安全：为Windows穿上防弹衣（上）

　　本文将首先阐述对PC用户数据产生重大危害的各种病毒、间谍软件和其他威胁，并教你如何检查PC是否安全，当然我们还会教你如何对它进行更好的保护。　　　　在线安全问题是否被媒体和安全厂商所夸大？我从来没有安装反病毒软件，但我的电脑一直用得很好。为什么非要安装Internet防火墙？我觉得没有什么黑客会对我电脑中的数据感兴趣。　　　　以上观点正是不少普通电脑用户的真实想法，但这种“天下无贼”式的天真想法具有很大的危险性，实际上黑客们有非常多的动机去入侵你的机器，比如，免费利用你的PC的闲置运算能力就是一个最简单的理由。当然，他们能干的事情远不止此，攻击者可以利用你的电脑以及其他人的电脑构建一个庞大的破坏性网络来散布病毒或垃圾信息。还有一些攻击者则喜欢搜集你的个人信息用于更进一步的破坏活动（比如盗用你的信用卡）。在你自以为安全的电脑上，也许正运行着几十个病毒和数百个间谍程序，这一点也不夸张，而是我们每天都要面对的现实。　　　　在接下来的几页内容中，我们将为你讲述最近在PC安全领域出现的几个重大趋势，之后我们将给出一些有价值的小技巧，帮你为Windows穿上一件能够有效防止黑客攻击的防弹衣。　　　　人人都有危险　　　　只要是在线的电脑都有遭到攻击的危险，但不管是家庭用户还是商业用户，都对这种风险有所低估。来自美国国家网络安全协会（NCSA，National Cyber Security Alliance）的一份调查报告（www.staysafeonline.infonewssafety_study_v04.pdf）表明：84%的被调查者会在电脑中保存敏感性数据；72%的在线用户会在网上使用这些敏感性数据；77%的在线用户认为自己的电脑很安全但他们实际上并没有采取太多的防护措施；将近2/3的被调查者没有及时更新防病毒软件或者根本就没有安装；67%的被调查者没有使用Internet防火墙，而在安装了防火墙的用户当中又有将近70%的人未能正确配置（比如仍然存在好几个开放的端口）；12%的被调查者在使用WLAN产品，但几乎没有人启用WPA（Wi-Fi Protected Access）加密选项，其中62%的WLAN用户使用安全性较差的WEP（Wireless Encryption Protocol）加密，剩下的WLAN用户则没有采取任何保护措施。　　　　在调查对象中，每5台计算机中就有一台曾经感染过病毒（19%），在一些电脑中甚至有200种以上的病毒。至于间谍软件和广告程序的问题就更加让人触目惊心，有超过80%的计算机曾遭受过它们的侵扰，平均每台电脑遭受过93种恶意工具的攻击，而有的电脑甚至遭受过超过1000种恶意工具的攻击。　　　　仅在2004年11月，就产生了1379种新病毒，而2004年上半年新产生的病毒数量为4500，这些数据与2003年相比有了近5倍的增长。截止到2004年年底，大约有98000种病毒还在四处传播，而到了2005年1月这一数据已经超过了10万种。　　　　真实的威胁　　　　并非所有的恶意软件都有相同的破坏力，实际上主要的危险都来自于少数几种恶意软件，前一段流行的Netsky-P和Sober-I蠕虫几乎占了被感染事故的一半，而如果你能防范Netsky-P和Sober-I再加上另外几种主要的恶意软件（Bagle、Mydoom和Zafi），你就可以避免90%的攻击威胁。如果想了解某种病毒的更多细节，可以到一些计算机安全软件公司的网站查看，比如McAfee的病毒信息库（http://vil.nai.com）。　　　　除了e-mail这个主要的传播渠道之外，P2P文件共享和IRC聊天室也是恶意代码传播的温床。而像Bagle和Gaobot这类能够自身产生变种的病毒的危害性就更大了。　　　　自1998年以来，用于刺探用户密码和个人隐私的特洛伊木马和用于进行DDoS攻击（分布式拒绝服务）的病毒数量增长了一倍还多。　　　　特洛伊木马的泛滥　　　　在2004年中，大约有25000种特洛伊木马病毒在传播，这个数字预计在2005年年底将突破50000种。其中最活跃的要算是SD Bots这一类病毒，他们通过特洛伊木马程序入侵IRC服务器，当收到攻击命令的指示后就会突破防火墙并利用自动程序网络（botnets）不断发起攻击。　　　　在2004年年初，专家们预计全球有大约2000台PC被一个或多个自动程序网络所利用，而这些计算机的主人并不知情。如今这个数字已经迅速增加到30000台，这些计算机在不知不觉中成了黑客们的帮凶。一名黑客通过这种自动程序网络就能控制大量的计算机来发布垃圾信息或者发动DDoS攻击。自动程序网络的控制者甚至开始把网络出租给一些犯罪团体，这些犯罪团伙会对商业企业进行勒索，如果得不到满足就扬言用自动程序网络对企业进行攻击。这类威胁可能会给企业带来数以百万计的损失。另一方面，自动程序网络对恶意代码的传播扩散也起到了推波助澜的作用。　　　　混合型攻击　　　　在过去的一年中，混合型攻击行为的发生明显增多。这类混合型攻击既表现为攻击主体的群体性（黑客们不再单独行动而是有组织地发起共同攻击），也表现为攻击手段的多样化（蠕虫、特洛伊木马程序、病毒等等往往在一次攻击行动中都会被用上），这种混合型攻击行为一旦找到某个安全漏洞，就会尽其所能进行传播和破坏，危害性极大。　　　　比如，当某个蠕虫发现安全漏洞，它会把某病毒通过该漏洞进行传播，该病毒再把特洛伊木马加载进来，特洛伊木马则会在被感染PC中开启一个后门，这台PC就成了可以被黑客远程控制的犯罪节点。像Plexus、Mydoom和其他一些变种都是这类混合型攻击行为的代表。　　　　堵不完的安全漏洞　　　　安全漏洞不仅存在于操作系统中，浏览器、应用程序也存在着漏洞，从安全漏洞被发现到第一次利用该漏洞的攻击行为发生，这中间的时间间隔越来越短，目前这个平均时间间隔为6天左右。但具体到某个安全漏洞，留给用户弥补漏洞的时间可能就更加紧迫，有些漏洞在被发现的当天可能就会出现相应的攻击行为。而那些通过网络或Internet攻击安全漏洞的病毒可能会在数秒钟内传遍全世界，比如Mydoom-AH病毒就是一例。　　　　在2004年，有大约3000个软件漏洞被发现。对多数用户来说，其中的一小部分漏洞遭受攻击的可能性不大。但根据Symantec安全专家对2004年上半年发现的1237种安全漏洞进行的统计来看，其中70%的安全漏洞很容易被恶意利用，而96%的安全漏洞可以被较有经验的黑客们利用。毫无疑问，绝大多数安全漏洞都出现在没有打过补丁的Windows系统以及Internet Explorer浏览器中。被恶意程序控制的PC已经成为相当普遍的现象，而绝大多数用户并不会察觉，当你的上网速度变慢时，你很容易将它归结为服务器负载过大，而很可能此时你的私人数据已经在不知不觉中被人偷走。 　　　　为生存而战　　　　在2004年还出现了一种很有趣的情况，病毒编写者们似乎花了不少的精力进行互相争斗。一些蠕虫和病毒中包含了去除其他恶意程序的代码，比如网络天空（Worm.Netsky）就可以清除Mydoom和Bagle病毒，而被清除一方病毒的编写者则会编写病毒变种以抗衡，这种情况促成了病毒变种的急剧增多。　　　　病毒编写者被检举和揭发的情况也变得普遍起来，2004年有好几个病毒编写者被捕，他们被认定与Sasser、Netsky、Agobot、Phatbot和 Lovesan等病毒有关。　　　　垃圾邮件的昂贵代价　　　　垃圾信息的泛滥也成为令人头疼的问题，它们已经不仅仅是广告的载体，同时也能传播蠕虫、病毒和特洛伊木马程序。　　　　根据E-mail安全解决方案厂商MXLogic（www.mxlogic.com）的说法，大约有93%的e-mail都属于垃圾邮件，另一家厂商Frontbridge（www.frontbridge.com）的调查结果则显示该比率为82%。尽管这两家安全解决方案厂商的数据多少有些夸大的成分（毕竟他们有推销自己产品的动机嘛），但实际情况的确令人担忧，我想70%的e-mail属于垃圾邮件还是比较符合事实的。2005年预计会有3500万封e-mail被发送，而其中的2450万封都属于垃圾邮件，还有可能带有恶意代码。　　　　据专家估计，由于垃圾邮件引起的工作效率下降导致的经济损失在2004年达到了200亿美元，对于一个有500名员工的公司来说，每年处理垃圾邮件带来的损失会高达400万美元。　　　　在2004年出现的另一种趋势是“伪造陷阱”的增多，这种e-mail会诱使你访问伪造的网站（它们粗看起来和正规的网站非常相似），这类网站往往会让你确认银行账户的信息，比如让你输入账号和密码，而随后你会发现你的账户中的钱莫名其妙地被人花掉了。大约有140万网上用户落入过这种“伪造陷阱”，造成银行和信用卡公司的直接经济损失高达12亿美元，而个人用户的经济损失可能也在这个数量级。　　　　根据Anti-Phishing Working Group（www.antiphishing.org）的调查，截止到2004年10月，已经出现了1142个伪造在线网站，这个数量在以每月25%的速度增长，每家伪造网站的生存周期平均为6天。　　　　未来会怎样？　　　　未来的情况会如何呢？安全专家们一致认为，2005年安全问题将变得更加令人关注，下列攻击行为仍将继续增长：　　　　● 通过基于Web的应用程序发动的攻击　　　　● 自动邮件群发、垃圾邮件、特洛伊木马和DDoS攻击　　　　● 具有自动防御机制的病毒攻击　　　　● 针对安全工具（如防病毒软件、Internet防火墙、路由器）发起的攻击　　　　● 更智能化和更大规模的自动程序网络（botnets）　　　　● 更多的隐蔽性攻击　　　　● 社会工程学攻击　　　　正所谓“道高一尺、魔高一丈”，未来可能还会出现更多我们以前没有碰到过的病毒类型，比如在2004年我们就领教了首次出现的移动电话蠕虫病毒—Cabir，尽管它只是一款概念验证性恶意程序（与首次出现于Pocket PC手持设备的特洛伊木马程序Duts类似），暂时还没有太大的危害，但无疑已经吹响了攻击的号角。随着WLAN变得越来越