来源:赛迪网 作者:杜莉 译
最近我侵入了一台医院的计算机的系统中。虽然不能更改系统设置、不能修改门诊记录,当然我也不能侵入五角大楼或者发射核导弹,但是我确实能够从未授权的终端发送和接收电子邮件、上网并且随意浏览医院官方的文件。我的经历可以让你注意防范一些简单、低技术含量以及常识性的攻击。
当时是在某天晚上,我的朋友刚在中西部教育医院做了一次外科手术。院方称我需要在等候区等2到3个小时。等候区里的杂志太旧了,我就在空旷昏暗的走廊里到处溜达、打发时间。医院向病人提供免费网络,因此我就向护士打听有公用机器上网的地方。她给我大致指了个方向。
我发现一个桌子上有些小的红绿灯,那边有一间没人的、有台工作站的小房间。我走进去看了看。没有人阻止我进入。可能院方认为这间房子白天人来人往的没有人会随便进去,但是现在所有东西都暴露在那里随意供我取用。
提示:下班时也应注意物理安全。将所有的门都应该锁好。
我动了动键盘。哇!看到操作系统了。根本没有什么有密码保护的屏保程序或者使用提示以及需要认证的警示屏幕。
桌面有个打开的文本文档。它只是个每周日程表,但是在其他状态它也有可能是保密报告。由于用户仍然是登陆状态的,任何路过的人可以复制、修改或者保存该文件。
提示:设置自动的会话超时操作。
开始按钮的功能只是部分禁止的——一些程序无法启动。但是一些本地程序仍然可以使用。IE图标被改了名字,但是我很容易就识别出来了。
于是我点击并启动了浏览器。网络就任我随意使用。
好吧,其实网络差不多是供我随意使用了。医院的系统组拦截了一些站点。我尝试几次后,就明白了它拦截的规律。他们拦截了所有.com .org域名的站点,但是没有屏蔽.edu域的站点。我不能访问1-800-flowers.com但是我能访问几乎所有的学校或大学的网站。(这里我就有个有趣的问题了:医院如何能屏蔽合法用户访问.org域呢?难道他们不想让员工访问像美国医学联盟和医学鉴定处这样的医疗组织吗?)
我有很多学校的邮箱帐户。我查看了一个学校邮箱的邮件并用另一个邮箱发送了电子邮件。我可以查看学生名单,在线申请大学的职位或者预约图书馆的书籍。有些站点通过下载并安装的JAVA小控件来提供安全壳功能。如果我访问了这些站点,我肯定能够远程连接到我的服务器,并利用它绕过屏蔽障碍。
提示:在下班后禁止下载和安装功能。
该工作站连有一台打印机,这就给人搞恶作剧和浪费资源提供了机会。简单的巡逻警卫就可以发现敲键盘或者打印机的异常响动。但实际上只有一个清扫的人经过,而他根本没有注意到我。毫无疑问,他以为我就是那里的员工,正在加班。
提示:跟耳目有关的安全问题。
医院IT系统组采取了锁定他们计算机的措施,但是有太多漏洞让我可以轻易通过。我从当前的系统退出,这样其他人不会对医院造成损失,然后我安静地离开。前台的职员在我出去的时候根本没有问我要访客通行证。
你的站点也会发生这样的事情吗?也许。但是如果办公室的门锁好了,没有人能访问工作站。如果系统有密码保护的屏保程序,那么别人就看不到桌面和文件。如果用户自动退出登录了,那么别人就无法启动本地程序。等等诸如此类的。
提醒:简单、低技术、常识性的预防措施就能防止安全泄露问题。
病毒营销:类AV终结者病毒设计感染统计功能
来源:赛迪网 作者:李铁军
金山反病毒中心截获最新的杀软克星病毒,该病毒和AV终结者如出一辙,某些具体的功能方面比AV终结者有更胜一筹。和6、7月份高发的AV终结者不同之处在于,这个病毒没有破坏安全模式、禁止防火墙和关闭系统还原。
以下是该病毒的详细分析报告:
病毒全名 Worm.Downloader.cr.34304
病毒长度 34304
威胁级别 ★★
病毒类型 蠕虫
病毒简介 这是一个蠕虫病毒。该病毒运行后,会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。
而且病毒会通过映像劫持的方法,使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页,在打开浏览器时会自行下载病毒,并且弹出广告等行为。
关键字:蠕虫,auto病毒,映像劫持,修改主页,纂改功能
病毒行为:
1.病毒运行后,产生以下病毒文件
%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
在%windows%\Fonts下添加许多后缀为"fon"的文件
在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件
在%temp%目录下同样产生病毒文件
2.在各盘目录下,会生成AUTO病毒,分别是niu.exe和autorun.inf。其中,autorun.inf所指向的病毒是niu.exe,当用户左键双击进入该盘时,病毒随之触发。
3.病毒运行后,任务管理器被屏蔽不可使用(如图)。
4.病毒运行后,隐藏文件的功能被纂改,并且把文字内容也修改。(如图)
那句话的全部是“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”
5.病毒利用映像劫持的技术,使众多安全软件不可使用,只要以下有列出来的文件名,当病毒监测到时,就会自行关闭。看看,还有哪个病毒劫持的安全软件比它多。(如图)
6.病毒把主页修改为www.baidu.com
7.会监视窗口,当在浏览器输入与"安全"或"病毒"相关的网站,病毒会把浏览器立即关闭。
8.打开浏览器会弹广告。
9.病毒会从以下地址下载更多木马
http://w.******.com/tempA.exe
http://w.******.com/tempB.exe
http://w.******.com/tempC.exe
http://w.******.com/tempD.exe
http://w.******.com/tempE.exe
http://w.******.com/tempF.exe
http://w.******.com/tempG.exe
http://w.******.com/tempH.exe
http://w.******.com/tempI.exe
http://w.******.com/tempJ.exe
http://w.******.com/tempK.exe
http://w.******.com/tempL.exe
http://w.******.com/tempM.exe
http://w.******.com/tempN.exe
http://w.******.com/tempO.exe
http://w.******.com/tempP.exe
http://w.******.com/tempQ.exe
http://w.******.com/tempR.exe
http://w.******.com/tempS.exe
http://w.******.com/tempT.exe
http://w.******.com/tempU.exe
http://w.******.com/tempV.exe
http://w.******.com/tempW.exe
10.通过以下文本里的文件,对以下关键字进行监测,检测后尝试关闭相关网页。
http://w.******.com/guanjian.txt
但是这里作者却把两个杀软的名字弄错,(不知是不是故意放卡巴和江民一马)
------------------------
木马
病毒
360
瑞星
卡吧(错,应为"卡巴")
金山
毒霸
江名(错,,应为"江民")
------------------------
病毒还会利用www.******.com/pu/tj.asp,进行感染量统计。(这是不是病毒商业化运营的统计系统呢?很有可能是的。)
TAG:
评分(
