(zhàn)者，又或是甚麼破解專家，說(shuō)到底根本就是賊，與盜賊為伍當(dāng)然沒有甚麼好結(jié)果，試想一下，別人能破解一個(gè)軟件程式，自然也有能力破解電腦用戶區(qū)區(qū)的系統(tǒng)保安。作賊者本身就是立心不良，對(duì)你及你電腦有加害之心，也絕不為怪。

自保對(duì)策

要避免中這種陷阱，方法其實(shí)簡(jiǎn)單不過(guò)，只要用戶本身「行得正，企得正」，不被這些破解軟件引誘，做出一些原本就是犯罪行為的事情，用戶根本就不會(huì)墜入這種陷阱。要用軟件，該以合法的途徑取得軟件，推說(shuō)軟件價(jià)格昂貴只不過(guò)是一個(gè)借口，要記住，這個(gè)世界永遠(yuǎn)是沒有不勞而獲，利用不法途徑去奪取想要的東西，最終只會(huì)付出更大的代價(jià)。 〔2006年8月1日  電腦廣場(chǎng)〕