销售客服:400-819-1313
客服中心

客服邮箱
kaba365@pcstars.com.cn

销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)

技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)

安全相关基本概念


1、犯罪软件

 

依恶意程序的演变来看,犯罪软件仍然处于幼年阶段,并没有一个确切的官方定义。然而,正如其名所示,犯罪软件是指典型的以因特网为基础进行犯罪活动的恶意程序。在过去的两年中,犯罪软件攻击发展的速度远远超过正常病毒的发展速度。国际上病毒制造者、黑客和垃圾邮件发送者都加大力量盗取信息来牟取暴利。

 

http://www.kaspersky.com.cn/KL-Cyberthreats/image/crimeware_vs_viruses.gif

 

犯罪软件的经典例子就是一个后门程序 -- 键盘记录器木马,它搜集用户的击键信息并将信息发送回攻击者。

 

例如,攻击者可能搜集银行的注册ID和密码,并得到相关信息的反馈,此时攻击者就会利用这些信息牟取暴利。

 

  Ransomware是另外一种犯罪软件。这种情况下,恶意木马程序在用户的硬盘驱动器上对文件进行加密。一旦文件被加密成功,木马就会显示一条信息或者留下一条敲诈留言,向用户索要钱财以换回密钥。

 

鉴于这种威胁的新特征,及其未来可能的发展趋势,对犯罪软件概念的进一步澄清和解析是必要的。

 

2、病毒

 

病毒的多样性

 

  今天,"病毒"这个术语已被每位计算机使用者和许多从未使用过计算机的人所熟知。连电视报道和报纸上都有关于最新的病毒流行的详细内容。其实,病毒是个全称性的术语,它涵盖了许多不同类型的恶意程序:传统的病毒、互联网和电子邮件中的蠕虫病毒、木马程序、后门程序以及其它恶意程序。

 

病毒的危害

 

  无论其形式如何,病毒都是通过复制自身、并几乎总是在不被使用者注意的情况下利用计算机和网络传播的程序。病毒的作用,或者效果可能是令人厌烦的、有害的、甚至是犯罪的。一个病毒也许只是个在显示屏上出现幽默信息的程序,也可能会清除你计算机上的全部文件,或者窃取并散布机密数据。

 

   对第一个计算机病毒是出现在20世纪60年代末还是70年代初人们意见不一。其影响相对有限,道理很简单,那时计算机使用者的数量比今天少太多了。计算机的普及导致病毒几乎变得每日出现,当然偶尔会有些欺骗性的消息。然而,真实的病毒攻击已是司空见惯,其后果是严重的,它导致个人和公司的相似的财产损失。

 

3、黑客

 

  何谓黑客?

 

   “黑客”一词曾经还带有那么一点可敬的意思。黑客是指具备一种先天能力的人,这些人能对一个对象的现状(在此特指计算机操作系统)加以利用或开发,从而将其用于另外一种偏离原意的用途。

 

  由于今天PC犯罪现象增多,“黑客”一词更多的与恶意攻击行为联系在一起,主要指那些利用自己的计算机设备恶意攻击他人计算机设备的人。

 

  从技术层面来看,通过“入侵”其它计算机设备进行犯罪的人可称为犯罪黑客或“骇客”。“入侵”计算机设备是一种探测操作系统功能、应用程序以及外围设备漏洞的行为,从而在未获得许可的情况下访问计算机或网络。

 

  网络钓鱼者也被视为黑客,因为他们利用社会工程学原理来欺骗它们攻击的对象。例如,网络钓鱼者会打着一家大银行的幌子给用户发送一封电子邮件,提供像PayPal之类的信用卡或电子货币服务。这些邮件不仅看上去非常正式,就连网络域名和发件人地址都乔装出一副官方的面孔。邮件正文通常会包含一条看似没有害处的信息,如:“您的帐户信息需要更新。”

 

  网络钓鱼者假定人们会打开这封电子邮件,阅读并相信内容的描述。他们希望读者会点击他们提供的链接,因为这些链接看上去很像是由官方提供的,而且所指向的站点跟真实站点(像PayPal等)的情况极其相似。事实上,用户连接上的是一个仿冒的站点,一旦输入帐户信息后,机密数据就会被记录下来并发送给攻击者。

 

4、垃圾邮件

 

什么是垃圾邮件?

 

  垃圾邮件和现实生活中的邮寄宣传品以及未经许可的电话推销一样。不论是对于家庭计算机用户还是企业计算机用户,它已成为最令人厌恶的东西之一。

 

  垃圾邮件的传递方式在过去几年间发展迅速。最初垃圾邮件是直接发送给计算机用户的。实际上,垃圾邮件发送者不需要伪装发件人信息。早期的垃圾邮件很容易被阻止,只要将指定的发送者或IP地址列入黑名单,就可以保证您的安全。作为回应,垃圾邮件发送者开始创建虚拟的发件人地址以及伪造其它技术信息。

 

   在20世纪90年代中期,所有的邮件服务器都是开放式中继的,任何一个发件人都可以发送电子邮件给任意一位接收者。从2000年开始,垃圾邮件发送者将目光投向高速的互联网,并开始发掘硬件的漏洞。而光纤与ADSL连接使得垃圾邮件散播者可以更快、更低廉地发送大量的垃圾邮件。此外,垃圾邮件发送者很快发现很多ADSL调制解调器都内置了sock服务器或者http代理服务器,两者都是用来在多台计算机之间划分互联网应用的工具。这一重要的功能意味着世界上任何地方的任何人都可以访问这些服务器,因为它们并没有采取任何保护措施。换言之,恶意用户可以使用他人的ADSL连接来做任何他想做的事情,包括发送垃圾邮件。而且,他们还可以使垃圾邮件看上去是从受害者的IP地址发送的。而全世界有数百万的人拥有这样的连接,因此垃圾邮件发送者获得了空前的机会。而这种情况直到硬件生产商开始保护他们的设备安全时才有所改变。

 

  2003年和2004年,垃圾邮件发送者从不被怀疑的用户的机器中发送了大多数的垃圾邮件信息。垃圾邮件发送者利用恶意程序将木马程序安装到用户的机器中,并将其开启,以便远程控制。入侵受害者机器的方法通常有以下几种:

 

在盗版软件中装入木马下载器,通过文件共享P2P网络(Kazaa、eDonkey等)

 

探测微软 Windows以及其他广受欢迎的应用程序,如IE与Outlook的漏洞

 

电子邮件蠕虫

 

  任何拥有恶意程序控制端的人可以控制装在受害者机器中的木马程序,进而来控制受害者的机器或者网络。结果这样形成的网络被称为僵尸网络,这些被控制的机器被在垃圾邮件发送者之间贩卖和交易。

  过滤器的数量在不断增多,功能也在不断改进,然而垃圾邮件传播者的技术手段也在不断变化。一旦安全公司开发出了有效的过滤器,垃圾邮件发送者马上改变他们的手段来避开新的垃圾邮件过滤器。这样的结果导致了一个循环实验模式,垃圾邮件发送者在不断投资开发新的用来规避新的垃圾邮件过滤器的技术中获益。

 

5、间谍软件

 

  ASC(反间谍软件联盟)于2005年8月起草“间谍软件”这一概念,并将“间谍软件和其他潜在的有害技术”如此定义:它能够“削弱用户对其使用经验、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。”

 

  “间谍软件”其实是一个灰色区域,所以并没有一个明确的定义。然而,正如同名字所暗示的一样,它通常被泛泛的定义为从计算机上搜集信息,并在未得到该计算机用户许可时便将信息传递到第三方的软件,包括监视击键,搜集机密信息(密码、信用卡号、PIN码等),获取电子邮件地址,跟踪浏览习惯等。间谍软件还有一个副产品,在其影响下这些行为不可避免的影响网络性能,减慢系统速度,进而影响整个商业进程。

 

  间谍软件之所以成为灰色区域,主要因为它是一个包罗万象的术语,包括很多与恶意程序相关的程序,而不是一个特定的类别。大多数的间谍软件定义不仅涉及广告软件、色情软件和风险软件程序,还包括许多木马程序,如Backdoor Trojans, Trojan Proxies 和 PSW Trojans等。这些程序早在10年前第一个AOL密码盗取程序出现时就已经存在,只是当时还没有“间谍软件”这个术语。

 

  间谍软件的另外一个附属品就是广告软件。此时,间谍软件以恶意后门程序的形式存在,该程序可以打开端口、启动ftp服务器、或者搜集击键信息并将信息反馈给攻击者。间谍软件可以存在于合法的(并可接受的)商业应用程序中,可以给网络管理员在影响和监视系统方面很大的权力。

 

  尽管这些程序并非很新,但近年来有恶意目的的程序却不断增加,引起媒体和反间谍软件开发商的很大关注。

 

6、蠕虫

 

  蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。

  蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含(侵占)在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。

 

   蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。

 

  个人用户对蠕虫病毒的防范措施

 

  通过上述的分析和介绍,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:

 

  1.选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外,面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!

  2.经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快、变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。

 

  3.提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!

 

  当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止,就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

 

  4.不随意查看陌生邮件,尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序。

 

7、“网络钓鱼”等网上诈骗盗窃活动防范知识

 

“网络钓鱼”的主要手法

 

  一是发送电子邮件,以虚假信息引诱用户中圈套。

  诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。

 

  如之前份发现的一种骗取美邦银行(Smith Barney)用户的帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口(如下图红色框)遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。如图:

 

diaoyu_17_clip_image002

 

  当用户点击链接时,实际连接的是钓鱼网站 http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面,如下图所示:

 

diaoyu_17_clip_image004

 

  而用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。

 

  二是建立假冒网上银行、网上证券网站,骗取用户帐号密码实施盗窃。 犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站, 引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用 跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意 Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。

 

  如曾出现过的某假冒银行网站,网址为 http://www.1cbc.com.cn,而真正银行网站是http://www.icbc.com.cn,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。

 

  又如 2004年7月发现的某假公司网站(网址为 http://www.1enovo.com ),而真正网站为 http://www.lenovo.com ,诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问。如下图所示:

 

diaoyu_17_clip_image005

 

  一旦访问该网站,首先生成一个弹出窗口,上面显示“免费赠送 QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站主页面在后台即通过多种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay),并在2秒钟后自动转向到真正网站主页,用户在毫无觉察中就感染了病毒。如下图:

 

diaoyu_17_clip_image007

 

  病毒程序执行后,将下载该网站上的另一个病毒程序 bbs5.exe,用来窃取用户的传奇帐号、密码和游戏装备。当用户通过QQ聊天时,还会自动发送包含恶意网址的消息。

 

  三是利用虚假的电子商务进行诈骗。 此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如 2003年,罪犯佘某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户,然后转移钱款的案件。

 

  除少数不法分子自己建立电子商务网站外,大部分人采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,以走私货充行货,很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,得到钱款或被识破时,就立即切断与消费者的联系。

 

  四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。 木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。

 

  如去年网上出现的 盗取某银行个人网上银行帐号和密码的木马 Troj_HidWebmon及其变种, 它甚至可以盗取用户数字证书。又如去年出现的木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。

 

  又如 2004年3月陈某盗窃银行储户资金一案,陈通过其个人网页向访问者的计算机种植木马,进而窃取访问者的银行帐户和密码,再通过电子银行转帐实施盗窃行为。

 

  再以某市新华书店网站( http://www.**xhsd.com)被植入“QQ大盗”木马病毒(Trojan/PSW.QQRobber.14.b)为例。当进入该网站后,页面显示并无可疑之处:

diaoyu_17_clip_image008

  但主页代码却在后台以隐藏方式打开另一个恶意网页 http://www.dfxhsd.com/icyfox.htm(Exploit.MhtRedir),后者利用IE浏览器的MHT文件下载执行漏洞,在用户不知情中下载恶意CHM文件http://www.dfxhsd.com/icyfox.js并运行内嵌其中的木马程序(Trojan/PSW.QQRobber.14.b)。木马程序运行后,将把自身复制到系统文件夹:

http://www.antivirus-china.org.cn/content/images/diaoyu_17_clip_image010.jpg

  同时添加注册表项,在 Windows启动时,木马得以自动运行,并将盗取用户QQ帐号、密码甚至身份信息。

  五是利用用户弱口令等漏洞破解、猜测用户帐号和密码。 不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如 2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解弱口令,并屡屡得手。

  实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、 QQ、msn进行各种各样的“网络钓鱼”不法活动。

   “网络钓鱼”防范知识

  针对以上不法分子通常采取的网络欺诈手法,广大网上电子金融、电子商务用户可采取如下防范措施:

  (一)针对电子邮件欺诈,广大网民如收到有如下 特点的邮件就要提高警惕,不要轻易打开和听信:一是伪造发件人信息,如 ABC@abcbank.com;二是问候语或开场白往往模仿被假冒单位的口吻和语气,如“亲爱的用户”;三是邮件内容多为传递紧迫的信息,如以帐户状态将影响到正常使用或宣称正在通过网站更新帐号资料信息等;四是索取个人信息,要求用户提供密码、帐号等信息。 还有一类邮件是以超低价或海关查没品等为诱饵诱骗消费者。

  (二)针对假冒网上银行、网上证券网站的情况,广大网上电子金融、电子商务用户在进行网上交易时要注意做到以下几点:一是核对网址,看是否与真正网址一致;二是选妥和保管好密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,建议用字母、数字 混合密码,尽量避免在不同系统使用同一密码;三是做好交易记录,对网上银行、网上证券等平台办理的转账和支付等业务做好记录,定期查看“历史交易明细”和打印业务对账单,如发现异常交易或差错,立即与有关单位联系;四是管好数字证书,避免在公用的计算机上使用网上交易系统;五是对异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行卡、证券交易卡挂失;六是 通过正确的程序登录支付网关,通过正式公布的网站进入,不要通过搜索引擎找到的网址或其他不明网站的链接进入。

  (三)针对虚假电子商务信息的情况,广大网民应掌握以下诈骗信息特点,不要上当:一是虚假购物、拍卖网站看上去都比较“正规”,有公司名称、地址、联系电话、联系人、电子邮箱等,有的还留有互联网信息服务备案编号和信用资质等;二是交易方式单一,消费者只能通过银行汇款的方式购买,且收款人均为个人,而非公司,订货方法一律采用先付款后发货的方式;三是诈取消费者款项的手法如出一辙,当消费者汇出第一笔款后,骗子会来电以各种理由要求汇款人再汇余款、风险金、押金或税款之类的费用,否则不会发货,也不退款,一些消费者迫于第一笔款已汇出,抱着侥幸心理继续再汇;四是 在进行网络交易前,要对交易网站和交易对方的资质进行全面了解。

  (四)其他网络安全防范措施。一是安装防火墙和防病毒软件,并经常升级;二是注意经常给系统打补丁,堵塞软件漏洞;三是 禁止浏览器运行 JavaScript和ActiveX代码; 四是 不要上一些不太了解的网站,不要执行从网上下载后未经杀毒处理的软件,不要打开 msn或者QQ上传送过来的不明文件等;五是提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露;尽量避免在网吧等公共场所使用网上电子商务服务。

8、恶意程序

  Malware是malicious software的缩写,意为“恶意程序”,是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。这一术语是两个词语的简单结合,使人们可以概括地谈论病毒和其它形式的恶意软件。

  病毒、后门程序、键盘记录器、密码盗取者和其它木马程序、Word和 Excel宏病毒、引导区病毒、脚本病毒 (batch, windows shell, java等)和木马、犯罪软件、间谍软件和广告软件等等都是一些可以称之为恶意程序的例子。

  恶意程序这一术语的产生有其必然性。在过去主要由基于DOS的计算机组成的环境中,我们称某些文件为“病毒”或者“木马”就足够了,因为那时病毒种类还很有限。当时也有“蠕虫”病毒,但是蠕虫仅影响UNIX设备,并不会产生很大影响。然而随着感染方式和病毒的不断演变,术语病毒和木马已经不再是对存在的各种恶意程序的令人满意的定义,以下为例:

   病毒将它们自己附着到程序文件上,通常会降低计算机的性能

   木马病毒可能会盗取密码,使某人看到保密的注册ID和用户密码信息成为可能

   一个漏洞可能会导致攻击者完全控制该计算机

   敲诈软件,实际上是木马的一种,可以给文件加密。它的特点是如果被感染的个人计算机用户想要获得解密密码,攻击者会向他敲诈钱财

   犯罪软件本身就是一个概括性术语,指的是为从事犯罪专门设计的恶意程序。这些程序都是典型的以互联网作为基础,并通常与某种形式的身份盗窃密切相关

热点新闻:

更多>>