科技
科技
win10自帶的殺毒軟件,并不太適合實際,對國內的系統環境或者操作習慣來說,并不適用。建議把這個殺毒軟件關閉掉,然后安裝其他殺毒軟件。 關閉方法如下: 1、點擊桌面右下角通知圖標,打開操作中心界面,然后選擇點擊所有設置; 2、進入到所有
本文講Windows10自動刪除腳本惡意工具病毒的關閉方法
材料/工具
電腦、Windows10系統
如果你正在使用其他防病毒軟件,那么Defender是關閉的,也無需開啟。 如果沒有使用其他防病毒軟件,那么建議打開Defender,方法是從開始菜單進入設置,進入更新和安全,在左側找到Windows Defender項目,并點擊右側面板的啟用Windows Defender
方法
單擊開始點擊所有應用 ?找到Windows系統打開這個文件夾
1、首先右擊"網絡"圖標,在單擊“屬性”。 2、單擊”windows防火墻"。 3、在單擊“啟用或關閉windows防火墻"。 4、選擇”關windows防火墻(不推薦)。在單擊“確定就可以完成了。 方法/步驟2 1、第二種方法有雙擊“控制面板”。 2、單擊“windows 防火墻”
打開Windows Defender
您好,您可以使用騰訊手機管家進行清除。管家可以幫您檢測到軟件的惡意行為,并引導您進行一次性阻止或卸載。操作方式如下: 首先,建議您將手機獲取ROOT權限,root后可實現保留軟件功能,阻止惡意行為的目的;同時也可確保手機能夠徹底卸載惡意
點擊右上方的設置,打開后點擊針對開開發人員啟用開發人員模式
查殺病毒試試,不行的話,直接換個驗證過的系統盤重裝系統就行了,這樣就可以全程自動、順利解決 惡意病毒廣告 關閉后一直彈框 的問題了。用u盤或者硬盤這些都是可以的,且安裝速度非常快。但關鍵是:要有兼容性好的(兼容ide、achi、Raid模式的
擴展閱讀,以下內容您可能還感興趣。
怎么判斷注冊表里的病毒和惡意代碼?
不必要代碼(Unwanted Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟件。
一、惡意代碼的特征
惡意代碼(Malicious code)或者叫惡意軟件Malware(Malicious Software)具有如下共同特征:
(1) 惡意的目的
(2) 本身是程序
(3) 通過執行發生作用
有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特征進行討論的文獻很多,盡管它們數量很多,但是機理比較近似,在防病毒程序的防護范圍之內,更值得注意的是非濾過性病毒。
二、非濾過性病毒
非過濾性病毒包括口令破解軟件、嗅探器軟件、鍵盤輸入記錄軟件,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟件來獲取口令、偵察網絡通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟件實際上等于在企業的防火墻上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防御不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
(1)諜件
諜件(Spyware)與商業產品軟件有關,有些商業軟件產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連接,讓用戶方軟件與開發商軟件進行通信,這部分通信軟件就叫做諜件。用戶只有安裝了基于主機的防火墻,通過記錄網絡活動,才可能發現軟件產品與其開發商在進行定期通訊。諜件作為商用軟件包的一部分,多數是無害的,其目的多在于掃描系統,取得用戶的私有數據。
(2)遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網絡訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。
(3)Zombies
惡意代碼不都是從內部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網絡上計算機系統的安全漏洞將自動攻擊腳本安裝到多臺主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
(4)破解和嗅探程序和網絡漏洞掃描
口令破解、網絡嗅探和網絡漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問權限的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
(5)鍵盤記錄程序
某些用戶組織使用PC活動監視軟件監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種軟件也可以被攻擊者用來進行信息刺探和網絡攻擊。
(6)P2P 系統.
基于Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共端口穿透防火墻,從而讓雇員建立起自己的VPN,這種方式對于組織或者公司有時候是十分危險的。因為這些程序首先要從內部的PC 遠程連接到外邊的Gotomypc 主機,然后用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業帶來很大的危害。
(7)邏輯*和時間*
邏輯*和時間*是以破壞數據和應用程序為目的的程序。一般是由組織內部有不滿情緒的雇員植入, 邏輯*和時間*對于網絡和系統有很大程度的破壞,Omega 工程公司的一個前網絡管理員Timothy Lloyd,1996年引發了一個埋藏在原雇主計算機系統中的軟件邏輯*,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
三、惡意代碼的傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟件漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟件,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟件缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟件產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟件就有輸入緩沖區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網關過濾程序的*和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程序的檢查。使用的手法可能包括采用模糊的文件類型,將公共的執行文件類型壓縮成zip文件等等。
對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent軟件,讓遠程系統用作分布式拒絕服務(DDoS)的攻擊平臺,或者使用后門程序和特洛伊木馬程序控制之。
四、惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,后門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
“混合病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術語,“紅色代碼”利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間并不是很長。
(3)多平臺
多平臺攻擊開始出現,有些惡意代碼對不兼容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在于利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,并且使用網絡探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟件(malware)的制造者可能會將一些有名的攻擊方法與新的漏洞結合起來,制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對于防病毒軟件的制造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)服務器和客戶機同樣遭受攻擊
對于惡意代碼來說服務器和客戶機的區別越來越模糊,客戶計算機和服務器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統缺省的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限于服務器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平臺,病毒總是選擇配置不好的網絡共享和服務作為進入點。其它溢出問題,包括字符串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控件在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼采用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟件執行不適當的代碼。
五、惡意代碼相關的幾個問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對于防護效果的提高很小。
(2)用戶對于Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟件的花費要小,而被比喻成“治療比疾病本身更糟糕”。
(4)企業在防火墻管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟件有系統活動日志,但是由于文件大小*,不能長期保存。同時對于惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟件只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟件本身就有安全缺陷,容易被攻擊者利用,只是由于害怕被攻擊,病毒軟件廠商不愿意談及。
(8)許多的軟件都是既可以用在安全管理,也可以用在安全突破上,問題在于意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網絡傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數字背后的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用操作系統或者應用程序的漏洞, 而不僅僅依賴社會工程。服務器和網絡設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程序,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
什么是惡意代碼?
不必要代碼(Unwanted Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟件。
一、惡意代碼的特征
惡意代碼(Malicious code)或者叫惡意軟件Malware(Malicious Software)具有如下共同特征:
(1) 惡意的目的
(2) 本身是程序
(3) 通過執行發生作用
有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特征進行討論的文獻很多,盡管它們數量很多,但是機理比較近似,在防病毒程序的防護范圍之內,更值得注意的是非濾過性病毒。
二、非濾過性病毒
非過濾性病毒包括口令破解軟件、嗅探器軟件、鍵盤輸入記錄軟件,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟件來獲取口令、偵察網絡通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟件實際上等于在企業的防火墻上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防御不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
(1)諜件
諜件(Spyware)與商業產品軟件有關,有些商業軟件產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連接,讓用戶方軟件與開發商軟件進行通信,這部分通信軟件就叫做諜件。用戶只有安裝了基于主機的防火墻,通過記錄網絡活動,才可能發現軟件產品與其開發商在進行定期通訊。諜件作為商用軟件包的一部分,多數是無害的,其目的多在于掃描系統,取得用戶的私有數據。
(2)遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網絡訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。
(3)Zombies
惡意代碼不都是從內部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網絡上計算機系統的安全漏洞將自動攻擊腳本安裝到多臺主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
(4)破解和嗅探程序和網絡漏洞掃描
口令破解、網絡嗅探和網絡漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問權限的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
(5)鍵盤記錄程序
某些用戶組織使用PC活動監視軟件監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種軟件也可以被攻擊者用來進行信息刺探和網絡攻擊。
(6)P2P 系統.
基于Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共端口穿透防火墻,從而讓雇員建立起自己的VPN,這種方式對于組織或者公司有時候是十分危險的。因為這些程序首先要從內部的PC 遠程連接到外邊的Gotomypc 主機,然后用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業帶來很大的危害。
(7)邏輯*和時間*
邏輯*和時間*是以破壞數據和應用程序為目的的程序。一般是由組織內部有不滿情緒的雇員植入, 邏輯*和時間*對于網絡和系統有很大程度的破壞,Omega 工程公司的一個前網絡管理員Timothy Lloyd,1996年引發了一個埋藏在原雇主計算機系統中的軟件邏輯*,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
三、惡意代碼的傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟件漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟件,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟件缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟件產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟件就有輸入緩沖區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網關過濾程序的*和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程序的檢查。使用的手法可能包括采用模糊的文件類型,將公共的執行文件類型壓縮成zip文件等等。
對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent軟件,讓遠程系統用作分布式拒絕服務(DDoS)的攻擊平臺,或者使用后門程序和特洛伊木馬程序控制之。
四、惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,后門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
“混合病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術語,“紅色代碼”利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間并不是很長。
(3)多平臺
多平臺攻擊開始出現,有些惡意代碼對不兼容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在于利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,并且使用網絡探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟件(malware)的制造者可能會將一些有名的攻擊方法與新的漏洞結合起來,制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對于防病毒軟件的制造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)服務器和客戶機同樣遭受攻擊
對于惡意代碼來說服務器和客戶機的區別越來越模糊,客戶計算機和服務器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統缺省的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限于服務器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平臺,病毒總是選擇配置不好的網絡共享和服務作為進入點。其它溢出問題,包括字符串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控件在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼采用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟件執行不適當的代碼。
五、惡意代碼相關的幾個問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對于防護效果的提高很小。
(2)用戶對于Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟件的花費要小,而被比喻成“治療比疾病本身更糟糕”。
(4)企業在防火墻管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟件有系統活動日志,但是由于文件大小*,不能長期保存。同時對于惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟件只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟件本身就有安全缺陷,容易被攻擊者利用,只是由于害怕被攻擊,病毒軟件廠商不愿意談及。
(8)許多的軟件都是既可以用在安全管理,也可以用在安全突破上,問題在于意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網絡傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數字背后的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用操作系統或者應用程序的漏洞, 而不僅僅依賴社會工程。服務器和網絡設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程序,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
參考資料:baidu
防治病毒和惡意代碼的方法有哪些?
(一)永遠斷網、拒絕未知U盤接入
比較極端的方式是電腦永遠不聯網,用定制的Linux系操作系統或其他自制操作系統,禁止所有未知安全性的U盤插入。這是*機構在某些環節會用到的方式,不適合普通家庭用戶。
(二)?還原軟件、影子系統
冰點、shadow defender、?PowerShadow、等,這類軟件可以隔離你對保護區域的文件的改動,重啟或者設置后,能恢復原樣,在恢復過程中自然也能消除所有改動和新增的程序文件,包括病毒。類似的還有“虛擬機”,如vmware、等。不過這類方式也不太適合家庭用戶,中木馬后,密碼會被毫無征兆的盜走,而沒有任何警報,而且家用電腦通常每天會有很多個性化的改動微調、增刪文件等,如果每天都設置一下還原軟件或影子系統,會比較繁瑣。
(三)殺毒軟件
這是最普適的方式,首先當然要提到《百度殺毒》,然后是國內比較主流的是360殺毒、金山毒霸、等,最后是國外比較著名的(我只說歐洲的)如卡巴斯基、小紅傘、eset、BitDefender、等,這些安全軟件的防御力完全可以滿足普通家用的需求,防御病毒和惡意代碼毫無壓力(只等下一個全球性的病毒被開發出來)。有的網友有一種妄想,就是黑客會來攻擊他,其實這種擔憂完全沒必要,有能力干這事的黑客,絕對有更豐厚的收入來源等著他,絕對不會浪費在你身上,很多網友中毒僅僅是因為自己安裝的殺毒軟件工作狀態不正常、比如服務未啟、病毒庫很長時間沒更新等,只要你確保自己安裝的靠譜的殺毒軟件狀態良好,就不應該擔心中毒了。如果你是李嘉誠,當然有必要請網絡安全磚家來保障你的電子設備、賬戶和隱私等的安全。
系統出現病毒,多了文件夾:Documents+and+Settings,桌面有惡意圖標
最近安沒安裝什么軟件或游戲?有些軟件或游戲回建立仿IE圖標的程序.
刪除方法:
方法1:直接發現——打開“我的電腦”,然后點擊“向上”按鈕,發現了什么,居然有 IE 圖標,不用多說了,直接拖在桌面上即可。
方法2:Alt+I 法——桌面-右鍵點“屬性”->“桌面”選項卡->“自定義桌面”,出來這個界面里默認沒有 IE 選項的,不管它,這是按住 Alt 鍵同時按一次 I 鍵,松開手,好了,點擊“應用”和“確定”,這時 IE 圖標就出現在桌面了;要是你重復前面的操作會看見什么呢? 沒錯,IE 圖標又消失了。
方法3:建立文件夾——在除了桌面以外的任意一個地方新建一個文件夾,命名為“Internet Explorer.{871C5380-42A0-1069-A2EA-08002B30309D} ”,不含引號,然后直接將這個文件夾復制或剪切到桌面,IE 圖標就出現了。
方法4:修改注冊表——這個方法估計是最常用了,系統優化類軟件都是用這個方法的。大家把下面這些代碼保存到一個新建的文本文檔中,保存,然后把整個文檔重命名為“桌面顯示 IE 圖標.reg”,注意擴展名是 .reg 哦。為方便大家,附件已經提供這個注冊表項,下載后解壓,雙擊,點“是”即可。刷新一下,桌面就有 IE 圖標了。
參考資料:http://www.baidu.com/s?tn=cnopera&bs=IE&f=8&wd=IE%CD%BC%B1%EA
精確判斷一個程序是不是病毒的辦法
殺毒軟件判斷未知腳本病毒的方法是根據所有病毒的共同代碼特征來判斷的,也就是從這個腳本的“外貌”上來判斷的,所以有時判斷并不準確,有些類似的一些應用程序有時也被它們判斷為病毒或者說惡意腳本。由于是根據文件中的一段代碼來判斷是否是病毒的。當然不一定一定準確,有很小很小的幾率,剛好一個數據文件的部分代碼和病毒的特征部分一致,這個就沒有辦法分出來了。有時候會報錯。
通過以下常識判斷
不必要代碼(Unwanted Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟件。
一、惡意代碼的特征
惡意代碼(Malicious code)或者叫惡意軟件Malware(Malicious Software)具有如下共同特征:
(1) 惡意的目的
(2) 本身是程序
(3) 通過執行發生作用
有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特征進行討論的文獻很多,盡管它們數量很多,但是機理比較近似,在防病毒程序的防護范圍之內,更值得注意的是非濾過性病毒。
二、非濾過性病毒
非過濾性病毒包括口令破解軟件、嗅探器軟件、鍵盤輸入記錄軟件,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟件來獲取口令、偵察網絡通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟件實際上等于在企業的防火墻上開了一個口子。非濾過性病毒有增長的趨勢,對它的防御不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
(1)諜件
諜件(Spyware)與商業產品軟件有關,有些商業軟件產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連接,讓用戶方軟件與開發商軟件進行通信,這部分通信軟件就叫做諜件。用戶只有安裝了基于主機的防火墻,通過記錄網絡活動,才可能發現軟件產品與其開發商在進行定期通訊。諜件作為商用軟件包的一部分,多數是無害的,其目的多在于掃描系統,取得用戶的私有數據。
(2)遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網絡訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。
(3)Zombies
惡意代碼不都是從內部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網絡上計算機系統的安全漏洞將自動攻擊腳本安裝到多臺主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
(4)破解和嗅探程序和網絡漏洞掃描
口令破解、網絡嗅探和網絡漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問權限的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
(5)鍵盤記錄程序
某些用戶組織使用PC活動監視軟件監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種軟件也可以被攻擊者用來進行信息刺探和網絡攻擊。
(6)P2P 系統.
基于Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共端口穿透防火墻,從而讓雇員建立起自己的VPN,這種方式對于組織或者公司有時候是十分危險的。因為這些程序首先要從內部的PC 遠程連接到外邊的Gotomypc 主機,然后用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業帶來很大的危害。
(7)邏輯*和時間*
邏輯*和時間*是以破壞數據和應用程序為目的的程序。一般是由組織內部有不滿情緒的雇員植入,邏輯*和時間*對于網絡和系統有很大程度的破壞,Omega 工程公司的一個前網絡管理員Timothy Lloyd,1996年引發了一個埋藏在原雇主計算機系統中的軟件邏輯*,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
三、惡意代碼的傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟件漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟件,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟件缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟件產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟件就有輸入緩沖區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網關過濾程序的*和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程序的檢查。使用的手法可能包括采用模糊的文件類型,將公共的執行文件類型壓縮成zip文件等等。
對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent軟件,讓遠程系統用作分布式拒絕服務(DDoS)的攻擊平臺,或者使用后門程序和特洛伊木馬程序控制之。
四、惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,后門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
“混合病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術語,“紅色代碼”利用的是IIS的漏洞,Nimda實際上是1988年出現的 Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間并不是很長。
(3)多平臺
多平臺攻擊開始出現,有些惡意代碼對不兼容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在于利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,并且使用網絡探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟件(malware)的制造者可能會將一些有名的攻擊方法與新的漏洞結合起來,制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對于防病毒軟件的制造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)服務器和客戶機同樣遭受攻擊
對于惡意代碼來說服務器和客戶機的區別越來越模糊,客戶計算機和服務器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統缺省的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限于服務器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平臺,病毒總是選擇配置不好的網絡共享和服務作為進入點。其它溢出問題,包括字符串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼,隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控件在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼采用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟件執行不適當的代碼。
五、惡意代碼相關的幾個問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對于防護效果的提高很小。
(2)用戶對于Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟件的花費要小,而被比喻成“治療比疾病本身更糟糕”。
(4)企業在防火墻管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟件有系統活動日志,但是由于文件大小*,不能長期保存。同時對于惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟件只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟件本身就有安全缺陷,容易被攻擊者利用,只是由于害怕被攻擊,病毒軟件廠商不愿意談及。
(8)許多的軟件都是既可以用在安全管理,也可以用在安全突破上,問題在于意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網絡傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數字背后的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用操作系統或者應用程序的漏洞, 而不僅僅依賴社會工程。服務器和網絡設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程序,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
