作者： 张齐 

网络安全是一个永久的话题，十一长假期间更需重点防范，因为一些新的病毒和木马会在此时滋生。所以大家在享受着节日喜悦的的同时，也一定要注意做好网络安全工作。从目前网络安全形式看，大体有以下几个方面需要注意。

    一、ARP攻击

    ARP攻击是通过局域网方式上网最容易受到的攻击，并且解决起来非常麻烦。ARP是计算机内的一种协议（ADDRess Resolution Protocol），这种协议的工作模式与DNS非常类似。对于DNS服务器，可以把用户输入的URL转换为具体的IP地址，换句话说URL不过是为了方便用户记忆而设计的，而针对计算机来说最终只识别IP地址。

    同样的，IP地址转换到MAC地址就需要调用ARP协议了。假设目前在一个局域网中，一台计算机需要向某台计算机发出信息通信口号，那么它首先要知道目标对象的MAC地址，由于系统内已经默认将IP地址和MAC地址一一对应起来，所以只要访问到对方的IP地址后，由ARP协议进行解析就可以得到MAC地址了。问题是——如果这个地址没有建立对应，或者对应有问题时，ARP协议如何工作呢？

    此时ARP会在整个网络发送广播，寻找通讯IP地址终端对应的MAC地址，这就好像寻人启示寻找目标一样。当然对于不符合广播条件的终端则作默认应答，而只有真正的终端接受到ARP协议发出的消息后会返回一条信息，告诉它真实的MAC地址，最终完成通信。同时面向新的IP→MAC的对应关系，ARP协议会重新做记录。

    此外，内网IP欺骗是在ARP攻击另一个变型攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击，往往影响的计算机有限，而不是大规模影响。

　　内网IP欺骗采用双向绑定方式，可以有效解决。先作好绑定配置的计算机，不会受到后来的伪装计算机的影响。因此，等于一次因应ARP及内网IP欺骗解决。若是采用其它的ARP防制方法，则要采用另行的方法应对。

    如果你想查询目前网络内IP→MAC的对应关系，可以在CMD下输入arp -a命令即可，至于ARP其它参数的使用方法，可以输入arp /?进行查询。

    目前360安全卫士新版发布，增加了ARP防火墙。

二、DOS攻击

    DoS攻击是从发出大量网络包，占用内网带宽或是路由器运算能力来进行攻击。这种攻击对于一般家庭用户来说比较罕见，但我们如果经常去网吧上网，就很可能遭受到这种攻击。

　　当网管发现内网很慢，Ping路由掉包，不知是那一台影响时，通常就是受到DoS攻击。很多内网攻击的原因经常是用户安装了外挂软件，变成发出攻击的计算机。有的内网攻击会自行变换IP，让网管更难找出是谁发出的网络包。

　　DoS的另外一种形式是外网攻击。外网攻击是从外部来的攻击，通常发生在使用固定IP的用户。很多网吧因为使用固定IP的光纤，经常成为外网攻击的目标。同时又因为外网攻击常常持续变换IP，也不容易加以阻绝或追查。它的现象是看内网流量很正常，但是上网很慢或上不了;观看路由器的广域网流量，则发现下载的流量被占满，造成宽带接入不顺畅。

　　外网流量攻击，可以用联机数加以辅助判断，但是不容易解决。有些地区可以要求ISP更换IP，但经常是几天后攻击又来了。有些用户搭配多条动态IP拨接的ADSL备援，动态IP就较不易成为攻击的目标。外网流量攻击属于犯法行为，可通知ISP配合执法单位追查，但现在看起来效果并不大，另外增配硬件防火墙也是个不错的选择。

三、漏洞

    最近的漏洞不少，包括系统的和软件的。建议用户赶快打好补丁，防止在过节期间遭到意外攻击。

    近日发现通过利用QQ的系统邀请漏洞的新型木马病毒利用QQ向好友列表发送QQ游戏邀请的消息，此类消息极具有诱惑性，一般用户很容易上当，点击接受后，可能会成为下一个感染者。

    相比较大家已经熟悉了的“QQ尾巴”等类似木马病毒，“QQ游戏邀请大盗”可谓“技高一筹”，它的做法非常狡猾，不光是有一些比较有诱惑力、欺骗性的留言诱使用户拨打电话导致电话费损失外；还伪装成QQ系统发出的游戏邀请，欺骗用户点击，且用户无论点击 “接受”或是“拒绝”用户后被木马感染，并存在被大量下载盗号木马的可能。

    由于此木马欺骗手段较高，伪造系统发一起进行游戏的邀请，将极有可能迅速传播，呈爆发的趋势。并且从技术角度分析，此木马采用DLL注入方式，隐藏进程。因此任务管理器中看不到他的进程本身；主要是通过Hook TextOut, ExTextOut等函数，截取屏幕文字输出，伪造程序显示界面，不仅可以很好的欺骗好友，并且还有可能造成屏幕上文字信息的泄露。

    大家可以下载“QQ游戏邀请大盗”专杀工具，防止有心者利用这个QQ漏洞（点击下载）。

    另外，一个微软鼠标指针的漏洞现身互联网，同时利用此漏洞的攻击代码已在国内互联网中广泛传播。由于微软目前还没有推出相关的补丁, 所以危险程度相当高。当用户访问这些嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行。

　　目前受影响的系统包括:

　　Microsoft Windows XP Service Pack 2
　　Microsoft Windows Server 2003 Service Pack 1
　　Microsoft Internet Explorer 6 for Windows XP Service Pack 2
　　Microsoft Internet Explorer 6 for Windows Server 2003 SP1
　　Microsoft Windows Internet Explorer 7 for Windows XP SP2
　　Microsoft Windows Internet Explorer 7 for Windows Server 2003 SP1

    请大家及时更新系统补丁，避免黑客利用漏洞窃取个人信息。

  四、钓鱼网站

    国庆期间肯定少不了消费，网上买东西，和别人交易这些过程中都有可能被骗。利用社会工程学理论，一些钓鱼网站也越来越多。网络钓鱼（Phishing）实际上是攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。

    比如一些假的银行网站，当用户输入账号和密码时，网站后台程序就会偷偷记录下来，达到骗取的目的。

    防备网络钓鱼方法：

　　不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。

　　不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、msn 、Email 等软件传播，这些途径往往可能被黑客利用来进行诈骗。

　　不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言，伺机窃取用户的身份资料等。

　　不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。

　　如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗。

　　不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。 

五、病毒

    最近以下一些病毒非常猖獗，用户需要及时升级病毒库进行防范，尤其是部分木马变种的出现，最好采用主动防御软件进行限制。

    "Auto之盗110684"(Win32.PSWTroj.QQPass.110684) 

    威胁级别：★
   
  1.病毒生成的文件:
  %ProgramFiles%\Internet Explorer\Plugins\SysWin64.jmp
  %ProgramFiles%\Internet Explorer\Plugins\WinSys64.sys

   "关键字查杀器"(Win32.Hack.Unknown.23430)  

    威胁级别：★
   
    1.病毒在系统盘下的 system32 文件夹下生成两个带壳的病毒文件。

    2.病毒结束客户计算机上的包含以下关键字的安全软件:
 
    天网防火墙
    Symantec
    金山
    江民
    瑞星
    木马克星

    3.枚举客户计算机上的窗口,查找含有以下关键字或类名的窗口:(盗取)
 
    软键盘
    Button
    Edit
    Text
    号码
    帐号
    用户
    Tencent QQ
    登录
    TUCButton

    4.病毒会打开 %SystemRoot%\system32\wdata32.dll 并向文件写入数据。

    "AV终结者219648"(Win32.Troj.Agent.219648)  

    威胁级别：★★

    1.复制自身至
%sys32dir%\
%sys32dir%\.jxh

    2.修改注册表，禁用用户使用cmd命令提示符

    3.注入进程，尝试关闭带以下关键字的杀毒软件或安全工具

    Smallfrogs
    Kingsoft Antivirus
    Kingsoft Antispyware
    TrojanDetector
    Micropoint
    Kingsoft
    wopticlean
    360safe
    ......

    4.尝试连接远程服务器获取修改hosts文件的列表

    5.通过删除相关注册表项导致无法正常进入安全模式

    "木马下载器hf"(Win32.Troj.Inituser.hf.19182)  

    威胁级别：★★
 
     1.在任务管理去器中看到有一个进程注入到svchost.exe系统进程中，是wow.ico。从字面上可以了解到，会与大型网络游戏《魔兽世界》进行相关病毒操作的进程。

    2.使用隐蔽软件扫描，可以发现已经有众多盗号木马已被下载，他们分别是：
 
    cmdbcs盗号木马
    异常的Autorun.inf
    可疑的Run启动项B
    SysWin(Troj)
    RAVXXMON(Troj)
    SysWin
    visinQQ盗号者

    3.打开各盘符，可以发现有两个隐藏属性的auto病毒，分别是:AutoRun.inf和inituser.exe.当用户在双击鼠标左键打开时，病毒即会触发。