紧急通知清心论坛服务器更新维护 /滚石

这段恶意代码利用了微软浏览器Internet Explorer的一个漏洞（MS06-014）。很多网页恶意代码都是针对微软浏览器Internet Explorer的漏洞。建议大家使用火狐浏览器Firefox（可以从http://www.mozilla.com免费下载最新版本）。这个漏洞已经被微软的视窗更新补上。如果有安装最新的微软视窗更新，不会中毒。所以大家要及时安装微软操作系统的更新补丁。

这段恶意代码执行时会从另外一个黑客网站下载一个木马安装文件。如果有装防火墙，这时防火墙会提醒有新文件要访问互联网的连接企图。最初这个页面的恶意代码就是这样发现的。建议大家安装防火墙并仔细阅读防火墙的提示信息。

这段恶意代码会把下载的木马安装文件存入系统目录（C:\Windows\System32\）并执行。如果当前的视窗用户不是管理员级别的用户，恶意代码把木马安装文件存入系统目录时会被拒绝，这一步会失败，就没有后续的木马安装了。建议大家平时使用非管理员帐户使用电脑，只有在需要用到管理员权限时才使用管理员帐户。

假如木马安装程序被成功保存，执行时Avira AntiVir（小红伞）会提示这个文件是木马安装程序，假如系统有安装小红伞的话。小红伞是一个免费杀病毒软件，占用系统资源少，建议大家使用。小红伞可以侦测到很多Word文件和PDF文件中夹带的病毒。最新版本可以从http://free-av.com/下载。

假如木马安装程序成功执行，它会在系统中创建一个木马文件和一个系统服务。木马文件是创建在系统的程序目录（C:\Program Files\），创建时需要管理员权限。如果是非管理员用户，木马文件创建会失败。创建系统服务时要修改系统注册表，修改系统注册表需要管理员权限。如果是非管理员，修改系统注册表会失败，从而导致木马安装失败。小红伞会侦测到创建的木马文件。如果有安装小红伞，木马安装也会失败。

假如木马文件被成功安装，该木马会监测用户的键盘，记录所访问的网站，登录邮箱所用的用户名和密码，网站购买机票所用的信用卡号码等等。最近我们找到了一个木马记录文件，其中记录了用户到网上寻找机票和购买机票的全过程，包括使用的两张信用卡的号码、家庭住址，邮箱等详细信息。该用户还上过其它网站的编辑后台，导致编辑后台的信息泄漏。

通过以上的案例分析，大家可以看到以下三个重点：

1、我们经常浏览的大众网站也可能在某些时候被邪恶恶意破坏（从2000年到目前的统计看，平均每几个月都会有大众网站被入侵），所以无论什么时候在用户自己的机器上作足够的对应保护措施都是必要的。

2、用户自己的机器上有下面任何一种简单的保护措施都可以及时发现或避免在这个案例中中招：

A、用户日常网络活动使用的是非Windows管理员账号。这个从操作系统的功能上就直接阻止了这个病毒木马能够修改/添加系统文件。

B、用户有合适的防火墙（比如Zone Alarm）和反病毒程序（比如小红伞等），能够拦截陌生程序连网和修改系统文件。

C、用户做了及时的系统更新和对应软件（OFFICE/ADOBE等）的更新。

D、建议使用Firefox浏览器，和Thunderbird电子邮件软件，这两款软件相对IE浏览器，和Outlook电子邮件软件，要安全的多。

作为系统的整体安全来讲，前三种保护措施要同时做到，并强烈建议做到第四种保护措施。

关于软件更新，再多说几句。程序都有漏洞，无论是微软的Windows系统还是应用软件，例如：photoshop，adobe（读PDF文件），flash player（播放闪画），MS media player（播放录像），Real Player（播放录像），Skype，等等。软件更新（Update）就是软件开发公司给发现的安全漏洞打补丁。那么如何知道这些软件需要更新（打补丁）呢？Secunia PSI是一款著名的免费安全软件，可以帮助你追踪软件的补丁发布，并帮助你打上补丁。明慧有专文介绍：用PSI检查和修补电脑上所有软件的安全漏洞

另外，一些软件有自动更新的功能，如微软有提供两种自动更新，一个叫做“Windows Update”（视窗更新），一个叫做“Microsoft Update”（微软更新）。Windows Update只负责更新Windows操作系统，而Microsoft Update负责更新所有的Microsoft软件，包括Windows操作系统，MS Office（Word，Excel等），等。所以大家要用Microsoft Update。

3.用户中招后的处理方法：

对于非专业用户来讲，目前的木马利用的技术相当复杂，从新安装系统几乎是唯一的方法。

建议：使用Acronis True Image软件在重装系统之后做一个干净的系统盘备份镜像，这样就不用每次都重装系统，下次只要用这个干净的备份镜像从新恢复系统盘即可，省时省力。

在以后的文章中，我们会继续分析一些典型网络安全的案例，并给出一般的应对技术措施，事故发生后的处理方法等。欢迎大家反馈更多的意见。

(English Translation: http://www.clearwisdom.net/emh/articles/2008/7/23/99177.html)

电脑安全案例分析及处理建议（二）

—— 案例二：打开电子邮件附件

【明慧网二零零八年七月十九日】在海外，由于我们很多学员对计算机安全的重视不够，令许多同修的电脑感染上中共专门设计的病毒，许多资料和信息被盗走，有的电子邮箱长期被邪恶進入，有的电脑被装上监视键盘的木马，所有的密码都被窃取。其中造成的损失无法估量。

案例二：打开电子邮件附件

电子邮件的广泛使用使得电子邮件成为邪恶攻击的重点。电子邮件攻击的一种通常方式是邮件内容中有恶意链接，链接指向的网页含恶意代码，访问这些网页就有可能导致中毒。这种情况在前一篇文章中已经介绍了。另外一种通常方式就是电子邮件的附件就直接带有病毒。目前我们发现Word文档、RTF文档、PDF文档都有可能包含病毒木马。其它不常见的文档格式也都有可能包含病毒木马，比如Excel文档、PowerPoint文档等。一旦打开附件，在特定的条件下文档中嵌入的病毒木马就会被执行。执行的结果是电脑上被装上木马程序，以窃取电脑使用者的信息。我们来看看一些例子，从中可以看出我们应该如何防范。

附件带病毒的邮件一般会有非常吸引人的标题，下面是一些例子：

From： “冯玉宝”

Subject：加法轮功学员起诉江泽民案获突破性进展

附件：MHReport1.doc

这个邮件利用了大家对案件进展的关心。这类邮件比较好识别。因为我不认识这个发信人，为什么他要发这个消息给我？如果真有这个消息，我自己到网站上看好了，为什么要看邮件附件？所以我知道这是病毒，会直接删掉。