电脑安全案例分析及处理建议(二)

——案例二:打开电子邮件附件

【明慧网二零零八年七月十九日】在海外,由于我们很多学员对计算机安全的重视不够,令许多同修的电脑感染上中共专门设计的病毒,许多资料和信息被盗走,有的电子邮箱长期被邪恶進入,有的电脑被装上监视键盘的木马,所有的密码都被窃取。其中造成的损失无法估量。

我们会陆续分析一些中共黑客常用的攻击方式,并提供解决办法。注意电脑安全,是涉及到我们的工作能否起到证实大法作用的关键问题,所以请所有使用电脑的学员,严肃对待这个问题,让我们在用电脑做工具证实大法中,真正做到正念正行。

案例二:打开电子邮件附件

电子邮件的广泛使用使得电子邮件成为邪恶攻击的重点。电子邮件攻击的一种通常方式是邮件内容中有恶意链接,链接指向的网页含恶意代码,访问这些网页就有可能导致中毒。这种情况在前一篇文章中已经介绍了。另外一种通常方式就是电子邮件的附件就直接带有病毒。目前我们发现Word文档、RTF文档、PDF文档都有可能包含病毒木马。其它不常见的文档格式也都有可能包含病毒木马,比如Excel文档、PowerPoint文档等。一旦打开附件,在特定的条件下文档中嵌入的病毒木马就会被执行。执行的结果是电脑上被装上木马程序,以窃取电脑使用者的信息。我们来看看一些例子,从中可以看出我们应该如何防范。

附件带病毒的邮件一般会有非常吸引人的标题,下面是一些例子:
From: “冯玉宝”
Subject: 加法轮功学员起诉江泽民案获突破性进展
附件:MHReport1.doc

这个邮件利用了大家对案件进展的关心。这类邮件比较好识别。因为我不认识这个发信人,为什么他要发这个消息给我?如果真有这个消息,我自己到网站上看好了,为什么要看邮件附件?所以我知道这是病毒,会直接删掉。

最近的一个例子:

Subject: 紧急通知: 法拉盛回来的同修请立即记录暴行!
Date: Thu, 19 Jun 2008 08:43:14 +0800
附件:紧急通知.doc

这个邮件比较有欺骗性。伪造的发信人是当地大家都认识的人,而且当时那个人确实是在法拉盛。类似这样邮件很多。邪恶常常伪装成各个媒体的负责人,根据大家关心的热点发出带病毒附件的邮件。这些邮件有一个共同的疑点:短短的通知邮件正文就可以说清楚,不需要附件的;即使用附件,附件的文件大小应该很小。而带病毒的附件文件都比较大,因为病毒本身就被包含在附件文件里。即使没有注意到这些疑点,没有去过法拉盛的人也不要出于好奇心打开附件。小红伞能够侦测到这个邮件附件中的病毒。如果Word软件有更新到最新(Office 2003 Service Pack 3或者Office 2007 Service Pack 1),附件中包含的病毒也不起作用。如果Windows用户不是管理员,附件中包含的病毒也不起作用。

早先PDF文件不带病毒。近来有很多PDF的附件含病毒木马,就是利用了大家对PDF文件的信任。有个网站上的许多PDF文件曾经被替换成含病毒的版本。下面是一个例子:

Subject:紧急通知:纽约急需各地记者支援
Date: Tue, 3 Jun 2008 11:46:16 -0800
附件:20080603.pdf

这个邮件看起来是从一个媒体负责人发出的,其实发信地址是伪造的。通知的内容符合当时大家关心的焦点。尽管很有迷惑性,但还是有上述的疑点:这样的通知其实是不需要有附件的。不是记者的人不要出于好奇心去打开。小红伞能够侦测到这个邮件附件中的病毒。如果Adobe软件有更新到最新,附件中包含的病毒也不起作用。如果Windows用户不是管理员,附件中包含的病毒也不起作用。

如果不确定附件文档是否含病毒,可以联络发信人核实发信人是否发过此信,也可以把附件上传到网站https://www.virustotal.com/ 去检测。这个网站会用32种杀病毒软件来检查上传的文件是否含病毒。

假如条件具备:Adobe软件没有更新(很多人确实没有更新),而且当前Windows用户是管理员(绝大多数人确实是用管理员帐户),而且没有装小红伞(很多人确实没有安装),打开这个PDF文件时会觉得电脑不动了,或者显示一个几乎是空白的文档,或者屏幕会闪几下。其实这个时候是PDF文档里带的病毒发作了。它会在系统目录下产生一个临时的木马安装程序并执行它。执行的结果是在系统目录产生更多的文件,创建木马服务程序以保证每次开机木马都会运行,启动木马程序开始监测用户键盘的操作。如果用户不是系统管理员,木马的这些操作都会失败。

假如木马文件被成功安装,该木马会监测用户的键盘,记录所访问的网站,登录邮箱所用的用户名和密码,网站购买机票所用的信用卡号码等等。最近我们找到了一个木马记录文件,其中记录了用户到网上寻找机票和购买机票的全过程,包括使用的两张信用卡的号码、家庭住址、电话号码、邮箱等详细信息。该用户还上过其它网站的编辑后台,导致编辑后台的信息泄漏。

我们发现被攻破的个机很有可能被利用来攻击大法网站及相关伺服器,所以对于学员,尤其是参与大法项目直接登陆项目伺服器的学员,提高个人电脑的安全维护意识以及相应的防范和应急措施,就不是简单的个人修炼或手头项目繁忙与否的问题,而是直接整体上牵涉大法网站安全的问题,实际上是对大法负责与否的问题。敬请重视!

通过以上的案例分析,大家可以看到以下3个重点:

1、邮件附件是相当危险的。邪恶发出的病毒邮件很有欺骗性。跟自己不相关的邮件附件一律不要打开。不确定时,可以联络发信人核实发信人是否发过此信,也可以把附件上传到网站https://www.virustotal.com/ 去检测。

2、 用户自己的机器上有下面任何一种简单的保护措施都可以避免在这个案例中中招:

A、用户日常网络活动使用的是非Windows管理员账号。这个从操作系统的功能上就直接阻止了这个病毒木马能够修改/添加系统文件。

B、用户有合适的防火墙(比如Zone Alarm)和反病毒程序(比如小红伞等),能够拦截陌生程序连网和修改系统文件。

C、用户做了及时的系统更新和对应软件(OFFICE/ADOBE等)的更新。

D、建议使用Firefox浏览器,和Thunderbird电子邮件软件,这两款软件相对IE浏览器,和Outlook电子邮件软件,要安全的多。

作为系统的整体安全来讲,前三种保护措施要同时做到,并强烈建议做到第四种保护措施。

关于软件更新,再多说几句。程序都有漏洞,无论是微软的Windows系统还是应用软件,例如:photoshop,adobe(读PDF文件),flash player(播放闪画),MS media player(播放录像),Real Player(播放录像),Skype,等等。软件更新(Update)就是软件开发公司给发现的安全漏洞打补丁。那么如何知道这些软件需要更新(打补丁)呢?Secunia PSI是一款著名的免费安全软件,可以帮助你追踪软件的补丁发布,并帮助你打上补丁。明慧有专文介绍:用PSI检查和修补电脑上所有软件的安全漏洞

另外,一些软件有自动更新的功能,如微软有提供两种自动更新,一个叫做“Windows Update”(视窗更新),一个叫做“Microsoft Update”(微软更新)。Windows Update只负责更新Windows操作系统,而Microsoft Update负责更新所有的Microsoft软件,包括Windows操作系统,MS Office(Word,Excel等),等。所以大家要用Microsoft Update。

3.用户中招后的处理方法:

对于非专业用户来讲,目前的木马利用的技术相当复杂,从新安装系统几乎是唯一的方法。

建议:使用Acronis True Image软件在重装系统之后做一个干净的系统盘备份镜像,这样就不用每次都重装系统,下次只要用这个干净的备份镜像从新恢复系统盘即可,省时省力。

在以后的文章中,我们会继续分析一些典型网络安全的案例,并给出一般的应对技术措施,事故发生后的处理方法等。欢迎大家反馈更多的意见。