超强病毒倒转时光改时间20年来狙击卡巴斯基

超强病毒倒转时光20年来狙击卡巴斯基

出处：pcworld

　　前阵子笔者发现卡巴斯基总是提示“授权文件激活日期错误”，平均5~10分钟发作一次。大家来看一下症状图：



图1

　　与此同时，系统时间飞速倒转20年，变成1987年的同月同日。卡巴斯基立刻提示“授权文件激活日期错误”，卡巴斯基停止工作。大约几秒钟后，又回到现实，系统时间便恢复正常，然后卡巴斯基随之启动。



图2

　　起初笔者怀疑是主板上的纽扣电池没电了，所以将其换之，但还是不见解决。由此，笔者疑虑重重，估计是中招了！病毒是通过更改系统时间，使得计算机处于卡巴斯基的授权使用时间之外，从而达到停止卡巴斯基工作的目的。这样病毒，木马就会进出自如了。即使想同步Internet时间也不能成功。



图3

　　到网上搜索半天，仅仅是找到了些同病相怜的朋友，而没有找到解决的方法。并到了卡巴斯基的网站和国内几个知名的病毒防护软件网站，并没有找到专杀工具，并下载了一些木马查杀软件和恶意软件查杀工具，都没有成功查杀，于是只能转到论坛进行求助。

几天后，在kafan论坛得到了帮助。我来介绍其中一种较简单地解决的方法。其达到目的的方式就是让任何人没有权限更改这台计算机的系统时间。

　　第一步：打开组策略

　　打开“开始菜单”中的“运行”程序，在其中输入“gpedit.msc”单击确定，进入组策略。



图4

　　第二步：在组策略中删除所有具有可以更改系统时间的用户名。

　　进入组策略后，在左侧的树形菜单中逐级依次进入“计算机配置、windows设置、安全设置、本地策略、用户权利指派”，然后再右边窗口中找到“更改系统时间”，双击后会弹出“系统时间选项 属性”对话框，在对话框中所罗列的所有用户名全部删除。



图5

　　如我电脑中的Adminstrators和Power Users，应全部被删除。



图6

　　第三步：全部删除后，单击确定并重新启动计算机就OK了！

　　这些都做完之后，如果还担心我们这种方法是否成功。我们可以在任务栏中双击时间，或者在控制面板中选择“时间或日期”，或在DOS中试图修改时间，但是都会被告知没有权限修改时间。从而能得出我们所做的努力是成功的。

　　其实这种方法也不是真正意义上的查杀，而仅仅是一种应付的对策。目前似乎卡巴斯基对此病毒还不能查杀，因此卡巴斯基的用户除了定期升级病毒库之外，还要注意我们的系统时间。因为卡巴斯基的授权文件是以时间来做限定的。希望网友们不要同我一样中招，不然在卡巴斯基停止工作的间隔，就会被病毒感染，然而爆发时间和形式却是未知。

360安全卫士系统时间防改工具 绿色版 V1.0

末日阴影病毒现身!毁坏文件挑衅安全厂商

出处：PConline

　　近日，一极具破坏力的恶性电脑病毒"末日阴影"(Win32.BlackDay)现身网络，该病毒可摧毁被感染电脑中的绝大部分文件，并无法恢复，导致系统崩溃。同时，病毒作者在病毒程序内公开留言，挑衅反病毒厂商，藐视法律，行径尤为恶劣。

　　金山毒霸反病毒工程师戴光剑表示，"末日阴影"(Win32.BlackDay)是近期流行于互联网的一个破坏力极强的病毒，它会针对受感染电脑内的绝大部分文件进行摧毁性的操作，包括感染网页文件、可执行文件和删除其他文件等，而且破坏后的文件无法被恢复，导致保存在电脑上重要资料和数据的损失。

　　据介绍，用户一旦感染该病毒，电脑会自动弹出一个病毒作者的留言框，"Your computer were infect my worm! And if you want to clear this worm，please add my QQ number *******，********，********"(你的电脑感染了我的蠕虫，如果你想清除这个蠕虫，请加我的QQ，号码为…)，此外，病毒作者还留下了自己的年龄17岁和网络ID等信息。

　　在对该病毒的解析中，反病毒工程师发现了这样一些文字"I can't change my sanguinary inbeing, never.I can feel that the tears come by my face. Kill my self is the best,maybe.So Please.I feeling free when I am not in prison.Can you feel my word?"(我不会改变我嗜血的本性，从来不会。我能感觉到泪水滑落我的脸庞。杀了我吧，这也许是最好的办法。当我不在监狱的时候我觉得自由，你能读懂我的意思吗？)

　　基于"末日阴影"病毒危害严重，安全专家提醒用户，在使用U盘等移动存储设备前一定要利用杀毒软件进行扫描，以防病毒利用U盘进行传播。业内人士指出，从黑客公然在网上贩卖病毒到少年黑客在博客中炫耀"制毒技术"再到病毒作者在病毒程序内留言公开挑衅，越来越多的此类现象以及病毒作者低龄化的趋势不能不引起深思。


black-day.exe最新变种E分析

病毒名称：black-day.exe

SHA-160 : 7B2632742B628576EA1016189A98EC357EA37C17
MD5 : 8727BD9AA6AAD44E3741366DE2A4B63E
RIPEMD-160 : 9F23EFF740B263E8CB9E9199D70F20219CDBE896
CRC-32 : 4A98FF20

ArcaVir 1.0.4 Clean 2.59219 secs
avast! 3.0.0 Clean 0.00530815 secs
AVG Anti Virus 7.5.45 Win32/Delf.2.G 2.14129 secs
BitDefender 7.1 Win32.Worm.Delf.NCN 4.3033 secs
CAT QuickHeal 9.00 Clean 4.59222 secs
ClamAV 0.90/3110 Clean 0.197621 secs
Dr. Web 4.33.0 Clean 8.02189 secs
F-Secure 1.02 Clean 0.0939169 secs
H+BEDV AntiVir 2.1.10-35 NULL 5.38796 secs
McAfee Virusscan 5.10.0 Clean 1.56271 secs
NOD32 2.51.1 Clean 2.46988 secs
Norman Virus Control 5.70.01 Sandbox: W32/NetworkWorm 14.6061 secs
Panda 9.00.00 Clean 1.22913 secs
Trend Micro 8.310-1002 Clean 0.0146301 secs
VBA32 3.11.3 Clean 2.96786 secs
VirusBuster 1.3.3 Clean 1.96247 secs

病毒大小：257,536 字节

加壳方式：目前无

编写语言：Borland Delphi 6.0 - 7.0

危害等级：4.5

文章作者：G－AVR[孤单每一天][greysign][Ycosxhack]

文章地址：http://hi.baidu.com/renlangliu/b ... 9956f51bd576a7.html

病毒行为：

病毒运行后拷贝自身到每个盘符根目录下，生成autorun.inf文件OPEN关联指向病毒程序，搜索系统分区从后至前开始感染，病毒不感染病毒程序和autorun.inf，其他的文件类型全部不放过，小于病毒体的文件使用覆盖加重命名的方式替换，被覆盖的文件名后会多加一个exe的扩展名，大于病毒体的文件使用捆绑追加的方法把病毒程序覆盖到文件头、追加病毒特征到该文件尾，关闭被感染文件含有时间字串的对话框，对ASP ASPX PHP JSP HTM HTML网页文件不会替换，而是采用了感染挂马的方式来放大感染对象，挂马的代码为：hxxp://www.****youxi.net/index.htm' width=100 height=0由于病毒会感染C盘的启动文件和系统文件，所以会造成系统蓝屏重启后无法开机等问题。

作者留言：

CODE:131535D0 db 'I can',27h,'t change my sanguinary inbeing,never.I canfeel that the tears come by my face.'
CODE:131535D0 db 'Kill my self is the best,maybe.so Please.',0Dh,0Ah
CODE:131535D0 db 'My Name:wswhacker My age:17',0Dh,0Ah
CODE:131535D0 db 'I feeling free when I am not in prison.Can you feel my word?',0

感染的文件夹层数：

CODE:131536E0 push offset s_SI_Lx ; "楣 \xFF胄_^[嬪]肻xFF\xFF\xFF\xFF\v

留下联系方式：

CODE:131546C4 db 'Your computer were infect my worm!',0Dh,0Ah
CODE:131546C4 db 'And if you want to clear this worm',0Dh,0Ah
CODE:131546C4 db 'Please add my QQ Num:51883***,87408***,76665***',0Dh,0Ah
CODE:131546C4 db 'The worm Name:Black-Day',0Dh,0Dh,'Powered by :wswhacker',0

注册服务：

CODE:131547A8 s_InterenetC db 'Interenet 网络服务事件',0 ; DATA XREF: start+152 o
CODE:131547BF align 10h
CODE:131547C0 dd 0FFFFFFFFh, 12h
CODE:131547C8 s_SystemInterEv db 'System Inter Event',0 ; DATA XREF: start+16D o
CODE:131547DB align 4
CODE:131547DC db 0FFh,0FFh,0FFh,0FFh,0Ah,0
CODE:131547E2 align 4
CODE:131547E4 s_Sysintevet db 'Sysintevet',0

病毒防范：

发现中此病毒后应该立即拔掉电源，将硬盘拆下挂从后对感染的程序进行删除，然后将没有感染的数据导出后重新分区格式化安装系统。看了被替换的数据的扇区，没有什么希望了，乱七八糟的一堆，虽然部分数据还保留着，但是FAT和FDT还有数据的部分已经被覆盖……如果有文本数据丢失可以尝试使用winhex等16文程序打开硬盘驱动器，查找关键字进行搜索，或许可以把相关的文字复制出来，不过要看运气，一般来说磁盘上面的碎片越多这个可能是越大的,至于PE文件以及其他一些视频文件恢复的几率不是很大，有兴趣的朋友可以使用UE来作好坏数据移植，替换掉病毒感染的部分，不过不是任何文件都可以成功的，还是要看运气！。

纠正文章bug：

比病毒大的文件，病毒会将文件前部替换成自己的代码，在文件的最后加上.WSWhacker信息，共变大10个字节,多谢好友余弦函数的提醒

为你解析恶意软件极其应对方法

中关村在线

有时候就算用上了各种防护措施，你还是无法摆脱恶意软件的入侵。那么一旦遭遇恶意软件入侵，你该怎么办呢？这里将向大家介绍遭遇到恶意软件后的六个基本应对步骤。

作为一个网络安全管理人员，我们一直在尽可能地为系统安装补丁和升级，对系统进行安全测试，建立使用合理的安全策略。不幸的是，尽管我们做了这些工作，但是仍然无法完全避免系统被病毒，蠕虫或者其他恶意软件入侵。

在以前的专题中，我介绍过建立事故相应策略的方法，以及应对

安全事故所采取的标准步骤。但是安全事故的种类很多，规模和目标也不相同。因此，虽然建立一个全面的安全策略非常重要，对于特定的安全事故，还是要有特定的事故应对计划。

之所以要撰写本文，主要是由于目前恶意软件日益猖獗。一个针对恶意软件入侵事故的应对计划并不是针对恶意软件攻击行为的，而是考虑如何在攻击发生后该如何处理。

什么是恶意软件？

恶意软件是一种在用户不知情的情况下植入系统的恶意代码或程序，它依赖于网络，可以降低数据或程序的保密性，完整性以及可用性。恶意软件对于网络安全有极大的破坏性，而要恢复被恶意软件感染的系统，人力和财力成本都相当高。

我们可以将恶意软件威胁分为五大类。以下是每一类的大致介绍：

◆病毒: 这是一种可以自我复制的代码，它将自身植入到宿主程序或数据文件中。病毒可以攻击

操作系统和应用程序。

◆蠕虫: 自我复制自我执行的独立程序。蠕虫可以自我复制，并且不需要宿主程序或文件。

◆特洛伊木马: 这是独立的非自我复制的程序。这类程序看似无害，但内含了恶意操作。木马程序一般是通过其他攻击软件被植入操作系统的。

◆恶意移动代码: 这种恶意软件试图将自身从远程系统下载到用户本地系统。攻击者一般是用这种方式将病毒，蠕虫或者特洛伊木马下载到用户的电脑中。这种恶意代码利用了系统的默认权限以及系统漏洞获取控制能力

◆追踪cookies:这种代码存在于很多网站上，它通过cookie的形式允许第三方程序追踪和记录用户的上网行为，攻击者一般联合利用追踪cookie和Web漏洞。

以上是几类主要的威胁用户和网络安全的恶意软件。当这些恶意软件成功进入了用户的系统，又该怎么处理呢？以下是六点有效的恶意软件入侵响应动作：

1.准备工作: 建立针对恶意软件入侵事件的应急策略以及处理方案。通过典型的恶意软件对制定的应对策略进行测试，以便确认所制定的方案可以在实战中应用。

2.检测和分析: 安装和监视反病毒软件／反恶意软件程序。经常阅读由反病毒软件厂商提供的恶意软件预警信息。在可移动存储设备上保存一份最新的恶意软件识别和杀除工具，并测试其运行效果。同时采用其他一些分析方式。

3.遏制: 准备关闭服务器／工作站，或者关闭某一服务（如电子邮件，Web服务，或者互联网接入服务）以便将恶意软件的危害控制在一定范围。至于到底该停止哪些服务，则需要根据恶意软件的性质来决定。尽早采取遏制措施可以防止恶意软件进一步传播，将内部网络或外部网络的损失降到最低。

4.铲除: 通过各种可靠的技术将恶意软件从系统中删除 。

5.恢复: 恢复受感染系统上的数据的机密性，完整性和可用性，然后撤销遏制工作。这包括重新连接系统／网络，利用最新的安全备份文件重新建立受损的系统。事故响应团队应该对恢复网络服务的风险进行评估，而这个评估将会左右管理者决定是否以及何时恢复被停止的服务。

6.报告: 在每次恶意软件入侵事件后总结经验教训以避免重复错误。调整安全策略和安全软件设置，增加恶意软件检测和预防控制。

结束语

在应对恶意软件入侵事件时，你可以使用各种检测和监视工具，但是你仍然需要用户的协助。你要指导用户学会如何识别入侵，并教会他们如何在遭受攻击后实施正确的操作。

解决安全问题 保护好Windows操作系统

解决安全问题 保护好Windows操作系统

天极yesky

使用Windows的人非常多，而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多，安全隐患也很多，不过经过适当的设置和调整，你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整，希望对你有用。

这篇文章将针对一些常见的安全问题给你一些解决方法，其中大部分的操作都是针对Windows 2000/XP的。

准备活动

给系统安装补丁程序的重要性是不言而喻的，尤其是一些重要的安全补丁和针对IE，OE漏洞的补丁(即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序，这些东西一般都可以通过Windows Update来安装。你需要做的只是经常性的访问Windows Update网站 。或者直接点击开始菜单中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加进步了，可以自动检查更新，在后台下载，完成后通知你下载完成并询问是否开始安装。对于Windows 2000/XP的用户，微软还提供了一个检查安全性的实用工具：基准安全分析器(Microsoft Baseline Security Analyzer)，这个程序可以自动对你的系统进行安全性检测，并且对于出现的问题，都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。

在你安装了所有的补丁程序后，下面开始我们的调整设置。

重命名和禁用默认的帐户

安装好Windows后，系统会自动建立两个账户：Administrator和Guest，其中Administrator拥有最高的权限，Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题，他将轻易的得知你的超级用户的名称，剩下的就是寻找密码了。因此，安全的做法是把Administrator账户的名称改掉，然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是：

在运行中输入secpol.msc然后回车，打开“Local Security Settings(本地安全设置)”对话框，依次展开Local Policies(本地策略)-Security Options(安全选项)，在右侧窗口有一个“Accounts: Rename administrator (guest) account(账户：重命名Administrator/Guest账户)”的策略，双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户，以迷惑闯入者。

　　安全选项的设置

同样是在Local Security Settings中，展开Local Policies-Security Options，这里还有很多其它的设置，经过合理的配置，可以使你的系统更加安全。一下列举的选项最好全部禁止：

Interactive logon: Do not require CTRL+ALT+DEL，交互式登录：不需要按Ctrl+Alt+Del。

Network access: Allow anonymous SID/name translation，网络访问：允许匿名SID/名称转换。

Network access: Let Everyone permissions apply to anonymous users，网络访问：让Everyone权限应用到匿名用户。

Recovery console: Allow automatic administrative logon，故障恢复控制台：允许自动系统管理级登录。

而以下的选项最好启用：

Devices: Restrict CD-ROM access to locally logged-on user only,设备：只有本地登录的用户才能访问CD-ROM。

Devices: Restrict floppy access to locally logged-on user only，设备：只有本地登录的用户才能访问软驱。

Interactive logon: Do not display last user name，交互式登录：不显示上一次使用的用户名。

Network access: Do not allow anonymous enumeration of SAM accounts，网络访问：不允许匿名SAM帐户的匿名枚举。

Network access: Do not allow anonymous enumeration of SAM accounts & shares，网络访问：不允许SAM账户和共享的匿名枚举。

Network security: Do not store LAN Manager hash value on next password change，网络安全：不要在下次更改密码时存储LAN Manager的Hash值。

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ，系统对象：增强内部系统对象的默认权限(例如Symbolic Links)。

可靠的密码

尽管绝对安全的密码时不存在的，但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local Security Settings。展开到Account Policies-Password Policy，经过这里的配置，你就可以建立一个完备密码策略，并且你的密码也可以得到最大限度的保护。

Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换，配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age这个策略，就能保证密码安全了。默认情况下，这个策略不保存用户的密码，你可以自己设置，建议保存5个以上，而最多可以保存24个。

Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。

Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce password history结合起来就可以得知新的密码是否是以前使用过的，如果是，则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用，而最大值为999。

Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度，有效值在0到14之间。如果设置为0，则表示不需要密码。建议的密码长度不能小于6位。

Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略，则在设置和更改一个密码的时候，系统将会按照下面的规则检查密码是否有效：密码不能包含全部或者部分的用户名。

最少包括6个字符。

并且在字符的使用上还要遵循以下的规则，密码必须是：

英文字母，A-Z，大小写敏感。

基本的10个数字，0-9。

不能包含特殊字符，例如!,$,#,%等等。

如果启用了这个策略，相信你的密码就会比较安全了。

Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显，这个策略最好不要启用。

安全使用Internet Explorer

Internet Explorer是当今最流行的浏览器软件。因为使用的人多，因此IE被发现的安全性问题也就最多，不过没关系，看过本节，你完全可以使你的IE更加安全。需要注意的是，以下的叙述全部以IE 6.0版为准，如果你使用了较低的版本，有些细节方面可能会不一样。

打开Internet Explorer，依次点击工具-Internet选项，然后打开安全选项卡。

在安全选项卡中选择“Internet”，就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置，不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别)。会出现图三的窗口，这里显示了所有的IE安全设置。

Download signed ActiveX controls(下载已签名的ActiveX控件)。经过第三方的认证机构签名证明该ActiveX控件是安全的，并且你可以设置为允许下载这种控件，除非你不想安装任何ActiveX控件，或者你想自己从一些网站下载，例如Windows Update，还有播放Flash的插件等。

Download unsigned ActiveX controls(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX控件相比，未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用，或禁用，或者设置为询问，这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。

Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX控件进行初始化和脚本运行)。跟前面的设置类似的，如果你之前都设置为禁用，那么这个选项同样禁用就可以，否则可以设置为询问(建议的设置)或者允许(不建议)来禁止那些为经签名的控件运行。

Run ActiveX controls & plug-ins(运行ActiveX控件和插件)。假设你已经禁止了所有ActiveX控件和插件的运行，那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。

Script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。

Active scripting(活动脚本)。现在各种的脚本程序非常流行，通过脚本程序可以建立很多实用的网页，例如Windows Update网页，就是通过脚本程序来判断你需要下载的补丁的。因此如果禁用掉脚本程序，一些网页将不能正常浏览。这里建议你设置为禁用，至于少数重要的但是不能正常浏览的网页，我们将在后面看到解决办法。

Allow paste operations via script(允许通过脚本进行粘贴操作)。这个选项允许网页通过脚本把文件复制进你的剪贴板，为了安全考虑最好禁用。

Scripting of Java applets(JAVA小程序脚本)。javascript是一种公开的，多平台，面向对象的脚本语言。很多网页中都使用了JAVA脚本，但是安全起见最好禁用它。

如果以上的设置会影响到少数你必须要访问的站点(例如Windows Update网站)，但是安全起见你又不想把Internet区域的安全级别设置的太低，那么你可以把一些你信任的站点添加到Trusted sites(信任站点)中去。方法是：

在Internet选项的安全选项卡下，点击Trusted sites(信任站点)，然后点击Sites(站点)按钮，会出现图四的窗口，在新窗口中输入我们希望添加的网络地址(例如https://windowsupdate.microsoft.com)然后点击右侧的Add(添加)，这样就可以了。

现在，打开Internet选项中的Content(内容)选项卡，点击AutoComplete(自动完成)，在这里也有一些东西需要调整。

对于所列出来的每一项，自动完成功能都会保存特定的内容，其中Web address(Web地址)会保存你在IE地址栏中输入过的内容; Forms(表单)会保存你在网页中填写的资料，例如论坛上的发言(除用户名和密码)，搜索引擎中使用过的关键字;User names and passwords on forms(表单上的用户名和密码)会保存你登陆论坛或其它网页时输入的用户名和密码。自动完成可以帮助你节省很多时间，但是同时也带来了很大的安全隐患。一旦有人使用你的账号登陆，你登陆网站的用户名和密码等资料就有可能全部被别人看到。因此你可以根据你的电脑的使用情况适当的调整，决定哪些内容可以自动保存，哪些不行。

现在我们转到Internet选项的高级选项卡。这里有一下几点需要注意：

Use Passive FTP (for firewall & DSL modem compatibility)(使用被动FTP，为防火墙和DSL调制解调器兼容性)，这个设置将会允许在使用IE浏览FTP服务器时使用被动模式 ,这种模式更加安全，因为服务器方无法获得你的IP地址，如果某些FTP服务器你不能正常访问，就可以试试启用或者禁用这个设置。

Check for publisher’s certificate revocation(检查发行商的证书吊销)，如果选择了这个选项，当你访问某些需要认证的站点时，IE会首先检查给站点提供的证书是否依然有效。一般情况下，建议你启用这个设置。

Check for server certificate revocation(检查服务器的证书吊销)，这个选项将会使IE检查站点服务器的证书是否仍然有效，一般也应该启用这个设置。

Check for signatures on downloaded programs(检查下载的程序的签名)，如果启用了这个设置，在你下载了程序后IE会通过签名自动检查程序是否被非法改动过。一般应当启用这个设置。

Do not save encrypted page to disk(不将加密的页面存入硬盘)，启用了这个选项后，对于加密页面(主要是URL以https打头的)将不会保存到Internet临时文件夹中。如果多人共用同一台电脑，这个选项是很有必要的，这样别人就无法通过Internet临时文件窥探到你访问过的加密网页了(例如某些电子商务网站的信用卡付费页面)。

接下来的三个设置：Use SSL 2.0, Use SSL 3.0 & Use TLS 1.0( 使用SSL 2.0, 使用SSL 3.0和使用 TLS 1.0)都跟在Internet上通过协议加密数据有关。例如一些网站的身分认证和重要数据的传输，在这过程中都会使用到SSL加密。因此最佳建议是这三个选项全部启用。但是如果启用后你访问某些加密站点时出现错误，那么可以禁用除SSL 2.0之外的其它两个协议，因为不同版本之间可能会有冲突，而SSL 2.0是被采用的最广泛的，一般的加密站点都会支持。

Warn about invalid site certificates(对无效站点证书发出警告)，启用这个设置之后，在遇到无效的站点证书时IE就会发出警告，提醒你注意。一般情况下可以启用这个。

Warn about changing between secure & not secure mode(在安全和非安全模式之间转换时发出警告)，当启用这个设置之后，如果你要从一个安全的网页(可能是经过SSL加密的)进入到一个不安全的网页的时候，IE会发出警告提醒你，以避免你在不知情的情况下泄漏一些私人的信息。

Warn if forms submittal is being redirected(重定向提交的表单时发出警告)，启用这个设置后，你在某些论坛或类似的地方提交的一些信息如果被发送到了其它的服务器上，IE就会发出警报提醒你。所以安全起见这个也应当启用。　安全使用Outlook Express

Outlook Express是Windows自带的一个电子邮件程序，通过OE不仅可以收发电子邮件，还可以浏览新闻组，十分方便。不过很多人并不喜欢这个程序，还想千方百计的把它从自己的系统中卸载掉，主要是因为使用OE容易传染病毒。菜刀也容易伤人呢，但是每个家庭都得有个菜刀吧，所以，与其考虑怎么卸载OE还不如考虑一下怎么设置才能让OE更安全。本节全部以OE 6为主，如果你使用得是较低的版本，某些细节方面可能会不同。

OE的主要设置都可以在工具-选项下看到，在这里我们主要关注的是安全选项卡。

Select the Internet Explorer security zone to use(选择要使用的Internet Explorer安全区域)，这个设置可以让你决定把电子邮件(尤其是使用HTML语言的电子邮件)当作什么安全区域对待(也就是我们在Internet Explorer的Internet选项中设置的不同安全级别的区域).把它设置为Restricted sites zone(受限制的区域)是比较明智和安全的做法。这样，如果你收到的HTML邮件中含有一些有害的代码就不会危害到你的系统了。

Warn me when other applications try to send mail as me(当其他程序以我的名义发送电子邮件时提醒我)，这也是一个很有效的安全策略，曾经有很多病毒都是通过OE的地址簿中的联系人地址来发送含病毒的右键来扩散的，而启用这个设置就可以有效的解决这个问题。一旦有其他程序通过OE发送电子邮件，OE会首先询问你是否发送，对于那些可疑的右键，只要取消发送就可以了。

Do not allow attachments to be saved or opened that could potentially be a virus(不允许可能包含病毒的附件被保存或者被打开)，当启用这个设置后，电子邮件中某些格式的附件就不能被保存和打开了，这时如果你收到了含有附件的右键，保存和打开附件的选项将为不可用，进一步增强了安全性。

加固你的Internet连接

默认情况下，为了建立网络连接，Windows会安装很多协议和运行很多服务其中一些协议和服务都不是必须的，例如NetBIOS、文件和打印机共享等，而“最小的服务+最小的权限=最大的安全”这个等式是永远成立的，因此我们有必要关掉不需要的服务，卸载不需要的协议，来增强我们的系统安全。

对于Windows 9x/Me的系统

1.在控制面板中双击网络图标

2.选择Microsoft网络客户端，然后点击卸载

3.禁用文件和打印机共享，如果你确实需要共享，可以给它们设置一个密码

4.选择TCP/IP，然后点击属性按钮，打开NetBIOS选项卡，取消对“我要在TCP/IP上使用NetBIOS的选择。然后选择DNS设置选项卡，并选择禁用DNS(如果你确实不需要的话)。在WINS设置选项卡下，选中禁用WINS解析

5.确定，然后重启动电脑

对于Windows 2000/XP的系统

1.打开控制面板中的网络连接，右键点击Internet连接，选择属性

2.如果你不需要共享文件和打印机，那么选中并卸载(可以不卸载，但是至少不要再使用)Windows网络的文件和打印机共享

3.双击Internet 协议 (TCP/IP)，然后点击高级按钮

4.打开WINS选项卡，取消对启用LMHOSTS查询的选择，然后选择禁用TCP/IP上的NetBIOS

5.在运行中输入Services.msc然后回车

6.找到TCP/IP NetBIOS Helper这个服务，把这个服务停止掉，并且设置启动类型为手动或者禁止

7. 重启动电脑

防火墙和杀毒软件

不管你做了怎样的设置，只要你连接在Internet上，防火墙都是必要的。防火墙可以完全保护你的系统，把网络上有害的东西挡在门外。推荐你使用的防火墙主要有两种，一是Symantec公司的Norton Internet Security，这个软件不仅包含网络防火墙，还包含Norton Antivirus，一个著名的杀毒软件。Norton Internet Security的功能非常强大，不仅可以防病毒，防黑客，还可以帮助你过滤浏览网页时看到的广告，过滤收到的电子邮件，过滤网络中的一些色情和其它非法内容。不过Norton Internet Security对系统的要求比较高老的电脑运行起来可能会慢一些。这样的话你可以试试Zone Alarm或者国产的天网，他们对系统的要求都不错，功能也够强大，还有一点，他们两者都可以从互联网上免费下载到。

对于使用Windows XP的用户也可以用系统自带的防火墙，虽然没有那么多花哨的功能，不过最基本的防护还是可以胜任的。启用的方法是：打开控制面板-网络和Internet连接，双击网络连接打开属性对话框，在高级选项卡下，选中在我的电脑上使用Internet连接防火墙，之后还可以点击设置进行更进一步的配置。

总结

经过以上的设置，你的系统安全应该提高不少了，不过需要注意的是，不管在系统和软件上做怎样的防护，正确的使用习惯才是最重要的，因此从现在就开始养成良好的使用习惯的，否则在怎么防护也是白搭。希望你能有一个安全的系统!

十大隐患服务细评 关于Windows操作系统

十大隐患服务细评　关于Windows操作系统

天极yesky

　　现在不少人倾向于使用Server版的操作系统进行网络服务的架设。不可否认，和Pro版系统相比，Server版的系统的确给个人用户提供了更为强大的网络管理功能。但是，当你查看系统进程时，面对众多进程，你可知Server版操作系统在你的后台启动了哪些服务吗?这些服务安全吗?你是否真的需要这些服务呢?

　　普通用户常用Windows 2000 Server来架设个人服务器，然而在系统运行时自动启动的服务中，有些是系统运行所必需的，有些是可以停用或禁用的。同时，很多服务还存在一些安全隐患，我们必须将这些危险服务关闭。看来，随随便便地享受“服务”也会给我们带来安全隐患。今天就让我们来了解一下个人服务器架设者们需要更改或慎用的十大服务。

　　提示:系统为Windows 2000 Pro的用户同样可以通过本文了解自己的系统中的服务。由于该系统是针对家庭个人用户的，它所提供的网络方面的管理工具并不完善，所以，对于想架设个人服务器的普通用户来说，还是应该采用Windows 2000 Server。

　　Messenger

　　危害种类:信息骚扰

　　危害系数:★★★

　　这是发送和接收系统管理员或“警报器”服务消息的服务。

　　自微软公司于90年代中期推出32位操作系统以来，该服务就一直是Windows操作系统中不可缺少的一部分。

　　现在，很多垃圾邮件发送者都利用这一功能向计算机用户发送垃圾信息，建议大家禁用该服务。

　　Remote Registry Service

　　危害种类:恶意攻击

　　危害系数:★★★★

　　该服务允许远程用户通过简单的连接就能修改本地计算机上的注册表设置。

　　知道管理员账号和密码的人远程访问注册表是很容易的。打开注册表编辑器，选择“文件”菜单中的“连接网络注册表”选项，在“选择计算机”对话框里的“输入要选择的对象名称”下的输入框中输入对方的IP地址，点击“确定”按钮便会出现一个“输入网络密码”对话框，输入管理员账号和密码，点击“确定”按钮后就可对目标机器的注册表进行修改了。

　　现在，不少木马后门程序可以通过此服务来修改目标机器的注册表，强烈建议大家禁用该项服务。

　　ClipBook

　　危害种类:信息泄露

　　危害系数:★★★

　　这个服务允许任何已连接的网络中的其他用户查看本机的剪贴板。为了安全，强烈建议大家将该服务设置为手动。ClipBook所支持的ClipBook Viewer程序可以允许剪贴页被远程计算机上的ClipBook浏览，可以使用户能够通过网络连接来剪切和粘贴文本和图形。

　　Computer Browser

　　危害种类:信息泄露

　　危害系数:★★

　　这个服务可以将当前机器所使用网络上的计算机列表提供给那些请求得到该列表的程序(很有可能是恶意程序)，很多黑客可以通过这个列表得知当前网络中所有在线计算机的标志并展开进一步的攻击。建议一般用户禁用该服务。

　　Indexing Service

　　危害种类:信息泄露

　　危害系数:★★★★★

　　Indexing Service是一个搜索引擎。这个索引服务应该算是多数IIS Web服务器上诸多安全弱点的根源。同时，它也是很多蠕虫病毒爆发的罪魁祸首，例如曾流行一时的红色代码就是利用IIS的缓冲区溢出漏洞和索引服务来进行传播的，而著名的蓝色代码和尼姆达则是分别利用IIS服务的IFRAMEExecCommand、Unicode漏洞来进行传播。

　　因此，如果你不需要架设Web服务器，请一定要关闭该项服务。

DNS Client

　　危害种类:信息泄露

　　危害系数:★★

　　该服务是用于查询DNS缓存记录的。可用于对某个已入侵的系统进行DNS查询，可加速DNS查询的速度。攻击者在取得用户的Shell后，可以通过ipconfig/displaydns命令查看用户的缓存内容，获知你所访问过的网站。

　　Server

　　危害种类:信息泄露、恶意攻击

　　危害系数:★★★★★

　　该服务提供RPC支持以及文件、打印和命名管道共享。Server服务是作为文件系统驱动器来实现的，可以处理I/O请求。如果用户没有提供适当的保护，会暴露系统文件和打印机资源。

　　对于Windows 2000系统而言，这是一个高风险服务。Windows 2000中默认共享的存在就是该服务的问题。如果不禁用该服务，每次注销系统或开机后，默认共享就会打开，你的所有重要信息都将暴露出来。同时，由于很多Windows 2000使用者为了使用方便把管理员密码设置为空密码或非常简单的密码组合，这给了黑客可乘之机。

　　在此提醒大家，除非你打算在Windows网络上共享文件或打印机，否则就不要运行该服务。

　　Workstation

　　危害种类:信息泄露

　　危害系数:★★★

　　该服务以一个文件系统驱动器的形式工作，并且可以允许用户访问位于Windows网络上的资源。该服务应当只在位于某个内部网络中并受到某个防火墙保护的工作站和服务器上运行。在任何可以连接到Internet的服务器上都应该禁用这个服务。需要提醒大家的是一些独立服务器(例如Web服务器)是不应当加入到某个Windows网络中的。

　　TCP/IP NetBIOS Helper Service

　　危害种类:恶意攻击

　　危害系数:★★★★

　　在Windows构建的网络中，每一台主机的唯一标志信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上，它就和一个后门程序差不多了。它很有可能暴露出当前系统中的NetBIOS安全性弱点，例如大家所熟悉的139端口入侵就是利用了此服务。

　　由于NetBIOS是基于局域网的，因此，只需要访问Internet资源的一般用户可以禁用它，除非你的系统处于局域网中。

　　Terminal Services

　　危害种类:恶意攻击

　　危害系数:★★★★★

　　该服务提供多会话环境，允许客户端设备访问虚拟的系统桌面会话以及运行在服务器上的基于Windows的程序并打开默认为3389的对外端口，允许外来IP的连接(著名的3389攻击所依靠的服务就是它)。对于这个非常危险的服务，只有“禁用”。

　　配置服务的方法:进入“服务”窗口，右键点击要配置的服务，然后点击“属性”。可根据需要在“常规”选项卡中，点击“自动”、“手动”或“已禁用”。

　　这么多有安全隐患的服务如果没有被广大的个人服务器爱好者所关注，那么黑客入侵简直是易如反掌，服务器被攻占只是迟早的事。笔者在此提醒大家，不要忽略一切看似微不足道的设置，其实合理运用Windows自身的安全机制，也能很好地提升服务器的安全系数。

网络流行病毒查杀防护攻略

太平洋电脑网

作者：张永强

　　引：随着计算机网络和Internet技术的快速发展，信息内容面临着比过去更多的威胁，病毒破坏、蠕虫攻击、木马控制、垃圾邮件侵害以及其它具有黑客性质的入侵行为，都造成信息内容的不安全。

　　随着计算机网络和Internet技术的快速发展，信息内容面临着比过去更多的威胁，病毒破坏、蠕虫攻击、木马控制、垃圾邮件侵害以及其它具有黑客性质的入侵行为，都造成信息内容的不安全，导致数据破坏、系统异常、网络瘫痪，其破坏性越来越大。因此，如何认识计算机病毒，建立全面有效的病毒查杀防护体系至关重要。

1、浏览器劫持病毒类

　　黄山IE修复专家是一款反浏览器劫持病毒软件，他超越IE修复极限，立足永久修复的治本之点。同时具备IE修复、查杀QQ病毒等各种以服务方式运行的病毒、查杀各类木马(无进程木马、插入线程木马)、清除各种间谍广告程序、各种流行病毒及系统救援与日志上报于一身，一套等于多套。

　　修复易死灰复燃顽固性、古怪性恶意网页所破坏的不能完全彻底修复的IE，专门清除间隔一段时间自动弹出恶意网页、多开几次IE及重起系统后又会被反复篡改的不能从注册表、进程、服务、启动项等清除的挥之不去、除之不尽的奇怪恶意代码；一次性根除在用户在打开文本文件、可执行文件、浏览器、我的电脑、驱动器等又会死灰复燃的关联性病毒。在修复时自动为系统建立备份快照，自动创建浏览器劫持日志供用户查看、分析。特点：集预防、修复、免疫、救援四大功能于一身无需实时监控，也可实现恶意网站预防及免疫，从而减少系统开销，已免疫过的恶意站点以后将不会被感染。可以清除用其他杀毒软件在正常模式与安全模式下也无法删除、清除失败的病毒文件。

　　鉴于以上查杀功能，重新启动机子按F8进入安全模式后，再运行黄山IE修复专家，即可修复各种浏览器劫持病毒

2、木马病毒类

　　木马杀客是一款短小精焊，使用方便，不可多得的产品，他采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、QQ尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能，木马感染内存及修改注册表启动等都将被监控查杀。还有网络连接状态、启动项目查看及管理、内存监控、软件卸载、注册表备份及修复、右键扫描、灰鸽子专杀。而且软件支持在线升级。

　　对木马杀客有所认识后，进入安全模式运行该软件，对硬盘扫描即可杀掉各种病毒。

3、实时防护

　　AVG Anti-Virus是欧洲有名的杀毒软件，AVG Anti-Virus System在功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄,防止电脑病毒透过电子邮件和附加文件传播；“病毒资料库"里面则记录了一些电脑病毒的特性和发作日期等相关资讯；”开机保护"可在电脑开机时侦测开机型病毒，防止开机型病毒感染。

　　在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄.在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄.可扫瞄文件型病毒、巨集病毒、压缩文件(支持ZIP，ARJ，RAR等压缩文件即时解压缩扫描)。

　　在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至AVG Virus VauIt,待扫瞄完成后在一并解毒。支持在线升级。现在提供了最新的免费版供大家使用,安装之前先去官方网站填个表，从回信中得到一个序列号。AVG Anti-Virus 有三个版本(专业、服务器、免费)，其中有个人非营利使用的免费版本，功能完整，但是仅某部份功能是无法设定的，例如扫毒排程只能每天一次等等。

　　各种各样的病毒无时无刻不在对系统的安全构成威胁，现在我们只要运行AVG软件并及时更新病毒库就可确保系统的安全了。

　　总之病毒并不像想象中的那么神秘和无孔不入，只要我们能够正确的使用计算机，养成良好的习惯，将防毒措施贯彻到平时的工作当中去，就能够避免病毒感染计算机。一旦发现计算机被病毒感染，及时切断传播路径，对其进行彻底查杀，防止病毒通过网络进一步扩散，造成更严重的灾难。