Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /hd2/.XDATA/home/f2blog/_www_/include/db.php on line 18 電腦病毒的威脅種類與防護 - 電腦網路相關 - Damon 水果報報

電腦病毒的威脅種類與防護

用Linux 的作業系統當 server 有六年了,從未發生病毒而當機的困擾,而自己的 pc 一中毒後,我就是 ghost 回復,從來不去解毒,因為資料都是存在 nas 裏頭,不過愈來愈多客戶有病毒的困擾,為了助人的念頭,決定開始來研究怎麼防毒… 找了一些資料,現在電腦的威脅還真不少:

 

Adware(廣告軟體)
一種廣告顯示軟體,特別是指某些可能以一種用戶想不到和不希望的方式或上下文主要用於潛在地傳遞廣告內容的可執行應用軟體。很多廣告應用軟體還具有跟蹤功能,因此也可能被歸類為跟蹤技術。如果有些消費者反對這樣的跟蹤,不希望看到程序生成的廣告,或者對程序對系統性能的影響感到失望,他們可能希望移除廣告軟體。另一方面,如果廣告程序的出現可以降低得到某種想要的產品或服務的成本,或者它們可以提供像對用戶正在考慮或尋找的產品的具有競爭力的或者補充的廣告,對用戶有用或者是用戶想要的,有些用戶可能希望保留特定的廣告程序。(來源:反間諜軟體聯盟)

BOT病毒
BOT是機器人(Robot)的縮寫,是被設計用於自動執行任務的一種程序。最初,bot是用於在UNIX環境中自動執行那些系統管理員要經常執行的無聊的任務。一些bot可以模擬人類對問題的反應,和用戶自動地聊天。Bot也可以被惡意的用於遠程攻擊者控制受害的電腦。許多bot的實質就是這樣,控制一台電腦與控制10萬台電腦一樣容易。Bot可以用於發送垃圾郵件,下載和存儲非法文件,如某些類型的色情文學文件,或者使電腦加入對其他電腦的攻擊。有種bot可以用作搜索受害電腦的硬盤驅動器,將機密訊息發送到互聯網上的遠程站點以竊取別人身份訊息。感染bot病毒的電腦通常被稱為靶標(drones)或者殭屍(zombies)。

 

BOTNET(殭屍網絡病毒)
一個botnet是一組被相同的「命令與控制中心」控制的受bot病毒感染的電腦。最近點對點(P2P)botnet已經被使用。這些botnet沒有傳統的命令與控制中心,而是全部都是同一支「軍隊」的一部分。

 

Hoaxes(惡作劇病毒)
Hoaxes通常是無聊惡作劇,使用連鎖電子郵件的形式,而且還經常使用城市傳說(Urban Legends)。電腦惡作劇病毒試圖在收件人中造成恐懼、疑惑和懷疑(FUD),使他們相信他們的系統中有一種「無法偵測出來的病毒」(如果您可以刪除它,那麼它怎麼能被偵測到呢?)。有些實際上就是要求收件人從他們的系統中刪除文件的惡意內容。他們應該很簡單地刪除掉。發送它們給20個您的朋友不會給您帶來任何好運,也不是您知道任何有關您的電腦的安全性的方式。
Snopes(http://www.snopes.com/)是一個關於惡作劇病毒、城市傳說和欺詐病毒(scam)的優秀資源。
http://www.virushoax.co.uk/ 網站Electronic Ephemera站點包含了許多一般惡作劇病毒的訊息,以及關於欺詐病毒如代理費欺騙病毒(advanced fraud fee scams)的大量訊息。 美國能源部電腦事件處理顧問功能(Computer Incident Advisory Capability),請訪問http://www.ciac.org/ciac/index.html。
Hoax Busters網站,http://hoaxbusters.ciac.org/HBHoaxCategories.htm。

 

Malware(惡意軟體)
Malware代表有惡意目的的軟體。類似Virus(病毒)、Trojan(特洛伊木馬)、Worm(蠕蟲)與Bot等術語都有特定的意義。Malware用於概括地描述任何惡意軟體,不論其技術種類。

 

Payload病毒
例如盜竊數據、刪除文件、重寫磁盤、刷新BIOS等附加功能可能包含在蠕蟲病毒或特洛伊木馬中。注意,payload病毒並不一定是破壞性的——例如Form payload病毒是一種讓鍵盤在每個月的某天產生點擊噪音的病毒——除此以外,它沒有任何損害。如果是特洛伊木馬,它會有程序員希望達到的「秘密」功能。

 

 

Phishing(網絡釣魚攻擊)
Phishing(與fishing發音一樣)是一種社會工程攻擊,試圖騙取敏感的私人訊息,如密碼和/或信用卡詳細資料。這通常是通過發送偽裝成您信任的人或交易明顯合法地要求獲取您訊息的電子郵件(或者類似通信手段)來完成的。最常見的釣魚看起來好像來自於大眾的主要街道銀行,通常會威脅您,如果您不按照指示做的話,他們會中止服務或造成您不想要的結果。有時這種郵件看起來很真誠,而且包含可能原本來自於它模仿的來源的標識和內容。通常在郵件裡會有一個帶收件人到某個網站(同樣可能看起來非常像合法站點)的鏈接,而這個站點就是用來獲取想「釣」的資料。銀行與如Ebay或者PayPal這樣的合法公司決不會在未經請求的電子郵件中要求獲得您的用戶名和密碼,記住這點非常重要。同樣值得記住的是,釣魚郵件中的鏈接儘管可能看起來是合法的,但總是會在下面指向一個不同的站點。當您想進入您的網上銀行或者其他在線服務時,請一定要打開一個新的瀏覽器會話窗口並在地址欄輸入正確的網址。

 

 

Rootkit
Rootkit是一個或者多個設計用於暗自控制一台電腦的工具的集合。最初,rootkit出現於UNIX操作系統中(包括Linux),是使得攻擊者能夠獲取和保持電腦上最高級別用戶權限(在UNIX系統中這種用戶被稱之為「root」——因此rootkit得名)的一個或者多個工具的集合。在基於Windows的系統中,rootkit更多地與對用戶隱藏程序或進程的工具相關。在安裝以後,Windows中的rootkit可以使用操作系統中的功能隱藏自身,以免被偵測出來,並且經常被用於隱藏像鍵盤記錄器之類的其他惡意程序。Rootkit的使用並不一定都是惡意的,但是它們已經越來越多地被用於不受歡迎的行為與惡意軟體中。

 

 

Scams(欺詐病毒)
Scams與phishing(網絡釣魚攻擊)十分相似,但是通常它們對獲取您的詳細資料並不感興趣,它們更多地是利用同情心或者人類的貪婪。例如,幾乎每次災難(地震、洪水、戰爭、饑荒)都會產生大量的scams,經常是用以一種「值得尊敬的」理由請求慈善援助的方式出現。代理費欺騙(有時稱為419欺騙)提供給您一個獲得大量金錢的機會,大概是通過幫助 欺詐者從一個國家轉移出更大一筆錢(通常是像尼日利亞之類的一個非洲國家)。這些scams總是會要求您寄給欺詐者一些錢用於彌補「管理」成本(常常是幾千美元)。有時,這些scams會導致被騙者不見了,這是因為被騙者旅行到另一個國家去見他們的「贈送者」時被謀殺或者綁架了。在不這麼極端的案例裡,很多人損失了成千上萬的美元給這些騙子。下面是一些避免類似scams的小貼士:

 

 

  • 合法的慈善機構通常只會給那些明確選擇(決定參加)接收來自於該慈善機構郵件的人們發送請求呼籲郵件。未經請求的類似郵件幾乎都是欺詐——特別是在一個災難事件之後很快出現的郵件。
  • 不要被表面所欺騙。電子郵件可能會通過複製一個合法機構的圖形和語言來使得自身看起來合法。很多包括災難受害者的悲慘故事。如果有疑問,直接到該機構的網站,找出通過那裡捐贈的方法,並考慮到類似http://www.charity-navigator.org/的網站驗證該慈善機構的合法性。
  • 不要直接點擊到鏈接:電子郵件中的鏈接可能會通向偽裝一個真實機構的外觀和感覺的「騙子」網站。
  • 天下沒有免費的午餐——如果看起來好的都不真實了,這幾乎都是騙局。
有關Scambusters,請看http://www.scambusters.org/Hoax%20Busters,Scams的Hoax Busters,請看http://hoaxbusters.ciac.org/HBScams.shtml。

Spyware(間諜軟體)
Spyware這個術語被用於兩種方式。
狹義上說,Spyware是指在沒有適當的通知、同意許可或者用戶控制的情況下安裝的追蹤軟體。
跟蹤經常通過報告訊息(從瀏覽歷史到信用卡或個人詳細資料的一切訊息)給第三方完成。 有些間諜軟體是作為另一個程序的一部分傳送,但是有些是作為一個蠕蟲的payload(載荷)或者通過利用瀏覽器弱點在後台靜默安裝程序的網站傳送。也有許多偽裝成反間諜軟體程序但實際上自身就是間諜軟體的程序。(http://www.spywarewarrior.org/上有流氓反間諜與反病毒程序的列表)
廣義上說,Spyware被用作反間諜軟體聯盟稱為「間諜軟體和其他潛在冗余技術」的同義詞。這可以包括一些種類的cookies、商業鍵盤記錄器和其他跟蹤技術。

 

威脅演化的非常快:這不再僅僅指病毒。間諜軟體、特洛伊木馬、蠕蟲和網絡釣魚攻擊都在上升。惡意軟體的開發者正在積極地改進它們的代碼,試圖躲避安全防護。在這裡您將找到各種資源,理解這些不斷發展的威脅的本質,它們對您的業務的影響以及為什麼預先主動防護是如此重要。

 

Trojan Horse(特洛伊木馬
Trojan Horse經常也被僅僅稱為Trojan,是一種聲稱做一件事情而實際上做另外一件事情的程序。不是總是破壞性的或者惡意的,它們常常與偵測文件、重寫硬盤驅動器之類的事情有關,或者被用於為攻擊者提供一個系統的遠程訪問權限。經典的木馬包括作為遊戲文件傳送的鍵盤記錄器或者偽裝成有用應用程序的文件刪除者。木馬可以用於多種目的,包括:

  • 遠程訪問(有時稱為遠程訪問工具或RAT』s或者後門)
  • 鍵盤記錄於盜取密碼(大部分間諜軟體屬於此類)

Virus(病毒)
病毒是一種通過拷貝自身或者準確地說以一種改進的形式進入其他一段可執行代碼中的程序。病毒可以使用很多類型的宿主,最常見的一些是:

  • 可執行文件(例如您的電腦上的程序)
  • 引導扇區(告訴您的電腦從那裡找到用於「引導」或者開啟的代碼部分)
  • 腳本文件(例如Windows腳本或者Visual Basic腳本)
  • 宏文件(這種現在非常少見了,因為宏在例如微軟Word程序中不會默認執行)
當一個病毒把自身嵌入了其他可執行代碼中時,這就保證了當其他代碼運行時它也運行,並且病毒會通過在每次運行的時候搜索其他「乾淨」宿主的方式傳播。有些病毒會重寫原始文件,有效地破壞它們,但是很多僅僅是簡單地插入成為宿主程序的一部分,因此兩者都能倖存。取決於它們的編碼方式,病毒可以通過許多系統文件、網絡共享文件、文檔裡和磁盤引導區裡傳播。儘管某些病毒通過電子郵件傳播,但是這樣並不能使它們成為病毒,並且事實上,大多數在電子郵件中傳播的東西實際上是蠕蟲。要成為一個病毒,這個代碼只需要去複製,它不需要造成很多損害,或者甚至不需要廣泛地傳播(參看Payload)。

Worm(蠕蟲)
在電腦術語中,蠕蟲實際上是病毒的一個子類,但是它們有能力自身複製,不需要一個宿主文件。
簡單的說,病毒感染宿主,如何擾亂系統。蠕蟲常常利用面向網絡的服務的弱點。這樣的蠕蟲能夠在易受攻擊的系統網絡上快速傳播,因為它們不需要任何用戶的介入就能運行。不過,最常見類型的蠕蟲都攜帶在電子郵件中(注意,並不是郵件被感染了,而是它們攜帶了蠕蟲病毒文件,這一點很重要)。在郵件帶有蠕蟲病毒的情況下,郵件的收件人就是被利用的弱點,通常會有一個誘人的主題或訊息。
通常從系統中清除蠕蟲比清除病毒容易多了,因為它們並不感染文件。蠕蟲經常試圖把它們添加到啟動文件中,後者修改註冊表鍵值以確保它們在每次系統啟動時被加載。此外,蠕蟲並不一定要造成任何損害

*****************************************************************************

預防中毒,中毒處理,與無法解決中毒之發問!

『首重預防』??『中毒處理』??『中毒發問』??『系統重裝』??『清暫存檔』

一、預防重於治療:

1.Window Update 自動更新功能開啟;
2.安裝官方一年內版本防毒軟體,現在很多病毒雖然可以事先攔截到, 一但中毒,可能難以處理;
3.不亂開來路不明信件、檔案 ,「軟體最好從其官方網站下載」;「檢查MD5」
『可執行檔案格式副檔名:.exe .scf .pif .asf .cmd .bat .mms .com .reg 等』
任何郵件附加檔案應該先下載 掃毒 再行 開啟 才能確保您作業系統的安全性!
4.考慮加裝:防間諜/後門/木馬 的軟體,防毒程式雖可攔截,但是稍弱點;
5.考慮加裝:防火牆;「Sp2 後版本請勿關閉 內建防火牆 ICF」
6.不要只更新病毒碼,防毒軟體也要更新版本;
7.不要同時安裝兩套防毒 OR 兩套防火牆,可能互相干擾;

二、中毒處理:

1.關閉「系統還原」(Windows Me/XP)。

如何關閉或啟用 Windows Me「系統還原」
http://service1.symantec.com/SUPPORT/INTER/traditionalchinesekb.nsf/twdocid/20020517101224932

如何關閉或啟用 Windows XP「系統還原」
http://service1.symantec.com/SUPPORT/INTER/traditionalchinesekb.nsf/twdocid/20020517102945932

「System Volume Information 是系統還原要用隱藏資料匣,沒必要刪除;除掃毒發現裡面有病毒;」

系統還原關閉方式 Sop:
A.開始 -> 設定 -> 控制台 -> 系統 -> 系統還原 ;
B.請勾選"關閉所有磁碟上的系統還原" ;
C.重開機 。

2.更新病毒定義檔。
3.將電腦重新啟動[F8]在『安全模式 Safe mode 』或是 VGA 模式。
4.執行完整的系統掃描,並刪除所有偵測到的病毒。

若為未知病毒or解毒失敗, 請上傳到下面網址, 讓各廠商可以研究分析

VirusTotal - 免費線上病毒和惡意軟體掃瞄
http://www.virustotal.com/zh-tw/

進階處理:
5.如果失敗,請去病毒網站找專屬的移除工具 or 手動移除方法;
6.如果病毒仍是無法清除或隔離,嘗試直接砍掉中毒檔案「當然您要有把握電腦不會死當到無法進入系統才可以這樣做」;
7.如果砍不掉中毒檔案,Ctrl+Alt+Del 看看 [工作管理員]中是否有該程式掛載、中斷其執行、手動砍掉它;
8.或者去 登錄(Registry) 中尋找中毒的檔案之執行字串,有可能一開機就執行,所以中毒檔案砍不掉;砍掉字串與中毒檔案後,重新啟動電腦;
9.怎樣都移除不了;資料備份走,準備 format 格式化、重新安裝「中一次毒,學一次乖。」[然後作一份 系統備份 推薦使用 Ghost 或是Acronis True Image 一類備份軟體 ]

三、無法解決中毒之發問:

1.請說明病毒名稱 「拜託不要打錯或是簡寫名稱」;
2.請說明哪套防毒軟體回報病毒名稱 『每個廠商對病毒名稱定義不同』;
3.最好整個訊息貼出來『貼圖或是程序字樣等』、有些時候並不是中毒,只是攔截到病毒,當然怎麼掃毒都掃不到;
4.如果使用的是 google 它 有免費立即翻譯!
不要期望有人會幫您翻譯整篇病毒說明,您可以挑 解毒 的部份看,看不懂或照做失敗提出來問;
[下方連結有網路免費線上翻譯之功能文件與網址,請使用。]
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=7115
5.不要僅提供哪個檔案中毒[含路徑],要提供中了什麼病毒名字,能夠提供症狀與發作模式更佳;

四、系統重新安裝建議 『建議 格式化 或 format 之後進行安裝,不然使用昇級安裝可能殘留病毒』:
1.安裝 OS 作業系統 ,安裝最新 Service Pack;[下載燒成CD]
2.安裝 防毒軟體[一年內版本];
3.安裝 Firewall軟體;
4.連上 Internet,更新 Windows Update;安裝最新 Service Pack and hotfix
5.更新病毒碼;
6.如果上網過程中不幸中毒,又無法清除,準備再次重新安裝系統 「機率很低啦」;
7.開始安裝其它軟體;

五. 關於『 Temporary Internet Files 』清空:清空暫存檔;

Temporary Internet Files 是 IE 存放暫時檔案的地方;
『 Temporary Internet Files 』清空操作:
這裡如果有病毒,IE6 的 [工具] 下拉選單、「網際網路選項」、 按下『刪除檔案』 鈕就可以全部刪除。
「如果無法清除請切換至 「安全模式」 清空暫存檔!」

如果使用防毒掃還是有資料夾 參考下方步驟:
關於『 Temporary Internet Files 』清空:清空暫存檔;
方式 在執行
輸入
[ C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5] Administrator或是 您的使用者名稱
在 刪 亦可!

更多資料  http://forum.icst.org.tw/phpBB2/viewtopic.php?t=5558 

評論: 0 | 引用: 0 | 閱讀: 7069 | 轉發