黑客攻击与防范
网络黑客及其常用的攻击手段 网络黑客的防范策略 “网络钓鱼”攻击与防范 端口及端口安全 安全使用电子邮件 拒绝服务攻击与防范 安全设置口令
网络黑客的产生和类型 网络黑客攻击步骤 黑客常用的攻击方式
网络黑客的产生和类型
1.网络黑客的产生
HACKER(黑客)一词来自于英语HACK,黑客一族起源于20世纪70年代美国麻省理工学院的实验室,当时在那里聚集了大批精通计算机科学,具备良好科学索质的高级人才,经常研究或开发出许多新的具有开创意义的产品或技术,营造了良好的文化氮围,逐渐就形成了一种独特的黑客文化。
网络黑客的常见类型 (1)恶作剧型
喜欢进入他人网站,以删除某些文字或图像、篡改网址、主页信息来显示自己的厉害,此做法多为增添笑话自娱或娱人。 (2)隐蔽攻击型
躲在暗处以匿名身份对网络发动攻击,往往不易被人识破;或者干脆冒充网络合法用户,侵入网络“行黑”。这种行为由于是在暗处实施的主动攻击行为,因此对社会危害极大。
(3)定时炸弹型
在实施时故意在网络上布下陷阱,或故意在网络维护软件内安插逻辑炸弹或后门程序,在特定的时间或特定条件下,引发一系列具有连锁反应性质的破坏行动,或干扰网络正常运行致使网络完全瘫痪。
(4)矛盾制造型
非法进入他人网络,修改其电子邮件的内容或厂商签约日期,进而破坏甲乙双方交易,并借此方式了解双方商谈的报价,乘机介入其商品竞争。有些黑客还利用政府上网的机会,修改公众信息,挑起社会矛盾。
(5)职业杀手型
此种黑客以职业杀手著称,经常以监控方式将他人网站内由国外传来的资料迅速清除,使得原网站使用公司无法得知国外最新资料或订单,或者将电脑病毒植人他人网络内,使其网络无法正常运行。更有甚者,进入军事情报机关的内部网络,干扰军事指挥系统的正常工作,任意修改军方首脑的指示和下级通过网络传递到首脑机关的情报,篡改军事战略部署,导致部队调防和军事运输上的障碍,达到干扰和摧毁国防军事系统的目的。严重者可以导致局部战争的失败。
(6)窃密高手型
出于某些集团利益的需要或者个人的私利,利用高技术手段窃取网络上的加密信息,使高度敏感信息泄密。或者窃取情报用于威胁利诱政府公职人员,导致内外勾结进一步干扰破坏内部网的运行。有关商业秘密的情报,一旦被黑客截获,还可能引发局部地区或全球的经济危机或政治动荡。
(7)业余爱好型
计算机爱好者受到好奇心驱使,往往在技术上追求精益求精,丝毫未感到自己的行为对他人造成的影响,介于无意识攻击行为。这种人可以帮助某些内部网络堵塞漏洞和防止损失扩大。有些爱好者还能够帮助政府部门修正网络错误。
网络黑客的攻击步骤
(1)寻找目标主机并分析目标主机
通过一些常用的网络命令或端口扫描工具来获取目标主机的域名和IP地址及系统漏洞。
(2)登录主机
黑客通过使用工具或盗取帐号和密码的方式,登录主机。
(3)得到超级用户权限、控制主机
利用盗取的帐号和密码,获得普通用户的权限,然后再获取超级用户的权限,成为目标主机的主人。
(4)清除记录、设置后门
黑客获得超级用户的权限后,能删除自己入侵的全部记录,并能在系统中植入木马,作为以后入侵该主机的“后门”。
黑客常用的攻击方式 (1)获取口令
一是通过网络监听非法得到用户口令。这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户帐号和口令,对局域网安全威胁巨大;
二是在知道用户的帐号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口今;
三是在获得一个服务器上的用户口令文件后,用暴力破解程序破解用户口令,这种方法对那些口令安全系数极低的用户,如某用户帐号为zys ,其口令就是zys1
23、zys168等,只需在短短的一两分钟内,甚至几十秒内就可以将其破解。
(2)放置特洛伊木马程序
特洛伊木马程序常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会悄悄执行。当用户连接到互联网上时,这个程序就会通知黑客,来报告用户的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改用户计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等,从而达到控制用户计算机的目的。
(3)web欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的web站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:
正在访问的网页已经被黑客篡改过,网页上的信息是虚假的。例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
(3)web欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的web站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:
正在访问的网页已经被黑客篡改过,网页上的信息是虚假的。例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
(4)电子邮件攻击
一是发送邮件炸弹,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;
二是电子邮件欺骗,攻击者佯称自己为系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。
(5)通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机,也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少黑客使用。
(6)网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如Sniffer for Linux等就可以轻而易举地获取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
(7)寻找系统漏洞
许多系统都有这样那样的安全漏洞(BUGs),其中一些是操作系统或应用软件本身具有的,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉,还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加密的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
(8)利用帐号进行攻击
有的黑客会利用操作系统提供的缺省帐号和密码进行攻击,例如许多U IX主机都有FTP和Guest等缺省帐号(其密码和帐号相同),有的甚至没有口令。黑客用U IX操作系统提供的命令如Fi ger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省帐号关掉或提醒无口令用户增加口令一般都能克服。
(9)窃取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
网络黑客的防范策略 1.隐藏IP地址 2.关闭不必要的端口 3.更换管理员帐号 4.杜绝Guest帐号的入侵 5.封死黑客的“后门” 6.做好IE的安全设置 7.安装必要的安全软件 8.防范木马程序 9.不要回陌生人的邮件 10.及时给系统打补丁
1.隐藏IP地址
IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为攻击行为准备好了目标,可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。 2.关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如 et—watch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭不用的端口。 3.更换管理员帐号
Administrator帐号拥有最高的系统权限,黑客入侵的常用手段之一就是试图获取Administrator帐号的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐号设置一个强大复杂的密码,然后我们重命名Administratorr帐号,再创建一个没有管理员权限的Administrator帐号欺骗入侵者。这样一来,入侵者就很难搞清哪个帐号真正拥有管理员权限,也就在一定程度上减少了危险性。 4.杜绝Guest帐号的入侵
Guest帐号即所谓的来宾帐号,它可以访问计算机,但受到限制,同时Guest帐号也为黑客入侵打开了方便之门,所以禁用或彻底删除Guest帐号是最好防止攻击的办法,但在某些必须使用到Guest帐号的情况下,就需要通过其他途径来做好防御工作了。 5.封死黑客的“后门” (1)删掉不必要的协议
对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网上邻居”,选择“属性”,再点击“本地连接”,选择“属性”,卸载不必要的协议。其中
etBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,可以将绑定在TCP/IP协议的 etBIOS给关闭,避免针对 etBIOS的攻击。
(2)关闭“文件和打印共享”
文件和打印共享也是引发黑客入侵的安全漏洞。所以在不使用“文件和打印共享”的情况下,我们应将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。
(3)禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码,因此我们必须禁止建立空连接。 (4)关闭不必要的服务
服务开很多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关闭。比如在不需要远程管理计算机时,将有关远程网络登录的服务关掉。
6.做好IE的安全设置
要避免恶意网页的攻击就要禁止恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”—“Internet选项”—“安全”一“自定义级别”,建议您将ActiveX控件与Java相关选项禁用。 7.安装必要的安全软件
在电脑中安装并使用必要的防黑软件、杀毒软件和防火墙。
8.防范木马程序 木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
(1) 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
(2) 在“开始”—“程序”—“启动”选项里看是否有不明的运行项目,如果有,删除即可。 9.不要回复陌生人的邮件
有些黑容可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封传给用户,要求用户输入上网的帐号与密码,如果按下“确定”,用户的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不要上当。 10.及时给系统打补丁 及时使用Wi dows Update 给系统打补丁是保证系统安全的最好办法。
“网络钓鱼”攻击与防范 1 “网络钓鱼”的定义
“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的web站点来进行诈骗活动,受骗者往往泄露自己的财务数据,如信用卡号、帐号、口令等内容,诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等机构,获取用户敏感情息进行非法活动,据统计在所有接到诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。
2、“网络钓鱼”的主要手法
一是发送电子邮件,以虚假信息引诱用户中圈套。诈骗分子发送大量欺诈性邮件,冒充成一个容易被大家信任的组织,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中输入账号和密码,或是以各种理由要求收件人登录某网页提交用户名、密码、身份证号、银行帐号等信息,继而窃取用户资金。
二是建立假冒网上银行、网上证券等网站,骗取用户账号和密码实施盗窃。犯罪分子建立的网站,域名和网页内容都与真实的网上银行系统、网上证券交易平台极为相似,引诱用户输入账号、密码等信息,进而窃取用户资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意代码,屏蔽一些可以用来辨别网站真假的重要信息。
三是利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年,罪犯余某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入作案所使用的多个银行账号,然后转移钱款。
四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式截取用户账号和密码,并发送到指定邮箱,严重威胁用户资产。
五是利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置的弱口令,对银行卡密码进行破解。 实际上,不法分子在实施网络诈骗的犯罪活动中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。
“网络钓鱼”的防范
(1)对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。
(2)更重要的是,不要回复或者点击邮件的链接,如果想核实电子邮件的信息,使用电话等方式;若想访问某个公司的网站,使用浏览器直接访问,而不要点击邮件中的链接。
( 3)留意网址。多数合法网站的网址相对较短,通常以 .com或者 .gov结尾,仿冒网站的地址通常较长,只是在其中包括部分合法企业的名字,甚至根本不包含。
(4)避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒特征库和操作系统补丁,附件不要直接在浏览器中打开,要下载到本地之后,先用杀毒软件扫描,保证安全之后方可打开。
(5)使用网络银行时,选择使用网络凭证及约定账号方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。
(6)大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然收到的应该都是中文信件。 (7)将可疑软件转发给网络安全机构。
(8)如果受到欺骗,最好尽快更换密码和取消金融帐号。 端口及端口安全 1 端口概述
随着计算机网络技术的发展,原来物理上的接口(如键盘、鼠标、网卡、显示卡等输入/输出接口)已不能满足网络通信的需求,TCP/IP协议作为网络通信的标准协议就解决了这个通信难题。TCP/IP协议集成到操作系统的内核中,这就相当于在操作系统中引入了一种新的输入/输出接口技术,因为在TCP/IP协议中引入了一种称之为“Socket ”应用程序接口。有了这样一种接口技术,一台计算机就可以通过软件的方式与任何一合具有“Socket”接口的计算机进行通信。
端口及端口安全
计算机端口有65536个,但是实际上常用的端口才几十个,由此可以看出未定义的端口相当多。许多入侵程序都可以通过各种方法找到一个特殊的端口,来达到入侵的目的。
(1)公认端口:从0到1023,紧密绑定于一些服务,通常这些端口的通讯明确表明了某种服务的协议。例如: HTTP协议通常使用80端口。
(2)注册端口:从1024到49151,松散地绑定于各种软件,也就是说有许多服务绑定于这些端口,这些端口同样用于许多其他目的。例如,许多系统处理动态端口从1024左右开始。
(3)动态和私有端口:从49152到65535。理论上不应该在这些端口上加载其他服务。实际上,计算机通常从1024起分配动态端口服务。
端口概述
下面列出普通用户常用的一些端口服务:
(1)FTP:文件传输协议,使用21端口。某主机开了21端口讲的就是文件传输服务,可以下载文件,上传网页。
(2)Telnet: 早期的BBS是纯字符界面的,支持BBS的服务器将23端口打开,对外提供服务。其实Telnet的真正目的是远程登录,用户可以以自己的身份远程连接到主机上。
(3)HTTP:超文本传送协议。浏览网页就需要用到这个协议.提供网页资源的主机默认打开80端口以提供服务。
(4)SMTP:邮件传送协议。现在很多邮件服务器用的都是这个协议,用于发送邮件。目标计算机开放的是25端口。
(5)POP3:和SMTP对应,POP3用于接收邮件。通常情况下,POP3协议所用的是110端口。只要有相应的使用POP3协议的程序,不需要从Web方式登录进邮箱界面就可以收信。例如Foxmail,Outlook等。
(6)DNS:域名解析服务。互联网上的每一台计算机都有一个网络地址与之对应,这个地址就是我们常说的IP地址,它以纯数字的形式表示。然而却不便记忆,于是就出现了域名。访问主机的时候只需要知道域名,域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53端口。
(7)SNMP:简单网络管理协议,使用161端口,是用来管理网络设备的。在网络设备多、无连接服务的情况下,就能体现其优势。
(8)聊天软件QQ:QQ的程序既接受服务,又提供服务,这样两个聊天的人才能实现。QQ用的是无连接协议,其服务器使用8000端口,客户端通常使用4000端口。如果上述两个端口正在使用,就依次顺序叠加。
端口操作
1.关闭/开启端口
2.系统管理员可以“重定向”端口 3.查询端口使用情况
端口操作-开启和关闭端口 默认的情况下,有很多不安全的或无用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等。为了保证系统的安全性,用户可以通过下面方法来关闭/开启端口。
端口操作-开启和关闭端口 (1)关闭端口
比如在windows 2003/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”,接着在打开的服务窗口中找到并单击“simple Mail Transfer Protocol(SMTP)”服务,右击该服务,在弹出式菜单中选择“停止”命令来停止该服务,然后双击该服务,在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务,也关闭了对应的端口。
(2)开启端口
如果要开启该端口只要先双击该服务。在“启动类型”中选择“自动”,单击“确定”按钮,右击该服务,在弹出式菜单中选择“启动”命令,即可启用该服务,打开相应的端口。
端口操作- “重定向”端口 实现重定向是为了隐藏公认的默认端口,降低受破坏率。大多数“重定向”端口与原端口有相似之处,以增加迷惑性。这样如果有攻击者要对一个公认的默认端口进行攻击,则必须先进行端口扫描,增加了攻击难度。
netstat (DOS命令)可以监控TCP/IP网络,显示路由表、实际的网络连接以及每一个网络接口设备的状态信息,查看当前网络连接状态,显示对方主机IP地址以及本地提供服务的端口等信息。
安全使用电子邮件 垃圾邮件的定义:
(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品
等宣传性的电子邮件;
(二)收件人无法拒收的电子邮件;
(三)隐藏发件人身份、地址、标题等信息的电子邮件; (四)含有虚假的信息源、发件人、路由等信息的电子邮件。
安全使用电子邮件 垃圾邮件产生的原因:
第一:垃圾邮件一直被吹捧为一种最有效却最廉价的广告形式。 第二:传统的控制方法无法有效地过滤垃圾邮件。
垃圾邮件的类型
(1)推销产品。向用户宣传自己的产品或者服务,这类信件最为常见,占80%左右; (2)恶意骚扰。不
停地向特定的邮箱发送信件,使信箱被填满而无法接收新的信件,从而扰乱正常工作的信息交流,这种情况大约占5%;
(3)政治,色情等宣传。例如“大参考”等反动政治刊物和一些色情内容信件,占10%;
(4)其他一些来历不明的信件。
安全使用电子邮件
垃圾邮件的常用防治方法
方法一:给自己的信箱起个“好名字”。如果用户名过于简单或者过于常见,则很容易被当作攻击目标。许多人习惯用自己姓名的拼音作为用户名,但一般过于简单,很容易被垃圾邮件发送者捕促到。因此在申请邮箱时,不妨起个保护性强一点的用户名,比如英文和数字的组合,尽量长一点,可以少受垃圾邮件骚扰。
垃圾邮件的常用防治方法
方法二:避免泄露邮件地址。在浏览页面时,千万不要到处登记你的邮件地址,也不要轻易告诉
别人,朋友之间互相留信箱地址时可采取变通的方式,比如地址是abc @xxx.net,可改写为abc#xxx .net,这样朋友一看便知,而E-mail收集软件则不能识别,防止被垃圾邮件攻击。
方法三:不要随便回应垃圾邮件。当收到垃圾邮件时,不论多么愤怒,千万不要回应,因为回复就等于告诉垃圾邮件发送者该地址是有效的,这样会招来更多的垃圾邮件。另外还有一种花招,为了证明E—mail地址是否有效,很多垃圾邮件发送者在邮件中往往以抱歉的语气说;“若您不需要我们的邮件,请回复,我们将不再向您发送邮件”,如果真的回复就上当了,最好的办法是不予理睬,把发件人列入拒收名单。
方法四;借助反垃圾邮件的专门软件。反垃圾邮件软件可以给垃圾邮件制造者回信,告之所发送的信箱地址是无效的,免受垃圾邮件的重复骚扰。有的也可以防止垃圾邮件,同时自动向垃圾邮件制造者回复“退回”等错误信息,防止再次收到同类邮件。
方法五:使用邮件管理、过滤功能。Outlook Expre和Foxmail都有很不错的邮件批处理功能,用户可通过设置过滤器中的邮件主题、来源、长度等规则对邮件进行过滤。垃圾邮件一般都有相对统一的主题,例如“促销”等,若不想收到这一类邮件,可以试着将过滤主题设置为包含这些关键字的字符,而现在的web邮箱一般也具有这种功能。
方法六:学会使用远程邮箱管理功能。一些远程邮箱监视软件,能够定时检查远程邮箱,显示主题、发件人、邮件大小等信息,可以根据这些信息判断哪些是正常邮件,哪些是垃圾邮件,从而直接从邮箱里删除那些垃圾邮件,而不用每次把一大堆邮件下载到本地邮箱后再删除。
方法七;选择服务好的网站申请电子邮箱。垃圾邮件的监测主要是靠互联网使用者的信用和服务提供商对垃圾邮件进行过滤,好的服务提供商能更有效的提供垃圾邮件过滤功能。
方法八:使用有服务保证的收费邮箱,收费邮箱的稳定性要好于免费邮箱。随着技术更完善的新服务的出现,如现在很多
人使用的QQ,将来会促使分流转向电子邮件的使用。同时,未来双向认证的电子邮件系统的出现也会让垃圾邮件渐渐远离人们的生活。 邮件欺骗
邮件欺骗有三个目的:
第一,攻击者这么做是为了隐藏自己的身份。
第二,如果攻击者想冒充别人,他可以假冒攻击者的电子邮件。使用这种方法,无论谁接受到这封邮件,他会认为这封邮件就是攻击者发的。
第三,电于邮件欺骗属于社会工程学的一种表现形式。
相似的电于邮件地址 修改邮件客户
直接登录到SMTP服务器上发信邮件欺骗的基本方法
邮件欺骗的基本方法 (1) 相似的电子邮件地址
攻击者找到一个公司的老板或者高级管理人员的名字,有了这个名字后,攻击者注册一个看上去像高级管理人员名字的邮件地址,在电子邮件的别名字段填入管理者的名字,因为别名字段是显示在邮件客户发件人字段中,看上去邮件地址似乎是正确的,所以收信人很可能会回复,这样攻击者就会得到想要的信息。
(2)修改邮件客户 当用户发出一封电子邮件,且没有对发件人地址进行验证或确认,假设攻击者有一个outlook的邮件帐户,他就能够顺利获取攻击目标。 攻击者还能够获取他想要的任何邮件回复地址。当用户回信时,回复到攻击者设定的地址,而不是在发件人地址栏中显示的地址。这样攻击者就可以轻而易举地以邮件的形式骗取敏感信息。邮件欺骗的基本
方法
(3)直接登录到SMTP服务器上发信
邮件欺骗一个更复杂的方法是远程登录到邮件服务器的25端口。当攻击者想发送给用户信息时,先写一个信息并发送,接下来邮件服务器与用户的邮件服务器联系,在25端口发送信息,转移信息,然后用户的邮件服务器把这个信息发送给用户。
邮件爆炸
邮件爆炸指的是邮件发送者利用特殊的电子邮件软件,在很短的时间内连续不断地将邮件发给同一个收信人,在这些数以千万计的大容量信件面前,收件箱不堪重负,最终导致邮箱不能使用。 拒绝服务攻击与防范
拒绝服务攻击即攻击者想办法让目标计算机停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击与防范
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区溢出,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
拒绝服务攻击与防范 SYN Flood
SYN Flood是当前最流行的拒绝服务攻击与分布式拒绝服务攻击的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从该IP发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户再发送合法数据,服务器就已经没有这样的连接了,该用户就必须重新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST位数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
UDP洪水攻击
攻击者利用简单的TCP/IP服务来传送毫无用处的占满带宽的数据。通过伪造与某一主机之间的一次UDP连接,回复地址指向开着Echo服务的一台主机,这样在两台主机之间存在很多无用的数据流,这些无用数据流就会导致带宽的服务攻击。
Ping洪流攻击
由于在早期的阶段,路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规
定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
拒绝服务攻击与防范
拒绝服务的防范
许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台主机的用户无法使用,这些限制是很有用的。
安全设置用户口令 非法获取口令的方法
1、穷举法
就是对所有可能的口令进行猜测,最终找到系统的口令,因此也称为暴力破解或蛮力破解。现在有很多软件来实现。
2、字典法
字典法是当今黑客最常用的攻击方法之一,所谓字典法攻击是将现有的字典文件中的字符串作为用户的口令,输入口令编辑框中进行尝试,直到口令验证通过或者字典的字符串用完为止。安全设置用户口令
3、人为失误
很多情况下,有许多安全意识较差的内部用户的口令经常会有意无意提供给他人,结果导致口令保密性失效。有的用户在工作时,其口令被某些人有意偷看,也会造成口令失效。另外,由于管理方面的原因,某些雇员被公司解雇或离职以后,可能会对原单位报复心理,如果其原口令没有更改,一旦被利用,将可能导致整个系统受到威胁。
4、伪造登录界面
有的黑客通过伪造登录界面来诱使用户输入口令,伪造的界面和真正的界面完全相同,网址也极为相似,用户不留心查看,有时是觉察不到异常的,当用户在这个界面中输入口令后,黑客就将该信息传送给黑客所在的主机,然后该伪造的界面可能向用户提示“系统故障”等字样,要求得新登录。这时用户才登录雨具正的登录界面。
5、网络监听或注入木马
黑客可以利用软件监听用户所在的网段,或者在用户主机中注入木马,当用户在计算机中输入密码,并通过网络传输,这样无论是通过监听还是木马都能获取用户的密码。
6、获取密码存放文件
有的用户或是系统会把密码记录在系统的文件中,这样黑客在入侵该用户的系统后,会搜索带有和密码相关的关键字,因为在里面极有可能保存用户或者系统的密码。
口令安全设置的方法
1、保证口令足够长
口令越长,用穷举法破解口令所花费的时间就越长。
2、保证口令的复杂性
不安全口令即弱口令,通常是一些常用的字符,或是常用字符的组合,这种弱口令简单地通过字典破解就可以获取。所以在设定口令时尽量不要和用户有密切联系,应该使用一些有助于记忆的设定方法。
口令安全设置的方法 设定较安全的口令的原则:
(1)口令中尽量包含字母、数字和标点符号,还可以使用空格来增强口
令的复杂性;
(2)口令字符不要太常见,不可以和用户关系密切,如电话、身份证、生日、名字或是这些信息的组合,
(3)口令不要是单个英文单词,或是单词加上数字的组合。
3、定期更改口令
口令长时间使用很容易出现被盗取的情况,为了让损失缩减到最小,建议用户要定期修改口令。这样即使口令被黑客获取,当修改了口令之后,黑客就无法继续利用旧口令对系统进行非法访问。
4、避免使用重复口令
生活中,人们为了记忆方便可能会习惯于重复使用自己熟知的或好记忆的几个口令,为了口令安全,建议用户不要使用一样的口令,特别是重要账号的口令,一定不要仅图方便,和常用口令设置一样。可以为口令分成几个安全级别,一些不重要的账号可以使用相同的,便于记忆的口令,但那些敏感账号,如网络银行账号等,一定要使用单独的口令。
恶意代码:病毒、木马、蠕虫。恶意代码:病毒 恶意代码概述
定义:是一种可以中断或破坏计算机网络的程序或代码。 特征:可以将自己附在宿主程序或文件中,也可以是是独立的; 恶意代码会降低系统运行的速度,造成数据丢失和文件损坏,注册表和配置文件被修改,或为攻击者创造条件,使其绕过系统的安全程序; 恶意代码通常是相互交叉的,通常是结合了各种恶意功能的代码合成全新的、更具攻击能力的代码。
恶意代码的常见类型 1.病毒
病毒是一段可执行代码,可以将自己负载在一个宿主程序中。被病毒感染可执行文件或脚本程序,不感染数据文件。 2.特洛伊木马
特洛伊木马表面上是无害的可执行程序,但当它被打开时将执行未经过授权的活动,如窃取用户密码、非法存取文件、删除文件或格式化磁盘,特洛伊木马不感染其他文件。 3.蠕虫
蠕虫由一个或一组独立程序组成的,能够复制自己并将拷贝传播给其他计算机系统。蠕虫会占用大量网络带宽,在传播时不需要宿主文件或程序,蠕虫有时也会携带病毒,当蠕虫被激活时,病毒就会被释放到计算机系统中,有的蠕虫本身就能够破坏信息和资源。 4.后门
后门有时称为远程访问特洛伊(RAT),后门私下开通进入计算机系统入口。攻击者使用后门可以绕过安全程序,进入系统。后门程序不会感染其他文件,但经常会修改计算机注册表。 5.恶作剧程序
恶作剧程序(Joke Program)是为取笑其他计算机用户而创造出来的普通可执行程序。它们不会破坏数据或造成系统破坏,但它们经常会给人们造成一些不必要的烦忧。
恶意代码引起的系统症状 (1)系统莫名其妙地突然变慢; (2)程序及文件载入时间变长; (3)硬盘文件存取效率突然下降; (4)系统内存占用急剧上升; (5)不正常的错误信息; (6)硬盘灯无故长亮; (7)硬盘可用空间无故变少; (8)可执行文件体积无故改变; (9)硬盘出现坏道; (10)进程列表异常;
(11)文件数无故增减或无故消失; (12)后台程序自动向网络发包; (13)系统被别人控制; (14)用专用工具扫描发现。
恶意代码的传播途径 (1)通过文件系统传播; (2)通过电子邮件传播; (3)通过局域网传播;
(4)通过互联网上即时通讯软件和点对点软件等常用工具传播; (5)利用系统、应用软件的漏洞进行传播;
(6)利用系统配置缺陷传播,如弱口令、完全共享等; (7)利用欺骗等社会工程的方法传播。 特洛伊木马 名字的由来:
借用希腊神话“木马屠城记”中的特洛伊木马来为这类程序命名,说明该类程序运行的特点:潜入系统内部,而通过网络和外部程序里应外合,完成攻破或获取主机信息资源的目的。 木马程序的构成和原理:
组成:一个是服务器程序,一个是控制器程序(客户端程序)。中了木马就是指安装了木马的服务器程序,若用户的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制用户的电脑,便可以随意获取计算机上的各种文件、程序,以及在电脑上使用的账号、密码,取得对计算机的所有控制权。 木马程序潜入的途径
在下在一些游戏或小软件时附带有木马程序; 隐藏在邮件的附件中诱使用户执行; 在一些网站中的各种资料下载过程中;
直接潜藏在网页中,当用户访问时,即潜入用户计算机。
特洛伊木马具有的特性 1.具有隐蔽性 2.具有自动运行性 3.具有伪装性 4.具备自动修复功能 5.能自动打开特别的端口 6.功能的特殊性
1.具有隐蔽性 (1)在任务栏里隐藏
这是最基本的隐藏方式。如果在Windows的任务栏里出现一个莫名其妙的图标,大家都会明白是怎么回事。要实现在任务栏中隐藏,用编程很容易实现,以VB为例.只要把Form的Visible属性设置为False,Show in TaskBar设为False,程序就不会出现在任务栏里。 (2)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。木马会千方百计地伪装自己,使自己不出现在任务管理器中.或者通过修改名称使用户无法识别哪个是木马进程,无法终止它的运行。
(3)端口
一台机器有65536个端口,用户不可能同时监视所有的端口,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势,当然也有占用1024以下端口的木马,但这些端口是常用端口,占用这些端口可能会造成系统运行不正常,这样的话,木马就会很容易暴露。也许用户知道一些木马占用的端口,或许会经常扫描这些端口,但现在有的木马会动态地改变端口,用户无法对全部端口都进行扫描。
(4)隐藏通讯
隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接,或者通过即时连接。如攻击者通过客户端直接接入被植入木马的主机,或者通过间接通讯,如通过电子邮件的方式,木马把侵入主机的敏感信息送给攻击者,有些非常先进的木马还可以做到,占领HTTP端口,收到正常的HTTP请求之后,仍然把它交与web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序。 (5)隐藏加载方式
木马加载的方式可以说是多种多样的。但殊途同归,都为了达到一个共同的目的,那就是使用户运行木马的服务器程序。木马会伪装自己,使用户在浏览网页、下载文件、执行可执行文件,甚至浏览邮件的过程中,毫无察觉的情况下实现加载。而随着网站交互性的不断进步,越来越多的事物可以成为木马的传播介质,Java script、VBScript、ActiveX等,几乎www每一个新功能都会导致木马的快速进化。
(6)替换系统文件来隐身
它基本上摆脱了原有的木马模式——监听端口,而采用替代系统功能的方法,木马会将修改后的文件替换系统已有的系统文件。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。在正常运行时,木马几乎没有任何瘫状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
2、具有自动运行性
(1)在Win.ini和System.ini中启动 n在win.ini的[windows]字段中有启动命令“Load=”和“run=”,在一般情况下是空白的,如果有后跟程序,比方说是这个样子: run=C:\Windows\file.exe load=C:\windows\file.exe 其中file.exe很可能是木马。
System.ini位于windows的安装目录下,其[boot]字段的shell= Explorer.exe是木马经常隐藏加载之处,通常shell= Explore.exe file.exe,注意这里的file.exe就是木马服务端程序。
(2)利用注册表加载运行
注册表中很多位置都是木马的藏身加载之所,如:HKEY_LOCAI_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion \Run和HKEY_LOCAI_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion \ Runservices等。
(3)在Autoexec.bat和Config.sys中加载运行
在盘根目录下的这两个文件也可以启动木马,但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,很容易被发现。
(4)在Winstart.bat中启动
因为Winstart.bat是在进入windows图形界面之前运行的一个程序。 Win.com ,并加载了多数驱动程序之后开始执行,所以对木马的启动非常有效。
(5)启动组
木马如果隐藏在启动组中,虽然不是十分隐蔽,但这里的确是自动加载运行的好场所。启动组对应的文件夹为C:\\Windows\start menu\Programs\startup,在注册表中的位置:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion \Explorer\ shelL\FoldersStartup =“C:\windows\startup“,要注意经常检查启动组。
(6) 修改文件关联
修改文件关联是木马的常用手段,比方说正常情况下,.txt文件的打开方式为Notpad.exe文件,但一旦中了文件关联木马,则.txt文件打开方式就会被修改为用木马程序打开。如著名的木马冰河即采用这种方式。“冰河”就是通过修改HKEY_CLASSES_ROOT\ txtfile \shell\open\command的键值,将“% SystemRoot %\system32\NOTEPAD.exe% l”改为“% SystemRoot %\system32\SYSEXPLR.exe% l”,这样一旦用户双击一个.txt文件,即启动了木马。
(7)捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和正常应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马也会安装上去。绑定到正常应用程序中,如绑定到系统文件,那么每一次windows启动均会启动木马。
3.具有伪装性
(1)修改图标
木马服务端所用的图标也是有讲究的,木马经常故意伪装成了用户可能认为对系统没有多少危害,这样很容易诱惑用户把它打开。
(2)捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的储况下,偷偷地进入了系统,被捆绑的文件一般是可执行文件(即.exe、.com之类的文件)。特洛伊木马具有的特性
(3)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。木马的设计者也意识到这个缺陷,所以有的木马有出错显示功能,当服务端用户打开木马程序时,会弹出一个错误提示框,这当然是假的,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,服务端用户信以为真时,木马却俏俏侵入了系统。
(4)自我销毁
这项功能是为了弥补木马的一个缺陷。当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件中(C:\\Windows或C:\Windows\ sysrtem目录下),一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么,中了木马的用户只要在收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,源木马文件自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,很难删除木马。
(5)木马更名
木马服务端程序的命名也有很大的学问。如果不做任何修改.就使用原来的名字,那么木马程序很容易被发现,所以木马的命名也是千奇百怪,不过大多是改为和系统文件名差不多的名字,如果用户对系统文件不够了解,那可能会很危险。例如,有的木马把名字改为windows.exe ,如果不告诉这是木马,大多数用户都不敢删除,还有的就是更改一些后缀名,比如把dll改为d11等,不仔细看是很难发现的,这样便有效地把自己伪装起来。
4.具备自动修复功能
现在很多木马程序的功能模块不再由单一的文件组成,而是具有多重备份,可以相互恢复。当其中的一个被删除,以为万事大吉,当运行了其他程序的时候,被删除的木马程序还会被恢复,这是每个用户都想不到的,所以要真正地删除这种木马很困难。
5.能自动打开特别的端口
木马程序潜入电脑之中的目的主要不是为了破坏系统,而是为了获取系统中有用信息,上网时能与远端客户进行通讯,这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客,以便黑客控制中了木马的机器,进一步实施入侵企图。端口号从0到65535,但我们常用的只有少数几个,木马经常利用大多数用户不大用的这些端口进行连接。
6.功能的特殊性
除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。一般的远程控制软件当然不会有这些功能,毕竟远程控制软件是用来控制远程机器,为了方便自己操作而已,而不是用来破坏对方的机器。特洛伊木马具有的特性
特洛伊木马的类型
1.破坏型
唯一的功能就是破坏并且删除文件,可以自动删除电脑上的. dll、.ini、. exe等文件。
2.密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。有些用户把各种密码以文件的形式存放在计算机中,认为这样方便;还有设置windows具有密码记忆功能,这样就可以不必每次都输入密码,木马可以寻找到这些文件,把它们送到黑客手中;也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码,之后通过各种方式发送给他的控制者,多数是通过邮件发送。
3.远程访问型
只要用户运行了服务端程序,控制者就可以通过某些方式获取被控制主机的IP地址,就可以实现远程控制,监视被控主机的一些行为,并以合法用户的身份访问服务器。
4.键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,记录用户在线和离线状态下敲击键盘时的按键情况,并通过邮件发送到控制者的邮箱。
5.代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的计算机载入代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名情况下使用Telnet、ICQ、IRC等程序,从而隐蔽自己的踪迹。
6.FTP木马
这种木马可能是最简单和古老的木马了,它的唯一功能就是打开21端口,等待用户连接。现在新FTP木马具有设置密码功能,这样,只有攻击者本人才知道正确密码,从而进入对方计算机。
7.程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,有一个怎么避开防木马软件的问题,这是很困难一件事,常见的防木马软件有ZoneAlarm、Norton Anti—virus等,程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。
特洛伊木马的类型
冰河木马的特点
冰河木马Glacier的服务器端程序为G—server.exe,客户端程序为G—client.exe,默认连接端口为7626,一旦运行G—server,就会在受攻击者的系统C:\windows\system目录下生成Kernel32. sxe和Sysexplr.exe ,并删除自身。Kernel32.exe在系统启动时自动加载运行, Sysexplr.exe和.txt文件关联。这个木马有两个服务器程序,C:\windows\system\Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装入内存,这是表面上的木马。另一个是C:\Windows\system\ sysexplr.exe ,也在注册表中,它修改了文本文件的关联,即使你删除了Kernel32.exe,但只要你打开.txt文件, Sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又恢复,这就是冰河屡删不止的原因。
清除方法 :
(1)删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 n(2)冰河会在注册表HKEY_LOCAL_MACHINE\Software\Micrsoft\WindowsCurrentVerslon\Run下,键值为C:\wlndows\system\Kernel32.cxe,删除它。
(3)在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Mtcrnsoft\Windows\CurrentVesision\Runsevices下,键值为C:\Windows\system\Kernel32.cxe的,也要删除。
(4)最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\Windows\system\Sysexplr exe%1改为正常情况下的C:\Windows\notpad.exe % l,即可恢复.txt文件关联功能。
蠕虫 蠕虫是一种通过网络传播的恶性代码,它具有其他恶意代码的一些共性,如传播性、隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。在产生的破坏性上,蠕虫也不是其他恶意代码所能比拟的,网络的发展使得蠕虫可以在短时间内蔓延整个网络,造成网络瘫痪。
蠕虫的分类
(1)一种是面向企业用户和局域网的,这种蠕虫利用系统漏洞,主动进行攻击,而且爆发也有一定的突然性,对整个互联网可造成瘫痪性的后果,但相对来说,查杀这种蠕虫并不是很难。这种蠕虫以“红色代码”“尼姆达”以及“sql蠕虫王”为代表。
(2)一种是针对个人用户的,传播方式比较复杂和多样,主要是电子邮件、恶意网页形式,少数利用了微软应用程序的漏洞,更多的是利用社会工程学(对用户进行欺骗和诱使),迅速传播蠕虫,以爱虫病毒、求职信病毒为例。这样的蠕虫造成的损失非常大,同时也很难根除,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明。
蠕虫的特点
(1)蠕虫往往能够利用漏洞或缺陷。分为软件层次上的缺陷和人为的缺陷。
软件上的缺陷:如远程进出,微软IE和0utLook的自动执行漏洞等,需要软件厂商和用户共同配合,不断地升级软件,在这种病毒中,以“红色代码”、“尼姆达”为代表。
人为的缺陷:当收到一封邮件带着求职信病毒邮件的时候,大多数人都会抱着好奇去点击。
(2)传播方式多样。如“尼姆达”病毒和“求职信”病毒,可利用文件、电子邮件、web服务器、网络共享等途径传播。
(3)与黑客技术相结合,潜在的威肋和损失更大。以“红色代码”为例,感染后机器的web目录的\scripts下将生成一个root.exe ,可以远程执行任何命令,使黑客能够再次进入。
(4)制作技术与传统病毒不同.蠕虫是利用当前最新的编程语言与编程技术实现,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBscript等技术,可以潜伏在HTML页面里,在上网浏览时触发。
