杀毒遗留：由于该类病毒本身是独立程序，利用系统漏洞进行远程权限获取，进而上传，运行，感染，所以用专用的软件杀除后，基本无文件残留，但部分专杀工具没有将其启动项目清理得非常完全，可以使用上面查找木马启动设置的方法手工查找加载位置进行删除。另外切记一定在杀毒后第一时间及时打上补丁，否则重复感染机会高达100% 。

　　病毒防御：

　　1.勤打补丁，一般说来一个操作系统被发现漏洞以后，大概在15天以内相关的病毒就会出现，因此有必要随时关注自己所使用的操作系统的补丁升级情况，养成每天定时查看补丁升级情形的习惯。这里的补丁不光包括操作系统自身的，也包含程序服务的补丁，例如ftp服务器的补丁等等。

　　2.权限设置，很多蠕虫感染的条件是需要以root级运行的进程出现漏洞，那么蠕虫才有权限进行上载、执行的权利，在windows下由于大多数后台进程是以administrator权限执行，带来的危害也相当大；*nix下则可设置非关键进程使用普通用户或chroot方式来避免权限提升。

　　3.尽量少开服务，可开可不开的服务绝对不开，最小化风险；

　　4.安装网络封包防火墙，只允许特定的端口的数据包通过或者特定的程序访问网络。这部分我们放在后面攻击防御那里介绍。

　　4．脚本病毒 　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　这类病毒编写最为简单，但造成的危害非常大。我们常见的浏览了xx站点就被改了主页，在收藏夹里被添加上很多无谓的东西，就是拜这类病毒所赐。

　　病毒描述：这类病毒的本质是利用脚本解释器的检查漏洞和用户权限设置不当进行感染传播；病毒本身是ascii码或者加密的ascii码，通过特定的脚本解释器执行产生规定行为，因其行为对计算机用户造成伤害，因此被定性为恶意程序。最常见的行为就是修改用户主页，搜索页，修改用户收藏夹，在每个文件夹下放置自动执行文件拖慢系统速度等；比较出名的如美利莎邮件病毒、新欢乐时光病毒、office的宏病毒等都属于这类。

　　病毒浅析：为了完成一些自动化的任务，需要用程序方式来实现。但复杂的程序编写又不是非程序人员能够胜任的。为了提高工作效率，方便用户操作，加强系统特性，于是许多软件/操作系统都预留了接口给用户，用简单的方法编写一些完成一定功能的小程序。程序本身是ascii码的，不编译，直接解释执行，在调试/修改使用上相当简便，虽然牺牲一定效率，但是换来了易用性。这本是一个良好的愿望，但太多的时候，这没有起到积极的作用，反而为脚本病毒编写者提供了良机。

　　以web病毒为例，由于用户缺乏安全意识用错误的权限登陆，导致ie中的解释器使用wsh可以操作硬盘上的文件和注册表，而 javascript和vbscript调用wsh是很容易的事情——于是恶意脚本的作者只需要让你访问该页面，就能在你本地写上一些恶意的脚本，在注册表里修改你的主页/搜索项了。而利用ie的activex检查漏洞，则可以在不提示地情况下从网络上下载文件并自动执行——这就成了木马攻击的前奏曲；利用mime头漏洞，则可以用一个以jpg结尾的url中，指向一个事实上的web页，然后在web页中内嵌图片+恶意代码的方式迷惑计算机用户；利用 outlook自动读去eml的特性和mime头检查不严格来执行恶意2进制代码；利用本地硬盘上有执行autorun.inf的特性（这功能本来是光驱用的，我们的光盘之所以放进去就能自动读出程序，就是光盘上有个名为autorun.inf文件起的作用，它是个文本文件，各位可以看看）把一些需要加载的程序写到该文件下导致每次访问该分区的时候就会自动运行；利用windows下会优先读取folder.htt和desktop.ini的特性，将恶意代码写入其中，导致访问任何一个文件夹的时候都会启动该病毒，再配合上锁定注册表的功能，杀除起来异常麻烦——不复杂，但是相当烦琐，一不留意没杀干净一处，又导致死灰复燃，前功尽弃。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ... 下一页  >>