网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2065|回复: 0

[反病毒技术] 为什么病毒屡禁不止

[复制链接]
发表于 2007-8-26 10:20:37 | 显示全部楼层 |阅读模式
QUOTE:
本贴可能随时更新,请关注 http://hi.baidu.com/teyqiu/blog/item/992b11df789a1e136327981b.html




----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------

为什么病毒屡禁不止


QUOTE:
FAQS:为什么我装了杀毒软件(卡巴斯基、瑞星、NOD32等),装了防火墙,装了木马专杀AVG(Ewido)等,我还是中病毒?
想起这个题目其实很久了,一直不能静下心来。
正如提问者所说的那样,我们都装了各种各样的杀毒软件、防火墙、木马专杀以及其他的系统监控工具,但还是无法避免中毒。这似乎让人对现在的电脑安全不能放心。我的一个同事感慨,6年前的时候她只知道随便装一个杀毒软件就不用管了(不要说什么升级病毒库之类的),不知道现在该怎么办了?
的确,三五年前的病毒没有现在这么恼火,那时我装个诺顿企业版,N月不知病毒滋味,偶尔中一两个弹窗的流氓软件,都被我搞定。其他人大致如此。欢乐时光、新欢乐时光是当时的流行关键词,之前更早的有CIH的BIOS损害威胁。进入2006年,各种各样的U盘病毒就不用说了,技术无特别之处,对一般人却甚为困惑。以飞雪/飘雪/MY123为代表的流氓软件采用了多驱动保护、随机文件名、多线程保护并且网络自动升级、极强的自动恢复等等所有病毒可能采用的技术,以Viking(威金)及其变种熊猫烧香(WHBOY武汉男生)为代表的网络蠕虫与木马下载器一并发作,可通过局域网弱口令、共享传播以及互联网迅速传播,以获得各种各样的网络游戏帐号密码为最终目的的丑恶嘴脸一一呈现,2006年反病毒行业无论官方还是民间,都热闹非凡,当杀毒软件商忙着数钞票的时候,民间诸多的侠义之士站了出来,在网民最困难的时候推出各种各样的有针对性的专杀工具,团结在一起的中国的民间安全人士,为2006年的反病毒事业做出了巨大的贡献。
回答正题,为何病毒屡禁不止?
一、使用习惯的问题
使用习惯分网络应用及一般的应用。
现在的网络应用,我将其大致分为IM(及时通讯)、页面浏览(含各论坛、BBS..)、网络游戏(大型网络游戏及含腾讯QQ游戏、联众等)这三类。

在IM方面,我的建议是不要选用带各种花哨功能的破解版本,除非你对破解组织或个人的“人品”了解和信任。我一直都在用QQ/MSN/POPO/UC等官方发布的版本,并随时同官方的升级保持一致。这样从IM软件方面,尽量减少漏洞存在的可能。
页面浏览方面,我的建议是不要胡乱去一些莫明其妙的小网站(特别是美女图之类的),由于这些小网站以获得PV和IP流量为根本目的,内容提供方面的恶劣低俗暂且不论,其自身的网站建设安全问题不容忽视,我曾经处理过很多次的机器中木马等案例,最搞的一次是受感染者本人倒不是上美女图片网站中的招,经过调查却是国内文学站点的首页被黑客挂了木马,网站管理员却浑然不知,我给他们写信还以为我忽悠他,郁闷之极。BBS方面,不要随便去一些不知名的更加重要的,论坛程序的漏洞一直被黑白人士整天的琢磨,好的大一些的站点对自身的网站安全管理较好。
另外一个要强调的是软件的下载,到大牌网站上下载,千万不要在小网站上下载,因为发现某些不良的人利用偷梁换柱的方法用病毒文件替换正常的软件来打包。

网络游戏方面,要说一下外挂。中国人玩网游,不用外挂的几乎无法生存,外挂成了网游的必备工具。外挂的开发组织很多,只能尽量选用网友口碑较好的外挂工具,新鲜名字的最好不要尝试。利用外挂发财的人不少,一般是利用游戏者对游戏功能增强的心理,打着开发出了很强的外挂,暗地里却早把你的帐号及密码弄清楚了,如何处置就不在你的控制范围了。这种披着外挂外衣的木马还不少,下载之后一定要用杀毒软件进行扫描(至于杀毒软件的表现问题,后面再说)。
除了网络应用,平时的计算机应用习惯也很重要,第一要说的就是对U盘的使用。(移动硬盘同理,不再赘述)。U盘已经基本代替了软盘成为小数据文件交换的重要介质,U盘病毒应运而生。U盘使用者应有较强的安全意识,如果是自己拷贝文件给别人,建议插到对方机器USB接口之前,将U盘设为“只读”(一般的U盘都有这样的设置手柄,移动硬盘很多则没有)。如果是要到别人机器上拷贝东西,没办法,考回来之后到自己机器上先好好查毒吧。
禁忌1:U盘(磁盘)自动播放功能。这个可以通过对“我的电脑”右键“管理”或者通过gpedit.msc设置,关闭移动磁盘插入后的自动播放功能。(如果不关,有通过U盘传播的病毒则立刻得到了执行的机会,如果没有杀毒软件的及时防护,则中毒)
禁忌2:双击打开U盘(移动磁盘)。很多人操作习惯了,打开U盘就是和其他硬盘盘符一样对待,双击打开,我建议的操作是右键点U盘图标,选“打开”。(注意:如果右键打开后,有 Auto, 两个打开之类的 比如Auto为黑体字的显示即双击时的默认操作 或者 第一个打开是黑体字的,则说明该U盘已经有不合法AUTORUN.INF生成,应该点选第二个“打开”,进入后,将显示系统文件和隐藏文件的文件夹属性打开,找到AutoRun.inf文件,删除,删除前可用记事本打开看一下其内容,提到的 .exe和 .pif , .com后缀的文件即病毒体目标,找到后一并删除)。删除Autorun.inf后应将其弹出,再插上就没问题了。 对本地硬盘分区的处理方法类似,但需要重启计算机后问题解决。

二、杀毒软件及防火墙
先说防火墙吧。我对防火墙的要求倒不是很高,但一个好的防火墙对系统的安全是很重要的,但同时的问题是设置纷繁复杂,对新手来说尤其麻烦。对真正想避免老是中毒的你来说,无论是新手还是高手,对防火墙的研究都应该花些功夫,不要指望安装任何一款防火墙之后,对网络攻击的防御就能降低到最低,学习各种设置法则,至关重要。我推荐的个人防火墙产品推荐的防火墙(或系统监控工具):首选SSM(system safe monitor)及Tiny Person Firewall,其次可考虑的是Look'n'stop, Outpost, ZoneAlram, BlackICE,费尔个人防火墙专业版等,另外可以考虑选用杀软公司发布的防火墙配合其杀毒软件,兼容性更好,如Mcafee, Norton, Kaspersky, Rising的都可以考虑。至于入门级别的天网防火墙等,刚开始的装一个,心理安慰一下也是不错的。【可参考帖子http://zhidao.baidu.com/question/3868834.html
对杀毒软件的争论,自DOS以来就喋喋不休,是江民的KV300好还是kill好之类的,是国产的好还是国外的好,令人头疼。以个人的名义,我关注比较多的是VB100%等历年的评测表现及西方其他权威组织的评测,当BitDefender,NOD32风光无限的时候,中国的好多卡巴斯基的粉丝还在坚持自己的信仰,对国产杀毒软件如瑞星、江民的支持者也不少,希望他们能走的更好吧。作为个人的意见,杀毒软件的推荐也希望小心谨慎一些,新手用用瑞星,高手研究一下BitDenfender/NOD32/卡巴斯基/F-Secure,老牌杀毒软件诺顿、Mcafee也值得期待有更好的表现。最后唧唧歪歪一句的是,希望大家在力所能及的范围内支持正版,现在一套正版瑞星的价格只能买半车白菜,而一个1年期限的卡巴斯基6.x的授权KEY只要25元。
最后透露一下我的杀软和防火墙的组合 NOD32/KAV6/Dr.Web + SSM/Tiny 。不过让他们和平共处的要求很高,新手们就不要学我了,平时开监控的只能有一个,这是关键的关键。感兴趣的可以在我的空间的搜索中找一下。

三、增强防御意识
良好的防御意识表现在多个方面,如对可能存在的威胁的担忧,以及对系统症状的初步判定。如弹出广告窗口、IE首页被锁定无法修改等明显的事实,以及系统经常莫明其妙的变慢、EXE图标变花或者变成类似DOS程序那样等,都应该引起足够的重视,此时应积极联系安全专家或者熟手对你的系统进行检查,网上求助也是一个方法。

四、操作系统补丁
有许多木马病毒正是利用了操作系统的重要漏洞进行传播的,之前的冲击波等三波病毒,06年8月份爆发的“魔鬼波”等,都是利用了系统的重要漏洞传播,如果不打系统补丁,杀毒软件和防火墙是无能为力的。因此将自己的操作系统的补丁的更新始终保持与微软一致,是错不了的。这点也是很多新手嫌麻烦忽略做的一点。

有待完善。
2007.1.14
崔衍渠




----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-14 06:10 , Processed in 0.124800 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表