我永遠(yuǎn)在修補(bǔ)我的系統(tǒng),利用最新殺毒軟件和防間諜件掃描程序定期掃描。但是,在寫這篇文章時(shí),我仍遭到了一種特洛伊木馬(Trojan.Winloginhook.Delf.A)的襲擊。這種木馬太新了,我的殺毒程序甚至發(fā)現(xiàn)不了它。不管是像特洛伊木馬這樣的老對手的新變種,還是全新類型的攻擊,今天的威脅甚至可以讓我們中間最有安全意識的人變得不堪一擊。
不過,現(xiàn)在有不少辦法能讓我們降低風(fēng)險(xiǎn)。建立可靠的防線的第一步就是要了解針對你的攻擊,因此,我編輯了一張你必須知道的10個(gè)嚴(yán)重安全問題的清單。當(dāng)然,若想保護(hù)自己,你應(yīng)當(dāng)了解如何不斷修補(bǔ)你的PC和升級防惡意軟件工具。此外,我將提供一些小建議,幫助你避免這些新危險(xiǎn),在遭到襲擊時(shí)控制損失。
風(fēng)險(xiǎn)NO1
將發(fā)動攻擊的僵尸PC大軍
危險(xiǎn)級別 ★★★★★
可 能 性 ★★★★★
目 標(biāo) Windows用戶
防范措施
不要登錄未知網(wǎng)站,不要點(diǎn)擊主動提供的電子郵件中的鏈接。同大多數(shù)惡意件一樣,木馬一般以這些方式傳播。
小心電子郵件附件,哪怕你認(rèn)識發(fā)件人。騙子們喜歡在帶有病毒的“詐騙”電子郵件中使用真實(shí)的郵件地址。
考慮使用像Firefox或Opera這樣的瀏覽器。IE是黑客們最愛的目標(biāo)。
僵尸網(wǎng)絡(luò)(Botnet)曾是那些精通技術(shù)的罪犯的領(lǐng)地,這些罪犯利用這些遠(yuǎn)程控制的受到感染的PC“軍團(tuán)”發(fā)送電子郵件、發(fā)動Internet攻擊或傳播間諜軟件。而現(xiàn)在由于開發(fā)和銷售用于此目的的簡單的工具,就連最幼稚的計(jì)算機(jī)暴徒都可以建立自己的僵尸網(wǎng)絡(luò),向你的PC發(fā)動攻擊。
很多人靠開發(fā)和銷售獨(dú)立的僵尸程序開發(fā)工具包賺錢。這類工具包讓潛在的“牧人”(即那些運(yùn)行僵尸網(wǎng)絡(luò)的個(gè)人)可導(dǎo)演自己的騙局。這些價(jià)格在20到3000美元之間的工具包,使野心勃勃的罪犯們能夠開發(fā)出功能齊全的僵尸網(wǎng)絡(luò)和其他惡意軟件——從可定制的蠕蟲到鍵盤記錄軟件,而且不需要一點(diǎn)技術(shù)含量。防間諜件程序開發(fā)商Sunbelt Software公司研發(fā)副總裁Eric Sites說: “現(xiàn)在有大量的開發(fā)工具包——50種、60種、100種,各不相同。”
情況正越變越糟。在開發(fā)了新的僵尸程序并把它傳送給毫無警惕的計(jì)算機(jī)用戶后,黑客就可以利用復(fù)雜的命令與控制工具輕松地指揮建立的僵尸網(wǎng)絡(luò)。
Sunbelt公司Site的團(tuán)隊(duì)和安全公司iDefense Labs的快速反應(yīng)小組發(fā)現(xiàn)了一種新的基于Web的僵尸網(wǎng)絡(luò)控制程序,取名為Metaphisher。牧人可以使用這種控制程序中高度圖形化的用戶界面(上面有精心設(shè)計(jì)的定制圖標(biāo)和直觀的控制按鈕)來代替發(fā)送文本命令。
據(jù)iDefense Labs表示,Metaphisher控制的僵尸程序感染了全球100多萬臺PC。這種控制套件甚至對自己與僵尸牧人之間的通信進(jìn)行加密,以中繼方式將有關(guān)受感染PC幾乎各個(gè)方面的信息傳送給僵尸主人——包括它們的地理位置、安裝的Windows安全補(bǔ)丁以及加載到每臺PC上的除IE瀏覽器之外的其他瀏覽器。
這些易于使用的工具包和控制程序無疑對最近幾次犯罪調(diào)查中發(fā)現(xiàn)的數(shù)量龐大的感染僵尸程序的PC,起到了推波助瀾的作用。例如,Jeanson James Ancheta,加州一位21歲的年輕人,最近在承認(rèn)違反了“聯(lián)邦計(jì)算機(jī)欺詐與濫用法”后,被判處坐牢57個(gè)月。他曾經(jīng)營一家利潤豐厚的犯罪企業(yè),這個(gè)企業(yè)建立在一個(gè)由多達(dá)40萬臺受感染PC組成的僵尸網(wǎng)絡(luò)基礎(chǔ)之上。去年秋天在荷蘭被捕的3名僵尸牧人據(jù)說控制了約150萬臺僵尸PC,數(shù)量驚人。
進(jìn)入門檻低意味著即使抓住一些牧人,每天仍會有更多的熱心人加入。受監(jiān)管的安全服務(wù)提供商Lurhq公司的高級安全研究員Joe Stewart說: “有這么多人僅僅是看到其他人做這件事賺錢,就加入到經(jīng)營僵尸網(wǎng)絡(luò)的行列中,真是太讓人驚訝了。”
風(fēng)險(xiǎn)NO2
被盜數(shù)據(jù)自由傳播
危險(xiǎn)級別 ★★★★★
可 能 性 ★★★
目 標(biāo) Windows用戶
防范措施
使用可以阻止未知程序與Internet通信的防火墻,阻止鍵盤記錄程序“打電話回家”。免費(fèi)ZoneAlarm防火墻可以做到這點(diǎn),而內(nèi)置的Windows XP防火墻則不能。定期更換口令,不要在多個(gè)網(wǎng)站上使用同樣的用戶名和口令。
當(dāng)一個(gè)壞家伙利用鍵盤記錄程序偷竊你的銀行登錄賬號和口令時(shí),情況已經(jīng)糟透了。而你的敏感信息被發(fā)布在沒有保護(hù)的FTP網(wǎng)站上,向任何碰巧看到它的人公開,情況就遠(yuǎn)不是糟糕所能形容的了。
防間諜件公司Sunbelt Software的Alex Eckelberry向我展示了一臺他們的公司在調(diào)查一種還沒有廣泛傳播的鍵盤記錄程序時(shí)發(fā)現(xiàn)的這種FTP服務(wù)器。這臺位于華盛頓特區(qū)的服務(wù)器上保存著4月份偷來的近10億字節(jié)的憑證信息。
鍵盤記錄程序不僅捕獲你用鍵盤敲過的一切,它們還可以獲取PC顯示器的屏幕快照,在Windows Protected Storage區(qū)采集數(shù)據(jù)。
那臺FTP服務(wù)器上保存的一個(gè)日志文件里有多家美國銀行與Buy.com的口令,以及Yahoo、Hotmail和其他電子郵件賬戶的用戶名和口令,還有在線賭場和眾多其他網(wǎng)站的賬戶信息。這種危險(xiǎn)是國際性的——日志記錄為多種語言,其中包括德語、西班牙語、土耳其語和日語,而且還含有指向分布在世界各地的受感染計(jì)算機(jī)的IP地址。
Eckelberry說,一年多以前發(fā)現(xiàn)這個(gè)保存鍵盤記錄程序數(shù)據(jù)的隱藏處時(shí),他就向那些被竊取了憑證信息的銀行和公司發(fā)出了警告。
加州Northridge市Kingdom Sewing & Vacuum公司老板Tim Brown就是其中的一位接到Sunbelt警告電話的人。他認(rèn)為他是在哥斯達(dá)黎加旅行時(shí)使用飯店的計(jì)算機(jī)查看自己的賬戶,被鍵盤記錄程序截獲銀行登錄信息的。數(shù)千名其他潛在的受害者則沒有那么幸運(yùn)。這些天Sunbelt不斷發(fā)現(xiàn)數(shù)據(jù)存儲處,如此大量的被盜信息已經(jīng)多得無法處理,因此他們已經(jīng)停止與個(gè)人聯(lián)系,而只是將找到的東西報(bào)告給FBI。
Sunbelt的Eric Sites說,由于有那么多的數(shù)據(jù)可供使用,因此沒有出現(xiàn)開發(fā)新的鍵盤記錄程序的狂潮。據(jù)反網(wǎng)絡(luò)釣魚工作組(一家企業(yè)與執(zhí)法聯(lián)盟)表示,4月份發(fā)現(xiàn)了180種不同的鍵盤記錄程序,這一數(shù)量遠(yuǎn)遠(yuǎn)超過了去年4月的77種,但比3個(gè)月前略有下降。
Sites總結(jié)說,越來越成熟的惡意軟件行業(yè)開始將注意力放在高效處理偷來的大量信息上。他說: “鍵盤記錄程序偷來的數(shù)據(jù)經(jīng)過采集、分類和處理后被保存在SQL數(shù)據(jù)庫中。然后,犯罪分子可以找到他們想要的內(nèi)容。這些后端系統(tǒng)復(fù)雜得令人難以置信。”
風(fēng)險(xiǎn)NO3
網(wǎng)絡(luò)釣魚者收編合法網(wǎng)站
危險(xiǎn)級別 ★★★★★
可 能 性 ★★★★★
目 標(biāo) 所有Internet用戶
防范措施
不要相信來自任何公司的主動提供的電子郵件,不管它看起來有多好。最好的釣魚網(wǎng)站和欺詐電子郵件都沒有什么明顯的漏洞。親手輸入銀行的URL,或使用書簽; 不要點(diǎn)擊電子郵件鏈接。查看瀏覽器工具欄中(而不是網(wǎng)頁上)有沒有出現(xiàn)顯示安全網(wǎng)站的掛鎖圖標(biāo)。現(xiàn)在有很多反釣魚工具欄,遇到已知釣魚網(wǎng)站時(shí)會發(fā)出警告,比如Netcraft提供的一種流行的免費(fèi)工具欄。
網(wǎng)絡(luò)釣魚是最有利可圖的計(jì)算機(jī)犯罪之一,它仍在快速發(fā)展。據(jù)來自反釣魚工作組的最新報(bào)告顯示,2006年4月,新釣魚網(wǎng)站的數(shù)量激增到創(chuàng)紀(jì)錄的11121個(gè),幾乎是2005年4月的4倍,那時(shí)的數(shù)字為2854。
現(xiàn)代的騙子們使用復(fù)雜的服務(wù)器端軟件,從目標(biāo)銀行的現(xiàn)用網(wǎng)站中直接提取所有文本、圖片和鏈接。你輸入的所有查詢都傳送給真網(wǎng)站——除了你的登錄數(shù)信息
絕大部分用戶都無法區(qū)分出的魚網(wǎng)站和真實(shí)網(wǎng)站之間的差別
有的釣魚網(wǎng)站甚至能讓一些謹(jǐn)慎的、經(jīng)驗(yàn)豐富的沖浪者上鉤。加州大學(xué)伯克利分校和哈佛大學(xué)在4月份發(fā)表的《網(wǎng)絡(luò)釣魚得逞原因》的研究報(bào)告中指出,兩所大學(xué)的專家將一些網(wǎng)站提供給實(shí)驗(yàn)對象,讓他們找出其中的假網(wǎng)站。結(jié)果發(fā)現(xiàn),“就算在最好的情況下,當(dāng)用戶預(yù)期存在欺詐并受到鼓勵(lì)去發(fā)現(xiàn)它們時(shí),用戶也不能將合法網(wǎng)站與欺詐網(wǎng)站區(qū)分開。在我們的研究中,最好的釣魚網(wǎng)站能欺騙90%以上的實(shí)驗(yàn)參與者。”
對于網(wǎng)絡(luò)釣魚者來說,最關(guān)鍵的是誘騙你訪問假網(wǎng)站。你可能并不會相信聲稱來自銀行的、要求你點(diǎn)擊鏈接檢查銀行賬戶的郵件。但是,網(wǎng)絡(luò)釣魚者目前采用的方法更有效,能強(qiáng)迫你的瀏覽器連接到他們的網(wǎng)站上。
一種叫做智能改向的惡意技術(shù),會秘密地將你的瀏覽器與假網(wǎng)站相連,即使你手動向?yàn)g覽器中輸入正確的銀行地址。運(yùn)行在你的計(jì)算機(jī)上的惡意軟件監(jiān)測著幾十甚至幾百個(gè)運(yùn)行在世界各地的假銀行網(wǎng)站,一旦你試圖連接銀行,惡意軟件就會將你的瀏覽器改向,連接在可供使用的假網(wǎng)站上。如果有關(guān)當(dāng)局關(guān)閉某一個(gè)假網(wǎng)站,運(yùn)行在被感染系統(tǒng)上的這種智能改向軟件只需把受害者連接到?jīng)]有關(guān)閉的網(wǎng)站上。
只要有利可圖,罪犯們就會繼續(xù)提高他們的釣魚技能,開發(fā)新技術(shù)。安全硬件制造商CounterStorm公司的Michael Rothschild說: “真實(shí)的信用卡信息的售價(jià)是每張卡70美元。他們可以出售卡上的信用額度,也可以出售卡的身份信息。”
風(fēng)險(xiǎn)NO4
人類安全漏洞
危險(xiǎn)級別 ★★★★★
可 能 性 ★★★★★
目 標(biāo) 所有人
防范措施
訂閱關(guān)于安全問題的RSS饋送,掌握最新Internet威脅的信息,比如F-Secure、 Kaspersky和Sophos的RSS。到PCWorld.com的“間諜件與安全信息中心”也可獲取大量的安全建議、產(chǎn)品測評和小技巧。
你可以升級Windows以及你的所有應(yīng)用程序,你可以利用安全軟件來保護(hù)PC,但是一個(gè)不斷被利用的弱點(diǎn)永遠(yuǎn)不可能被修補(bǔ)——人類的不可靠性。
在線的壞人們利用不斷變化的各種詭計(jì)和陷阱引誘你上鉤,他們變得越來越卑鄙。
最近發(fā)生的一次eBay拍賣圈套凸顯了精心設(shè)計(jì)的社區(qū)工程學(xué)的力量。據(jù)來自US-CERT和Internet安全公司的報(bào)告顯示,聰明的網(wǎng)絡(luò)釣魚者當(dāng)時(shí)利用eBay網(wǎng)站中的一個(gè)漏洞,向eBay網(wǎng)頁添加了拍賣鏈接。這些鏈接將毫不知情的用戶連接到一個(gè)新網(wǎng)站上。這個(gè)網(wǎng)站要求用戶輸入他們的eBay登錄信息。你必然會懷疑提示你點(diǎn)擊鏈接和輸入賬戶信息的無特定目標(biāo)的電子郵件信件,但是,如果在點(diǎn)擊了可驗(yàn)證的eBay網(wǎng)頁上的鏈接后提示你這樣做,你可能就會放松警惕。
你的電子郵件同樣吸引壞蛋們的注意。他們不是為了向你狂發(fā)垃圾郵件,而是發(fā)送看起來像是來自一個(gè)真實(shí)地址的帶有病毒的信件。這些欺詐性的電子郵件,配上某一公司的已知電子郵件地址清單,其結(jié)果是精心設(shè)計(jì)的、有目標(biāo)的攻擊。這類攻擊成功的可能性遠(yuǎn)遠(yuǎn)高于目前用來發(fā)送大多數(shù)惡意件的網(wǎng)絡(luò)范圍廣播方式,因?yàn)槟愫芸赡茳c(diǎn)擊Word文檔或出現(xiàn)在來自somebody@yourcompany.com的措辭得體的通知中的電子郵件鏈接。
假冒的電子郵件地址還可與攻擊(如最近的一個(gè)利用Microsoft Word中存在的新的零天漏洞的攻擊)配合使用。若要遭受攻擊,你所要做的就是打開一個(gè).doc附件——你有什么理由不打開一封電子郵件呢?
犯罪分子知道如果他們可以利用電子郵件或一流的釣魚網(wǎng)站欺騙你的話,他們就已經(jīng)順利地走在掌控你的計(jì)算機(jī)的道路上。不過,這也有積極的一面: 一位博識的的用戶可以建立抵御任何Internet攻擊的最佳防線。不斷學(xué)習(xí)新知識,保護(hù)自己的安全。
風(fēng)險(xiǎn)NO5
Rootkit與病毒狼狽為奸
危險(xiǎn)級別 ★★★★★
可 能 性 ★★★
目 標(biāo) Windows用戶
防范措施
尋找提供rootkit掃描和刪除的殺毒軟件。Kaspersky和F-Secure的最新軟件目前具有這種功能,其他軟件不久可能也將增加這種功能。使用像Sysinternals的RootkitRevealer和F-Secure的Blacklight這樣的rootkit檢測程序,這兩種軟件都可以免費(fèi)下載。其他掃描程序正在逐步推出。
Rootkits是惡意軟件發(fā)明家的夢想: 它們可以將蠕蟲、木馬和其他惡意軟件隱藏起來。文件在Windows資源管理器中沒有了身影,運(yùn)行的進(jìn)程不出現(xiàn)在任務(wù)管理器中,很多當(dāng)前的殺毒程序無法發(fā)現(xiàn)rootkit隱藏的惡意軟件——這正是為什么惡意軟件編寫者越來越多地利用rootkit隱藏惡意應(yīng)用程序的原因。
去年11月,當(dāng)一些Sony音樂CD安裝rootkit來隱藏防復(fù)制文件的新聞被披露時(shí),興高采烈的在線騙子們迅速跟進(jìn),推出利用Sony的發(fā)明來隱藏他們自己程序的惡意軟件。Sony的軟件隱藏任何以“$sys$”開頭的文件或進(jìn)程,因此機(jī)會主義的惡意軟件編寫者對他們的文件名做了相應(yīng)的改動。
今年3月,西班牙反病毒軟件廠商Panda Software報(bào)告說,發(fā)現(xiàn)了具有rootkit功能的致命Bagle蠕蟲的變種。更糟的是,同僵尸網(wǎng)絡(luò)程序制造者一樣,rootkit軟件制造者銷售或免費(fèi)贈送工具,因此惡意軟件作者可以更容易地將rootkit功能直接內(nèi)置到像Bagle這樣早已存在的軟件病毒或全新的惡意軟件中。
隨著機(jī)會主義犯罪分子使用已有rootkit,這種軟件出現(xiàn)了令人不寒而栗的新功能。例如,安全公司eEye發(fā)現(xiàn)文件可能會被隱藏在硬盤的引導(dǎo)扇區(qū)中。今年1月,Next-Generation Security Software公司安全咨詢師John Heasman宣布說,rootkit可以利用BIOS中的高級配置和電源界面特性中的功能,把惡意代碼隱藏在PC的BIOS中。
對于安全軟件來說,僅僅找到目前危險(xiǎn)性不太大的rootkit就是一項(xiàng)嚴(yán)峻的挑戰(zhàn)。檢測和刪除始終十分困難。
檢測Windows PC上的rootkit就像在一間黑暗的屋子里打開手電筒,然后試圖憑借物體投射在墻上的影子辨別物品一樣。專門的軟件,如F-Secure的BlackLight和Sysinternals的 RootkitRevealer,掃描Windwos文件系統(tǒng)和內(nèi)存,尋找rootkit留下的特有的不規(guī)則的痕跡。
但是,這些工具并不是在每一個(gè)案例中都能發(fā)揮作用。最近,廣告程序Look2Me通過關(guān)閉一個(gè)關(guān)鍵的系統(tǒng)調(diào)用,有效地突破了BlackLight。這種發(fā)明是偶然的,但rootkit制造者無疑將在他們的下一撥惡意軟件中注意到它。
風(fēng)險(xiǎn)NO6
瀏覽器被改向連接欺詐網(wǎng)站
危險(xiǎn)級別 ★★★★★
可 能 性 ★★★★★
目 標(biāo) 企業(yè)
防范措施
要求你的公司的IT部門確保DNS服務(wù)器不遞歸,并使軟件保持最新狀態(tài)。
十有八九,你每天都在使用域名系統(tǒng)服務(wù)器。它們將諸如www.pcworld.com這樣人類友善的名字轉(zhuǎn)換為計(jì)算機(jī)用來在Internet找到其他計(jì)算機(jī)的數(shù)字IP地址。同大多數(shù)公司一樣,你的ISP擁有自己的DNS服務(wù)器。Internet不能少了它們。
但是,據(jù)網(wǎng)絡(luò)技術(shù)公司Measurement Factory表示,全球100多萬臺DNS服務(wù)器——占全部服務(wù)器的75%——正在運(yùn)行過舊的或錯(cuò)誤配置的DNS軟件。這類系統(tǒng)容易受到多種嚴(yán)重的攻擊,計(jì)算機(jī)安全研究與教育組織SANS協(xié)會將DNS軟件列為20大Internet薄弱環(huán)節(jié)之一。例如,媒體上曾廣泛報(bào)道過的網(wǎng)絡(luò)騙子在致命的拒絕服務(wù)攻擊中使用了誤配置的DNS服務(wù)器,致使反垃圾郵件公司Blue Security在5月份永久關(guān)門。
攻擊有多種方式。一種戰(zhàn)術(shù)是“緩存投毒”。在這種攻擊中,攻擊者可以同時(shí)將目標(biāo)對準(zhǔn)使用DNS服務(wù)器的所有人。成功的攻擊會欺騙公司或ISP的服務(wù)器,將所有使用者連接到釣魚網(wǎng)站或其他惡意網(wǎng)站。
另一種致命的詭計(jì)是,當(dāng)壞家伙們向遞歸的DNS服務(wù)器發(fā)送欺詐的請求時(shí),作為回應(yīng),服務(wù)器向目標(biāo)受害者發(fā)送回答信息。這些回答信息包含比最初請求更多的數(shù)據(jù),從而放大了攻擊規(guī)模,使攻擊規(guī)模超過壞家伙們自己能夠發(fā)送的數(shù)據(jù)規(guī)模。倒霉的受害者完全被垃圾數(shù)據(jù)所淹沒,不能回應(yīng)來自正常用戶的真正請求。
風(fēng)險(xiǎn)NO7
給手機(jī)打電話的病毒
危險(xiǎn)級別 ★★★
可 能 性 ★(美國)
★★★(歐洲和亞洲)
目 標(biāo) 手機(jī)和智能電話用戶
防范措施
關(guān)閉手機(jī)或PDA上“開放的”藍(lán)牙功能,來切斷最常見的病毒感染通路。密切注意手機(jī)賬單的細(xì)目,尋找意外的變化。使用移動殺毒程序。F-Secure、Kaspersky、McAfee和Trend Micro等都提供它們。
就好像PC上的病毒還不夠壞,這些可惡的程序還瞄上了你的手機(jī)。同它們基于計(jì)算機(jī)的表兄一樣,一些移動病毒通過讓手機(jī)崩潰和破壞它的操作系統(tǒng)來制造災(zāi)難。其他的只是些修改圖標(biāo),讓手機(jī)使用起來更困難的小麻煩。
當(dāng)然,一些病毒完全是奔著錢去的。目前,俄羅斯有一種感染手機(jī)的特洛伊木馬向收費(fèi)服務(wù)發(fā)送文本消息。
到目前為止,這些病毒在美國還沒形成氣候,但它們在歐洲和亞洲已構(gòu)成嚴(yán)重的威脅。很多專家認(rèn)為,這些以聚斂錢財(cái)為目的的病毒進(jìn)入美國手機(jī)只是時(shí)間問題。
同很多真正的生化制品一樣,手機(jī)病毒一般需要靠近另一個(gè)容易受到感染的手機(jī)才能傳播。像芬蘭殺毒公司F-Secure 首席研究員Mikko Hypponen這樣的計(jì)算機(jī)安全專家,常常使用不安全的手機(jī)作為誘餌來觀察入侵者。在一次到倫敦的旅行中,病毒利用藍(lán)牙4次入侵了Hypponen的手機(jī)。藍(lán)牙的最大傳輸距離在30英尺左右,是最常見,但并不是惟一的感染載體。例如,Mabir病毒通過SMS消息傳播。
絕大多數(shù)移動病毒攻擊使用Symbian操作系統(tǒng)的手機(jī),但還有一些病毒攻擊基于Windows Mobile和Java的手機(jī)。自2004年6月發(fā)現(xiàn)Cabir.A后,病毒的數(shù)量不斷增加。到2006年5月15日止,共有211種手機(jī)病毒,而這個(gè)數(shù)字在2005年底時(shí)為156種。
風(fēng)險(xiǎn)NO8
綁架數(shù)據(jù) 勒索贖金
危險(xiǎn)級別 ★★★
可 能 性 ★
目 標(biāo) Windows用戶
防范措施
如果你是受害者,就去找警察。不要支付贖金,不要訪問贖金通牒中的任何鏈接。記下贖金通牒或信件的詳細(xì)信息,然后關(guān)閉被感染的PC。在一臺沒有受到感染的PC,利用贖金通牒中的詳細(xì)信息進(jìn)行Web搜索,你可能會在網(wǎng)上找到口令。嘗試?yán)没謴?fù)被刪除文件的程序恢復(fù)文件。不過,一些文件可能根本無法恢復(fù)。
聽起來像是Austin Powers的敵人Dr. Evil策劃的一場陰謀: 進(jìn)入受害者的計(jì)算機(jī),綁架計(jì)算機(jī)上的文件,扣留數(shù)據(jù)作為人質(zhì),直到付錢為止。這類攻擊盡管很少見,但在世界各地都發(fā)生過。
贖金軟件的早期例子,Cryzip,搜索硬盤上44種不同的文件類型(如Microsoft Word或Excel文件),將它們壓縮為口令保護(hù)的zip文件。然后告訴受害者向99個(gè)隨機(jī)選擇的e-gold賬戶之一存入300美元。一旦交了贖金,犯罪分子就向受害者提供所需的口令。
今年5月,另一種叫做Arhiveus贖金軟件問世。這種軟件并不要求將贖金保存在可以被跟蹤的e-gold賬戶中,而且指示受害者從某家網(wǎng)上藥店購買處方藥,然后將訂單ID作為付款憑證發(fā)送給惡意軟件作者。
Lurhq的Joe Stewart說: “看起來這像是一家在中國經(jīng)營的俄國藥店。附在URL上的信息看起來像是一個(gè)會員ID——他們可能參了股。”在他對Cryzip和Arhiveus的研究中,Stewart發(fā)現(xiàn)“解救”數(shù)據(jù)所需要的口令嵌入在惡意軟件代碼中,而且沒有加密。
精明的用戶有時(shí)也是幸運(yùn)的。Richmond Mathewson是保加利亞Plovdiv市的一位軟件開發(fā)人員。一位朋友發(fā)現(xiàn)她的“我的文檔”文件夾中的所有內(nèi)容都消失后,她的所有工作文件也隨著一起消失,而她卻沒有備份過這些文件。Mathewson設(shè)法營救了這位朋友的大部分?jǐn)?shù)據(jù)。他在研究這臺計(jì)算機(jī)時(shí),找到了簡短但令人毛骨悚然的Arhiveus贖金通牒。他利用他的聯(lián)網(wǎng)Mac Mini——一種免費(fèi)恢復(fù)被刪除文件工具,在付出大約4小時(shí)的勞動后,扭轉(zhuǎn)了敗局。不過,他說數(shù)據(jù)并沒有完全恢復(fù): “到目前為止,5%的文件仍沒有找到。”
目前,贖金軟件并不非常復(fù)雜,它的范圍也很有限。除了口令保存在程序中之外,Arhiveus將受害人所有的文件保存在一個(gè)名為“EncryptedFiles.als”的長文件中——不過沒有真正加密這個(gè)文件。
Stewart說: “目前其對于一般用戶的威脅非常小。我估計(jì),全球受贖金軟件感染的PC數(shù)量在5000臺以下……廣泛傳播并不能增加那些家伙的利益。如果他們讓它保持低調(diào),并以沒有能力對付它的人作為目標(biāo)的話,他們很可能得到贖金。”
Stewart補(bǔ)充說,不過“這似乎只是這種威脅的初始階段。”同每一種攻擊一樣,贖金軟件將隨著犯罪分子改進(jìn)他們的方法而演進(jìn)。“隨著Arhiveus嘗試將贖金軟件與在可疑的在線商店中購買會員產(chǎn)品相結(jié)合,這可能是某種更大攻擊的開始。”
風(fēng)險(xiǎn)NO9
護(hù)照上的惡意軟件
危險(xiǎn)級別 ★★★
可 能 性 ★
目 標(biāo) 大多數(shù)消費(fèi)者
防范措施
RFID信號不能穿透金屬或襯了錫箔的箱子。如果你攜帶RFID安全護(hù)照的話,將它放在金屬名片盒或類似的盒子中。
你的護(hù)照、一包刮胡刀片,甚至你的寵物貓,都可能攜帶計(jì)算機(jī)病毒?這顯得似乎有點(diǎn)牽強(qiáng),但是3位荷蘭研究人員最近的發(fā)現(xiàn)可以證明這種可能性。
RFID(無線射頻標(biāo)識)芯片是一種可以嵌入在標(biāo)簽和寵物ID標(biāo)識中的微小而不昂貴的裝置,它們不久將出現(xiàn)在駕駛證和美國護(hù)照中。它們被用于以電子方式短距離傳送信息——比如運(yùn)輸貨盤的庫存數(shù)據(jù)或你的護(hù)照號。雖然十分有用,但RFID技術(shù)的一些實(shí)現(xiàn)存在安全弱點(diǎn)。例如,一些標(biāo)簽上的信息可以被改寫,另一些標(biāo)簽上的數(shù)據(jù)可以從很遠(yuǎn)的距離讀取。
在一次利用其中一些弱點(diǎn)的實(shí)驗(yàn)中,來自荷蘭的大學(xué)研究人員進(jìn)行了一次頗有爭議的概念證明研究。他們利用修改的RFID標(biāo)簽和一條病毒式的命令來“感染”保存標(biāo)簽記錄的后端數(shù)據(jù)庫。從理論上講,RFID系統(tǒng)因此可能會崩潰或運(yùn)行惡意代碼——關(guān)鍵業(yè)務(wù)或政府技術(shù)所面臨的一個(gè)可怕的前景。
眾多計(jì)算機(jī)安全專家指出,利用安裝在RFID閱讀器與數(shù)據(jù)庫之間的有效的“中間件”合理構(gòu)建的系統(tǒng)不容易受到這類攻擊的影響。敏感的RFID芯片可以使用加密技術(shù)和屏蔽保護(hù)來阻止接收不請自來的惡意攻擊。這兩種措施計(jì)劃中的美國護(hù)照都將采用。
無論如何,這項(xiàng)研究說明了一個(gè)基本觀點(diǎn): 幾乎每一種系統(tǒng)都存在可以利用的漏洞。
風(fēng)險(xiǎn)NO10
沒有絕對安全的天堂:威脅困擾所有平臺
危險(xiǎn)級別 ★★★★★
可 能 性 ★
目 標(biāo) Windows、Mac和Linux用戶
防范措施
考慮使用Mac或Linux殺毒程序,如Panda Antivirus for Linux以及來自McAfee和 Symantec等廠商的Mac產(chǎn)品。即使沒有其他什么病毒的話,你也能幫助阻止Windows病毒的傳播。不管你使用什么操作系統(tǒng),都要將它升級為最新版本和打上最新的補(bǔ)丁。
當(dāng)Windows用戶遭受似乎無休止的利用Microsoft操作系統(tǒng)中一個(gè)接一個(gè)的漏洞的攻擊時(shí),Mac和Linux用戶一直洋洋得意。但是,這些曾經(jīng)被認(rèn)為是安全的計(jì)算避難所的替代操作系統(tǒng)現(xiàn)在也需要應(yīng)付它們自己的問題。
隨著犯罪分子將目標(biāo)對準(zhǔn)OS X中70多種已公布的安全漏洞,Mac成為攻擊的目標(biāo)。其中的一個(gè)漏洞在今年2月被一種攻擊OS X Tiger的惡意軟件所利用,和一種名為Oompa-loompa的即時(shí)消息蠕蟲結(jié)合使用。在IE用戶可能已經(jīng)非常習(xí)慣于聽到允許“遠(yuǎn)程代碼執(zhí)行”(含意為: 向攻擊者交出PC的控制權(quán))的新瀏覽器隱患時(shí),Mac用戶現(xiàn)在也必須提高警惕了——今年Apple的3次重大安全補(bǔ)丁中的最新補(bǔ)丁就堵住了Safari瀏覽器中的這樣一個(gè)漏洞。
Linux也面臨大量的蠕蟲。針對這種操作系統(tǒng)的惡意程序的數(shù)量在2004年到2005年間增加了一倍。Rootkit這種Windows PC面臨的巨大威脅,實(shí)際上可以追根溯源到旨在偷偷接管對Unix操作系統(tǒng)上管理級“根”用戶控制的攻擊。此外,盡管能夠運(yùn)行自己的個(gè)人Web服務(wù)器是開源軟件吸引人的好處之一,但這樣做也會使壞蛋們劫持你的網(wǎng)站或控制你的PC。
4月出現(xiàn)了一種同時(shí)攻擊Windows和Linux的病毒。這種由殺毒軟件公司Kaspersky開發(fā)的病毒不含有效載荷,因此不會造成任何破壞。這種有著不同名稱的病毒,Virus.Linux.Bi.a或Virus.Win32.Bi.a,能感染一種類型的Linux文件格式(ELF)和一種類型的Windows文件格式(PE)。它基于較新系統(tǒng)所沒有的老Linux要素,但它足以成為促使Linux發(fā)明者Linus Torvalds編寫補(bǔ)丁的警鐘。
Windows的普及性意味著針對其很多安全漏洞的惡意件感染大多數(shù)PC的機(jī)會最大。但是,隨著替代操作系統(tǒng)的日益普及,它們也成為越來越有吸引力的目標(biāo)。
表中列出的操作系統(tǒng)的安全公告數(shù)量證明,當(dāng)涉及安全漏洞時(shí),Microsoft并不孤獨(dú),但Apple似乎更迅速地進(jìn)行修補(bǔ)。