- From: wmchen <wmchen@dns1.cqu.edu.cn>
- Date: Wed, 17 Nov 1999 13:39:33 +0800
- To: <www-p3p-public-comments@w3.org>
- Message-ID: <003901bf30be$21c8f200$7c09caca@16888.xx.yy>
网络时代(WebWebWeb)—钛仕安全版
1999-11-16 星期二 总第380期
订阅人数:250,533
编辑信箱 邮件订退 广州/北京社区
由此进入网易首页 www.163.com 中国单份订量最大
的电子杂志
◆域名注册◆网站寄存◆内容策划◆网上营销◆电子商务
运营中国万网(www.net.cn)的创联公司是全球互联网络信息中心(InterNIC)在华最大 的合作伙伴和中国互联网络信息中心(CNNIC)的优秀代理第一名,为您提供域名注册、虚拟主机、电子商务等综合服务。现在就来查询您想要的域名!
www. .com .net .org .com.cn .net.cn .org.cn .gov.cn 其他
联系电话:800-810-8500、010-62178696(12线)
距离澳门回归还有请密切关注!
精彩推荐
世纪末的IT盛典 COMDEX/FALL'99
网易COMDEX/FALL'99特别报道,带您把握潮流、掌握未来!
本期索引
【今日新闻】
1..........Windows NT修补程序有Bug
2..........微软将推廉价上网电脑
3..........Sun推出新版Java软件
4..........网上“张子强”勒索三亿
5..........银河高性能分布仿真计算机诞生
【编读往来】
1..........关于压缩文件中的病毒
2..........关于ICQ
【病毒动态】
1.........."泡沫男孩"闪亮登场
2..........一个新病毒:W32/FunLove.4099
【安全动态】
1..........互联网保密的新标准
2..........每1000封电子邮件中就有一封携带病毒
【软件介绍】
1..........计算机病毒的检测方法
2..........病毒的历史
【今日新闻】
1.........Windows NT修补程序有Bug
Windows NT的最新软件修补程序有bug,这种错误会使Lotus
Notes的使用受到潜在的影响。
为了加强Windows NT4.0的功能、修正错误,微软会定期发布一些
修正程序,最新修正版本为Service Pack 6。NT Service Pack 6中的
Bug在没有管理员访问权限时会阻止用户访问Lotus Notes,而为安全
起见,网络管理人员授予用户使用PC和服务器的权限应该是有限的。
为能使用Lotus Notes,网管将不得不牺牲安全性。
软件制造商Redmond公司建议使用Lotus Notes的用户在本周发布
新的修补程序之前,暂时不要使用Service Pack 6。
http://www.163.com/news/item/0,1567,30835,00.html
返回
--------------------------------------------------------------------------
2.........微软将推廉价上网电脑
盖茨表示,微软正和电脑生产商研究推出廉价上网电脑,与太阳
电脑和Oracle等公司竞争。
盖茨说,他们正与多家电脑生产商合作,包括康柏电脑和飞利浦
电器,在个人电脑内安装视窗操作系统的简化版,以较低的价钱出
售,吸引顾客。简化版视窗的应用软件较原来的视窗少,但会保留互
联网接入软件,方便上网人士。
http://www.163.com/news/item/0,1567,30695,00.html
返回
--------------------------------------------------------------------------
3.........Sun推出新版Java软件
Sun近日发布了两种适用于企业环境的新软件,这两种软件皆强调
整合性,可将企业现有的应用软件与网络相结合,让用户使用及传输
数据更加方便。
Sun表示,这两种新软件中,Java Blend 2.0可让企业的应用软件
与数据库相连接,而Java Message Queue则可让企业内部的财务、人
事软件相互连接。Sun表示,这种新版的Java将有助于解决企业间合并
时不同企业的系统连接问题。这两种Java软件都支持Solaris、
Windows NT操作系统。
http://www.163.com/news/item/0,1567,30799,00.html
返回
--------------------------------------------------------------------------
4.........网上“张子强”勒索三亿
一位香港地产商日前被人用电子邮件勒索。湖北省武汉市一名大
学生向该名商人旗下的公司发出英文电子邮件,要求对方支付三亿元
港币。这名被称为网上“张子强”的勒索疑犯三日前在武汉被捕。
http://www.163.com/news/item/0,1567,30672,00.html
返回
--------------------------------------------------------------------------
5.........银河高性能分布仿真计算机诞生
国防科技大学计算机学院研制的银河高性能分布计算机仿真系
统,11月15日在长沙通过了国家部委级技术鉴定。
计算机仿真是用来模拟连续动态系统的一项高新技术。“银河”
高性能分布仿真计算机系统不仅能进行诸如火箭发射等单系统仿真,
而且可以开展同一时空、多个运动系统相互制约情况下的复杂系统仿
真,在航空、航天、电力和交通运输等许多领域有着广泛的应用前
景。
http://www.163.com/news/item/0,1567,30629,00.html
返回
--------------------------------------------------------------------------
【编读往来】
1.........关于压缩文件中的病毒
您好:
经常阅读您给网友的答复,学到不少东西,首先谢谢您。有两个
问题想向您请教,我用正版的kv300带的kvw3000查毒,报告发现某压
缩文件中有cih病毒,但却无法杀除,问kv300网站,答复不解决问
题,但是用nortorn antivirus试用版却查不出该文件中有病毒,请问
这是怎么回事?第二个问题是有关icq的,有次用icq聊天,忽然冒出
一人,说它能看到我和其他人的谈话内容,并说出我和某某谈的一些
事,确实如他说说,但我不知道他是如何做到的,我该如何防范呢?
谢谢!
答:一般来说,市面上的杀毒软件应该都具有不错的查毒性能。但是
有些病毒比较隐蔽,比如一个WORD文件含有宏病毒,但此WORD文件被
压缩打包在一个ZIP文件中,这样就杀毒程序就比较难以察觉了。你
前面说道NORTON没有发现这个压缩文件中所含有的病毒,可能原因就
在于此。如果你有兴趣,可以用解压缩以后再用NORTON试试,应该就
能查出来了。
查到病毒是一回事,杀掉病毒又是另外一回事情了。因为常用压
缩格式有许多种,再加上许多非常用压缩格式,一个杀毒软件要支持
在这些压缩格式中都能查出隐藏的病毒已经不易,若要杀掉它们就更
费事一点。
所以根据我的了解,现在市场上能在ZIP包中杀掉病毒的杀毒软
件凤毛麟角(如果哪位朋友知道有的话,可以告诉我一声),甚至有
些杀毒软件会在碰到ZIP包中有病毒但又杀不掉时出现很奇怪的反应
。所以这位朋友也不要对它们抱太高要求了。
返回
--------------------------------------------------------------------------
2.........关于ICQ
关于ICQ,后面有一位名为大灰的同志给我们来了信。他说的问题
是关于上一期一个朋友的,您也可以参考一下他的意见--
大灰:我认为该用户已经中的对方的木马程序。
1、第一个ICQ和EMAIL的问题,对方得知你的ICQ和EMAIL密码一
点也不奇怪。登记ICQ后,在硬盘内会保存下一些基本设置,至少密
码是保存在硬盘内的。只要对方取得你ICQ目录内有关此类文件,就
可以知道你的ICQ密码。同理,EMAIL信箱的密码就更容易知道了。以
上,都为你已中了木马程序为前提。
2、如果您不是绝对信任对方,不建议打开任何附件,包括图像
文件,除非文本文件;不建议告诉对方你的IP。
3、不建议使用KILL98和KV3004、打开运行MSCONFIG--在启动中
查看运行的文件,看看是否中了木马程序或蠕虫程序。在确定中了以
后程序时,请备份所有文档(不建议安装和使用硬盘内的所有软件,
因为如果中了木马程序,可能所有的DOWN的或拷贝来的应用软件都已
中的木马程序,你一运行安装,电脑又中了木马程序了。):(5、建议
备份所有文档,从新格式化硬盘,重新安装WIN98。确定是以被对方
控制,以后不与之来住。
4、打开运行MSCONFIG--在启动中查看运行的文件,看看是否中了
木马程序或蠕虫程序。在确定中了以后程序时,请备份所有文档(不
建议安装和使用硬盘内的所有软件,因为如果中了木马程序,可能所
有的DOWN的或拷贝来的应用软件都已中的木马程序,你一运行安装,
电脑又中了木马程序了。):(5、建议备份所有文档,从新格式化硬盘
重新安装WIN98。确定是以被对方控制,以后不与之来住。
钛仕电子安全 范征宇 妹儿我们
返回
【病毒动态】
1........."泡沫男孩"闪亮登场
一种被认为是新的互联网蠕虫先驱的病毒"泡沫男孩"刚刚在美国
亮相。这种通过微软的OUTLOOK和OUTLO OK EXPRESS的客户端软件传播
的新蠕虫有一个不同于其它所有已被发现病毒的新特点,就是它不通
过电子邮件附件传播,只要用户打开被感染的电子邮件,则瞬间,整
个系统都将被感染。
"泡沫男孩"是用VB Script语言写成,它充分利用了存在于微软
Outlook和Outlook Express中的安全漏洞,能感染Windows98,
Windows2000,Windows95操作系统以及IE5。尽管该蠕虫的传播和破坏
能力极强---只要打开一封电子邮件,它就能找到系统中的OUTLOOK地
址簿进行复制传播和破坏---但到现在为止,还没有该例病毒中毒事件
的报告。
与其它互联网蠕虫不同,"泡沫男孩"并不以附件的形式传播,而
是直接通过电子邮件来达到其邪恶目的。用户只要打开被其感染的邮
件,它就立即被执行。首先,它会在系统中安装一个叫UPDATE.HTA的
文件,这个文件会在计算机下次启动时被执行。该蠕虫利用IE5和
Windows脚本主机来执行其恶意代码,如果用户的Outlook Express
的"自动预览"功能处于激活状态,则感染会立即完成。但如果你将IE5
的安全级别设为"高"则"泡抹男孩"不会被执行,但这可能影响对其它
一些使用VBSCRIPT的邮件的阅读。所以IE5的用户最好去微软网站下载
一个补丁程序以弥补掉这个安全漏洞。
下面描述一下该蠕虫的具体特点和感染过程。前面提到它会首先
在系统中安装UPDATE.HTA文件,并让它在系统下次重新启动时被执
行,接着它便将Outlook的注册用户改为"泡抹男孩"(修改Windows注
册表),把公司名称改为"Vandelay Industries"。在这些都完成后,
蠕虫就自动将它自己发往地址簿中所有的列出的电子邮件地址。邮件
的主题栏写着:"泡沫男孩"回来了(Bubbleboy is back)。详细信息
可访问:http://www.towns.com/dorms/tom/bblboy.htm
另外,泡沫男孩还将下面条目加入Windows注册表:
HKLM\Software\OUTLOOK.BubbleBoy\=OUTLOOK.BubbleBoy1.0 by
Zulu。这样能避免蠕虫被执行两次,从而也就不会有重复向外发信现
象的出现。
IE5和Outlook Express的用户请立即去微软网站下载最新补丁程
序。如果你的系统已被感染,想要清除这个蠕虫,可以用搜索命令来
定位UPDATE.H TA文件,然后将它删除。
返回
--------------------------------------------------------------------------
2.........一个新病毒:W32/FunLove.4099
在某些情况下,一个病毒的危险性并只不是决定于它的传播能力
(像美丽莎)或破坏效果(如CIH),而是决定于它现在是否活跃,即
是否它现在正席卷整个计算机世界。而今天要谈的病毒Funlove.4099
正具有这样的特点。
Funlove.4099尽管并不属于极其危险一类,但也已经攻击了许多
企业网,包括在美国和英国的一些病毒袭击事件都是它的杰作。该病
毒主要影响WIN95,98和Windows NT,能感染以EXE,SCR和OCX为后缀
的可执行文件。被感染的文件会比原来增大4,099字节。
病毒被第一次执行后,它会在SYSTEM目录下创建FLCSS.EXE文件,
并继续留驻内存以感染所有在"Program files","WINDOWS"和"WINNT"
目录及子目录下的可执行文件,包括Explorer.exe,这样就能保证每
次计算机重新启动后病毒都能被加载入内存。
该病毒还能感染所有本地计算机有写入权力的网络驱动器,也就
意味着它能快速在企业网中传播。
如果FLCSS.EXE在DOS下被执行,它会在屏幕上打出"爱上罪犯的
快乐",然后试图重新启动计算机。另人好奇的是Funlove.4099不会
感染以下形式的文件:ALER*.*, AMON*.*, AVP3*.*, AVPM*.*,
DDHE*.*,DPLA*.*,F-PR*.*, MPLA*.*, NAVW*.*, SCAN*.*, SMSS*.*,
和_AVP*.*。
返回
【安全动态】
1.........互联网保密的新标准
W3C万维网联盟已经发布了它最新的针对保密优先工程(P3P)的
平台草案。这个草案是在为了保证数据传输保密性的方针下设计的,
有助于在互联网上交换信息。
代表着200多家公司和机构的W3C在发布了这个文件之后,向奠定
P3P作为保密性规范新标准迈出了最后一步。这个文件不仅陈述了之所
以要开始这个工程的一些较普遍的观点,也描述了要实施的新技术的
主要特征。需要者可在以下地址找到这个文件:
http://www.w3.org/TR/1999/WD-P3P-19991102
接下来的六个月里,在这种技术被确定之前,这个文件将成为人
们学习和讨论的焦点。
包含在P3P中的一个想法是建立一种语言,使得各类网站在制定
它们的保密性原则时有一个标准格式,这样就易于被用户和浏览者理
解。可以预期的是,这种技术能使许多决策过程自动完成,方便了互
联网用户。到现在为止还没有类似规定来管理网站的保密性原则。
不过P3P只是建立了一种传递网站服务器都应遵守的保密性原则
的共有语言,它既不会设立一种控制机制以确保每个网站服务器都会
遵从这些方针,也不会提供一个解决数据传输和储存安全的特定方案
。P3P只是有助于数据的传输,并能提供有关保密性原则的信息。
W3C负责P3P工程的工作组希望这个介绍能得到回馈以帮助改进其
运做机制及包含在P3P术语库中的新术语。为了鼓励人们的参与,W3C
特别设立了一个电子邮件地址www-p3p-public-comments@w3.org,任
何意见和建议都可以发往这个邮箱。所有的公众评论都可以在以下网
址找到:
http://lists.w3.org/Archives/Public/www-p3p-public-comments/
返回
--------------------------------------------------------------------------
2.........每1000封电子邮件中就有一封携带病毒
每1000封邮件中就有一封携带病毒,听来令人毛骨悚然,但这确
是由Worldtalk公司最近进行的一次调查研究中所总结出来的数据。这
次调查主要面向企业网,目的是为了对电子邮件在企业网中的应用做
一个深层次的研究。结论让人震惊。可能你对这个数据还没有概念,
但如果你知道在一个企业网环境中每天收发的的电子邮件数目很容易
就能超过1000封的话,也许你就能理解其中所包含的巨大风险。
该研究报告还披露,在企业网中3.1%的邮件含有与企业日常活动
无关的图象声音文件,这些文件大量占用了邮件系统的资源,减慢了
网络速度,增加了网络设施的成本。
研究还发现,现在大多数的企业网邮件系统在邮件的进出交通上
或多或少存在这样那样的问题。另外,互联网这样一个极不安全的网
络被用来传递字处理文件和电子数据表,加大了数据丢失或被窃的可
能性。
由于电子邮件在企业网中使用的越来越多越来越频繁,而且可以
预期随着时间的推移使用率还将继续向上攀升,这样的信息就不得不
另人担忧。最新的数据显示,全世界64%的公司在去年遭到过病毒袭
击,而在前年只有53%,更使人惊讶的是,这个增幅是在95%的参与调
查的公司安装了反病毒软件的情况下出现的。
这些数据充分暴露了在现在的企业网中大多数安装的反病毒软件
没有正确设置或没有保持经常更新。在这里,我们再次指出不每天更
新(或最低每周)的反病毒软件在遇到新病毒的时候几乎毫无用处。
如果你对如何才能使你的反病毒软件最优化有疑问,应该立即向提供
软件的厂商的技术中心进行咨询,这样就能最大限度的保证你的网络
的安全。
返回
【安全讲座】
1.........计算机病毒的检测方法
曾中过计算机病毒的朋友,都知道计算机病毒是什么样子。例如
文件的长度和日期忽然改变,系统执行速度下降或出现一些奇怪的讯
息或者无故死机,严重的是硬盘被重新格式化。计算机病毒如此神通
广大,那么我们常用的防毒软件是如何去发现它们的呢?他们就是利
用所谓的病毒码(Virus Pattern)。所谓的病毒码其实可以想象成是
犯人的指纹,当防毒软件公司收集到一只新的病毒时,他们就会从这个
病毒程序中截取一小段独一无二而且足以表示这只病毒的二进制程序
码(Binary Code) ,来当做扫毒程序辨认此病毒的依据,而这段独一无
二的二进制程序代码就是所谓的病毒码。在计算机中所有可以执行的
程序(如*.EXE,*.COM)几乎都是由二进制程序代码所组成,也就是计算
机的最基本语言--机械码。就连流行的宏病毒,虽然只是包含在Word
文件中,可是它的宏程序也是以二进制码的方式储存的。
防毒软件常使用的病毒测试技术:
1.病毒码扫描法
将新发现的病毒加以分析后,根据其特征,编成病毒码,加入数据
库中。以后每当执行扫毒程序时,便能立刻扫描程序文件,并作病毒码
比对,就能侦测到是否有病毒。病毒码扫描法又快又有效率(例如
PC-cillin及Server Protect,利用深层扫描技术,在实时扫瞄各个或大
或小的文件时,平均只需1/20秒的时间),大多数防毒软件均采用这种方
式,但其缺点是无法侦测到新病毒及以变种病毒。
2.加总比对法(Check-sum)
根据每个程序的档案名称、大小、时间、日期及内容,加总为一
个检查码,再将检查码附于程序的后面,或是将所有检查码放在同一个
数据库中,再利用此Check-sum系统,追踪并记录每个程序的检查码是
否遭更改,以判断是否中毒。一个很简单的例子就是,当您把车停下来
之后,将里程表的数字写下来。那么下次您再开车时,只要比对一下里
程表的数字,那么您就可以断定是否有人偷开了您的车子。这种技术
可侦测到各式的病毒,但最大的缺点就是误判断高,且无法确认是哪种
病毒感染的。对于隐形飞机式病毒,却无法侦测到。
3.人工智能陷阱(Rule-based)
人工智能陷阱是一种监测计算机行为的常驻式扫描技术。它将所
有病毒所产生的行为归纳起来,一旦发现存贮器的程序有任何不当的
行为,系统就会有所警觉,并告知使用者。这种技术的优点是执行速度
快、手续简便,且可以侦测到各式病毒;其缺点就是程序设计难,且不
容易考虑周全。不过在这千变万化的病毒世界中,人工智能陷阱扫描
技术是一个至少具有保全功能的新观点。目前PandaGaurd就对病毒的
可疑行为设下了将近12道的陷阱,以达到预防重于治疗的目标。
4.软件仿真扫描法
该技术专门用来对付千面人病毒(Polymorphic/MutationVirus)。千
面人病毒在每次传染时,都以不同的随机随机数加密于每个中毒
的档案中,传统病毒码比对的方式根本就无法找到这种病毒。软件仿
真技术则是成功地仿真CPU执行,在其设计的DOS虚拟机器(Virtual
Machine)下假执行病毒的变体引擎译码程序,安全并确实地将多型体病
毒解开,使其显露原本的面目,再加以扫描。
5.VICE(Virus Instruction Code Emulation) -先知扫描法
VICE先知扫描技术是继软件仿真后的一大技术上突破。既然软件
仿真可以建立一个保护模式下的DOS虚拟机器,仿真CPU动作并假执行
程序以解开变体引擎病毒,那么应用类似的技术也可以用来分析一般
程序检查可疑的病毒码。因此VICE将工程师用来判断程序是否有病毒
码存在的方法,分析归纳成专家系统知识库,再利用软件工程的仿真技
术(Software Emulation)假执行新的病毒,则可分析出新病毒码对付
以后的病毒。
6.实时的I/O扫描(Realtime I/O Scan)
Realtime I/O Scan的目的在于实时地对数据的输入/输出动作做
病毒码比对的动作,希望能够在病毒尚未被执行之前,就能够防堵下来
。理论上,这样的实时扫描程序虽然会影响到整体的数据传输速率,但
是使用Realtime I/O scan,档案传送进来之后,就等于扫过了一次毒,
整体来说,是没有什么差别的。
7.文件宏病毒陷阱(MacroTrapTM)
MacroTrapTM是结合了病毒码比对与人工智能陷阱的技术,依病毒
行为模式(Rule base)来侦测已知及未知的宏病毒。其中,配合OLE2技
术,可将宏与文件分开,使得扫描速度变得飞快,而且更可有效地将宏
病毒彻底清除!
返回
--------------------------------------------------------------------------
2.........病毒的历史
我们现在每周都讲许多关于可怕的病毒的故事不免看了让人倒胃
口,(至少小弟的女友就很有意见)所以试着弄些不那么吓人的东东
让大家看看。
病毒的概念最早产生于德国科学家冯·诺伊曼提出的一种可能
性,但没引起广泛的注意。
1975年,美国科普作家约翰·布鲁勒尔(John Brunner)写了一本
名为《震荡波骑士》(Shock Wave Rider)的书,该书第一次描写了在
信息社会中,计算机作为正义和邪恶双方斗争的工具的故事,成为当
年最佳畅销书之一。
1977年夏天,托马斯·捷·瑞安(Thomas.J.Ryan)的科幻小说
《P-1的春天》(The Adolescence of P-1)成为美国的畅销书,作者
在这本书中描写了一种可以在计算机中互相传染的病毒,病毒最后控
制了7,000台计算机,造成了一场灾难。
1983年11月3日,弗雷德·科恩(Fred Cohen)博士研制出一种在
运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(Len Adleman)
将它命名为计算机病毒(computer viruses),并在每周一次的计算机
安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运
行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而
在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔(Lahore),巴锡特(Basit)和阿
姆杰德(Amjad)两兄弟经营着一家IBM-PC机及其兼容机的小商店。他
们编写了Pakistan病毒,即Brain。在一年内流传到了世界各地。
1988年3月2日,一种苹果机的病毒发作,这天受感染的苹果机停
止工作,只显示"向所有苹果电脑的使用者宣布和平的信息"。以庆祝
苹果机生日。
1988年11月2日,美国六千多台计算机被病毒感染,造成Internet
不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事
件,迫使美国政府立即作出反应,国防部成立了计算机应急行动小组
。这次事件中遭受攻击的包括5个计算机中心和12个地区结点,连接
着政府、大学、研究所和拥有政府合同的250,000台计算机。这次病
毒事件,计算机系统直接经济损失达9600万美元。这个病毒程序设计
者是罗伯特·莫里斯(Robert T.Morris),当年23岁,是在康乃尔大学
攻读学位的研究生。
罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗
伯特·莫里斯成了入侵ARPANET网的最大的电子入侵者,而获准参加
康乃尔大学的毕业设计,并获得哈佛大学Aiken中心超级用户的特权
。他也因此被判3年缓刑,罚款1万美元,他还被命令进行400小时的
新区服务。
1988年底,在我国的国家统计部门发现的小球病毒是我国第一次
病毒经历。
返回
--------------------------------------------------------------------------
【合作伙伴】
以下网站的内容十分精彩,欢迎访问!
蓝心箭工作室 网络新时代 星空奇观 中华佛典宝库 网络佛教导航
返回
网易版权所有,未经授权不得转载
Attachments
- image/gif attachment: guanggao.gif
Received on Wednesday, 17 November 1999 00:41:18 UTC