如何更好的達到防范黑客攻擊，本人提一下個人意見!第一，免費程序不要真的就免費用，既然你可以共享原碼，那么攻擊者一樣可以分析代碼。如果在細節上注意防范，那樣你站點的安全性就大大的提高了。即使出現了SQL Injection這樣的漏洞，攻擊者也不可能馬上拿下你的站點。

　　由于ASP的方便易用，越來越多的網站后臺程序都使用ASP腳本語言。但是， 由于ASP本身存在一些安全漏洞，稍不小心就會給黑客提供可乘之機。事實上，安全不僅是網管的事，編程人員也必須在某些安全細節上注意，養成良好的安全習慣，否則會給自己的網站帶來巨大的安全隱患。目前，大多數網站上的ASP程序有這樣那樣的安全漏洞，但如果編寫程序的時候注意一點的話，還是可以避免的。

　　1、用戶名與口令被破解

　　攻擊原理:用戶名與口令，往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴重的。

　　防范技巧:涉及用戶名與口令的程序最好封裝在服務器端，盡量少在ASP文件里出現，涉及與數據庫連接的用戶名與口令應給予最小的權限。出現次數多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及與數據庫連接，在理想狀態下只給它以執行存儲過程的權限，千萬不要直接給予該用戶修改、插入、刪除記錄的權限。

　　2、驗證被繞過

　　攻擊原理:現在需要經過驗證的ASP程序大多是在頁面頭部加一個判斷語句，但這還不夠，有可能被黑客繞過驗證直接進入。

　　防范技巧:需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。

　　3、inc文件泄露問題

　　攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前，可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找，會得到有關文件的定位，并能在瀏覽器中查看到數據庫地點和結構的細節，并以此揭示完整的源代碼。

　　防范技巧:程序員應該在網頁發布前對它進行徹底的調試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對.inc文件內容進行加密，其次也可以使用.asp文件代替.inc文件使用戶無法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統默認的或者有特殊含義容易被用戶猜測到的名稱，盡量使用無規則的英文字母。

隨著電腦越來越深入到普通用戶的生活、工作之中，原來只有專業人員才會遇到的問題，例如配置小型(家庭)網絡，現在普通用戶也會經常遇到。Windows系列操作系統一直以易用著稱，力圖讓本來復雜的任務通過簡單的操作即可完成。但是有的時候，易用性和安全是相互沖突的;同時，由于網絡的廣泛使用，每一臺上網的PC實際上就是一個Internet的節點，所以安全是每一個用戶必須關注的問題。

　　一、簡單文件共享

　　為了讓網絡上的用戶只需點擊幾下鼠標就可以實現文件共享，XP加入了一種稱為“簡單文件共享”的功能，但同時也打開了許多NetBIOS漏洞。關閉簡單文件共享功能的步驟是:打開“我的電腦”，選擇菜單“工具”→“文件夾選項”，點擊“查看”，在“高級設置”中取消“使用簡單文件共享(推薦)”。

　　二、FAT32

　　凡是新買的機器，許多硬盤驅動器都被格式化成FAT32。要想提高安全性，可以把FAT32文件系統轉換成NTFS。NTFS允許更全面、細粒度地控制文件和文件夾的權限，進而還可以使用加密文件系統(EFS，Encrypting File System)，從文件分區這一層次保證數據不被竊取。在“我的電腦”中用右鍵點擊驅動器并選擇“屬性”，可以查看驅動器當前的文件系統。如果要把文件系統轉換成NTFS，先備份一下重要的文件，選擇菜單“開始”→“運行”，輸入cmd，點擊“確定”。然后，在命令行窗口中，執行convert x: /fs:ntfs(其中x是驅動器的盤符)。

　　三、Guest帳戶

　　Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門。如果不需要用到Guest帳戶，最好禁用它。在Win XP Pro中，打開“控制面板”→“管理工具”，點擊“計算機管理”。在左邊列表中找到“本地用戶和組”并點擊其中的“用戶”，在右邊窗格中，雙擊Guest帳戶，選中“帳戶已停用”。WinXP Home不允許停用Guest帳戶，但允許為Guest帳戶設置密碼:先在命令行環境中執行Net user guest password命令，然后進入“控制面板”、“用戶設置”，設置Guest帳戶的密碼。

　　四、Administrator帳戶

　　黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。每一臺計算機至少需要一個帳戶擁有Administrator(管理員)權限，但不一定非用“Administrator”這個名稱不可。所以，無論在XP Home還是Pro中，最好創建另一個擁有全部權限的帳戶，然后停用Administrator帳戶。另外，在WinXP Home中，修改一下默認的所有者帳戶名稱。最后，不要忘記為所有帳戶設置足夠復雜的密碼。

　　五、交換文件

　　即使你的操作完全正常，Windows也會泄漏重要的機密數據(包括密碼)。也許你永遠不會想到要看一下這些泄漏機密的文件，但黑客肯定會。你首先要做的是，要求機器在關機的時候清除系統的頁面文件(交換文件)。點擊Windows的“開始”菜單，選擇“運行”，執行Regedit。在注冊表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management，然后創建或修改ClearPageFileAtShutdown，把這個DWORD值設置為1。

　　六、轉儲文件

　　系統在遇到嚴重問題時，會把內存中的數據保存到轉儲文件。轉儲文件的作用是幫助人們分析系統遇到的問題，但對一般用戶來說沒有用;另一方面，就象交換文件一樣，轉儲文件可能泄漏許多敏感數據。禁止Windows創建轉儲文件的步驟如下:打開“控制面板”→“系統”，找到“高級”，然后點擊“啟動和故障恢復”下面的“設置”按鈕，將“寫入調試信息”這一欄設置成“(無)”。類似于轉儲文件，Dr. Watson也會在應用程序出錯時保存調試信息。禁用Dr. Watson的步驟是:在注冊表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug，把Auto值改成“0”。然后在Windows資源管理器中打開Documents and Settings\All Users\Shared Documents\DrWatson，刪除User.dmp和Drwtsn32.log這兩個文件。

　　七、多余的服務

　　為了方便用戶，WinXP默認啟動了許多不一定要用到的服務，同時也打開了入侵系統的后門。如果你不用這些服務，最好關閉它們:NetMeeting Remote Desktop Sharing，Remote Desktop Help Session Manager，Remote Registry，Routing and Remote Access，SSDP Discovery Service，telnet，Universal Plug and Play Device Host。打開“控制面板”→“管理工具”→“服務”，可以看到有關這些服務的說明和運行狀態。要關閉一個服務，只需右鍵點擊服務名稱并選擇“屬性”菜單，在“常規”選項卡中把“啟動類型”改成“手動”，再點擊“停止”按鈕。

不知道身為網絡管理員的你是否遇到過服務器因為拒絕服務攻擊都癱瘓的情況呢?就網絡安全而言目前最讓人擔心和害怕的入侵攻擊就要算是拒絕服務攻擊了。他和傳統的攻擊不同，采取的是仿真多個客戶端來連接服務器，造成服務器無法完成如此多的客戶端連接，從而無法提供服務。

　　一，拒絕服務攻擊的發展

　　從拒絕服務攻擊誕生到現在已經有了很多的發展，從最初的簡單Dos到現在的DdoS。那么什么是Dos和DdoS呢?DoS是一種利用單臺計算機的攻擊方式。而DdoS(Distributed Denial of Service，分布式拒絕服務)是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，比如一些商業公司、搜索引擎和政府部門的站點。DdoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。如果說以前網絡管理員對抗Dos可以采取過濾IP地址方法的話，那么面對當前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防范DdoS攻擊變得更加困難，如何采取措施有效的應對呢?下面我們從兩個方面進行介紹。

　　二，預防為主保證安全

　　DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規方法。

　　(1)定期掃描

　　要定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。

　　(2)在骨干節點配置防火墻

　　防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優秀的系統。

　　(3)用足夠的機器承受黑客攻擊

　　這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處于空閑狀態，和目前中小企業網絡實際運行情況不相符。

　　(4)充分利用網絡設備保護網絡資源

　　所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數據會丟失，而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。

　　(5)過濾不必要的服務和端口

　　可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，并加以過濾。只開放服務端口成為目前很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。

　　(6)檢查訪問者的來源

　　使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助于提高網絡安全性。

　　(7)過濾所有RFC1918 IP地址

　　RFC1918 IP地址是內部網的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網段的固定的IP地址，而是Internet內部保留的區域性IP地址，應該把它們過濾掉。此方法并不是過濾內部員工的訪問，而是將攻擊時偽造的大量虛假內部IP過濾，這樣也可以減輕DdoS的攻擊。

　　(8)限制SYN/ICMP流量

　　用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

　　三，尋找機會應對攻擊

　　如果用戶正在遭受攻擊，他所能做的抵御工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶，很可能在用戶還沒回過神之際，網絡已經癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。

　　(1)檢查攻擊來源，通常黑客會通過很多假IP地址發起攻擊，此時，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然后了解這些IP來自哪些網段，再找網網管理員將這些機器關閉，從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話，可以采取臨時過濾的方法，將這些IP地址在服務器或路由器上過濾掉。

　　(2)找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些端口發動攻擊，用戶可把這些端口屏蔽掉，以阻止入侵。不過此方法對于公司網絡出口只有一個，而又遭受到來自外部的DdoS攻擊時不太奏效，畢竟將出口端口封閉后所有計算機都無法訪問internet了。

　　(3)最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵，但是過濾掉ICMP后可以有效的防止攻擊規模的升級，也可以在一定程度上降低攻擊的級別。

　　總結：

　　目前網絡安全界對于DdoS的防范還是沒有什么好辦法的，主要靠平時維護和掃描來對抗。簡單的通過軟件防范的效果非常不明顯，即便是使用了硬件安防設施也僅僅能起到降低攻擊級別的效果，Ddos攻擊只能被減弱，無法被徹底消除。不過如果我們按照本文的方法和思路去防范DdoS的話，收到的效果還是非常顯著的，可以將攻擊帶來的損失降低到最小

對于大多數企業局域網來說，路由器已經成為正在使用之中的最重要的安全設備之一。一般來說，大多數網絡都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。

經過恰當的設置，邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網絡之外。如果你愿意的話，這種路由器還能夠讓好人進入網絡。不過，沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。

在下列指南中，我們將研究一下你可以用來保護網絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網絡的磚墻，而不是一個敞開的大門。

1.修改默認的口令!

據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱，80%的安全突破事件是由薄弱的口令引起的。網絡上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表，以及一個口令的可靠性測試。

2.關閉IP直接廣播(IP Directed Broadcast)

你的服務器是很聽話的。讓它做什么它就做什么，而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網絡性能。

參考你的路由器信息文件，了解如何關閉IP直接廣播。例如，“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。

3.如果可能，關閉路由器的HTTP設置

正如思科的技術說明中簡要說明的那樣，HTTP使用的身份識別協議相當于向整個網絡發送一個未加密的口令。然而，遺憾的是，HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。

雖然這種未加密的口令對于你從遠程位置(例如家里)設置你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器，你一定要確保使用SNMPv3以上版本的協議，因為它支持更嚴格的口令。

4.封鎖ICMP ping請求

ping的主要目的是識別目前正在使用的主機。因此，ping通常用于更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力，你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。

請注意，這樣做實際上并不能保護你的網絡不受攻擊，但是，這將使你不太可能成為一個攻擊目標。

5.關閉IP源路由

IP協議允許一臺主機指定數據包通過你的網絡的路由，而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是，這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像，或者用于攻擊者在你的專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

6.確定你的數據包過濾的需求

封鎖端口有兩項理由。其中之一根據你對安全水平的要求對于你的網絡是合適的。

對于高度安全的網絡來說，特別是在存儲或者保持秘密數據的時候，通常要求經過允許才可以過濾。在這種規定中，除了網路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都可以關閉。

大多數網絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時，可以封鎖你的網絡沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強你的網絡的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網絡實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back orifice木馬程序更難攻擊你的網絡。

這項工作應該在網絡規劃階段確定，這時候安全水平的要求應該符合網絡用戶的需求。查看這些端口的列表，了解這些端口正常的用途。

7.建立準許進入和外出的地址過濾政策

在你的邊界路由器上建立政策以便根據IP地址過濾進出網絡的違反安全規定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網絡內部訪問互聯網的IP地址都應該有一個分配給你的局域網的地址。例如，192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，并且是一場攻擊的一部分。

相反，來自互聯網外部的通信的源地址應該不是你的內部網絡的一部分。因此，應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網絡嗅探的角度看，路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包，而集線器相所有的節點播出數據。如果連接到那臺集線器的一個系統將其網絡適配器置于混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然后，重要的是確保物理訪問你的網絡設備是安全的，以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。

9.花時間審閱安全記錄

審閱你的路由器記錄(通過其內置的防火墻功能)是查出安全事件的最有效的方法，無論是查出正在實施的攻擊還是未來攻擊的征候都非常有效。利用出網的記錄，你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來說，路由器位于你的網絡的邊緣，并且允許你看到進出你的網絡全部通信的狀況。

今年的網絡游戲可謂是一枝獨秀，人氣旺盛。網絡游戲已經成為很多人另外一個生活的世界，網絡游戲中的很多裝備甚至級別高的賬號本身也成為了玩家的財產，在現實世界中用現金來進行交易。于是，在這樣的誘惑下，黑客已經開始瞄上了網絡游戲。

　　近日，某公司截獲了首例能感染網絡游戲的木馬病毒，該病毒專門針對國內第二大棋牌類網絡游戲：“邊鋒”游戲。該病毒通過電子郵件進行傳播，如果“邊鋒”游戲的用戶收到了病毒郵件，并打開附件，就感染了該木馬病毒。

　　據介紹：用戶感染了這種木馬病毒后，不僅會將自己的用戶名、密碼外泄，而且在游戲中辛辛苦苦賺來的虛擬貨幣也將被他人竊取；該木馬同時還會將中招的電腦共享到互聯網上，被黑客遠程控制。目前這種木馬還沒有進行廣泛傳播，但是，已經有很多惡意的玩家已經在利用這種木馬盜取別人的賬號了，請“邊鋒”游戲的玩家慎重對待別人發送的電子郵件。

　　業內人士分析，隨著網絡游戲用戶不斷增多，針對網絡游戲的病毒與黑客行為也會越來越多，廣大游戲玩家一定要提高警惕，并隨時升級您的病毒庫！

　　該木馬的病毒名稱為：Trojan.Benfgame.214310，如果您沒有安裝殺毒軟件，而懷疑自己中了此種木馬病毒，可以進行手工清除：

　　(1)先打開注冊表編輯器；

　　(2)編輯注冊表，恢復注冊表中被病毒程序修改的文件關聯，并記住被修改的默認關聯(病毒程序的名字)。如exe文件的默認關聯為"%1"%*，chm文件的默認關聯為hh"%1"，txt文件的默認關聯為Notepad %1,scr文件的默認關聯為"%1" /S；

　　(3)然后打開進程管理器，用進程管理器關掉正在運行的病毒程序(被修改的默認關聯病毒程序和MSCVT2.EXE)；

　　(4)編輯注冊表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，找到鍵值MSBenCheck，并將其刪除；

　　(5)刪除掉病毒生成的文件，但不要刪除系統目錄下的那個控件Mswinsck.ocx；

　　(6)修改Windows目錄下的win.ini文件，刪除[windows]欄中“run=C:WINDOWSMSCVT2.EXE”。

思科公司日前宣布了對全球IT決策者的最終調查結果。結果顯示，許多決策者都承認信息安全方面的求助數量不斷攀升。此外，為了將安全保護擴展到越來越多的移動工作人員，大多數決策人都表示將在2007年增加安全開支 ，且有2/5的決策者表示2007年的安全開支將會增加10% 以上。


今年夏天，獨立的第三方市場調研公司在全球范圍內針對移動工作人員開展了一系列深入調查，得到了10個國家1,000多名遠程工作人員和1,000多名 IT 決策者的反饋，包括美國、英國、法國、德國、意大利、日本、中國、印度、澳大利亞和巴西，思科日前宣布的正是這些調查的最終結果。最新調查結果肯定了10月份調查結果的準確性，證明遠程工作人員在安全意識與實際行為之間存在矛盾，并且未能正確理解 IT 部門在控制員工使用筆記本電腦、個人數字助理（PDA）和智能電話等設備上所起的作用。


總體來說，有 38% 的 IT 決策人稱，與安全相關的求助呼叫有所增加。主要包括用戶及其設備無法抵御病毒攻擊、網頁仿冒掃描、身份盜用、黑客及其他惡意行為等問題。在印度，超過一半（55%）的IT 受調查者報告說與安全相關的呼叫有所增加，大多數問題與病毒（70%）、基于垃圾郵件的網頁仿冒攻擊（61%）和間諜軟件（55%）相關。總體而言，垃圾郵件和網頁仿冒是協助中心遇到的最常見的問題——在所有的 IT 受調查者中，一半以上（52%）都報告說求助呼叫增加與此類問題有關。


因此，每三名IT受調查者中就有兩人（67%）聲稱將在2007年增加與安全相關的 IT 開支。2/5的受調查者（41%） 預計明年將增加10%以上的安全投資。其中尤以中國、印度和巴西為甚 - 這三個國家是相對較新的互聯網市場，也是全球網絡經濟增長速度最快的三個國家。以下是計劃在2007年增長安全投資的IT受調查者的百分比：


1. 中國：90%；52% 的公司計劃將安全開支增加 10% 以上


2. 印度：82%；66% 的公司計劃將安全開支增加 10% 以上


3. 巴西：81%；65% 的公司計劃將安全開支增加 10% 以上


4. 美國：66%；44% 的公司計劃將安全開支增加 10% 以上


5. 意大利：66%；34% 的公司計劃將安全開支增加 10% 以上


6. 德國：63%；27% 的公司計劃將安全開支增加 10% 以上


7. 英國：61%；33% 的公司計劃將安全開支增加 10% 以上


8. 澳大利亞：55%；36% 的公司計劃將安全開支增加 10% 以上


9. 日本：54%；24% 的公司計劃將安全開支增加 10% 以上


10. 法國：51%；29% 的公司計劃將安全開支增加 10% 以上上


平均值：67%；41% 的公司計劃將安全開支增加 10% 以上


思科安全解決方案營銷副總裁 Jeff Platon 說：“這些調查結果與上個月的調查結果驚人的相似。”先前的調查顯示，全世界約2/3（67%）的遠程工作人員聲稱自己在遠程工作時能夠認識到安全的重要性。然而，他們中間有許多人都曾使用辦公計算機搭用鄰居的無線網絡，打開來源不明的電子郵件，將商業文件下載到個人電腦上，并與非員工用戶共享工作設備。此外，在談到公司設備的使用控制權時，大多數的遠程工作人員都認為部門經理比IT人員權利更高，有些人甚至認為他們如何使用公司設備根本與 IT無關。


Platon 說：“這些調查結果給 IT 和安全團隊敲響了警鐘。結果明確顯示，用戶具有安全意識并不一定代表他們擁有安全行為。此外，由于許多用戶都忽視了 IT 部門的作用，因此不愿與 IT 部門自由交流，從而未能采用最佳業務實踐，難怪 IT 要被動應對越來越多的求助呼叫并增加安全開支。了解到這個現象的幕后原因，將敦促IT 部門采取更先進的低成本方法來保護公司數據和員工。”


據思科首席安全官 John N. Stewart 稱，此類方法需要領導層一致地推行“安全意識文化”。Stewart 建議公司針對不同的用戶和企業文化定制培訓項目，在整個公司和各級組織級別都任命安全先進代表，并加大獎勵和表彰力度。他說：“通過生動的安全事故教育可幫助員工提高對安全重要性的認識。”


Stewart 補充說：“技術對安全至關重要，但不是唯一的決定因素。保護安全性是以人為核心的，涉及到溝通以及堅定不移地實施教育、培訓和獎勵計劃等問題。如果將IT和用戶的關系與技術解決方案緊密關聯在一起，IT 部門自然會發揮戰略顧問的作用，推動形成注重安全的企業文化。這時，CIO 和CSO （首席安全官）將能夠共同優化安全解決方案的回報，同時防止出現影響生產率的風險。簡而言之，就是能夠幫助企業取得成功。

間諜軟件（spyware）的一個共同特點是，能夠附著在共享文件、可執行圖像以及各種免費軟件當中，并趁機潛入用戶的系統，而用戶對此毫不知情。間諜軟件的主要用途是跟蹤用戶的上網習慣，有些間諜軟件還可以記錄用戶的鍵盤操作，捕捉并傳送屏幕圖像。間諜程序總是與其他程序捆綁在一起，用戶很難發現它們是什么時候安裝的。一旦間諜軟件進入計算機系統，要想徹底清除它們就會十分困難，而且間諜軟件往往成為不法分子手中的危險工具。

Gartner的分析專家認為，間諜軟件就目前來說還是良性的，不過間諜軟件在未來將會變得更具威脅性，不僅可以竊取口令、信用卡號，而且還可以偷走各種類型的身份信息，用于一些更加險惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業秘密等。如果間諜軟件打開通向用戶桌面系統的通道，那么用戶面臨的危險將是不可想象的。

如何避免間諜軟件　

強制使用安全策略是防止間諜軟件的第一道防線，具體措施包括：使用微軟的域名安全策略來配置桌面瀏覽器和Outlook；阻斷ActiveX和其他可執行文件；管理腳本文件；通過HTTP代理來過濾Web內容。

如果員工不需要使用Internet來完成自己的工作，還可以斷開他們的網絡連接。此外，對員工進行培訓，使他們知道如何在Web上安全沖浪，在培訓中需要注意以下幾點：不要下載對等程序或任何無法確定其安全性的程序；不要點擊諸如跳舞的小熊等有趣的圖片；在咨詢IT部門之前，不要下載免費軟件；最關鍵的原則是，如果工作不需要，就不要點擊無關內容。

如何探測間諜軟件

即使用戶已經實施了上述策略，間諜軟件仍有可能乘虛而入。過濾軟件廠商Websense推出了一種被稱為客戶端應用模塊（Client Application Module，CAM ）的產品，并在其中增加了一些全新的反間諜軟件功能。該組件可以作為插件安裝到Websense的Websense Enterprise集中管理器當中，能夠在間諜軟件進入網絡中的計算機之前攔截它們。如果一些間諜軟件通過了這道屏障，CAM也可以利用內核中的過濾驅動程序阻止其執行。這一驅動程序可以對間諜程序進行分類查找，并阻止間諜軟件離開。通過這種方式，Websense可以找到那些穿過防線的間諜軟件。Websense還可以通過報告機制通知管理員應當對哪些計算機采取措施。

除了Websense　CAM外，利用商業工具和一些免費軟件，人們也能減小計算機感染間諜軟件的概率。殺毒軟件能夠阻止部分間諜軟件發作，桌面工具也可以清除受害機器上的間諜軟件。可以肯定的是，Web過濾是最有效的辦法，它可以將大部分的間諜軟件拒之門外。

如何清除間諜軟件

對于那些穿過Web過濾器的間諜軟件，如果不使用自動化的間諜軟件清除工具，人們將很難將它們清除干凈。根據CDT關于間諜軟件的一份報告，多數間諜軟件都具有抗刪除的能力。間諜軟件會在系統注冊表中遺留下許多后門，并且很難清除干凈。要想徹底消除，就必須分解注冊表的每一項，并且需要知道查找哪些文件。Lavasoft公司專門推出了一種Ad-Aware間諜軟件消除軟件。除了Ad-Aware外，還有一種稱為Spy Bot的免費軟件產品，Spy Bot可以清除更多的間諜軟件，而且不需要進行太多的自定義配置。

凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說，蠕蟲也是一種病毒！網絡蠕蟲病毒，作為對互聯網危害嚴重的 一種計算機程序，其破壞力和傳染性不容忽視。與傳統的病毒不同，蠕蟲病毒以計算機為載體，以網絡為攻擊對象！本文中將蠕蟲病毒分為針對企業網絡和個人用戶2類，并從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

本文根據蠕蟲病毒的發作機制，將其分為利用系統級別漏洞（主動傳播）和利用社會工程學(欺騙傳播)兩種，并從用戶角度中將蠕蟲病毒分為針對企業網絡和個人用戶2類，從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

一、蠕蟲病毒的定義

1.蠕蟲病毒的定義

計算機病毒自出現之日起，就成為計算機的一個巨大威脅，而當網絡迅速發展的時候，蠕蟲病毒引起的危害開始顯現！從廣義上定義，凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說，蠕蟲也是一種病毒！但是蠕蟲病毒和一般的病毒有著很大的區別。對于蠕蟲，現在還沒有一個成套的理論體系，一般認為，蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以及和黑客技術相結合等等！在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡，造成網絡癱瘓！

根據使用者情況可將蠕蟲病毒分為2類，一種是面向企業用戶和局域網而言，這種病毒利用系統漏洞，主動進行攻擊，可以對整個互聯網可造成癱瘓性的后果!以“紅色代碼”，“尼姆達”，以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的，通過網絡(主要是電子郵件，惡意網頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例.在這兩類中，第一類具有很大的主動攻擊性，而且爆發也有一定的突然性，但相對來說，查殺這種病毒并不是很難。第二種病毒的傳播方式比較復雜和多樣，少數利用了微軟的應用程序的漏洞，更多的是利用社會工程學()對用戶進行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時也是很難根除的，比如求職信病毒，在2001年就已經被各大殺毒廠商發現，但直到2002年底依然排在病毒危害排行榜的首位就是證明！出得在接下來的內容中，將分別分析這兩種病毒的一些特征及防范措施!

2.蠕蟲病毒與一般病毒的異同

蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被稱為”宿主”，例如，windows下可執行文件的格式為pe格式(Portable Executable)，當需要感染pe文件時，在宿主程序中，建立一個新節，將病毒代碼寫到新節中，修改的程序入口點等，這樣，宿主程序執行的時候，就可以先執行病毒程序，病毒程序運行完之后，在把控制權交給宿主原來的程序指令。可見，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區病毒。引導區病毒他是感染磁盤的引導區，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。

蠕蟲一般不采取利用pe格式插入文件的方法，而是復制自身在互聯網環境下進行傳播，病毒的傳染能力主要是針對計算機內的文件系統而言，而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的共享文件夾，電子郵件email，網絡中的惡意網頁，大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!

　　　　　　 普通病毒 蠕蟲病毒
存在形式 寄存文件 獨立程序
傳染機制 宿主程序運行 主動攻擊
傳染目標 本地文件 網絡計算機




可以預見，未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲!

3.蠕蟲的破壞和發展趨勢

1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機，蠕蟲病毒開始現身網絡;而后來的紅色代碼，尼姆達病毒瘋狂的時候，造成幾十億美元的損失；北京時間2003年1月26日， 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使互聯網網路嚴重堵塞，作為互聯網主要基礎的域名服務器（DNS）的癱瘓造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷， 機票等網絡預訂系統的運作中斷，信用卡等收付款系統出現故障!專家估計，此病毒造成的直接經濟損失至少在12億美元以上!



病毒名稱 持續時間 造成損失莫里斯蠕蟲 1988年
6000多臺計算機停機，直接經濟損失達9600萬美元! 美麗殺手
1999年 政府部門和一些大公司緊急關閉了網絡服務器，
經濟損失超過12億美元!愛蟲病毒
2000年5月至今
眾多用戶電腦被感染，損失超過100億美元以上 紅色代碼
2001年7月 網絡癱瘓，直接經濟損失超過26億美元 求職信
2001年12月至今 大量病毒郵件堵塞服務器，損失達數百億美元 蠕蟲王
2003年1月 網絡大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元


由表可以知道，蠕蟲病毒對網絡產生堵塞作用，并造成了巨大的經濟損失!

通過對以上蠕蟲病毒的分析，可以知道，蠕蟲發作的一些特點和發展趨勢:

1.利用操作系統和應用程序的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”，以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand)，使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活，而此前即便是很多防病毒專家也一直認為，帶有病毒附件的郵件，只要不去打開附件，病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊!

2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。

3.病毒制作技術與傳統的病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術實現的，易于修改以產生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技術，可以潛伏在HTML頁面里，在上網瀏覽時觸發。

4.與黑客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例，感染后的機器的web目錄的\scripts下將生成一個root.exe，可以遠程執行任何命令，從而使黑客能夠再次進入!二、網絡蠕蟲病毒分析和防范

蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞，這里的漏洞或者說是缺陷，我們分為2種，軟件上的缺陷和人為上的缺陷。軟件上的缺陷，如遠程溢出，微軟ie和outlook的自動執行漏洞等等，需要軟件廠商和用戶共同配合，不斷的升級軟件。而人為的缺陷，主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering)，當收到一封郵件帶著病毒的求職信郵件時候，大多數人都會報著好奇去點擊的。對于企業用戶來說，威脅主要集中在服務器和大型應用軟件的安全上，而個人用戶而言，主要是防范第二種缺陷。

1.利用系統漏洞的惡性蠕蟲病毒分析

在這種病毒中，以紅色代碼，尼姆達和sql蠕蟲為代表!他們共同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊，由于網上存在這樣的漏洞比較普遍，使得病毒很容易的傳播!而且攻擊的對象大都為服務器，所以造成的網絡堵塞現象嚴重!



以2003年1月26號爆發的sql蠕蟲為例，爆發數小時內席卷了全球網絡，造成網絡大塞車.亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業KFT及***電訊公司，系統都陷入了癱瘓，其它的網絡用戶也被迫斷線，更為嚴重的是許多銀行的自動取款機都無法正常工作， 美國許美國銀行統計，該行的13000臺自動柜員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響!

這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的，利用了MSSQL2000服務遠程堆棧緩沖區溢出漏洞， Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口，客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式（連接方式可以是命名管道也可以是TCP），但是此程序存在嚴重漏洞，當客戶端發送超長數據包時，將導致緩沖區溢出，黑客可以利用該漏洞在遠程機器上執行自己的惡意代碼。

微軟在200年7月份的時候就為這個漏洞發布了一個安全公告，但當sql蠕蟲爆發的時候，依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁，從而被蠕蟲病毒所利用，蠕蟲病毒通過一段376個字節的惡意代碼，遠程獲得對方主機的系統控制權限， 取得三個Win32 API地址，GetTickCount、socket、sendto，接著病毒使用GetTickCount獲得一個隨機數，進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址，然后將自身代碼發送至1434端口(Microsoft SQL Server開放端口)，該蠕蟲傳播速度極快，其使用廣播數據包方式發送自身代碼，每次均攻擊子網中所有255臺可能存在機器。由于這是一個死循環的過程，發包密度僅和機器性能和網絡帶寬有關，所以發送的數據量非常大。該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為，也沒有向硬盤上寫文件，僅僅存在與內存中。對于感染的系統，重新啟動后就可以清除蠕蟲，但是仍然會重復感染。由于發送數據包占用了大量系統資源和網絡帶寬，形成Udp Flood，感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。

通過以上分析可以知道，此蠕蟲病毒本身除了對網絡產生拒絕服務攻擊外，并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼，后果將不堪設想!

2.企業防范蠕蟲病毒措施

此次sql蠕蟲病毒，利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細說明！而且微軟也提供了安全補丁提供下載，然而在時隔半年之后互聯網上還有相當大的一部分服務器沒有安裝最新的補丁，其網絡管理員的安全防范意識可見一斑！

當前，企業網絡主要應用于文件和打印服務共享、辦公自動化系統、企業業務（MIS）系統、Internet應用等領域。網絡具有便利信息交換特性，蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時，就不得不考慮企業的病毒防范問題，以保證關系企業命運的業務數據完整不被破壞。

企業防治蠕蟲病毒的時候需要考慮幾個問題：病毒的查殺能力，病毒的監控能力，新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略。推薦的企業防范蠕蟲病毒的策略如下：

(1)加強網絡管理員安全管理水平，提高安全意識。由于蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟件的安全性，保持各種操作系統和應用軟件的更新！由于各種漏洞的出現，使得安全不在是一種一勞永逸的事，而作為企業用戶而言，所經受攻擊的危險也是越來越大，要求企業的管理水平和安全意識也越來越高！

(2)建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。

(3)建立應急響應系統，將風險減少到最小！由于蠕蟲病毒爆發的突然性，可能在病毒發現的時候已經蔓延到了整個網絡，所以在突發情況下，建立一個緊急響應系統是很有必要的，在病毒爆發的第一時間即能提供解決方案。



(4)建立災難備份系統。對于數據庫和數據系統，必須采用定期備份，多機備份措施，防止意外災難下的數據丟失！

(5)對于局域網而言，可以采用以下一些主要手段：A.在因特網接入口處安裝防火墻式防殺計算機病毒產品，將病毒隔離在局域網之外。B.對郵件服務器進行監控，防止帶毒郵件進行傳播！C.對局域網用戶進行安全培訓。D.建立局域網內部的升級系統，包括各種操作系統的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級等等！3.對個人用戶產生直接威脅的蠕蟲病毒

在以上分析的蠕蟲病毒中，只對安裝了特定的微軟組件的系統進行攻擊，而對廣大個人用戶而言，是不會安裝iis(微軟的因特網服務器程序，可以使允許在網上提供web服務)或者是龐大的數據庫系統的！因此上述病毒并不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網絡產生影響)，但接下來分析的蠕蟲病毒，則是對個人用戶威脅最大，同時也是最難以根除，造成的損失也更大的一類蠕蟲病毒！

對于個人用戶而言，威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網頁等等！

對于利用email傳播得蠕蟲病毒來說，通常利用的是社會工程學(Social Engineering)，即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播！

惡意網頁確切的講是一段黑客破壞代碼程序，它內嵌在網頁中，當用戶在不知情的情況下打開含有病毒的網頁時，病毒就會發作。這種病毒代碼鑲嵌技術的原理并不復雜，所以會被很多懷不良企圖者利用，在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇，并提供破壞程序代碼下載，從而造成了惡意網頁的大面積泛濫，也使越來越多的用戶遭受損失。

對于惡意網頁，常常采取vb script和java script編程的形式！由于編程方式十分的簡單！所以在網上非常的流行！

Vb script和java script是由微軟操作系統的wsh（Windows Scripting HostWindows腳本主機）解析并執行的，由于其編程非常簡單，所以此類腳本病毒在網上瘋狂傳播，瘋狂一時的愛蟲病毒就是一種vbs腳本病毒，然后偽裝成郵件附件誘惑用戶點擊運行，更為可怕的是，這樣的病毒是以源代碼的形式出現的，只要懂得一點關于腳本編程的人就可以修改其代碼，形成各種各樣的變種。

下面以一個簡單的腳本為例：

Set objFs=CreateObject （“Scripting.FileSystemObject”）
(創建一個文件系統對象)objFs.CreateTextFile （"C:\virus.txt"， 1）
(通過文件系統對象的方法創建了TXT文件)



如果我們把這兩句話保存成為.vbs的VB腳本文件，點擊就會在C盤中創建一個TXT文件了。倘若我們把第二句改為：


objFs.GetFile （WScript.ScriptFullName）.Copy （"C:\virus.vbs"）


就可以將自身復制到C盤virus.vbs這個文件。本句前面是打開這個腳本文件，WScript.ScriptFullName指明是這個程序本身，是一個完整的路徑文件名。GetFile函數獲得這個文件，Copy函數將這個文件復制到C盤根目錄下virus.vbs這個文件。這么簡單的兩句就實現了自我復制的功能，已經具備病毒的基本特征——自我復制能力。

此類病毒往往是通過郵件傳播的，在vb script中調用郵件發送功能也非常的簡單，病毒往往采用的方法是向outlook中的地址薄中的郵件地址發送帶有包含自身的郵件來達到傳播目的，一個簡單的實例如下：


Set objOA=Wscript.CreateObject （"Outlook.Application"）
（創建一個OUTLOOK應用的對象）Set objMapi=objOA.GetNameSpace （"MAPI"）
（取得MAPI名字空間）For i=1 to objMapi.AddressLists.Count（遍歷地址簿）
Set objAddList=objMapi.AddressLists （i）
For j=1 To objAddList. AddressEntries.Count Set
objMail=objOA.CreateItem （0） objMail.Recipients.Add
（objAddList. AddressEntries
（j））
（取得收件人郵件地址 ）objMail.Subject="你好!"
（設置郵件主題，這個往往具有很大的誘惑性質）
objMail.Body="這次給你的附件，是我的新文檔！"
（設置信件內容）objMail.Attachments.Add （“c:\virus.vbs"）
（把自己作為附件擴散出去 ）objMail.Send（發送郵件）
NextNext Set objMapi=Nothing（清空objMapi變量，釋放資源）
set objOA=Nothing(清空objOA變量)



這一小段代碼的功能是向地址簿中的用戶發送電子郵件，并將自己作為附件擴散出去。這段代碼中的第一行是創建一個Outlook的對象，是必不可少的。在其下是一個循環，在循環中不斷地向地址簿中的電子郵件地址發送內容相同的信件。這就是蠕蟲的傳播性。

由此可以看出，利用vb script編寫病毒是非常容易的，這就使得此類病毒的變種繁多，破壞力極大，同時也是非常難以根除的！

4.個人用戶對蠕蟲病毒的防范措施

通過上述的分析，我們可以知道，病毒并不是非常可怕的，網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統漏洞！所以防范此類病毒需要注意以下幾點：

(1)購合適的殺毒軟件！網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍，殺毒軟件必須向內存實時監控和郵件實時監控發展！另外面對防不勝防的網頁病毒，也使得用戶對殺毒軟件的要求越來越高！在殺毒軟件市場上，賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例！經過多項測試，norton殺毒系列軟件腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒，而且對網頁病毒也有相當強的防范能力!目前國內的殺毒軟件也具有了相當高的水平。像瑞星，kv系列等殺毒軟件，在殺毒軟件的同時整合了防火強功能，從而對蠕蟲兼木馬程序有很大克制作用。

(2)經常升級病毒庫，殺毒軟件對病毒的查殺是以病毒的特征碼為依據的，而病毒每天都層出不窮，尤其是在網絡時代，蠕蟲病毒的傳播速度快，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒!

(3)提高防殺毒意識.不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼！

當運行IE時，點擊“工具→Internet選項→安全→ Internet區域的安全級別”，把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

(4)不隨意查看陌生郵件，尤其是帶有附件的郵件，由于有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以計算機用戶需要升級ie和outlook程序，及常用的其他應用程序！

三、小結

網絡蠕蟲病毒作為一種互聯網高速發展下的一種新型病毒，必將對網絡產生巨大的危險。在防御上，已經不再是由單獨的殺毒廠商所能夠解決，而需要網絡安全公司，系統廠商，防病毒廠商及用戶共同參與，構筑全方位的防范體系！

蠕蟲和黑客技術的結合，使得對蠕蟲的分析，檢測和防范具有一定的難度，同時對蠕蟲的網絡傳播性，網絡流量特性建立數學模型也是有待研究的工作！

現在是密碼的時代，QQ、MSN、郵箱、系統、RAR、ZIP、Word、Excel、網上銀行、論壇密碼等等。密碼無處不在，可以給我們更多的安全。但它在給我們必要的安全保障的同時，一旦密碼丟失或被盜，則會給我們帶來很多的麻煩。為此我們有必要將一些常用的密碼定期更新，這樣才能夠永保安全！

問：我使用的是Windows XP，請問怎樣修改用戶密碼，以便不讓人猜測到？

答：選擇“我的電腦→控制面板→管理工具→計算機管理”，打開“計算機管理”窗口，依次展開“計算機管理（本地）→系統工具→本地用戶和組→用戶”，在右側右擊自己的賬戶，選擇“設置密碼”命令，再在打開的窗口中設置密碼即可。如果你是系統管理員，還可以修改別的賬戶密碼。

問：我的MSN上保存了不少聯系人，如果密碼丟失，重新申請MSN的話，要一一重新添加聯系人，則會給自己帶來很多的麻煩。如何修改密碼？

答：打開瀏覽器，再定位到http://www.hotmail.com，然后在其中輸入你的MSN用戶名和密碼，再單擊“文件→轉到→我的電子郵件信箱”，打開電子郵件頁面后，單擊右上角的“選項”按鈕，然后單擊“個人”鏈接打開“個人選項”頁面，單擊“密碼”進入MSN的頁面登錄，輸入正確的當前MSN的用戶名和密碼后，即可進入“更改密碼”頁面，輸入舊密碼和新密碼就可以修改成功。

問：我的郵箱中有不少重要的商業信函，擔心密碼過于簡單而被競爭對手收到里面的信件，如何修改密碼？

答：一般登錄郵箱提供商的相關頁面進行修改，以126信箱為例。登錄http://www.126.com，然后輸入用戶名和密碼，再單擊上方的“選項→修改密碼”，然后輸入舊密碼和新密碼就可以修改成功。如果是新浪郵箱，進入后，單擊“設置區”，進入設置區頁面，單擊“用戶密碼設置”，根據提示一步一步即可完成密碼修改。如果你使用公司架設的郵箱，則可以詢問網管員，然后再登錄相應網頁進行郵箱密碼的修改。

問：我的上網密碼比較簡單（默認是提供商提供的），而且我不是包月用戶，擔心別人會用我的賬號，造成費用損失，如何修改密碼呢？

答：如果需要修改上網密碼，一般登錄ISP主頁，然后選擇即可，如北京的ADSL用戶，可以登錄http://202.106.46.39:9001/selfadsl/login.html，然后單擊“客戶口令更改”進行修改。如果你是北京電信的用戶，可以登錄http://www.bjnet.net.cn，單擊“自服務系統”，然后輸入原先的用戶名和密碼，進入后即可修改密碼，這樣做擔心別人會盜用他人用戶名和密碼，從而造成損失。

不過，如果你是小區寬帶，那可能要請你與小區物業機房人員聯系修改密碼。

　病毒表現:

　　1. 某些殺毒軟件的實時監控無法啟動(例如:瑞星的實時監控中心)

　　2. 部分圖標變得模糊

　　3. 進程里面出現例如 Logo_1.exe , 0Sy.exe等莫名其妙的東西

　　4. C盤隱藏文件出現 _desktop.ini(隱藏文件)

　　5. 磁盤的autorun被修改，以至于雙擊磁盤盤符時提示出錯

　　隨即用瑞星2006的殺毒軟件進行殺毒，但是無法徹底清除。這是感染了"威金"病毒。

　　清除方法:

　　1 結束以下進程： logo1_.exe rundl132.exe(注意第六個為數字1而不是L) explorer.exe(該病毒會把vDll.dll加載到該系統進程中去，最好是用進程管理工具直接結束掉這個DLL)另外有類似OS.exe的進程也一并結束掉~~！

　　2.到windows目錄刪除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件！（注意這些進程都是隱藏的，需要把系統設置為“顯示隱藏文件”，設置的方法：打開“我的電腦”； 依次打開菜單“工具/文件夾選項”；然后在彈出的“文件夾選項”對話框中切換到“查看”頁； 去掉“隱藏受保護的操作系統文件(推薦)”前面的對鉤，讓它變為不選狀態； 在下面的“高級設置”列表框中改變“不顯示隱藏的文件
和文件夾”選項為“顯示所有文件和文件夾”選項； 去掉“隱藏已知文件類型的擴展名”前面的對鉤，也讓它變為不選狀態；最后點擊“確定”。 ）

　　3 .運行 gpedit.msc 打開組策略,依次單擊用戶配置- 管理模塊- 系統-指定不給windows運行的程序,點啟用 然后 點顯示 添加 logo1_exe 也就是病毒的源文件

　　4 找到并刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件，其中vDll.dll可能在其他目錄中，%Windir%默認為C:\Windows或者C:\Winnt。打開注冊表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，刪除auto鍵值；
打開注冊表，索引到HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\WIndows，刪除load鍵值；打開%system%\drivers\etc下hosts文件，刪除“127.0.0.1 localhost”一行后所有內容；

　　.在windows目錄下新建文件："logo1_.exe"、"rundl132.exe"、"vdll.dll"并把屬性設為“只讀”，這樣病毒也就無法運行了

　　現在你的電腦基本上說可以對該病毒免疫了，既使中了該病毒，它也發作不了啦！最后這一點不怎么好辦

　　那些應用程序都被感染了病毒，如果中了病毒，下次重啟后，就會彈出來“rundl132.exe不是有效的應用程序”和“無法加載注冊表中c;\windows\rundl132.exe”的對話框要么刪除所有被感染的應用程序，然后從其它地方復制沒感染病毒的過來，要么就是在搜索里用“*.exe”找出所有的exe文件，然后每個運行一下:L最后從注冊表里找出“rundl132.exe”的啟動項，刪掉就OK了沒必要大驚小怪的.更不用什么扒網線關門殺毒.