電腦安全案例分析及處理建議（二）

https://www.minghui.org/mh/articles/2008/7/19/182298p.html

電腦安全案例分析及處理建議（二）
── 案例二：打開電子郵件附件

文／海外大法弟子

【明慧網二零零八年七月十九日】在海外，由於我們很多學員對計算機安全的重視不夠，令許多同修的電腦感染上中共專門設計的病毒，許多資料和信息被盜走，有的電子郵箱長期被邪惡進入，有的電腦被裝上監視鍵盤的木馬，所有的密碼都被竊取。其中造成的損失無法估量。

我們會陸續分析一些中共黑客常用的攻擊方式，並提供解決辦法。注意電腦安全，是涉及到我們的工作能否起到證實大法作用的關鍵問題，所以請所有使用電腦的學員，嚴肅對待這個問題，讓我們在用電腦做工具證實大法中，真正做到正念正行。

案例二：打開電子郵件附件

電子郵件的廣泛使用使得電子郵件成為邪惡攻擊的重點。電子郵件攻擊的一種通常方式是郵件內容中有惡意鏈接，鏈接指向的網頁含惡意代碼，訪問這些網頁就有可能導致中毒。這種情況在前一篇文章中已經介紹了。另外一種通常方式就是電子郵件的附件就直接帶有病毒。目前我們發現Word文檔、RTF文檔、PDF文檔都有可能包含病毒木馬。其它不常見的文檔格式也都有可能包含病毒木馬，比如Excel文檔、PowerPoint文檔等。一旦打開附件，在特定的條件下文檔中嵌入的病毒木馬就會被執行。執行的結果是電腦上被裝上木馬程序，以竊取電腦使用者的信息。我們來看看一些例子，從中可以看出我們應該如何防範。

附件帶病毒的郵件一般會有非常吸引人的標題，下面是一些例子：
From： “馮玉寶”
Subject：加法輪功學員起訴江澤民案獲突破性進展
附件：MHReport1.doc

這個郵件利用了大家對案件進展的關心。這類郵件比較好識別。因為我不認識這個發信人，為甚麼他要發這個消息給我？如果真有這個消息，我自己到網站上看好了，為甚麼要看郵件附件？所以我知道這是病毒，會直接刪掉。

最近的一個例子：

Subject：緊急通知：法拉盛回來的同修請立即記錄暴行！
Date： Thu， 19 Jun 2008 08：43：14 +0800
附件：緊急通知.doc

這個郵件比較有欺騙性。偽造的發信人是當地大家都認識的人，而且當時那個人確實是在法拉盛。類似這樣郵件很多。邪惡常常偽裝成各個媒體的負責人，根據大家關心的熱點發出帶病毒附件的郵件。這些郵件有一個共同的疑點：短短的通知郵件正文就可以說清楚，不需要附件的；即使用附件，附件的文件大小應該很小。而帶病毒的附件文件都比較大，因為病毒本身就被包含在附件文件裏。即使沒有注意到這些疑點，沒有去過法拉盛的人也不要出於好奇心打開附件。小紅傘能夠偵測到這個郵件附件中的病毒。如果Word軟件有更新到最新（Office 2003 Service Pack 3或者Office 2007 Service Pack 1），附件中包含的病毒也不起作用。如果Windows用戶不是管理員，附件中包含的病毒也不起作用。

早先PDF文件不帶病毒。近來有很多PDF的附件含病毒木馬，就是利用了大家對PDF文件的信任。有個網站上的許多PDF文件曾經被替換成含病毒的版本。下面是一個例子：

Subject：緊急通知：紐約急需各地記者支援
Date： Tue， 3 Jun 2008 11：46：16 -0800
附件：20080603.pdf

這個郵件看起來是從一個媒體負責人發出的，其實發信地址是偽造的。通知的內容符合當時大家關心的焦點。儘管很有迷惑性，但還是有上述的疑點：這樣的通知其實是不需要有附件的。不是記者的人不要出於好奇心去打開。小紅傘能夠偵測到這個郵件附件中的病毒。如果Adobe軟件有更新到最新，附件中包含的病毒也不起作用。如果Windows用戶不是管理員，附件中包含的病毒也不起作用。

如果不確定附件文檔是否含病毒，可以聯絡發信人核實發信人是否發過此信，也可以把附件上傳到網站http://www.virustotal.com/ 去檢測。這個網站會用32種殺病毒軟件來檢查上傳的文件是否含病毒。

假如條件具備：Adobe軟件沒有更新（很多人確實沒有更新），而且當前Windows用戶是管理員（絕大多數人確實是用管理員帳戶），而且沒有裝小紅傘（很多人確實沒有安裝），打開這個PDF文件時會覺得電腦不動了，或者顯示一個幾乎是空白的文檔，或者屏幕會閃幾下。其實這個時候是PDF文檔裏帶的病毒發作了。它會在系統目錄下產生一個臨時的木馬安裝程序並執行它。執行的結果是在系統目錄產生更多的文件，創建木馬服務程序以保證每次開機木馬都會運行，啟動木馬程序開始監測用戶鍵盤的操作。如果用戶不是系統管理員，木馬的這些操作都會失敗。

假如木馬文件被成功安裝，該木馬會監測用戶的鍵盤，記錄所訪問的網站，登錄郵箱所用的用戶名和密碼，網站購買機票所用的信用卡號碼等等。最近我們找到了一個木馬記錄文件，其中記錄了用戶到網上尋找機票和購買機票的全過程，包括使用的兩張信用卡的號碼、家庭住址、電話號碼、郵箱等詳細信息。該用戶還上過其它網站的編輯後台，導致編輯後台的信息洩漏。

我們發現被攻破的個機很有可能被利用來攻擊大法網站及相關伺服器，所以對於學員，尤其是參與大法項目直接登陸項目伺服器的學員，提高個人電腦的安全維護意識以及相應的防範和應急措施，就不是簡單的個人修煉或手頭項目繁忙與否的問題，而是直接整體上牽涉大法網站安全的問題，實際上是對大法負責與否的問題。敬請重視！

通過以上的案例分析，大家可以看到以下3個重點：

1、郵件附件是相當危險的。邪惡發出的病毒郵件很有欺騙性。跟自己不相關的郵件附件一律不要打開。不確定時，可以聯絡發信人核實發信人是否發過此信，也可以把附件上傳到網站http://www.virustotal.com/ 去檢測。

2、用戶自己的機器上有下面任何一種簡單的保護措施都可以避免在這個案例中中招：

A、用戶日常網絡活動使用的是非Windows管理員賬號。這個從操作系統的功能上就直接阻止了這個病毒木馬能夠修改/添加系統文件。

B、用戶有合適的防火牆（比如Zone Alarm）和反病毒程序（比如小紅傘等），能夠攔截陌生程序連網和修改系統文件。

C、用戶做了及時的系統更新和對應軟件（OFFICE/ADOBE等）的更新。

D、建議使用Firefox瀏覽器，和Thunderbird電子郵件軟件，這兩款軟件相對IE瀏覽器，和Outlook電子郵件軟件，要安全的多。

作為系統的整體安全來講，前三種保護措施要同時做到，並強烈建議做到第四種保護措施。

關於軟件更新，再多說幾句。程序都有漏洞，無論是微軟的Windows系統還是應用軟件，例如：photoshop，adobe（讀PDF文件），flash player（播放閃畫），MS media player（播放錄像），Real Player（播放錄像），Skype，等等。軟件更新（Update）就是軟件開發公司給發現的安全漏洞打補丁。那麼如何知道這些軟件需要更新（打補丁）呢？Secunia PSI是一款著名的免費安全軟件，可以幫助你追蹤軟件的補丁發布，並幫助你打上補丁。明慧有專文介紹：用PSI檢查和修補電腦上所有軟件的安全漏洞

另外，一些軟件有自動更新的功能，如微軟有提供兩種自動更新，一個叫做“Windows Update”（視窗更新），一個叫做“Microsoft Update”（微軟更新）。Windows Update只負責更新Windows操作系統，而Microsoft Update負責更新所有的Microsoft軟件，包括Windows操作系統，MS Office（Word，Excel等），等。所以大家要用Microsoft Update。

3.用戶中招後的處理方法：

對於非專業用戶來講，目前的木馬利用的技術相當複雜，從新安裝系統幾乎是唯一的方法。

建議：使用Acronis True Image軟件在重裝系統之後做一個乾淨的系統盤備份鏡像，這樣就不用每次都重裝系統，下次只要用這個乾淨的備份鏡像從新恢復系統盤即可，省時省力。

在以後的文章中，我們會繼續分析一些典型網絡安全的案例，並給出一般的應對技術措施，事故發生後的處理方法等。歡迎大家反饋更多的意見。

(English Translation: http://www.clearwisdom.net/emh/articles/2008/7/24/99202p.html)

成文：2008年07月17日發稿：2008年07月19日更新：2008年07月24日 09:57:12