電腦安全案例分析及處理建議（一）

【明慧網二零零八年七月十八日】在海外，由於我們很多學員對計算機安全的重視不夠，令許多同修的電腦感染上中共專門設計的病毒，許多資料和信息被盜走，有的電子郵箱長期被邪惡進入，有的電腦被裝上監視鍵盤的木馬，所有的密碼都被竊取。其中造成的損失無法估量。

我們會陸續分析一些中共黑客常用的攻擊方式，並提供解決辦法。注意電腦安全，是涉及到我們的工作能否起到證實大法作用的關鍵問題，所以請所有使用電腦的學員，嚴肅對待這個問題，讓我們在用電腦做工具證實大法中，真正做到正念正行。

案例一：訪問被植入惡意代碼的網頁

這是一個頗受歡迎的新聞網站，但其中某些頁面被植入了惡意代碼。在特定的條件下這段惡意代碼會被執行。執行的結果是電腦上被裝上木馬程序，以竊取電腦使用者的信息。我們來看看整個過程，從中可以看出我們應該如何防範。

這段惡意代碼利用了微軟瀏覽器Internet Explorer的一個漏洞（MS06-014）。很多網頁惡意代碼都是針對微軟瀏覽器Internet Explorer的漏洞。建議大家使用火狐瀏覽器Firefox（可以從https://www.mozilla.com免費下載最新版本）。這個漏洞已經被微軟的視窗更新補上。如果有安裝最新的微軟視窗更新，不會中毒。所以大家要及時安裝微軟操作系統的更新補丁。

這段惡意代碼執行時會從另外一個黑客網站下載一個木馬安裝文件。如果有裝防火牆，這時防火牆會提醒有新文件要訪問互聯網的連接企圖。最初這個頁面的惡意代碼就是這樣發現的。建議大家安裝防火牆並仔細閱讀防火牆的提示信息。

這段惡意代碼會把下載的木馬安裝文件存入系統目錄（C:\Windows\System32\）並執行。如果當前的視窗用戶不是管理員級別的用戶，惡意代碼把木馬安裝文件存入系統目錄時會被拒絕，這一步會失敗，就沒有後續的木馬安裝了。建議大家平時使用非管理員帳戶使用電腦，只有在需要用到管理員權限時才使用管理員帳戶。

假如木馬安裝程序被成功保存，執行時Avira AntiVir（小紅傘）會提示這個文件是木馬安裝程序，假如系統有安裝小紅傘的話。小紅傘是一個免費殺病毒軟件，佔用系統資源少，建議大家使用。小紅傘可以偵測到很多Word文件和PDF文件中夾帶的病毒。最新版本可以從https://free-av.com/下載。

假如木馬安裝程序成功執行，它會在系統中創建一個木馬文件和一個系統服務。木馬文件是創建在系統的程序目錄（C:\Program Files\），創建時需要管理員權限。如果是非管理員用戶，木馬文件創建會失敗。創建系統服務時要修改系統註冊表，修改系統註冊表需要管理員權限。如果是非管理員，修改系統註冊表會失敗，從而導致木馬安裝失敗。小紅傘會偵測到創建的木馬文件。如果有安裝小紅傘，木馬安裝也會失敗。

假如木馬文件被成功安裝，該木馬會監測用戶的鍵盤，記錄所訪問的網站，登錄郵箱所用的用戶名和密碼，網站購買機票所用的信用卡號碼等等。最近我們找到了一個木馬記錄文件，其中記錄了用戶到網上尋找機票和購買機票的全過程，包括使用的兩張信用卡的號碼、家庭住址，郵箱等詳細信息。該用戶還上過其它網站的編輯後台，導致編輯後台的信息泄漏。

通過以上的案例分析，大家可以看到以下三個重點：

1、我們經常瀏覽的大眾網站也可能在某些時候被邪惡惡意破壞（從2000年到目前的統計看，平均每幾個月都會有大眾網站被入侵），所以無論甚麼時候在用戶自己的機器上作足夠的對應保護措施都是必要的。

2、用戶自己的機器上有下面任何一種簡單的保護措施都可以及時發現或避免在這個案例中中招：

A、用戶日常網絡活動使用的是非Windows管理員賬號。這個從操作系統的功能上就直接阻止了這個病毒木馬能夠修改/添加系統文件。

B、用戶有合適的防火牆（比如Zone Alarm）和反病毒程序（比如小紅傘等），能夠攔截陌生程序連網和修改系統文件。

C、用戶做了及時的系統更新和對應軟件（OFFICE/ADOBE等）的更新。

D、建議使用Firefox瀏覽器，和Thunderbird電子郵件軟件，這兩款軟件相對IE瀏覽器，和Outlook電子郵件軟件，要安全的多。

作為系統的整體安全來講，前三種保護措施要同時做到，並強烈建議做到第四種保護措施。

關於軟件更新，再多說幾句。程序都有漏洞，無論是微軟的Windows系統還是應用軟件，例如：photoshop，adobe（讀PDF文件），flash player（播放閃畫），MS media player（播放錄像），Real Player（播放錄像），Skype，等等。軟件更新（Update）就是軟件開發公司給發現的安全漏洞打補丁。那麼如何知道這些軟件需要更新（打補丁）呢？Secunia PSI是一款著名的免費安全軟件，可以幫助你追蹤軟件的補丁發布，並幫助你打上補丁。明慧有專文介紹：用PSI檢查和修補電腦上所有軟件的安全漏洞

另外，一些軟件有自動更新的功能，如微軟有提供兩種自動更新，一個叫做「Windows Update」（視窗更新），一個叫做「Microsoft Update」（微軟更新）。Windows Update只負責更新Windows操作系統，而Microsoft Update負責更新所有的Microsoft軟件，包括Windows操作系統，MS Office（Word，Excel等），等。所以大家要用Microsoft Update。

3.用戶中招後的處理方法：

對於非專業用戶來講，目前的木馬利用的技術相當複雜，從新安裝系統幾乎是唯一的方法。

建議：使用Acronis True Image軟件在重裝系統之後做一個乾淨的系統盤備份鏡像，這樣就不用每次都重裝系統，下次只要用這個乾淨的備份鏡像從新恢復系統盤即可，省時省力。

在以後的文章中，我們會繼續分析一些典型網絡安全的案例，並給出一般的應對技術措施，事故發生後的處理方法等。歡迎大家反饋更多的意見。