炎炎夏日已经到来,美女们也日渐单薄。根据“好色理论”越暴露回头率越高。好色的不光是男士,女士也不例外。我认识一个英国女大学生很爱看足球,但爱的不是足球,而是穿短裤奔跑的男性身影。
以前的回头率,现在演化成“眼球经济”。病毒也投其所好,用光鲜的外表掩盖器骷髅的本质。最新的例证就是前天新浪微博的“hellosamy”。前几天的父亲节,也有很多似是而非的邮————件掺杂其中。
实际上好色也有一下四个不同的阶段:过过眼瘾、开始遐想、上前攀谈、抱美入怀。
但对于坐在电脑前的你我,好色只有两个阶段:一扫而过和点击进入。
很多好色之徒即使抱得美人进卧室,但还是很有理性的。安全套必不可少。
而点击链接,图片的你我,做好准备了吗?
电脑终归不是我们的身体,不会让我们的精子与她人的卵子碰撞,不会由于我们的不谨慎而得皮疹。但现在的病毒已经不是当年炫耀技术的产物。如果你没有电脑(包含各种智能手机,各种操作系统)就无法工作的话你就要更加注意了。它们现在可以窥探你的隐私;绑架你的资料;遥控你的摄像头;让你成为案件的帮凶或某人的粉丝。央视的某位主持人曾经因此被敲诈。好奇害死猫。
好奇引领科技的进步,好色让我们身处陷阱。
病毒也是好色的!!!
现今,一个“赤裸”的美女走在大街上,我认为是安全的(前提1,白天;前提2,闹事(王府井就可以))。那一台,没有任何防护,没有杀毒软件,没安装任何补丁的Windows服务器,用公网IP裸奔的危险有多高呢?她不能健康的运行48小时。
对于病毒,每一个漏洞都是诱人的!!!
经典案例:
由于交友不慎,贵公司某位穿着暴露的Windows系统(A小姐)被病毒(W32)成功捕获。好色的病毒W32不满足于仅仅对A小姐的霸占,开始在贵公司左顾右盼,寻找新的目标——衣着暴露的系统。占领—扫描,再占领—再扫描。。。。。。就这样病毒W32在贵公司以几何级数方式增长,繁殖。
W32.Downadup.B就是一个典型的例子。
MS08-067,服务器服务中的漏洞可能允许远程执行代码(958644),太经典的一个漏洞。
很多人问我:漏洞补丁已经安装了,为啥还有病毒?好色之徒还在。
问问各位好色的人们,你们只会看穿衣少的女士吗?回答一定是否定的。
病毒亦是如此。他们会向任何一个他们可以发现的女士(Windows系统)递上带刺的玫瑰。有防御系统女士碰到了刺,感到了痛(发现病毒报警),就把玫瑰扔到了;但她不能阻止那个好色之徒不断给她送花。衣着保守的女士(安装了补丁)但没有防御系统的女士,对玫瑰不感冒,置之不理。只有衣着暴露的女士等待对方的进一步“示好”。所以如果病毒还在,报警就会不断出现;反之亦然。
现在来说说我所遇到的“W32.Downadup.B”大面积爆发的例子。
六月初,一位客户告诉我说,他今年的目标就是在公司内消灭“W32.Downadup.B”。我当时诧异的看着他。他还说“W32.Downadup.B”从09年就在公司内出现,一直就没根除过。我查看了一下SEPM的日志发现一周扫描病毒两个万多个,他们公司才200多台电脑,已经属于爆发状态。曾经使用SNAC的自我强制来安装MS08-067补丁,当时病毒问题有了很大的缓解,但是由于某个服务器的系统升级,SEP所有客户端只保留了杀毒的模块。这也是造成病毒爆发的主要原因。
实际上对于病毒的爆发处理,不外乎三条:
1,病毒的温床不在。安装补丁。
2,切掉病毒的传播。
3,阻止病毒的生成。
这三点是一个整体,缺一不可。
如果不安装补丁,病毒再来还得中招。有些人问不是有杀毒软件吗?病毒来了,杀毒软件清除不就成了吗?错了,大错特错。所有Windows杀毒软件都需要获得微软的授权,同时微软向杀毒软件厂商公开部分内核。为啥是部分呢?首先是商业机密,其次微软自己也有安全软件,为此他只向其他杀毒厂商公开部分。这样杀毒软件获得的资源有限。还有漏洞都是微软自己不知道的,有些漏洞还会造成系统后门逃避杀毒软件。所以补丁是必须的。
病毒是放射状在网络传播的。如果不组织传播,即使安装了补丁,清除了本地病毒,也会不断接受网络传来的病毒的骚扰。
阻止病毒的生成,不是简单的清除病毒,而是分析病毒如何生成的,特征如何。最好可以先杀毒引擎一步阻止。让我用“W32.Downadup.B”病毒的发作机理来解释一下,你就明白阻止病毒生成的重要性了。
这里我们会看到“生成计划任务”这项是最重要的,而杀毒软件通常只有在全盘扫描的情况下才会扫描到这个位置。“W32.Downadup.B”病毒会在计划中生成At1.job、At2.job、At3.job诸如此类的计划。同时还会在System32下随机生成一个文件,但每台电脑中所生成的文件名称是不变的。
我的做法如下:
1,客户端安装全功能模块的SymantecEndpoint Protection(一下简称SEP)
重新导出SEP安装包或在添加删除程序中更改SEP的功能。
2,开启“防病毒和防间谍软件策略”中的“风险跟踪程序”
3,应用“防火墙策略”和“入侵检测策略”
4,制定“应用程序与设备控制策略”
禁止“C:Windowstasksat*.job”的生成
禁止根目录下的自动播放
禁止每台“C:WindowsSystem32”,下“x”、“lvmaj.dll”、“jwgkvsq.vmx”文件和一些随机文件的生成。现在想来对于随机文件应该禁止“C:WindowsSystem32*.*”排除“C:WindowsSystem32”下的所有正常类型文件就可以了。
由于客户之前怀疑SEP的防火墙对他的某些应用有影响,我就从新建了一个组(Temp),并在这个组中执行我制定的策略。然后根据报告,把每天查找病毒最多的几台电脑迁移进入Temp组。
成功阻止“C:Windowstasksat1.job”的生成。
成功阻止微软MS08-067漏洞的通信。
上周客户电话我说:“整个公司已经没有在报W32.Downadup.B”了,而且SEP的防火墙也对其业务没有影响。
最后,安装MS08-067的补丁也是很重要的。如果有空最好更加Symantec的“W32.Downadup.B”支持库,清除注册表相关键值。
相关链接如下:
W32.Downadup.B
http://www.symantec.com/zh/cn/business/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=3
Microsoft 安全公告 MS08-067
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
北京同力天合网络技术有限公司
TAPP(TechnicalAssistance Partner Program)
朱宗智
本期明星销售:徐国力
电话:13521877225
E-mail:xgl@it9173.com
如果电话敬请告知获得途径“新浪博客”