常见欺骗手法
1.im软件中的一个网站地址——该网站地址其实是一个利用了activex漏洞或mime漏洞的页面,当用户采用启用activex的浏览器或mime解析不严格的web浏览器访问该页面时,会导致脚本病毒自动执行,修改用户的本机设置,并将远程木马木马下载到本地,在没有提示的情形下运行起来,之后又挂接到im软件,在用户知情/不知情的情形下,将该网站地址发送到用户im软件里的好友中,以次延续感染;对付activex漏洞的方式是使用能准确控制是否启用页面中activex的浏览器,如myie2;对付mime头的方法是及时打上系统补丁——“美女图片病毒就是典型的一个利用浏览器没检查jpg的mime的漏洞,而这个漏洞微软在很早前就发布了patch,结果没想到还是很多人中招了。
2.主动在im软件中发送木马——这类方法比较拙劣,攻击者以“这是我的照片,“新发现一个好用的软件等借口,将一个文件发过来——并要求你执行,由于可执行文件的后缀是以.exe .bat .pif . scr .cmd 为主,所以用户看到这几类后缀就要小心了。如果的确想看对方的照片怎么办?让对方把图片转成jpg文件发过来,记住是放到你本地来,而不是给你一个url,否则上面提到的mime头检查漏洞正等着你呢!
3.利用邮件方式传播病毒。对利用outlook等客户端工具的朋友来说,自动在邮件里显示出html是一项很贴心的设计——可惜是有漏洞的设计——这样在ie存在漏洞的时候,读取html格式的邮件同样会中毒;预防方式要么是禁用html方式解析,要么是及时升级windows补丁,要么是不采用outlook本地方式收信,而是先利用webmail方式以文本格式读信,然后将有必要的信保留,没必要的删除,再行下载。
本来利用imap远程管理信箱是个好主意——可以将名字/来源email看着不对劲的信直接删除掉;但由于smtp协议本身的不完善和不少邮件病毒采用获取用户outlook地址本的特性,使得信件来源常常来自一个可信任的朋友地址,令远程管理无从仅仅根据信件来源email地址和信件标题判断是否为病毒。对待这类病毒,除了依仗邮件系统自身的杀毒功能外,用户在自己机器上装一个带邮件监控功能的杀毒系统也是非常有益的。当然,最好的方法就是用纯文本方式阅读信件——舍弃一点华丽,换来更多安全是值得的,至少在有重要资料的机器上是如此。
4.程序捆绑欺骗。目前有一种程序,专门将2个文件捆绑到一起,称为捆绑机。具体来说——打个比方,我把a.exe文件和b.exe文件捆绑到一起的话,会生成一个c.exe文件——那么如果我运行c.exe,则等于同时执行了a.exe和b.exe文件。如果正好a.exe或b.exe文件是一个木马的话……常见的做法就是不少所谓的“安全站点告诉好奇的学习者——这是xx强大的安全工具、扫描工具。结果是捆绑着木马的,下载下来一运行,自己先中招了。不少脚本小子自己的机器上都被人种了木马还茫然不知,真是报应啊,哈哈哈。不过对普通用户来说,对待不信任的人发给的这类文件还是不运行比较好;当然自己去一些不是太正规的站主动下载文件就更是脑袋里进水了。
著名病毒的攻击原理
当然,攻击的方式从来不是被单独利用的 ,让我们分析一下几个著名病毒的攻击原理看看就知道了;
冲击波病毒(蠕虫类病毒):通过ping命令探测主机——检查是否为win2k/xp系统——利用rpc漏洞获取权限——通过tftp上载必要文件——修改注册表,添加服务——感染其他机器;
这类病毒的预防手段:
禁止ping的icmp回应封包发出;
打patch将漏洞补上;
在管理工具 ——服务 中 ,将“允许远程编辑注册表功能禁用;
网络天空病毒(邮件类病毒):广发病毒邮件——用户收到邮件后打开运行——利用漏洞/欺骗执行邮件中的带毒程序 ——修改系统注册表设置——复制自身到系统目录——搜索本地htm,eml等文件中的邮件地址——利用自带smtp将病毒以多种标题连带欺骗文字向各个地址发出——某些病毒会ddos攻击某些站点;
这类病毒的预防手段:
不阅读来历不明和没理由收到的信件;
使用web方式在线阅读、管理信件;
打上最新的浏览器、outlook补丁;
禁止信件以html格式显示信件;
平时不用administrator身份登陆,而以普通用户登录,让病毒修改注册表和系统文件的权限受到抑止;
使用带邮件即时监控的杀毒程序;
新欢乐时光病毒(脚本类病毒):outlook传播——浏览染毒邮件时利用outlook漏洞运行vb代码——各个目录下生成大量folder.htt和desktop.ini文件,由于资源浏览器的脚本检查漏洞,浏览该目录即感染——搜索网络内其他机器共享——对有可写权限的(新变种能自动枚举尝试123,111,用户名123这样的简单密码)其他机器共享目录上载folder.htt和desktip.ini文件——其他机器使用资源浏览器浏览该文件夹时被感染
此类病毒的预防手段:
最好不使用网络邻居,必要使用的时候请只开放读取权限;
打上outlook补丁和浏览器补丁;
禁止采用html格式查看信件;
采用带即时文件监控的杀毒程序:
采用第三方资源浏览器浏览网络邻居资源,如total command等等;
由此可见,目前的主流病毒/攻击,都是将上面介绍的病毒方式/攻击方式进行复核后,以多种方式传播,力争在最短时间内感染数量尽量多的机器。行文到这里,基本上主要的攻击方式都介绍完了,在下面,我例出一张表,各位可以大致地看看应对方法。
病毒/攻击防御 ——对应主动攻击:
<扫描存活主机>( 防御方法:禁止icmp反馈,用防火墙实现);
<扫描端口、漏洞> (防御方法:1,禁用不必要的服务;2.禁止一些不对外的敏感端口; 3打系统补丁)
<攻击> (防御方法:1.用户密码设置得复杂一些;有特定服务的一定留意该服务的权限设置和打上针对该服务的最新补丁)