相信有很多網友有這種困擾:
【聯合報╱洪傑森/建築業(嘉義市)】 2007.08.07 03:34 am
我常常收到使用Yahoo奇摩信箱朋友的來信,標題及內容多半是極盡挑逗之能事,很顯然的,這是帶有病毒的信。
本來以為是這些朋友的上網習慣不好所以中毒,誰知道我前些日子也中了。我很清楚那不是我寄的,所以我寄了一封信給客服,客服回了我一封信,把責任推得乾乾淨淨。
果不其然,幾個月前推出一個「我的Yahoo奇摩安全圖章」,大概是他們認為許多人都是登入釣魚網站才被取得帳號密碼吧?
上次的事件後,我也改了密碼,我也使用「我的Yahoo奇摩安全圖章」了。結果, 八月六日 我的信箱又「寄出」一封主旨「給你的禮物我還很多希望你會喜歡你也要給我喔^_^」的信。
這是來自資安之眼http://www.itis.tw/的報導:
昨天聯合報有兩則與Yahoo相關的文章,一是雅虎與無名小站合併後要求統一帳號的爭議,一則是民意論壇「病毒信,Yahoo推得乾淨」的投書,兩者看似無關,但背後卻隱藏著網路時代大者恆大下暗藏的隱憂。
雅虎挾其入口網站與跨國公司的優勢,從信箱、拍賣、購物、部落格、交友、家族即時通等,通通整合在同一個帳戶之下,可謂包山包海,再加上到處購併既有網站,將原本擁有幾百萬用戶的其他網站買過來,再要求該網站的會友改用雅虎的帳號,一旦你用了他的帳號,個人的身分、年齡、嗜好、信用卡、手機等基本資料全部納入掌控,透過滾雪球般的效應,雅虎掌握了比戶政機關更詳盡的個人資料!
而使用雅虎帳號最常見的就是垃圾信與木馬駭客的問題,有心人士只要透過駭客軟體的收集和解碼,不難掌握雅虎用戶的信箱,再透過木馬垃圾信件的發送,可以輕易的利用受害者雅虎信箱內通訊錄自動傳送給他的親朋好友,他的親朋好友收到信後,看到是熟識者發來的信件毫不遲疑就打開了,這些過程一再複製,很難靠防毒軟體防範。
各種帳號合而為一當然方便了使用者,但是這種方便是要付出代價的,雅虎刻意忽略這個問題,刻意不讓會員瞭解帳號合併的負面效應,因為讓使用者方便有助於他擴展版圖,至於會員的權益與安全?再說吧。
以下是我的好友轉來三秒練功房http://www.threesecond.info/v2/modules/xhnewbb/index.php
的一篇討論,幫忙很大,值得參考,轉載如下:(看了後,我已馬上把Foxy砍掉了,另外安裝windows時為何要拔掉網路線也有詳細說明,唉!以前我都不知道。忙了三天啊!)
如何降低被植入木馬機會?如何減少廣告信?
不要下載來路不明的軟體:
1. 例如各大論壇的軟體分享板,特別是超聯結指向免費網頁空間,而非軟體官方網站者。
說到這個就不能不提,我個人極度厭惡某些論壇的分享制度,非會員不得瀏覽也就罷了,還要具備啥積分或是貨幣多少金錢才能看文章,盜版商業軟體就不說了,很多本來就是免費軟體的東西,取自於網路本來就應該還諸於網路,你找來這些資訊花的了你多少時間?憑什麼收費?
何況根本不是你著作的東西,打上"原創"兩個字,不是無恥是什麼?
(請見各18X論壇,發表A片連結還打上"原創",一整個可笑到無以復加)
(難不成這片子是你拍的?)
2. 不要下載 P2P 的東西,先撇開盜版商業軟體等無關安全的話題,這裡又分成兩個重點,第一個是不安全的 P2P 軟體,請見此
http://taiwan.cnet.com/news/software/0,2000064574,20117183,00.htm
如果要使用 P2P,請使用開放原始碼的軟體,例如 eMule,(BT系列我不熟,不知道哪一個是 OSS)開放原始碼可以把所有安全問題全部攤開在陽光下供人檢視,而像 Foxy 就是封閉原始碼的一個極惡範例。
http://www.threesecond.info/v2/modules/xhnewbb/viewtopic.php?topic_id=991
再來是下載的檔案本身,P2P 下載的商用軟體,你不知道被人動過多少手腳,被種了多少木馬病毒在裡面,如果沒有別的選擇,一定要從 P2P 下載,請挑選原裝未改的版本,不要用那些"強化"、"美化"、"整合"、"終極完整"、"破解".....之類的狗屁版本而且也不要被檔名騙了,抓回來後一定要在封閉系統裡面測試無誤再使用。
(這時候你就知道 VMware 多好用)
3. 到哪裡下載最安全?
這裡不談盜版商用軟體,而以免費軟體來討論,既然軟體官方網站本來就宣稱免費下載,那為何還要捨近求遠?
最好的下載來源就是各軟體官方網站,保證安全可靠。
(假如連官方網站都被下毒,那我也沒話說了.......Orz)
(各位知道 (偽)Pre-SPx 為何一定堅持從微軟網站下載嗎?答案很明顯吧)
如果官方網站已經倒閉,要如何尋找古老的軟體?
某些軟體可以在各大學術網路 FTP 下載,例如義守大學 FTP
http://ftp.isu.edu.tw/
或者中文化軟體聯盟的各大 mirror 站
再來就是各大入口網站的軟體分享區,例如 ToGet
http://toget.pchome.com.tw/
CNET 下載專區
http://taiwan.cnet.com/downloads/index.htm
商業網站有專門的人員對提供的內容做過濾管理,相對而言會比亂七八糟的不負責任論壇來的可靠許多。
二、不要亂按來路不明的連結
1. 最常見的首推萬惡的 Yahoo! 即時通的病毒訊息了,例如:
http://安安~我想買只三星的MP3.我覺得這只好漂亮~~你也幫我看看.
看完了要和我說說感覺怎麼樣哦!http://www.xxxx.tw/xxx.com 我有點事先下嚕http://
這類病毒訊息有幾個共通的特徵,就是內文會夾雜許多亂七八糟的 http
http 是讓文字變成超連結的關鍵字,很多程式都會用到這個小技術,但如果是純敘述的中文字,幹麻沒事穿插一堆 http ??
再來,網址最後面如果是 .com,請張大眼睛,這可不是國際網域 .com 的名稱,
而是 Windows 下的執行檔,混雜在一堆網址中,讓你誤以為這是網域名稱,下載執行後當然是直接中標。
(只有古老的 MS-DOS 才會以 .com 作為執行檔名,Win32 下的幾乎都是 .exe)
再來一個例子,下載檔名是 .scr 的,請別搞錯了,.scr 表面上看來是螢幕保護程式,實際上是個不折不扣的執行檔 .exe,正常來說沒人會把執行檔故意改名為 .scr,故意偽裝成 .scr 的肯定是病毒。
最後一個例子,檔名是文件類型,但附檔名卻命名為 .exe 或者上述的 .scr .com
例如 "清涼美女圖.exe",美女圖應該是 JPG 才對吧,怎麼可能是 .exe?
當然絕對是病毒了。
以上三種常見的木馬/病毒檔案類型,表面上看來只有附檔名不同,執行的結果都一樣,就是執行檔 .exe,真正的身分可用 WinRAR 去開啟,在右邊的資訊頁可以看到它的真面目,就是 WinRAR 自解壓縮檔,搭配自動執行指令,例如 Setup=xxx.jpg 先秀一張美女圖轉移你的注意力,然後 Setup=xxx.exe 病毒就在背景開始發動了....
2. 上述即時通病毒的補充說明:
這類訊息的文字部分,有時會有簡體字或大陸腔,例如上面的 "我覺得這只....",台灣應該沒人用"這只",這一類語氣與一般人不同的地方,要多細心才會發現,
用即時通的人很多,如果你發現你的朋友傳來的訊息語氣和平常完全不同,例如明明習慣無蝦米輸入法的人,卻打一堆注音文夾帶超連結過來,明明中打很慢的老人家,突然一瞬間傳了幾十個字夾帶超連結過來,這類反常的舉動都是應該多留意的。
3. 不明的垃圾信、病毒信:
這邊要說的是電腦中毒後,被當作發信跳板而發出去的大量病毒信,這種信件內文大致上跟前面的差不多,超連結的部份則會變成附加檔案,內文和附檔的判斷原則也跟上面大同小異,就不多說明了。
瀏覽器?先說明一般人會有的錯誤觀念。
1. IE 安全性很差?其他瀏覽器 (FireFox, Netscape, Opera..)比較安全?
錯!未必。
任何軟體都難免有漏洞瑕疵,IE 容易出問題是因為它的佔有率高,IE 已經內建在 Windows 裡了,所以 IE 佔有率可說是等於 Windows 的佔有率,駭客要下手,當然一定先挑最多人用的 IE 下手,有漏洞當然會最早被發現並且加以攻擊,
其他軟體並非沒有漏洞,或許安全性稍高,但由於占有率低,所以一般駭客沒興趣。
2. 不要用 IE,那改用 KKMAN 是否比較安全?
完全錯誤。
KKMAN 或 Sleipnir 這類瀏覽器,只是 IE 的前導程式(或說"外殼")而已,換了一個殼,骨子裡仍然是 IE,任何網站只要會破壞 IE 的,換了 KKMAN 一樣會掛掉你的 IE。
請注意,如果你用的是 FireFox 的 IETab 套件,那就一樣等於是在使用 IE,所以該掛掉的一樣都會掛掉。
接下來說說 IE 的幾個最大的敗筆。
1. ActiveX 功能太強,強到足以在你的電腦裡安裝軟體!
這是什麼意思?
瀏覽器可以安裝軟體,可安裝軟體的權限就等於可以在硬碟的任何地方存取檔案,並且修改登錄檔!
一般人根本不知道什麼是 ActiveX,只知道畫面上出現東西問你要不要裝啥 OOXX 的,按下是就對了,如果是惡意程式的話,在按下是的這一刻就等於取得控管你電腦的最高權限,沒有不能做的事!
請看萬惡的 3721:
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=6946&
2. IE 整合了 Windows 的殼層 (Shell)
(什麼是殼層?請自己回家看作業系統概論,今天這堂不是計概課。)
自 1997 年,微軟推出 IE4.0 開始,就跟 Windows 緊密結合在一起,有福同享,有難同當。只要搞掛了 IE,就等於 OS 已經掛了一半,但其他的瀏覽器則只是 Windows 下的一個應用程式,最糟糕的結果頂多就是這個程式當掉,關閉程式重開即可,當年(1997) IE 設計成整合 Shell,這個決策就是一大敗筆,這個敗筆十年來害的 IE 背上了超爛瀏覽器的罵名。
延伸閱讀,IE 的歷史
http://en.wikipedia.org/wiki/History_of_Internet_Explorer
延伸閱讀,把 Win98 裡面的 IE 拔掉!98Lite
http://toget.pchome.com.tw/intro/utility_system/utility_system_tweak/9203.html
再來說說如何安全的上網,使用 FireFox。
目前除了 IE 以外,佔有率最高應該首推 FireFox,其他還有 Mozilla, Opera, Netscape.......
(這邊只談 Win32 環境,Mac, Linux 等其他 OS 就不談了)
其中 FireFox, Mozilla 和 Netscape 6.0 以後都是同一個 Gecko 核心
http://zh.wikipedia.org/wiki/Gecko
(本文不是瀏覽器大百科,所以細節不詳述了,請自己看 Wiki)
「我個人的習慣,是直接把 FireFox 當作預設瀏覽器」
這點很重要,養成正確的習慣才是安全的第一步。
FX 無法正確顯示版面的網頁,我會直接當作拒絕往來戶,除非萬不得已非開不可,我才會用 IE 去開。
以下列出幾種重要的例外:
1. 大陸網站:絕對不要用 IE 開,十個裡面九個有病毒或木馬或一堆奇怪的東西如果一定要用 IE,請在 VMware 裡面開!
2. 國外色情網站:同上,如果一定要用 IE,請在 VMware 裡面開!
(別問我為什麼上色情網站還要這麼囉唆,有時候是測試所必須,不得不開)
3. 病毒網址:因為工作所需,常常要代客打開一大堆危險的病毒網址,像前篇所述的即時通病毒,一定要先用 FX 開,你會看到明顯的差異!IE 打開網址直接中標!FX 則是會下載檔案讓你掃毒!
如果因為測試或實驗所需,要用 IE 看到病毒執行的結果,請務必在 VMware 封閉環境測試,不要傻傻的拿自己的電腦當白老鼠!
其實病毒都有一個通病,常會在此兩項中做啟動動作
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
及
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
然後在由此兩項中的啟動呼叫另一個病毒檔常駐在記憶體中所以很多防毒軟體最容易常造成的錯誤就是偵測到病毒類型,卻無法解毒或者刪檔再者很多病毒檔案都是使用類似名稱的方式矇騙使用者,比如一般正規性的檔案為Rundll32.exe
但是病毒檔卻為 Rund1132.exe
或者 Explorer.exe 跟 Exp1orer.exe
這主要差異在小寫字母的 L 跟數字的 1 相似。
還有一種方式就是使用相同檔案名稱卻放置在不同的目錄中讓你難以確認此檔到底是真還是假一般正規性的 Explorer.exe 放置在 %SystemRoot%病毒檔卻使用相同的 Explorer.exe 檔案卻放置在 %SystemRoot%\System32。
所以囉!這得使用四個步驟法來徹底解決
第一、工作管理員強迫結束你認為有問題的執行程式
第二、刪除 Registry 上述的兩項中有疑問的 Run
第三、防毒軟體重新掃描、解毒或刪檔
第四、重新開機
四、正確的安裝一個乾淨安全的 Windows
萬事起頭難,其實這篇應該擺第一篇才對,而且也是我拿手項目之一,可是不知為何忘了,寫完了前三篇後才想到要寫這個...Orz
(偽)Pre-SPx 系列都有提到這段話:
「許多人都知道,現在安裝 Windows2000/XP,必須先將系統修正檔下載後,再做離線安裝,以免中了疾風之類的病毒,」
可是沒說原因,這篇文章來細說從頭....
WinNT 家族的系統,包含 WinNT/2000/XP/2003/Vista,在系統內建了許多的服務,其中很多是有漏洞的,網路上有許多針對此漏洞所發動的攻擊,被攻陷的電腦就會成為傀儡再去攻擊別的電腦,這麼優秀的傳統(?)始自於疾風 (Blaster),詳見此
http://www.microsoft.com/taiwan/security/incident/blast.asp
後來還有殺手 (Sasser) 等後繼者,
http://www.microsoft.com/taiwan/security/incident/sasser.asp
這些病毒的特色都是攻陷電腦後,會藉由這些電腦當作跳板,再去進攻別人,因為整個網際網路上仍有許多未修復的電腦,所以整個 Internet 上可說是全面槍林彈雨的狀態「而剛安裝完未修正的系統,是手無縛雞之力任人宰割的,只要連上網路,什麼事都不用做,馬上就會中標!」
Windows 安裝過程中,只要網路卡驅動起來,取得 IP,可連上 Internet 後,就等於暴露在槍林彈雨之下,根據實測經驗,Win2000 Pro SP4 在安裝流程到"正在安裝網路元件",這個步驟過幾秒後就中標了,直接跳出 lsass.exe 錯誤的訊息,
WinXP Pro SP2 則是在 T39 (剩餘時間39分鐘) 時中標,跳出同樣的訊息,
(這個實驗是去年做的,詳細結果有點忘記,可能不是很精確)
(本文只討論一般人用的 WinXP/2000,Server 系統不予討論)
故可以得證,在直接連接 Internet 的情況下,根本不可能把系統安全灌完,還沒灌完就中標了,所以如何安全的灌完系統就是重點了,重點來了,答案很簡單:「在安裝完全部修正檔以前絕對不要連上網路!」
參考資料:PC不裝修補檔 20分內破解
http://taiwan.cnet.com/news/software/0,2000064574,20091787,00.htm
(這是 2004 年的舊文章了,現在中標只會更快不會更慢 XD)
以下按照幾種常見的環境說明:
1. 無 IP 分享器,單機電腦直連 Internet:
先下載準備所有修正檔與防毒軟體,安裝完系統後,直接更新到最新版 Service Pack、安裝所有更新檔、安裝防毒軟體、重新開機後,最後再連上網路更新病毒碼與 Windows Update。
2. 有 IP 分享器的小型網路(家庭或小型辦公室)
重要的觀念:IP 分享器已經具備了基本的小型防火牆軟體,對於防制外來的攻擊還算是有效,如果沒有事先下載所有修正檔,在安裝完系統後,透過 IP 分享器連上 Windows Update 更新,基本上不太容易中標,但還是得盡速更新為妙。
請注意,上面有但書:
IP 分享器只能防制外來的攻擊,如果內部網路內有其他電腦中標,分享器是完全無法防制內部攻擊的!
如果要透過分享器上網更新,請把內部網路其他電腦關機,除非你有把握所有電腦都完全無中毒,沒把握的話就關閉其他電腦吧。
3.
大型網路(企業與學生宿舍):
(偽)Pre-SPx 系列絕對是你的必備好物!
企業內部有專業的 MIS 維護管理,通常能做到大致乾淨無毒,而學生宿舍可說是毒窟的代名詞,(據說在許多大學宿網內實測中標的速度比在家裡直連 Internet 還快......)
照這標準程序去做絕對不會錯:
事先準備好(偽)Pre-SPx、網路卡驅動程式、防毒軟體、最新病毒碼離線安裝檔,
「拔掉網路線」灌完 Windows 以及上述所有軟體,打開自動更新,最後才插上網路線連接網路,就永保安康了,如果再加上好的軟體防火牆就更完美了。
最後說明一些網路上常見的錯誤觀念:
1. 不要安裝 WinXP SP2,會拖慢系統速度,裝 SP1 就好了?
基本上,不升級到 SP2,就跟裸體騎機車不帶安全帽飆到150一樣,絕對是找死。
SP2 剛發表時確實有一些問題,但問題是來自於相關軟體商還沒做好配套措施,
以至於部分第三方軟體不相容,但 SP2 本身仍是比 SP1 穩定的,至今過了將近三年,SP2 也歷經考驗,證明是個足夠穩定的系統,這點無庸置疑。
另外,微軟早已停止支援 SP1,以後新發表的修正檔,再也不會有 SP1 的版本,
所以繼續不更新的人只是自找麻煩而已。
2. 灌完系統後再上 Windows Update 就不會中毒了?
錯,看完上面的流程後就可以知道,光是連上網路就會中標,所以別說是上網更新了,如果步驟錯誤,保證在更新完之前就中標!
離線安裝修正檔絕對是確保安全的不二法門!
3. 連上 Windows Update 會害我的 Windows 中毒?
會問這個問題的人,一定是不了解中毒的流程,上面說過了,未修正的系統只要連上 Internet 就會中標,跟你是不是連上 Windows Update 無關,當然也沒有所謂的 Windows Update 害你中毒,剩餘的說明就同上了。
4. 我要不要每個月上三秒練功房更新(偽)Pre-SPx?
(偽)Pre-SP 系列的用途是給剛灌完的電腦作第一次離線更新用的,
目的是避免一連上網就中標,不是用來取代 Windows Update 做日常更新的,
日常更新請用正宗微軟 Windows Update 才是正途!
這邊說個題外話:
話說微軟這個 "一連上網更新馬上就中標" 的特色,從 Win2000 到 XP SP2 一直都沒有完整的解決方案,始終靠著熱血玩家的第三方軟體(就是我啦)在解決問題,直到 Windows Server 2003 才有比較像樣的辦法,
Win2003 安裝過程中,全程以內建防火牆保護系統,直到安裝完畢第一次正式進入桌面,跳出視窗要求你上 Windows Update 更新,到此為止仍然以內建防火牆封死所有的網路,唯一允許的就是 Windows Update,讓使用者能更新完畢,等到使用者按下"完成"以後,才開放內建防火牆,讓使用者能連上其他網站。這個設計雖然還是很鳥,但起碼算是達到保護系統的目的了吧。
