您的位置: 网界网 > 周报全文 > 正文

[周报全文]识破病毒的“障眼法”

2004年03月08日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:识破病毒的“障眼法”

标签
    识破病毒的“障眼法”

    ■ 本报记者 宋丽娜


    近一个多月是新病毒发作的高峰期。继MyDoom之后,Bagle.b、NetSky.b、NetSky.c、美女病毒轮番上阵,频频牵动人们的神经,掀起了一个病毒攻击的小高潮。其实,攻陷企业网络、让邮件服务器宕机,并不需要多么高深的黑客技巧,一封伪装的带毒邮件就可以做到,MyDoom就是最好的例子,通过将自己伪装成一封被退回的邮件,MyDoom使无数个局域网和邮件服务器受损。近来出现的其他新病毒具有与MyDoom相同的欺骗特征。

    提防病毒的“社会工程陷阱”

    MyDoom、Bagle.b、NetSky.b、NetSky.c、美女病毒都在利用“社会工程陷阱”进行欺骗。

    “社会工程陷阱”是指病毒或黑客利用人们的好奇心和麻痹大意,或者采用吸引人的主题,或者将自己伪装成看似正常的邮件,引诱人们查看邮件或者点击链接,一旦点击,病毒就被激活并得以肆虐。在无意间,人们就会充当病毒传播或黑客攻击的“帮凶”,其结果不仅助长病毒和攻击的传播速度,而且还会导致系统被黑,用户名单、用户密码以及网络结构被窃取。历史上,“I LOVE YOU”病毒是利用“社会工程陷阱”的典范,成千上万的用户饱受“I LOVE YOU”病毒的攻击,但是到直到今天,还有人会点击主题为“I LOVE YOU”的信件,使得该病毒生生不息。一位用户反映说自己从不打开来历不明的邮件附件,但是当他看到附件是 Word 格式时,也就放心打开了,后来出现不能开启的信息,该用户并不以为然,直到防毒软件发出中毒报警,他才恍然大悟系统已经感染了NetSky病毒。无独有偶,Bagle.b则在受害者在不知情的状况下激活病毒程序,开启微软内建的录音程序;美女病毒则在人们点击链接查看照片的同时,破坏计算机的防毒系统。

    病毒的伪装性和欺骗性大大增强了,使用户的防范心理面临巨大考验。过去使用者可以轻易发现计算机病毒入侵时的异常,而现在的蠕虫采用障眼法很容易让用户上当受骗。当下一次您收到一份有关“免费礼物”的邮件时,请一定要想到这可能与病毒有关。

    反“社会工程陷阱”的对策

    MyDoom、Bagle.b、NetSky.b、NetSky.c、美女病毒等病毒不再单纯地表演屏幕倒立或是破坏文件,而是影响整个企业网络的运行。只要计算机一开机联网,用户就会处于这类病毒的窥探之中,“网上邻居”就可能成为传播病毒的“帮凶”,这些病毒还具有黑客行为,能够挟持计算机,攻击其他计算机。对付这些具有“社会工程陷阱”特点的病毒,反病毒专家建议人们从以下几个方面入手。

    密集更新防毒软件:许多用户已经安装防毒软件,甚至扫描了多次,但是依然受到MyDoom的影响,原因在于MyDoom.A 爆发后的两天,新变种就出现了,没有密集更新防毒软件是无法完全杜绝MyDoom攻击的。病毒变种的繁衍周期相当快,今天才爆发的病毒,明天就有可能会产生新变种。趋势科技的反病毒专家刘彬建议用户(+本站微信networkworldweixin),至少每天更新一次病毒码。

    彻底清除病毒及后门:在网络中,即使99.9% 的系统都干净无毒,只要有一台设备还存在病毒,病毒仍然可以兴风作浪。而且现在的病毒通常能够在被感染系统中留下后门,例如MyDoom会产生一个后门程序以开启3127端口便于远程黑客入侵并且控制受感染的系统。在病毒爆发之后,用户必须判断病毒植入系统中的后门程序是否已被清除,否则贻害无穷。对规模较小的用户来说,可以进行手动扫描清除,对于大企业来说,可以借助相应的扫描工具。

    采取分区隔离:病毒只需3分钟就可以使全球计算机瘫痪,防病毒公司并不能“百分之百防毒”,而只能在最快时间内让中毒的计算机恢复正常。由于病毒码的更新速度永远比不上新病毒出现的速度。用户必须树立分区防护的观念,即采取分区隔离的防护措施,以减少病毒造成的危害。

    封锁病毒入口:企业网络有许多入口,可让病毒潜入,与Internet相连的接入设备是最有可能染毒的系统,因此在发生紧急状况时封锁这道门将起着关键性作用。

    加强安全教育:针对MyDoom这种利用“社会工程陷阱”的病毒,用户还应该加强员工安全意识,教育员工在开启邮件之前,判断邮件真伪,防止员工无意间成为病毒“帮凶”。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]