|
追擊Spyware 十大奇案 奇案一 流氓軟件惡意騷擾 對於經常在互聯網上衝浪的人來說,最怕見到的莫過於一些古靈精怪、經常彈出廣告、布局零亂的網站,因為這些通常就是流氓軟件(Malware)出沒的地方。其實除了外觀吸引或者危言慫聽的廣告圖像彈出視窗外,流氓軟件有林林種種的方法使人無意間被植入至系統,很多大陸網站就以提供各類軟件供下載為名,實則是散佈流氓軟件或間諜軟件,就例如網站「星光下載」(http://www.)所提供的各下載項目,都設有所謂推薦的「電訊下載╱網通下載」連結,而該些連結其實是連結到「EyeTel全球視頻通訊」軟件的下載頁,並誘使瀏覽者註冊。 而最常見的,不得不說是通過Internet Explorer的ActiveX Control及Java插件,甚至是通過不斷提示,令用家選擇安裝廣告或惡意程式,這些程式的例子有Gator以及3721上網助手等。 至於最近流行的,則是一款借Internet Explorer對Windows Metafile(WMF)圖檔的執行漏洞,通過網頁傳播不良程式的途徑,MySpace.com月內就被發現站內一個來自deckoutyourdeck.com的廣告帶有惡意程式,而且證實事件的網絡安全組織iDefense尚未能確定廣告是否已被刪除。 流氓軟件在入侵電腦後,為了令自己可以不被用家發現,通常都會通過偽冒成系統檔、載入記憶體並監察偵測行為、在登錄檔加入登錄碼使開機時自動預載或者防止被刪除、設定成視窗的服務並運作令系統不能刪除自己、甚至是通過欺騙視窗的手段令系統無法檢測軟件本身,使流氓軟件可在系統長期運作。 原理剖析 大部分流氓軟件其實都是通過廣告、Internet Explorer瀏覽器漏洞、自訂功能如ActiveX插件、甚至是不斷提醒的方法等,在非用家提出下載甚至是未經用家同意的情況下,將有問題的程式或程序安裝到用家的電腦,當然用家對下載插件及程式的忽略和不小心,亦是促使流氓軟件可以為所欲為的方法。部分彈出視窗會使用Image Map假扮成類似作業系統視窗,令用家誤以為是系統的訊息而按下;部分網站更會在網頁的Meta-head部分加入自動更新的內容,以彈出程式下載視窗,配合視窗的內容誘使瀏覽人士下載該程式檔;而即使是帶有信用狀的ActiveX控制插件,部分信用狀的簽發人例如「VeriSign」亦只證實該插件的發行者確實存在,並不會對於該插件是否流氓軟件或者其安全性進行證明,因此信用狀只保障插件的使用者有追討的途徑,但並不保證該插件使用上絕對安全。 自保對策 對付IE ActiveX問題插件及IE漏洞,可以通過更新IE及使用ActiveX插件管理的方式處理,自Windows XP Service Pack 2推出後,IE更加入了Pop-up過濾程式及ActiveX插件管理程式,用家只需要小心設定其實是可以防止大部分流氓軟件的攻擊,不過更為重要的是用家對無故彈出的視窗及插件安裝要求需要保持警覺,方為上策。若果用家發現自己的系統懷疑因流氓軟件而出現毛病,最好還是以Anti-Spyware程式為系統掃描。 奇案二 「開文件要交贖金?」檔案綁架勒索 網絡保安公司Kaspersky Labs指出,近年流行一種以電腦檔案綁架軟件(Ransomware)行騙的技術,用家執行檔案綁架軟件後,部分電腦檔案便會被加密,騙徒便會藉詞提供該些檔案的解密鑰匙(Key)騙取金錢。該類軟件自2004年首次被發現以來,同類軟件的數目不斷上升,而且該類軟件由以往只使用簡單的加密演算法(Encryption Algorithm)為檔案加密,或者使用登錄鎖定檔案的存取,演變成使用保密能力更強的加密演算法例如RSA加密法進行加密,六月所發現的案例「Gpcode」木馬程式更以660-bit RSA為檔案加密,即使以2.2GHz處理器的電腦尋找解密鑰匙亦需30年的時間,一般的用家一旦中招,便難以為該些檔案解密。部分案例如「Skowr」更會卸載防毒軟件,並刪除防毒軟件的登錄檔記錄,防止用家自行解決問題。類似的檔案綁架軟件還有「Archiveus」、「Krotten」、「Cryzip」、「MayArchive」等。 原理剖析 其實使用檔案綁架軟件行騙的原理相當簡單,一般來說,騙徒會以一般間諜軟件的傳播方式,例如電郵附件的形式將檔案綁架軟件送交受害人,受害人一旦啟動附件內的檔案綁架軟件,檔案綁架軟件便會自動為受害人電腦內特定類型的檔案加密,並留下訊息要求受害人購買解密用的鑰匙,否則用家並不能開啟該些加密檔案。 受害人中招的關鍵是檔案綁架軟件需要被執行,因此該些軟件較常以電郵附件、附帶於免費程式、或者網頁附件的形式下載,吸引受害者執行該些軟件;該些軟件亦可以由騙徒直接經駭客的手段,得知受害人的IP地址及通訊埠後,通過互聯網入侵受害人的電腦並植入。部分檔案綁架軟件為了使令用家更難清除自己,會以流氓軟件常用的方式例如隱身成Windows常見的程序,修改登錄使程式可以常駐於系統,或者修改API指令防止防毒程式發現等,使發現和消滅的難度增加。 自保對策 由於行騙者所使用的加密方法和難度日高,即使電腦的運算效能不斷進步,亦無法追上為檔案解密所需的速度,而且騙徒的手段亦層出不窮,網絡保安軟件公司即使得知檔案綁架軟件的出現,亦未必可以即時解決個別綁架軟件所造成的問題,或者為用家替加密了的檔案解密,所以對付檔案綁架軟件的最佳方法,或多或少離不開以下數點:小心處理不明來源檔案例如電郵附件、下載而來的檔案;別隨意安裝不明來歷的軟件;小心駭客入侵漏洞等等。對於應付檔案綁架所造成損失的最有效應變方法,還是為重要及常用的檔案定時備份。 奇案三 深入系統 「隱」術玩轉防毒軟件 上一代蠕蟲病毒、後門程式要隱藏自己,主要是靠偽裝成一般視窗常見的程序,使用家較難分辨而未能手動清除,不過用家只需更新防毒程式,這些程式便無所遁形。新一代使用了Rootkit技術的入侵程式則大大不同,由於使用了更高隱密能力的Rootkit技術,令該些程式的偵測及清除的難度比使用上一代技術的入侵程式高得多。 最近網絡保安公司發現了一種接近隱形的新一代Rootkit後門軟件,該軟件(Symantec命名為Backdoor.Rustock.A,F-Secure則稱為Mailbot.AZ)會先以木馬形式安裝駐地元件(Dropper Component),當駐地元件完成Rootkit驅動程式的安裝後,再由Rootkit驅動程式複製成額外的資料串流(Alternative Data Stream),並設定於每次開機時運作;而該後門軟件最強的地方,是可同時在「使用者模式」(User Mode)和更強「核心模式」(Kernel Mode)執行,一般用家即使中招,亦不會感覺到有後門軟件作怪的徵兆。 Sony Music就曾經在部分音樂光碟使用了數位版權管理(Digital Right Management)的Rootkit程式防止用家複製光碟內的音樂三次以上,而因為該程式令使用者的電腦中病毒的風險增加,需要推出修正軟件補救,亦同時引起了大眾對Rootkit程式的關注。 原理剖析 Rootkit其實源自UNIX作業系統,是用以套取最基本root存取權限(root乃系統最高權限帳戶,一般為系統管理人員帳戶)的軟件工具組合,為這個原因Rootkit軟件通常會隱匿自己的動作以免被發現,清除過程也較為複雜。由於程式的本意為入侵系統,通常會被歸納入惡意軟體,而因為Rootkit程式本身無傳染的功能,通常會先以一般後門軟件進行入侵,再植入Rootkit軟件竊取所需的系統帳戶資料。 由於Windows視窗作業系統設有「使用者模式」和「核心模式」,Rootkit程式亦分成「應用層」(Application Level)及「核心層」(Kernel Level)兩種。應用層的Rootkit通常會以自己的程序代替原有的程序,或通過hook更改原有程序的功能,例如以在記憶體載入DLL檔案,以檢查所有運作中的程序,若果發現有程序有檢測Rootkit軟件的可能,Rootkit軟件介入該程序及其需要使用的應用程序編程介面(API)之間,作為中間人並監案和修改API回傳的結果,例如抽走有關該Rootkit程式的搜尋結果或者阻止刪除Rootkit程式的檔案,達到為Rootkit程式隱密的功能。 核心層Rootkit會更改系統核心,欺騙作業系統的系統服務描述表(System Service Descriptor Table),使程式碼運作時會被調用Rootkit指定的API而非系統原本的API,使系統的搜尋、刪除等功能可被修改成忽略Rootkit程式本身,達到更高的隱密效果。核心層Rootkit需要利用驅動程式實現,而由於視窗於運作時所使用的API已經Rootkit程式竄改,要偵測Rootkit程式非常困難。 自保對策 要偵測Rootkit程式,可根據程式本身的特徵及其運作時的行為分析,不過由於Rootkit程式本身可能已經修改了系統,有關偵測或者需要以第二個儲存媒體內的作業系統進行。若果要在懷疑受Rootkit程式感染的系統偵測,一般需要借助防毒╱防間諜軟件進行,亦可以到下列網址下載免費的Rootkit偵測程式「RootkitRevealer」。 奇案四 名牌Webmail被入侵 繼早前的紅藥水西瓜事件,在網絡上Yahoo及Google亦雙雙受害。6月中旬Yahoo Mail被Yamanner侵入,利用與JavaScript有關的弱點,發送郵件給你聯絡簿中的每一個人,最令人驚訝的是,這個程式根本毋須收件人打開附件或是點選任何連結或圖示即會發生,並將電郵上資料傳送至指定的網站。而W32.Ranky.FW間諜程式,建立於一個與Google Toolbar仿真度極高的虛假網頁上,然而使用者下載的正是間諜程式。 原理剖析 網上銀行、假討論區,就是駭客們進行誘騙的地方。駭客誘騙方法也日新月異,從前是經由網址導向,讓受害者連接至虛假外觀極似的金融網站,藉此騙取登入名稱及密碼,慶幸的是,細心讀者仍可由網址判斷一二。新一代的駭客行騙手法升級,假網站已不限於網上銀行,假網站擴展至大家日常使用的入門網站或瀏覽器上的工具欄。 Yamanner是透過Yahoo電郵散播訊息,危險之處在於跳脫傳統病毒的防範意識,使用者不再只是開啟附加檔案才會啟動擴散機制,只要在瀏覽器開啟主旨為「New Graphic Site」的信件,病毒即經由Ajax這個JavaScript的關鍵技術,自行複製受感染者的通訊錄寄出給@yahoo.com或@yahoogroups.com用戶,而受感染的使用者所使用瀏覽器將會自動導向「http://www./index.htm」 網頁。 至於W32.Ranky.FW的病毒行騙手法更高,使用者下載相關檔案後,電腦將變成Zombie部分,通過傳統電子郵件內含鏈接方式來傳播。 自保對策 新型的病毒散播模式,所使用的是突破目前人們所知的限制,利用使用者認為WebMail及大型網絡服務網站可信任之疏忽。Symantec建議使用者,對於這種來路不明的惡意程式,應習慣保持更新病毒定義檔及防火牆特徵至最新日期,並且封鎖任何來自「av3@yahoo.com」的電子郵件。 奇案五 騎劫IE亂發YM 惡意程式有多種讓人掉以輕心的手段,其中一種就是俗語所謂「局中局」或「賊喊捉賊」,當人們被其正義的外表所瞞騙,沒有細意的觀察的時候,容易掉入騙局。最近發現一個針對Yahoo!Messenger而來的惡意程式,以Safety Browser為名,其實真正身份是一個惡意瀏覽器。 原理剖析 Symantec將這個惡意程式Safety Browser稱作Browaf,成功安裝完成後,會在開始功能表中加入一個微軟IE的圖示,令使用者誤以為正執行IE。此外,它會修改IE的首頁設定,讓用戶一開啟瀏覽器便直接連線到惡意網站,並於開啟時發出不尋常的聲音。更會持續向你的YM朋友名單持續發出訊息。 自保對策 Symantec提供對Browaf惡意程式的移除功能,使用者可先更新病毒程式,並重新啟動電腦至安全模式再執行掃毒即可清除Browaf。而面對「偽防間諜軟件」,網絡上有反間諜軟件組織,使用者於安裝前宜多上網了解各軟件的資訊。 Check Point 防間諜軟件有假貨 以上眾多的例子可能已喚起了你的安全意識,但當要嘗試選擇安裝防間諜軟件時,若不幸選取「偽防間諜軟件」,便正中另一個賊喊捉賊的技巧。偽防間諜軟件慣常用各種手法,可能是出賣你的電腦訊息,或者是俘擄首頁,迫使使用者在沒有選擇的情況下購買其產品,變相就是一種勒索行為。 有些間諜軟件本身就以防間諜為號召,如SpywareStrike、SpyAxe、SpyFalcon等,以上軟件雖自稱是防間諜軟件,然而它們卻正是喊賊捉賊的「偽防間諜軟件」典型例子。 奇案六 假即時聊天軟件 去年12月底,一個名為msgr8beta.com的網站,發放MSN Messenger 8 Beta的版本軟件,以新功能的號召力及吸引力,引誘使用者下載,其後證實下載的檔案為惡意程式代號Virkel,Virkel執行後於Messenger連絡人中間互相感染。而傳說中不會中毒的Mac OS X系統,亦於本年初二月中旬,證實受一種名為Leap-A所困擾,讓iChat有自行傳播病毒的可能性。 原理剖析 駭客經由人們對新鮮事物的好奇,以及對認識互動者的信任連結,藉此散播惡意程式。Virkel惡意程式就是藉由好奇的例子,經由使用者對MSN 8 beta版的新鮮感而爭先下載,種下禍根後再將連絡人的資訊傳送至指定網站,其後連接遠端的殭屍電腦網路(botnet)伺服器,讓它可以用這部機器發出指令,或傳送惡意的程式。iChat上的Leap-A惡意程式,則是利用人們對Mac OS X和連絡人名單的信任,Leap-A散播方法是當電腦啟動後,執行Spotlight搜尋程式並自動偵測iChat,若iChat正在開啟,Leap-A將經過iChat傳送latestpics.tgz壓縮檔案予其他友好使用者。 自保對策 Virkel惡意程式源自使用者對著名程式的崇拜,使用者應儘量避免至非官方網站下載軟件及安裝;若要遇到Virkel惡意程式,使用者可至趨勢網站下載HKTL_EVID.A更新程式。Leap-A惡意程式不會自動擴散,必須經由使用者接收檔案並執行才會散播,使用者只要不任意接收檔案及執行,即可避免此問題。 奇案七 安裝P2P軟件 引狼入室 經常使用Peer-to-Peer網絡或下載加速軟件的用家需要特別留意,原來不少與下載有關的軟件,其實都帶有(甚至本身就是)木馬或惡意軟件。Peer-to-Peer軟件Kazaa、Lime Wire、Morpheus等,以及下載加速軟件FlashGet、GoZilla、Download Acclerator Plus等,在安裝的時候會同時在用家的電腦安裝附屬廣告軟件,用家無形中被記錄使用習慣,甚至是電腦的個人資料予廣告供應商;部分著名的插件如暴風影音CODEC亦傳出自帶廣告附屬程式,而最近更發現有安裝程式自帶多達七種附屬軟件。由於大部分該類軟件在安裝時會在條款中加入用家同意的細則,即使用家發現附屬軟件造成損失亦失去追討的理據。 原理剖析 軟件就是要利用用家通常不會留意「使用者授權同意書」的習慣,使該些惡意甚至是木馬程式可以合法地安裝在用家的電腦,並且以該同意書為理據,使其不需要為該些程式所造成的破壞需要負責。 自保對策 奇案十 樹大招風微軟漏洞多 「不招人妒是庸才」,Microsoft正是這句話的最佳寫照,每日有數以千萬計的駭客,以找出Microsoft產品的漏洞為榮,或是當作個人技術的挑戰。以往只有一些系統的設定、背景程式或服務成為被攻擊的對象,時至今日Word、Excel、PowerPoint、Windows Media Player及IE等一連串的軟件均成為駭客們的目標。江民反病毒中心於上月就曾接獲一個PowerPoint 0DAY漏洞傳播的惡意PPT檔案,該檔案的主題是為「老外拍攝的上海照片」,是以附件形式傳送的PowerPoint檔案,開啟該附件後,電腦即完全被黑客所控制。 而Windows Media Player的入侵方式,是散播者向使用者傳送以Bitmap或PNG為檔案類型的圖檔,並經由Windows Media Player開啟,同樣是一經連接後,系統便會被駭客取得完全控制權。IE方面的漏洞更一直是多不勝數,單是6月分就發出過9項安全更新修補漏洞。 原理剖析 PowerPoint 0DAY漏洞是Office軟件套裝一連串被入侵的其中一環,自今年五月尾,駭客們以Word 0Day漏洞展開一連串的侵擾行為,其後六月中旬是Excel 0Day漏洞,當使用者下載Office文件及執行後,Office文件同時連接網站「http://218.75.***.130」及下載TEACHER.EXE程式。TEACHER.EXE自動加入註冊表,讓系統每次執行後即被駭客操作。 Windows Media Player的入侵方法是經由處理BMP或PNG副檔案名稱的影像,這是一個存在遠端程式碼執行的弱點。使用者經連接登入惡意網站,或是開啟含有惡意內容的電子郵件,攻擊者就可利用蓄意製作的 Windows Media Player內容執行遠端執行程式碼,未知下啟動WMZ的多媒體檔案,駭客利用此弱點同樣可取得系統的完整控制權。IE 6的問題在於多項工具存在記憶體損毀例外問題,其次還有偽造網址列及CSS 跨網域資訊洩漏,瀏覽器因而可能導致遠端執行程式碼漏洞,或顯示偽造內容等。 自保對策 Word 0Day漏洞及Excel 0Day漏洞,微軟已經相繼發出更新程式,而國內的江民殺毒軟件KV系列,於7月20日的更新程式,亦可有效防止該類型病毒。確保有效維護微軟漏洞的方法是,不要隨便輕易打開來歷不明的Office文件、不要連接不明網站及可疑的多媒體網絡檔案,並且要及時更新防毒軟件和微軟的修補程式。IE方面,微軟也一直跟進中,發展至IE 7 beta 3已經修補千多個beta 2時的漏洞問題。 Check Point 微軟反盜版軟體WGA是否間諜軟件? 「Windows Genuine Advantage Notifications」計劃(簡稱WGA),是微軟為協助使用者驗證Windows作業系統是否為正版的一個工具,其後微軟曾公布每次開機檢查時,該軟體都會向公司回報。然而這種回報卻呈現兩極爭論點,是公民自由運動者如Lauren Weinstein,就曾於其Blog中發表文章,指WGA與間諜軟件條件相符,原因是軟件並未取得使用者同意而回報任何電腦訊息予系統供應商。 另一方微軟對這種說法卻表示並不同意,因為WGA執行的回報是無害的,WGA回報目的是維護該軟件的必要動作。微軟回函寫道:「WGA Notification計畫檢查使用者的配置設定,以確定WGA是否該執行,由於這項試驗的一部份,回報讓微軟有能力在必要時關閉這個程式。」是非自有公斷,公理自在人心,重要的是使用者下載如微軟的著名系統供應商的各種程式,應同時留意下載細則。 全副武裝抵抗Spyware 對於形形色色的惡意程式,單是一套的防禦程式以不足應用,我們可分門別類使用不同工具增加防禦消滅惡意程式的機會。種類包括商業付費軟件、免費軟件、檢查網頁專用的網站、檢查「偽間諜軟件」網站、Rootkit專用移除軟件及瀏覽器上的新一代Toolbar防諜服務。 1. 商業付費軟件 Norton Internet Security 防毒、防諜已不再單是防毒供應商的任務,從以上例子得知,網絡服務、軟件及系統均有涉及其中,商業軟件的優勢是有專業的人仕及有計劃的工作,為大家提供專業的服務。Norton聯合Yahoo就是一個好的例子,於7月26日雙方合作由雅虎提供新版的Norton Internet Security一站式的保安組合,此組合內容包括Norton AntiVirus與Norton Personal Firewall,目前提供30天試用下載。 網址:http://downloads.yahoo.com/security 2. 免費軟件 Spybot - Search & Destroy 1.4 Spybot是免費軟件且是Safer-networking組織下的工具,軟件特色之一是資料詳盡,讓你在清除間諜軟件之餘,確實知多一點點。Spybot - Search & Destroy最主要功能是偵測不同類型的間諜程式並加以清除,但也具有清除使用記錄(Usage Track) 的能力,較專業的用戶,可切換至進階模式,使用設定自動搜尋及清楚的功能、回報可能發現未知的病毒及自訂外觀。 江民KV2006 國內的駭客無論思維與技術,與外國都並不一樣,由於防毒、防諜均採用資料庫形式比對,若是國內的惡意程式交由國內軟件偵測,更能藥到病除。江民KV2006既擁有齊全的防毒機制,包括過濾垃圾郵件、防毒、防駭 Bootscan、系統漏洞檢查、防惡意網站、防外置設備病毒及支援64位元作業系統掃毒,並自創「未知病毒檢測」,加上支援多國語言,適合香港人士使用。 Ad-Aware SE Personal Edition 1.06 Ad-Aware SE分為二個版本,Ad-aware SE Personal是提供給個人免費使用,Ad-aware SE Plus則是商業付費版本。與Spybot最大分別是加入ADS Scan(Alternate Data Streams)功能,但在ActiveX及Hosts File處理能力並不及Spybot,可說各有所長。1.06版加入新的CSI技術,可辨識未知的變種病毒、多重帳號掃瞄、偵測動態建立的參考連結。 3. 檢查網頁專用的網站 Link Scanner 惡意網站的建立總是不動聲免,如何檢查來歷不明的網站,可說有一定難度,連防毒、防駭軟件可能也無法判別。網上有一種新興服務,工具是檢查簡單的網址,是否有惡意工具內藏於內。LinkScanner就是其中一個免費的網絡服務供應商,適用於檢查「單一網頁」,使用者只需輸入網址,網站會「即時分析」該網站的程式碼,提供適當的建議。 4. 檢查「偽間諜軟件」網站 Spybot-S&D網站 Safer-networking.org組織是Spybot-S&D的軟件網站,我們可藉由他的搜尋服務,於該網站右上角輸入輸件產品名稱,若搜尋結果在威協一欄的範圍內,出現100%關聯結果,則表示該軟件已被納入惡意程式,並儲存於Spybot-S&D的軟件資料庫中。雖然Spybot-S&D偶有誤判的情況,但由於巿面上的軟件多有不同替代方案,遇到疑似個案,還是小心為上。 網址:http://www. SpywareGuide 廣告軟件同樣被定義為惡意軟件,然而有些人是接受廣告軟件所交換的效果。同樣是判斷「偽間諜軟件」,SpywareGuide將軟件分類後,並對軟件提出分析及意見報告,以圖示形式分十級給使用者忠告,使用者可因應接受態度慎選軟件。此網站並提供其他關於Spyware資訊,對了解、移除、學習均予使用有所助益。 Spyware Comment的部份客觀及公正,也給使用者一個更清楚的認知。 網址:http://www. 5. Rootkit專用移除軟件 RKDetector RootkitRevealer的創作者是發現Sony DRM Rootkit的Mark Russinovich,而另一個Rootkit的著名偵測工具,則是RKDetector。RKDetector的使用方法簡單,功能卻並不含糊,可偵測移除問題程式之餘,也可檢視程式碼,只需選擇頁面右邊功能,再於左上角輸入路徑,即可立即執行分析。 網址:http://www.Rootkitdetector.com 6. Toolbar式服務 McAfee SiteAdvisor SiteAdvisor是一個安裝於IE及Firefox上的工具列,與LinkScanner相似,是檢查網頁的工具,但它是針對搜尋引擎而設,支援Google、Yahoo、MSN等。當輸入關鍵字搜尋完成後,SiteAdvisor會直接在搜尋網址旁邊提出分析燈號,綠色代表安全,紅色驚嘆號代表危險,灰色問號代表尚未測試。 網址:http://www. Yahoo! Toolbar 新一代的Yahoo! Toolbar功能已不再只是一些捷徑按鈕,內置Anti-spy功能,可尋找及移除Adware、Browser Helper Objects、Hostile ActiveX、Spyware、Trojans及Worms等,不過並不具備檢查網址及網頁作用,也不是防毒軟件。 進階必備:手動消滅Spyware 讀者們或許會疑惑,為何會談及手動移除Spyware的方法?縱使上面已有多個預防及消滅的軟件,但由產生惡意程式至被人、組織或公司解除惡意程式,中間會有一個空窗期,網上不可能出現及時資料及修補程式。此時,若讀者們懷疑可能遭惡意程式入侵,我們可借用HijackThis軟件分析,並嘗試手動移除惡意程式。 Hijackthis 網址:http://www. Hijackthis 安裝及使用方法 Hijackthis是一個免安裝軟件,下載後解壓縮直接執行即可。按「Do a system scan and save a logfile」。 < Step2 完成後轉至一個修復的程式介面,並彈出一個hijackthis.log文字檔案。 Step3 > 使用者若明白修復內容,可直接進行勾選,並按「Fix Checked」;若不能理解的話,請轉至下面交由專家解答,或自行了解分析內容。 < Step4 使用者對部份項目,若肯定為必要安裝程式,可勾選項目後按「Add checked to Ignorelist」。 Step5 > 若移除錯誤,發現部份程式不能再使用,可按「Config」執行Backups功能裡面的「Restore」。 成為高手之路: HijackThis專家討論區 對於Hijackthis選項無從入手者,不妨向網絡上各方精英討教。討論區內有一個HijackThis Logs and Analysis專屬討論區,使用者預有疑難,可直接將剛才的「hijackthis.log文字檔案」貼上。此外,台灣論壇中亦有一篇文章談及到,每個步驟分析設定的解析,花十分鐘時間細心閱讀定必得益良多。對於有興趣自行分析者,不妨可瀏覽HijackThis Log自動分析網站,只是要Log內容貼上或是上載Log檔案,網站會自行分析各連接並提供詳細分析,使用者可參考後再自行「Fix Checked」。 網址:http://www./ 185539.html 網址:http:// 討論區有HijackThis討論區 網址:http://www./ forums/forum22.html 5 大必備自我防衛意識 以上所提及的防禦程式及手動清理步驟,主要是供大家在遇到病毒及惡意程式時,有一定的對付及解決方法,不過,我們認為最重要的,是在進行網上活動時,用家需要保持一套自我防衛意識,大家若果在上網和使用電腦時保持以下五項自我防衛意識,相信能有效抵禦互聯網的種種陷阱。 1. Click之前 停一停 諗一諗 瀏覽任何網站,Click廣告及按鈕之前,停一停,諗一諗,肯定插件並非廣告程式,肯定網站不會未得同意套取你的個人資料。安裝任何軟件,Click「下一步」之前,停一停,諗一諗,肯定自己詳細閱讀使用者授權同意書的內容,肯定軟件唔會有不明的附帶程式。開啟任何檔案及電郵附件,Double Click之前,停一停,諗一諗,肯定檔案不是木馬程式的化身,肯定附件來自認識及相信的人。電腦病毒和惡意程式往往就是利用用家的疏忽和不小心,所以,每個Mouse Click之前,停停先睇真。 2. 防毒更新不可少 時時記得2+3 要電腦保持「健康」,就需要記得以下2項留意、3項更新: - 留意作業系統、防毒程式、防火牆軟件、瀏覽器等等有無更新。 - 留意最新病毒、木馬及惡意程式的最新資料,以及防毒和防駭的最新資訊。 - 定時更新登入帳戶密碼、信用卡密碼及各項網絡保安的相關身份辨識資料。 - 定時更新防毒程式的病毒定義、防火牆軟件,並檢查防火牆及瀏覽器的Firewall、Pop-up Blocker及其他安全設定。 - 更重要的是,定時執行防毒程式掃描檔案。 3. 多行一步 用腦自然更美好 在今日網絡活動頻繁的年代,相信要大家不在互聯網下載任何檔案,或者完全確定所使用的軟件百分百安全相信並不可能。不過在開啟電郵附件、下載/BT/P2P得來以及來歷不明的檔案,何妨多行一步使用掃毒程式,確保任何來自網絡的檔案「無添加」;至於在雙核心處理器和1GB記憶體大行其道的今日,又何妨多行一步為電腦加裝一套防火牆軟件呢? 4. 善用隨身裝備 防止電腦入侵行為 每個電腦用家身上都有最佳的裝備,以自己的力量對抗來自互聯網的電腦入侵行為,要正視問題,不能視而不見。 眼:要不時監察電腦各項電腦資源包括處理器、記憶體、硬碟等的使用狀況和用量、軟件及檔案的大小,以及網絡流量是否有不尋常的變動,不常見的系統程序更特別值得留意。 耳:要提高警覺,多接收各項系統安全及病毒預防資訊,不能聽而不聞。 口:發現懷疑是新型病毒及惡意程式便要主動向網絡安全機構舉報,使更多人得知新型的系統安全問題。 手:遇著系統有問題或者不尋常的異動,要第一時間動手,切勿將問題越滾越大。 5. 記得留一手 重要檔案要留一手 用電腦,記得留一手—不論你係電腦新手定係上網老手,重要的個人檔案、電郵、文件,通通Backup留一手,即使電腦受入侵攻擊甚至檔案綁架勒索,都毋須再為回復方法傷腦筋。 總結 「足不出戶」還是「與時並進」的抉擇 面對住林林種種、推陳出新的電腦網絡安全威脅,不法份子以更高深的技術製作入侵和惡意程式進行攻擊,或多或少令問題更難對付。面對未來的電腦網絡安全問題,究竟應該以「足不出戶」、避免使用的態度防禦,還是應該「與時並進」、緊密留意最新的電腦保安技術對抗,相信會是一眾電腦用家需要深思的問題。這一刻要令自己安心使用,不妨利用McAfee的SiteAdvisor檢查一下自己常到的網站有無可疑程式,以及到Microsoft的保安網站測試一下自己對Spyware的知識。 MaAfee SiteAdvisor 網址:http://www./ Microsoft Spyware Quiz 網址:http://www.microsoft.com/athome/security/quiz/ spywarebasics1.mspxs 軟件之所以能夠得逞,完全是因為用家忽略軟件的安裝細節所致,要避免問題發生,只需於安裝軟件時打醒十二分精神,留意「使用者授權同意書」的條文及安裝時有否發生異常的情況。亦建議用家避免使用帶有廣告程序的軟件(Adware),因為即使一般的Anti-Spyware軟件通常可以清除該些自帶而來的附屬軟件,不過其附屬軟件被清除後,該軟件通常都未必能再運作。 奇案八 網上聽歌睇片都中招 播歌睇片的過程亦好有可能會中Spyware的圈套。繼去年發現有一款木馬程式「Trojan.StartPage.ahk」偽裝成MP3歌曲《輸了你贏了世界又如何》,以及網上流傳某版本的周杰倫《11月的肖邦》MP3帶有病毒後,又發現有人利用RealOne Player附有瀏覽器的漏洞,將木馬程式冒充成rm影片。就算唔播歌、唔睇片,最近Flash Player及QuickTime亦被發現有漏洞,只要播放軟件支援的檔案,系統就會有被入侵的危機。 原理剖析 有意散播病毒及不良程式的人會利用網絡用家貪小便宜的,及對媒體檔警覺性較低的習慣,將病毒及不良程式冒充成流行歌曲或影片檔案,用家下載後若果沒有細心檢查檔案,便直接播放就會中招。 至於RealOne Player的漏洞,散播者只需以Real Media編輯軟件在rm加入事件(Event),設定播片時在RealOne Player的瀏覽器開啟URL,便可成功引發入侵。至於Flash Player及QuickTime的漏洞,則會因播放導至Buffer Overflow令有問題的媒體檔可執行指令入侵電腦。 自保對策 用家最首要的,是保持對任何來歷不明檔案的警覺性,以及避免下載來歷不明的檔案。播放媒體檔時避免使用帶有瀏覽器的程式可避免不少問題。而面對媒體播放程式的漏洞,用家可以經常留意程式的更新狀況。針對Flash Player及QuickTime的問題,用家可以更新至Flash Player 8.0.24及QuickTime 7.1或以後的版本,或者避免使用附有瀏覽器的媒體播放軟件。 奇案九 惡有惡報 盜版者反被盜 網上盜版隨處可見,下載後為了能延長使用期,網絡上在有非法的破解方式存在。使用者藉由下載者的貪念,將惡意程式嵌入Key Generator或破解程式之中,使盜者上當中招,正所謂螳螂捕蟬,黃雀在後,網上有流行的WinRAR Crack及遊戲玩具NetCrack均是此類惡意程式。 原理剖析 WinRAR Crack 的運作方式是與ActiveX連接於破解網站,當使用者下載時,惡意程式會同時執行並自動安裝AcitveX元件,可盜取個人資料及不停彈出廣告。NetCrack是為網絡遊戲而設的小程式,當並未使用時不會做成任何損害,但當經NetCrack執行網絡遊戲時,使用者同時開放Port,讓駭客可遠端任意控制你的電腦。 一個程式能做多於一項事情本是正常之事,一方面解破程式會幫用戶破解軟件,暗地裡也可同時入侵控制用戶的電腦。製作破解軟件或產品序號產生器的人,就算是冠冕堂皇地自稱是甚麼難度挑戰者,又或是甚麼破解專家,說到底根本就是賊,與盜賊為伍當然沒有甚麼好結果,試想一下,別人能破解一個軟件程式,自然也有能力破解電腦用戶區區的系統保安。作賊者本身就是立心不良,對你及你電腦有加害之心,也絕不為怪。 自保對策 要避免中這種陷阱,方法其實簡單不過,只要用戶本身「行得正,企得正」,不被這些破解軟件引誘,做出一些原本就是犯罪行為的事情,用戶根本就不會墜入這種陷阱。要用軟件,該以合法的途徑取得軟件,推說軟件價格昂貴只不過是一個借口,要記住,這個世界永遠是沒有不勞而獲,利用不法途徑去奪取想要的東西,最終只會付出更大的代價。 〔2006年8月1日 電腦廣場〕
|
|
|
