网络病毒成“变形金刚”
近日,各类网络病毒又开始了新一轮的攻击,与以往不同的是,此次病毒已经变成“混合体”,对用户电脑造成的危害更大。
各种病毒综合成一个“怪胎”
上个月本报曾报道过一种名为“机器狗”的病毒在网上肆虐,这种病毒专门攻击杀毒软件,使它无法发挥作用,从而导致病毒更加疯狂地传播.
而就在“机器狗”病毒还未完全消灭掉之际,另一种和“机器狗”病毒极为相似的“磁碟机”病毒开始在网上泛滥。据了解,这种病毒能够关闭各种杀毒软件,并自动下载几十种盗号木马病毒,给网民带来极大的损失。截至目前,被“磁碟机”感染的电脑已达数十万台。
正如“病来如山倒”,病毒攻击一波接一波。4月30日,从国家计算机病毒应急处理中心传来消息,一些新的恶意木马程序变种开始威胁国内电脑用户。就在国家计算机病毒应急处理中心刚刚发布此次消息之后,节后就有众多电脑用户感染了一种名为“ARP”的病毒。
据江民反病毒中心发出紧急病毒警报称,一种名为“桌面幽灵”的新病毒近日开始出现在互联网上,目前已有大量电脑用户上报电脑受该病毒感染。病毒综合了“磁碟机”、“系统杀手”、“ARP杀手”、“机器狗”等多种恶意病毒特征于一体,不但会关闭多数杀毒软件,还会在后台窃取网友账号密码、弹出恶意广告,严重危害电脑用户的系统和使用安全。
杀毒软件杀毒标准不一样
“现在网上病毒很奇怪,有的杀毒软件对病毒起作用,有的就不起作用,一些看似很猖獗的病毒,反而在一些电脑上就没事。”电脑用户付先生向记者反映,他电脑中装的是某国外杀毒软件的产品,由于每天都在更新,一直没有“中招”,但在去年,他用其他杀毒软件,每次都能查杀出很多病毒。
国内某杀毒软件厂家安全技术中心的负责人告诉记者,这种情况目前在杀毒产品里相当普遍,最主要的原因是每个软件厂商的杀毒标准不一样,同一种病毒源代码,有的厂家按照自己的标准,就会判定是病毒,而有的就不会认为是病毒,这样就出现了有的杀毒软件能杀毒,有的杀毒软件杀不了毒的现象。
西安电子科技大学从事计算机教学的唐老师告诉记者:“有些杀毒软件杀不了病毒还有一个很重要的问题是现在网上存在着很多"灰色程序",这是一种介于正常软件与病毒之间的程序,它往往能让很多杀毒软件难以进行合理判断,比如有些.EXE的可执行程序以及一些网上插件,都是典型的灰色程序。”
此外,他还表示,有些杀毒软件虽然能够有效杀灭病毒,但也容易出现“误杀”现象,杀毒软件把一些正常的程序都给消灭了,也给电脑用户带来很大的麻烦。
记者致电国家计算机病毒应急处理中心时,其负责人表示,目前在病毒特性判定上,国家尚无具体的技术标准可供参考,完全是厂家根据用户的举报或搜集到的特征码进行杀毒程序的编写。
技术防范难成解决问题关键
记者致电金山、瑞星、江民、卡巴基斯等杀毒软件厂商,他们均表示,从近一段时间的病毒特征来看,病毒确实已经演变成了一种综合体,这种综合体的病毒比以往任何一种病毒都难以清除。因此当电脑用户发现了计算机系统变慢、死机等常见的病毒现象时,应及时下载补丁和病毒防火墙,做好预防措施,然后再用专杀工具进行查杀。
这几乎是用户每次遭受病毒攻击时最常用的公式,但每次都这么做,下一次照样会遭受新病毒的攻击,病毒攻击花样繁多,这让电脑用户总是难以应对。
金山反病毒专家李铁军认为,出于营利目的,现在病毒编造者的攻击目标主要是电脑用户的账号、密码,因此产业化运作现在已成病毒泛滥的主要原因。“现在的病毒制造者早已从以前的破坏系统、炫耀技术转变成了窃取用户财产的行为。很多病毒制造者还是反病毒论坛的高手,他们制造的病毒危害性很大。从写程序到传播,再到销售最后洗钱分赃,由此产生的黑客制造病毒的产业链已经非常成熟。”金山反病毒专家李铁军表示。
因此,要真正遏制病毒的泛滥,关键是要将病毒传播的源泉掐掉,这就需要公安机关的配合,从法律上对制造病毒的犯罪分子进行制裁。“熊猫烧香”病毒制造者的落网就是一个很好的启示。
陕西省网监大队的负责人告诉记者,目前陕西省网监大队正在密切关注一些在网上传播病毒的病毒制造者,但这些病毒制造者在网下是如何配合形成一个产业,还需要政府其他部门积极配合。本报记者杨刚
局域网用户如何避免病毒感染
在此次病毒攻击中,受害的大多是局域网电脑用户,由于局域网各电脑用户之间常常要共享文件,因此病毒很容易通过这种方式大肆传播。
瑞星公司售后服务中心的工程师在接受记者采访时表示,五一节后很多用户反映的“ARP”病毒攻击实际上是一种网络攻击行为,作案者会向系统中发送大量的代码破坏系统的网关,从而导致局域网用户上网时断时续,当然,在这种攻击手段的背后,肯定会隐藏很多其他的一些木马病毒和程序,如果一些电脑用户没有及时更新操作系统的补丁,木马病毒就会趁机进入系统造成用户的账号或密码被窃。
针对这种“综合体”病毒的防范,金山反病毒专家李铁军表示,最主要有三点防御措施:一是要及时修复系统的漏洞,现在XP系统每周都有防止系统漏洞的补丁供用户免费下载;第二是及时升级杀毒软件,及时监控;第三是不要在局域网内互用移动存储设备,这很容易导致病毒感染。
如果电脑遭受了“综合体”病毒的攻击,最简单的办法是在网上下载一个名为“SNIFFER”的程序来寻找ARP攻击行为的发包源电脑,找到发包源电脑后,在局域网里隔离开这台电脑的网络,然后再集中剿灭这台电脑里所附带的病毒。
另外,个人用户也不可高枕无忧,在防范病毒方面,也要定时查杀,及时下载各种更新程序和补丁,遇到病毒,应及时向杀毒软件厂商寻求帮助。本报记者杨刚
中毒自救6招
电脑万一中毒了,该如何处理呢?下面就谈谈中毒后的一些紧急处理措施:
一、正在上网的用户,发现异常应首先马上断开链接
如果你发现IE经常询问你是否运行某些ACTIVEX控件,或是生成莫明其妙的文件、询问调试脚本什么的,一定要警惕了,你可能已经中招了。
处理办法是马上断开链接,这样能将自己的损失降低的同时,也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机,进一步的处理措施请参看下面。
二、中毒后,应马上备份转移文档和邮件等
中毒后运行杀毒软件清除是不在话下的了,但为了防止杀毒软件误杀或是删掉你还未处理完的文档和重要的邮件,你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份,所以建议您先不要退出windows,因为病毒一旦发作,可能就不能进入windows了。
三、需要在windows下先运行一下杀CIH的软件(即使是带毒环境)
如果是发现了CIH病毒的,要注意不能完全按平时报刊和手册建议的措施,先关机、冷启动用系统盘来引导再杀毒,应在带毒的环境下也运行一次专杀CIH的软件。这样做,杀毒软件可能会报告某些文件在受读写保护无法清理,但带毒运行的实际目的不在于完全清除病毒,而是在于把CIH下次开机时候的破坏减到最低,以防它再次开机破坏主板的BIOS硬件,那么就会黑屏,让你的下一步杀毒无法进行。
四、需要干净的DOS启动盘和DOS下面的杀毒软件
到现在,就应该按很多杀毒软件的标准手册去按步就班地做,即关机后冷启动,用一张干净的DOS启动盘引导是不能少的了。
即使能在windows下运行杀毒软件的,也请用两种以上工具交叉清理。在多数情况下windows可能要重装,因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。
五、如果有GHOST和分区表、引导区的备份,用之来恢复一次最保险
如果你在平时作了windows的GHOST备份,用之来镜像一次,得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了,当然,这要求你的GHOST备份是绝对可靠的。
六、再次恢复系统后,更改你的网络相关密码
包括登录网络的用户名、密码、邮箱的密码和QQ等等,防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息,所以适当的更改是必要的
