以史为鉴:2006年十大安全事件

以史为鉴:2006年十大安全事件
太平洋电脑网
作者：fsa
　　2006年度，国内的互联网环境因接踵而至的信息安全事件一再掀起了波澜。金山毒霸同数千万国内用户一起见证2006年十大安全事件。
　　1.维金蠕虫泛滥，引发企业用户网络瘫痪
　　据金山毒霸反病毒监测中心最新数据显示，“维金（Worm.Viking.m，又名：威金）”恶性蠕虫病毒自6月2日被截获以来，截至6月8日16时，受攻击个人用户已由3000多迅速上升到13647人，数十家企业用户网络瘫痪。这是继“狙击波”病毒爆发后，互联网受到的最严重的一次病毒袭击。
　　2.海底光缆断裂，引发病毒威胁
　　2006年末，由于
地震引发的海底光缆断裂导致使用国外杀毒软件的用户无法及时升级病毒库，面临重大的安全危机。以金山为代表的国内厂商为用户紧急提供了含37天免费服务时间的最新版本，协助用户度过此次危机。此次断缆事件更加彰显出国内信息安全厂商在服务本土化方面的优势。
　　3.熊猫烧香(武汉男生 Worm.WhBoy)以近乎完美的传播方式在年末引发病毒狂潮
　　熊猫烧香病毒利用的传播方式囊括了漏洞攻击、感染文件、移动存储介质、局域网传播、网页浏览、社会工程学欺骗等种种可能的手法。病毒程序本身并不高深，却造成严重的大面积感染，以致达到谈猫色变的程度。
　　4.首例敲诈型病毒现身，用户面临新威胁
　　“敲诈”木马的主要特点是试图隐藏用户文档，让用户误以为文件丢失，病毒乘机则以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项。这也是国内首次出现此类对用户进行“敲诈勒索”的病毒，此后短时间内该木马已经相继出现了多个变种。
　　5.魔鬼波肆虐互联网，导致用户系统崩溃
　　8月14日，金山毒霸反病毒监测中心及时截获了利用系统高危漏洞进行传播的恶性蠕虫病毒——魔鬼波（Worm.IRC.WargBot.a）。作为IRCBot系列病毒的新变种，该病毒主要利用MS06-040漏洞进行主动传播，强势攻击互联网，可造成系统崩溃，网络瘫痪，并通过IRC聊天频道接受黑客的控制。
6.微软发布Vista操作系统，安全性遭受质疑
　　虽然微软声称Windows Vista是历史上最安全的Windows系统，但有关公司进行的测试却表明实际情况并不容乐观。目前已经在Windows Vista中发现了包括存在于其语音识别过程中的等数个安全漏洞，微软用大量新代码和新功能来取代以往的Windows架构，出现Bug的比率自然不容忽视，起码在短期内，Vista并不安全。此前，狙击波、魔鬼波等实例也证明系统漏洞依然是引发大面积爆发病毒的重要原因。
　　7.2006年度的亚洲计算机反病毒大会（AVAR）召开
　　2006年度的亚洲计算机反病毒大会（AVAR）新西兰奥克兰召开。我国公安部、国家计算机病毒应急处理中心的领导，以及国内杀毒厂商等一行参加了本次大会。本次大会的主题是数字安全，重点讨论如何预防网络犯罪。
　　8.互联网协会组织制定恶意软件（俗称“流氓软件”）标准
　　中国互联网协会以行业自律的方式组织30余家互联网从业机构共同研究起草了“恶意软件定义(征求意见稿)”正式对外公布，并向社会公开征求意见。组织成员单位签署并发布《抵制恶意软件自律公约》，设立反恶意软件举报电话，组织会员单位和各省互联网协会会员单位开展抵制恶意软件的自查自纠行动，并根据恶意软件的标准特征组织成员单位开发查杀工具。协会的这一举措，使反流氓软件有标准可循。”
　　9.大量网游帐号被黑，虚拟财产保护刻不容缓
　　2006年截获的病毒中，木马占了近四分之三。虚拟世界财产亦有其实际价值，很多病毒制作者将黑手伸向了网络游戏帐号，尤其是时下比较火爆的《魔兽世界》和《征途》等大型网络游戏。由于大多数年轻的玩家缺乏安全意识，往往容易被不法之徒得手，从而将非法获取的游戏帐号转卖牟取不义之财。尤其《征途》帐号被黑的玩家更是超过了10万。
　　10.垃圾邮件治理任重道远
　　与05年相比，2006年企业用户发现其电子邮件系统中的垃圾邮件有明显增多，这些垃圾邮件主要来自于日益增长的僵尸网络和孜孜不倦的邮件蠕虫。僵尸网络中，黑客的意图可以非常明显的去控制“肉鸡”收集邮件地址，而类似“恶鹰”一样的邮件蠕虫病毒更是把收集地址做为最重要的功能。自动变化的图片、发件人，是垃圾邮件最难根除的重要原因。

黑客知识之各类攻击软件原理与防范
作者：hackmaster　来源：赛迪网安全社区

特洛伊木马原理

BO(Back Oriffice)象是一种没有任何权限限制的FTP服务器程序，黑客先使用各种方法诱惑他人使用BO的服务器端程序，一旦得逞便可通过BO客户端程序经由TCP/IP网络进入并控制远程的Windows的微机。

其工作原理：Boserve.exe在对方的电脑中运行后，自动在win里注册并隐藏起来，控制者在对方上网后通过Boconfig.exe(安装设置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(图形界面控制程序)来控制对方。

网上更有一些害人虫将木马程序和其他应用程序结合起来发送给攻击者，只要对方运行了那个程序，木马一样的会驻留到Windwos系统中。

BO本质上属于客户机/服务器应用程序。它通过一个极其简单的图形用户界面和控制面板，可以对感染了BO（即运行了 BO服务器）的机器操作Windows本身具备的所有功能。

这个仅有123K的程序，水平一流，令那些复杂而庞大的商用远程管理 软件相形见绌。而真正可怕的是：BO没有利用系统和软件的任何漏洞或Bug，也没有利用任何微软未公开的内部API，而完全是利用Windows系统的基本设计缺陷。甚至连普通的局域网防火墙和代理服务器也难以有效抵挡。

BO服务器可通过网上下载、电子邮件、盗版光盘、人为投放等途径传播，并且可极其隐藏地粘贴在其他应用程序。一旦激活，就可以自动安装，创建Windll.dll，然后删除自安装程序，埋名隐姓，潜伏在机器中。外人就可通过BO客户机程序，方便地搜索到世界上任何一台被BO感染并上网的计算机IP地址。通过IP地址就可对其轻易实现网络和系统控制功能。

可获取包括网址口令、拨号上网口令、用户口令、磁盘、CPU，软件版本等详细的系统信息；可删除、复制、检查、查看文件；可运行机内任何一个程序；可捕捉屏幕信息；可上传各种文件；可以查阅、创建、删除和修改系统注册表；甚至可以使计算机重新启动或锁死机器。而所有这些功能的实现，只需在菜单中作一选择，轻摁一键，就可轻松完成。 除了BO外，还有很多原理和它差不多的特洛伊木马程序，例如：“NetSpy”、“Netbus”等。

防范

不要随便运行不太了解的人给你的程序，特别是后缀名为exe的可执行程序。特洛伊木马程序很多，它们的安装服务器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你从Email收到或是DOWN了大小和上述文件一样的EXE文件，运行时可要小心了。运行后如果程序突然消失，或者是无任何反应，那你很可能是被攻击了。这时候你的电脑就完全被别人所控制，他可以复制，删除甚至运行你电脑里的文件和程序。这时你只要到注册表里去修改一下就可以消灭它：运行注册表找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

下的RunServices和RUN键值中的“.EXE”和“NETSPY.EXE”等的键值，将其删除，重新启动你的计算机然后删除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了。或用最新版本的杀毒软件，如瑞星90（11），KV300等，你也可以下载一些专门扫除特洛伊木马的软件。
如何防范Back Orifice2000

对于Windows95和Windows98的用户：

检查c:\windows\system目录下是否有UMGR32~1.exe文件，如果有的话请运行Regedit将

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

中UMGT32.exe清除，Reboot你的机器，然后Delete你硬盘上的这个文件。
对于NT的用户：

检查winnt\system32目录下是否有UMGR32~1.exe这个文件，如果有的话请先在任务管理器中对应的进程Kill掉再运行Regedit将路径指向

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service

然后Delete it，最好Reboot一次你的机器。

邮件炸弹原理

E-MAIL炸弹原本泛指一切破坏电子邮箱的办法，一般的电子邮箱的容量在5，6M以下，平时大家收发邮件，传送软件都会觉得容量不够，如果电子邮箱一下子被几百，几千甚至上万封电子邮件所占据，这是电子邮件的总容量就会超过电子邮箱的总容量，以至造成邮箱超负荷而崩溃。“kaboom3”、“upyours4”、“Avalanche v2.8”就是人们常见的几种邮件炸弹。

防范

⒈不要将自己的邮箱地址到处传播，特别是申请上网帐号时ISP送的电子信箱，那可是要按字节收费的哟！去申请几个免费信箱对外使用，随便别人怎么炸，大不了不要了。

⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以选择“工具”/“收件箱助理”，然后点击“添加”在属性窗口可以设定对各种条件的Email的处理方式。如果我们想让超过1024KB的邮件直接从服务器上删除，根本不下载到计算机上，可以在邮件条件框中将“大于”选中，然后输入1024，接着在“执行下列操作”框中选中“从服务器删除”就行了。

⒊当某人不停炸你信箱时，你可以先打开一封信，看清对方地址，然后在收件工具的过滤器中选择不再接收这地址的信，直接从服务器删除。

⒋在收信时，一旦看见邮件列表的数量超过平时正常邮件的数量的若干倍，应当马上停止下载邮件，然后再从服务器删除炸弹邮件。（要用下面提到的工具）

⒌不要认为邮件发送有个回复功能，就可以将发炸弹的人报复回来，那是十分愚蠢的！发件人有可能是用的假地址发信，这个地址也许填得与收件人地址相同。这样你不但不能回报对方，还会使自己的邮箱彻底完结！

⒍你还可以用一些工具软件防止邮件炸弹。

端口攻击原理

这类软件是利用Window95/NT系统本身的漏洞，这与Windows下微软网络协议NetBIOS的一个例外处理程序OOB（Out of Band）有关。只要对方以OOB的方式，就可以通过TCP/IP传递一个小小的封包到某个IP地址的Port139上，该地址的电脑系统即（WINDOWS95/NT）就会“应封包而死”，自动重新开机，你未存档的所有工作就得重新再做一遍了。

你一定会问这个封包到底里面是些什么？会有如此神奇的效果！这不过是一些很小的ICMP（Internet Control Message Protocolata）碎片，当你机器收到这份“礼物”时，你的系统会不停地试图把碎片恢复，当然这是不可能的，它怎么会这样便宜你了！于是你的电脑系统就这样速度越来越慢直至完全死机！而你就只有重新启动。

其实，并不只是Port139会出现问题，只要是使用OOB的开放接受端，都有可能出现症状不一的“电脑狂乱”情形。例如，Identel所用的Port113，据说收到同样的封包也会出问题。常见的端口攻击器有“uKe23”、“voob”、WINNUKE2”。如果你还是用的Windows95，那您就要当心了。

防范

将你的Windows95马上升级到Windows98，首先修正Win95的BUG，在微软主页的附件中有对于Win95和OSR2以前的版本的补丁程序，Win98不需要。然后学会隐藏自己的IP，包括将ICQ中"IP隐藏"打开，注意避免在会显示IP的BBS和聊天室上暴露真实身份，特别在去黑客站点访问时最好先运行隐藏IP的程序。

JAVA炸弹原理

很多网友在聊天室中被炸了以后，就以为是被别人黑了，其实不是的。炸弹有很多种，有的是造成电脑直接死机，有的是通过HTML语言，让你的浏览器吃完你的系统资源，然后你就死机了。 这里我就告诉大家几个java炸弹的原理：

第一个炸弹是javascript类型的炸弹：

＜img src="javascript:n=1;do{window.open('')}while(n==1)"
width="1"＞

这个Javascript语言要求浏览在新窗口中再打开本页。新的页面被打开以后就会同样提出要求，于是浏览器不停地打开新窗口，没几秒钟你就死机了。就算是不死机，你也必须把浏览器中内存中驱除出去，这样，你就被踢出了网络。

下面分析一下这个HTML语言的原理。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ，javascript 是定义运行此语言，n=1 是定义变量 n 等于1， do{ }while(n==1) 指当 n 等于1，的时候运行{ }中间的命令，window.open('') 指打开本窗口，整个语言的意思是，变量 n 赋值为1，如果 n 等于1，那么就打开一个窗口，而 n 永远等于1，就不停地打开新的窗口。

同样道理，也可以利用无限循环的原理看看其他的炸弹。前面的文章中提到了 alert ("欢迎辞") 是用来致欢迎辞的，你可以在网页中加入以下的Javascript 语言：

＜SCRIPT language="LiveScript"＞javascript:n=1;do{alert ("嘿嘿，你死定
了！");}while(n==1)＜/SCRIPT＞

下面介绍一个1999年5月才出炉的java炸弹，威力比上两种都强，大家务必要当心。 我们就不在这里提供效果了！

＜HTML＞
＜BODY＞
＜SCRIPT＞
var color = new Array;
color[1] = "black";
color[2] = "white";
for(x = 0; x ＜3; x++)
{
document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}
＜/SCRIPT＞
＜/BODY＞
＜/HTML＞

防范

唯一的防范方法就是你在聊天室聊天时，特别是支持HTML的聊天室（比如湛江，新疆等）请你一定记住关掉你浏览器里的java功能，还要记住不要浏览一些来路不明的网站和不要在聊天室里按其他网友发出的超级链接，这样可以避免遭到恶作剧者的攻击。