网络威胁报告
【简介】感谢网友“Poppy”参与投稿,下面小编给大家整理网络威胁报告(共14篇),希望大家喜欢!
篇1:网络威胁报告
网络威胁报告
Intel Security(前McAfee)研究人员已经编译出了最新一份《网络威胁报告》,其中剖析了上个月最激进和广泛传播的恶意软件类型。根据这份报告,他们发现了两种类型的恶意活动:其中一类是基于宏病毒的恶意软件,另一类则是‘无文件’(fileless)式的‘内存中’(in-memory)恶意软件。
宏恶意软件是一种可以追溯至90年代的旧类型恶意软件,宏(Macro)用于描述一组操作记录,在用户点击按钮后即可发动。
宏被广泛用于企业软件,员工们可借此自动化完成一些重复任务。近年来,办公软件给予了宏对计算机更深入的访问权限,除了办公软件之外,还能够与一些低层级的.PC功能交互。
由于这个原因,给予宏的恶意软件重新浮出水面,并通过Word文档大肆传播。这些文档通常通过钓鱼或垃圾邮件发送给受害人,打开之后,它就会问你是否启用宏支持。
一旦用户给予了授权,恶意软件就会自动执行一些影响用户PC的操作。Intel Security指出,给予Office的宏威胁已达到过去六年来最高的水平。
同样的,‘无文件式’(fileless)恶意软件威胁也有着上升的趋势,这种位于‘内存中’(in-memory)的恶意软件,也已经存在了多年。
当然,它并不是100%地无文件,只是将二进制内容留在了硬盘上的其它地方而已。对于反病毒软件来说,它还是很容易被揪出来的。
据Intel Security所述,近期的无文件式而已软件版本似乎已经找到了一个迂回的解决方案,由于完整运行于PC的RAM中,使得检测变得更加困难。
近段时间被观察到的无文件型恶意软件包括Kovter、Powerlike、XswKit等。其数量并没有基于宏操作的恶意软件那么高,但也不容忽视。
篇2:细说网络威胁
从1986年出现第一个感染PC的计算机病毒开始,到现在短短,已经经历了三个阶段,第一个阶段为DOS、Windows等传统病毒,此时编写病毒完全是基于对技术的探求,这一阶段的顶峰应该算是CIH病毒。第二个阶段为基于Internet的网络病毒,比如我们知道的红色代码、冲击波、震荡波等病毒皆是属于此阶段,这类病毒往往利用系统漏洞进行世界范围的大规模传播。目前计算机病毒已经发展到了第三阶段,我们所面临的不再是一个简简单单的病毒,而是包含了病毒、 攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。
什么是网络威胁?
所谓网络威胁,不光是指CIH、冲击波等传统病毒,还包括特洛伊木马、后门程序、流氓软件(包括间谍软件、广告软件、浏览器劫持等)、网络钓鱼(网络诈骗)、垃圾邮件等等。它往往是集多种特征于一体的混合型威胁。
网络威胁的分类
根据不同的特征和危害,网络威胁可分为病毒、流氓软件、 攻击、网络钓鱼等。
一、病毒(Virus)
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。随着信息安全技术的不断发展,病毒的定义已经被扩大化。目前,病毒可以大致分为:引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等。
1、引导区病毒(Boot Virus)
通过感染软盘的引导扇区和硬盘的引导扇区或者主引导记录进行传播的病毒。
2、文件型病毒(File Virus)
指将自身代码插入到可执行文件内来进行传播并伺机进行破坏的病毒,
3、宏病毒(Macro Virus)
使用宏语言编写,可以在一些数据处理系统中运行(主要是微软的办公软件系统,字处理、电子数据表和其他 Office 程序中),利用宏语言的功能将自己复制并且繁殖到其他数据文档里的程序。
4、蠕虫病毒(Worm)
通过网络或者漏洞进行自主传播,向外发送带毒邮件或通过即时通讯工具( QQ 、 MSN等 )发送带毒文件,阻塞网络的病毒。
5、特洛伊木马(Trojan)
通常假扮成有用的程序诱骗用户主动激活,或利用系统漏洞侵入用户电脑。木马进入用户电脑后隐藏在的系统目录下,然后修改注册表,完成 制定的操作。
6、后门程序(Backdoor)
会通过网络或者系统漏洞进入用户的电脑并隐藏在的系统目录下,被开后门的计算机可以被 远程控制。 可以用大量被植入后门程序的计算机组成僵尸网络(Botnet)用以发动网络攻击等。
7、恶意脚本(Harm Script)、恶意网页
使用脚本语言编写,嵌入在网页当中,调用系统程序、修改注册表对用户计算机进行破坏,或调用特殊指令下载并运行病毒、木马文件。
8、恶意程序(Harm Program)
会对用户的计算机、文件进行破坏的程序,本身不会复制、传播。
9、恶作剧程序(Joke)
不会对用户的计算机、文件造成破坏,但可能会给用户带来恐慌和不必要的麻烦。
10、键盘记录器(Key logger)
通过挂系统键盘钩子等方式记录键盘输入,从而窃取用户的帐号、密码等隐私信息。
篇3:细说“网络威胁”
细说网络威胁!
从1986年出现第一个感染PC的计算机病毒开始,到现在短短20年,已经经历了三个阶段,第一个阶段为DOS、Windows等传统病毒,此时编写病毒完全是基于对技术的探求,这一阶段的顶峰应该算是CIH病毒。第二个阶段为基于Internet的网络病毒,比如我们知道的红色代码、冲击波、震荡波等病毒皆是属于此阶段,这类病毒往往利用系统漏洞进行世界范围的大规模传播。目前计算机病毒已经发展到了第三阶段,我们所面临的不再是一个简简单单的病毒,而是包含了病毒、 攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。
什么是网络威胁?
所谓网络威胁,不光是指CIH、冲击波等传统病毒,还包括特洛伊木马、后门程序、流氓软件(包括间谍软件、广告软件、浏览器劫持等)、网络钓鱼(网络诈骗)、垃圾邮件等等。它往往是集多种特征于一体的混合型威胁。
网络威胁的分类
根据不同的特征和危害,网络威胁可分为病毒、流氓软件、 攻击、网络钓鱼等。
一、病毒(Virus)
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。随着信息安全技术的不断发展,病毒的定义已经被扩大化。目前,病毒可以大致分为:引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等。
1、引导区病毒(Boot Virus)
通过感染软盘的引导扇区和硬盘的引导扇区或者主引导记录进行传播的病毒。
2、文件型病毒(File Virus)
指将自身代码插入到可执行文件内来进行传播并伺机进行破坏的病毒。
3、宏病毒(Macro Virus)
使用宏语言编写,可以在一些数据处理系统中运行(主要是微软的办公软件系统,字处理、电子数据表和其他 Office 程序中),利用宏语言的功能将自己复制并且繁殖到其他数据文档里的程序。
4、蠕虫病毒(Worm)
通过网络或者漏洞进行自主传播,向外发送带毒邮件或通过即时通讯工具( QQ 、 MSN等 )发送带毒文件,阻塞网络的病毒。
5、特洛伊木马(Trojan)
通常假扮成有用的程序诱骗用户主动激活,或利用系统漏洞侵入用户电脑。木马进入用户电脑后隐藏在的系统目录下,然后修改注册表,完成 制定的操作。
6、后门程序(Backdoor)
会通过网络或者系统漏洞进入用户的电脑并隐藏在的系统目录下,被开后门的计算机可以被 远程控制。 可以用大量被植入后门程序的计算机组成僵尸网络(Botnet)用以发动网络攻击等。
7、恶意脚本(Harm Script)、恶意网页
使用脚本语言编写,嵌入在网页当中,调用系统程序、修改注册表对用户计算机进行破坏,或调用特殊指令下载并运行病毒、木马文件。
8、恶意程序(Harm Program)
会对用户的计算机、文件进行破坏的程序,本身不会复制、传播。
9、恶作剧程序(Joke)
不会对用户的计算机、文件造成破坏,但可能会给用户带来恐慌和不必要的麻烦,
10、键盘记录器(Key logger)
通过挂系统键盘钩子等方式记录键盘输入,从而窃取用户的帐号、密码等隐私信息。
11、 工具(Hack Tool)
一类工具软件, 或其他不怀好意的人可以使用它们进行网络攻击。
二、流氓软件(Rogue Software)
“流氓软件”是介于病毒和正规软件之间的软件,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。流氓软件包含:间谍软件、广告软件、浏览器劫持、行为记录软件、自动拨号程序等等。
1、间谍软件(Spyware)
是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
2、广告软件(Adware)
指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。
3、浏览器劫持(Brower Hijack)
是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
4、行为记录软件(Track Ware)
指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。
5、恶意共享软件(Malicious Shareware)
指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。
6、自动拨号程序(Dialer)
自动下载并安装到用户的计算机上,并隐藏在后台运行。它会自动拨打长途或收费电话,以赚取用户高额的电话费用。
三、远程攻击(Long-distance attacks)
远程攻击是指专门攻击除攻击者自己计算机以外的计算机(无论其是同一子网内或处于不同网段中)。远程攻击包括远程控制、拒绝服务式攻击等等。
四、网络钓鱼(Phishing)
网络钓鱼是指攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
五、垃圾邮件(Spam)
《中国互联网协会反垃圾邮件规范》定义垃圾邮件为:(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(二)收件人无法拒收的电子邮件;(三)隐藏发件人身份、地址、标题等信息的电子邮件;(四)含有虚假的信息源、发件人、路由等信息的电子邮件。垃圾邮件的主要来源包括邮件病毒产生的、商业性的恶性广告邮件。
如何防范网络威胁?
传统意义上单一功能的病毒已经不断发展为以经济利益为驱动的一个混合体。它是包含病毒、 攻击、间谍软件等多种危害于一体的网络威胁。因此,要解决网络威胁的问题就不能仅仅只依靠单一的一款产品。而是需要杀毒软件、个人防火墙、上网安全助手等多种防护手段互相联动、配合,采用技术手段从各个角度去进行全面立体的防范。
篇4:防御网络威胁十要素
【IT专家网独家】目前互联网上存在各种威胁,企业要采取积极的措施提高网络安全。下面是企业防御网络威胁的十种方法。
1.封锁对恶意服务器的访问
当台式电脑用户请求访问已知的恶意服务器的HTTP和HTTPS网页的时候,你要立即封锁这个请求,节省带宽和扫描资源。
2.限制在可信赖的网站使用移动代码
虽然脚本和活跃代码等移动代码能够给网络更有兴趣和拥有更丰富的应用程序,但是,它也能够给 提供自动化的入侵方法,让 侵入台式电脑,运行可执行的
代码或者应用程序以便执行嵌入在文件中的脚本。
3.扫描Web网关
不要推测你的所有的台式电脑都有最新的杀毒软件或者来访的计算机都是得到很好的管理的。你要通过集中扫描恶意软件轻松地控制所有的Web通讯(HTTP、HTTPS和FTP),要在Web通讯进入你的网络之前进行扫描,不要在通信已经进入台式电脑才进行扫描。
4.使用不同厂商的产品进行台式电脑和Web网关扫描
现代的攻击在发动之前都针对流行的杀毒软件进行测试。你的恶意软件扫描的多样性有助于提高阻止威胁的机会。
5.定期更新台式电脑和服务器补丁
大多数攻击和威胁是利用没有使用补丁的应用程序和系统传播的,
保护你的计算机避免受到已知的安全漏洞影响能够减少你的风险。
6.保持台式电脑安装杀毒软件并处于最新状态
自从启动扇区病毒出现以来,运行杀毒软件检查进来的文件、扫描内存、扫描现有的文件一直是一种标准的做法。没有任何运行Windows操作系统的计算机应该没有最新的杀毒软件。如果病毒避开了其它的网络防御,台式电脑中的杀毒软件就是最后一道防线。此外,还要采取强大的保护措施防止CD光盘或者优盘等非网络方式传播的任何恶意软件。
7.仅访问通过全部浏览器检查的HTTPS网站
大多数用户不理解三个SSL浏览器检查的重要性,或者不理解他们不应该访问没有通过这三项检查的网站。这三项SSL检查是过期的证书、不可信赖的发放者以及证书与请求的URL之间的主机名不匹配。
8.仅从可信赖的网站下载可执行程序
社会工程学还活着并且在互联网上活得很好。发布恶意软件的一个有效的方法就是利用一些有用的程序。当执行这些有用的程序时,恶意软件就可以自由地做自己喜欢的事情。这种攻击也称作木马攻击。
9.不要访问IP地址为服务器的网站
最近的攻击更多地利用安装简单的网络服务器软件的被攻破的家庭电脑。受害者经常被引导到网页地址中包含IP地址的新的家庭电脑服务器,而不是主机域名。合法的网站将在网页地址中使用主机名。
10.认真键入网站URL地址避免错误输入
用户永远不愿意访问恶意网站,但是,这种情况会意外发生。错误地输入流行网站的地址通常会导致用户访问等待那些不加防备的用户的恶意网站。如果你的浏览器没有完全使用补丁,你很容易在浏览网页时无意下载恶意软件。
篇5:隔离网络高级威胁攻击预警的分析报告
第一章 安全隔离网络高级威胁攻击简介
维基解密于6月22日解密了美国中央情报局(CIA)穹顶7(Vault7)网络武器库中的第十二批档案,分别是“野蛮袋鼠(Brutal Kangaroo)”和“激情猿猴(Emotional Simian)”项目,被披露的档案中详细描述了美国情报机构如何远程隐蔽地入侵访问封闭的计算机网络或独立的安全隔离网络(Air-Gapped Devices,从未连接过互联网的设备)。
一般金融机构、军事机构、核设施和能源基础行业等都会使用无法访问互联网的封闭网络以保护重要数字资产,重要数字资产处在隔离网络中,网客无法直接攻击这些目标,传统的网客渗透攻击手段都会失效。但隔离网络并不代表着绝对安全,它只能隔离计算机数字资产的网络访问,无法阻断物理介质传输数据和物理设备的接入,比如U盘、光盘等物理数据存储介质,键盘、鼠标等硬件设备,非安全的硬件设备和数据传输介质进入隔离网络,极有可能成为网客渗透入侵隔离网络的桥梁。
第二章 “震网三代”隔离网攻击流程简介
6月,“震网”病毒首次被发现,它被称为有史以来最复杂的网络武器,使用了4个Windows 0day漏洞用于攻击伊朗的封闭网络中的核设施工控设备,我们定义它为“震网一代”。时隔两年,5月,“火焰”病毒利用了和“震网一代”相同的Windows 漏洞作为网络武器攻击了多个国家,在一代的基础上新增了更多的高级威胁攻击技术和0day漏洞,我们定义它为“震网二代”。此次披露的CIA网络武器资料表明,其攻击封闭网络的方式和前两代“震网”病毒的攻击方式相似,并使用了新的未知攻击技术,我们定义它为“震网三代”。下面会着重分析其对安全隔离网络的攻击手段,以供业界参考发现和防护此类高级威胁攻击。
此次披露的CIA网络武器主要针对微软Windows操作系统进行攻击,通过USB存储介质对安全隔离网络进行渗透攻击和窃取数据:
1. 首先,它会攻击与目标相关联的可以连接互联网的计算机,在计算机中植入恶意感染程序。
2. 然后,凡是接入被感染计算机的USB存储设备(如:U盘),都会被再次植入恶意程序,整个U盘将会变成一个数据中转站,同时也是一个新的感染源。
3. 接下来,如果这个被感染的U盘在封闭网络中被用于拷贝数据的话,U盘就会感染封闭网络中的计算机,同时偷窃计算机中的数据并秘密保存在U盘中。
4. 最后,被感染的U盘一旦被带出隔离网络,连接到可以联网的计算机时,窃取的数据就会被传送回CIA。
更可怕的是,多台封闭网络中被感染的计算机彼此间会形成一个隐蔽的网络,用于数据交换和任务协作,并在封闭网络中持续潜伏攻击。
第三章 “震网三代”隔离网攻击方式分析
攻击安全隔离网络的关键技术是针对USB存储设备的感染技术,在“震网一代”病毒中该技术使用的是Windows快捷方式文件解析漏洞(CVE--2568/MS10-046),这个漏洞利用了Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,可以使系统自动加载攻击者指定的DLL文件,执行其中的恶意代码。该漏洞的利用效果稳定且隐蔽,具有非常强大的感染能力,将利用了漏洞的快捷方式文件置于USB存储设备(如U盘)中,无需任何用户交互,受害者只要打开设备就会被自动攻击控制电脑。
“震网二代”病毒使用了一种新的攻击隐蔽技术,参考下图中赛门铁克报告中的分析,攻击会使用一个文件夹,文件夹中放有desktop.ini、target.lnk和mssecmgr.ocx三个文件。
“震网二代”病毒在desktop.ini文件中通过shellclassinfo字段设置classid,会将文件夹重定向到一个Junction文件夹,Junction是Windows(NTFS)特有的一种链接方式,和软链接类似,但Junction只针对文件夹,下面会再详细分析。受害者打开文件夹会触发target.lnk漏洞攻击执行恶意代码,同时还能够隐藏保护文件夹中的恶意文件和lnk漏洞文件。
维基解密曝光的CIA网络武器档案中描述了三种未知的Windows快捷方式文件漏洞攻击方法和一些漏洞攻击隐蔽技术,这三种未知的攻击分别是:Giraffe Links(长颈鹿快捷文件)、Lachesis LinkFiles (拉克西斯快捷文件)和Riverjack(杰克河快捷方式文件), 疑似为微软于206月13日公告修复的新的快捷方式文件解析漏洞 CVE--8464。下面我们先来介绍这三种安全隔离网络的攻击方式:
1. Giraffe Links(长颈鹿快捷文件攻击),该攻击特点是只要桌面进程显示了快捷方式文件就会自动加载dll执行恶意代码,可以成功攻击除开Windows XP系统以外的所有windows系统。这个攻击场景包含了所有的快捷方式场景,也就是无论是在U盘中的快捷方式文件还是系统中的快捷方式文件,只要电脑显示了快捷方式,就会被攻击。
2. Lachesis LinkFiles (拉克西斯快捷文件攻击,“Lachesis”源自希腊神话中命运三女神之一),该攻击特点需要autorun.inf文件配合快捷方式文件,在U盘设备插入计算机系统时加载autorun.inf文件,然后自动加载dll执行恶意代码。这个攻击场景只限于U盘等USB存储设备插入电脑时,而且只能攻击Windows 7系统。
3. Riverjack(杰克河快捷方式文件,“Riverjack“美国北卡罗来纳州一个地名),该攻击的特点是使用了Windows文件资源管理器的“库”功能进行隐蔽攻击,不需要显示快捷方式文件且可以隐藏快捷方式文件,可以攻击Windows 7,8,8.1系统,从技术角度分析由于Windows文件资源管理器的“库”功能只支持Windows 7及其以上的操作系统,所以这个功能和漏洞无关,是一个扩展的攻击隐蔽技术或漏洞利用保护技术。
下面我们来着重分析下Riverjack(杰克河快捷方式文件)攻击方式,根据CIA档案我们发现该攻击隐蔽技术的细节,该攻击方式分为四个部分:快捷方式文件夹、Junction文件夹、“库”文件和快捷方式文件,前面三部分是攻击隐蔽技术,用正常的系统特性隐藏快捷方式文件的漏洞攻击,四个部分结合起来就成为了更难以被发现的高级威胁攻击,可以在被攻击系统中长期潜伏。
首先,给将普通文件夹改名成设定成指定类型的classid,如.,
它将会变成一个Junction Foldersrs。
假设给文件夹设置一个不存在的classid名24138469-5DDA-479D-A150-3695B9365DC0}
打开这个文件夹后,桌面进程会查询这个不存在的classid注册表键。
然后,如果直接设置这个注册表键值指向一个固定位置的`dll文件,那么打开这个文件夹后会关联verclsid.exe 加载这个dll执行代码。
同时,如果在用户启动目录中加入这个Junction文件夹,在电脑重启时也会触发加载这个dll文件执行代码。
接下来,CIA档案中还介绍了利用Windows Libray(库)文件的攻击隐藏技术,它是在Windows7及其以上系统中资源管理器一种新的快捷方式特性,它的本质是一个xml配置文件,可以支持指向上文分析的Junction文件夹,在xml文件中指定foldertype和knownfolder字段就可以构造恶意的”库”快捷方式。
最后,我们会发现野蛮袋鼠项目与震网一、二代病毒相比,利用系统特性更新了一些新的攻击技术,但仍然是以windows快捷方式文件解析漏洞为核心。在“震网一代“病毒中使用的核心漏洞是windows快捷方式文件解析漏洞(CVE-2010-2568/MS10-046),时隔5年后,安全研究员Michael Heerklotz绕过该漏洞补丁中的安全限制,发现了第二个windows快捷方式文件解析漏洞(CVE--0096/MS15-020 ),此漏洞的技术细节一经披露就被网客疯狂利用。近日,微软于2017年6月13日公告修复了第三个快捷方式文件解析漏洞 CVE-2017-8464,但在6月13日的安全公告中并没有标明任何漏洞来源,也没有发现网客在野外利用该漏洞。
奇怪的是在一周后维基解密曝光了CIA的网络武器“野蛮袋鼠(Brutal Kangaroo)”和“激情猿猴(Emotional Simian),根据上文我们的技术分析,再结合该项目档案中的项目开发时间节点,我们推测该项目利用的核心漏洞就是最新的CVE-2017-8464。
第四章 “冲击钻”攻击技术简介
维基解密的创始人阿桑奇于2017年3月9日左右发布一段2分钟的视频专门解释了一个入侵安全隔离网的网络武器“冲击钻(HammerDrill)”,并在3月19日在维基解密网站公布了该项目详细开发文档。
“冲击钻(HammerDrill)”是通过劫持Windows系统上的光盘刻录软件,感染光盘这类数据传输介质的方式,以达到入侵隔离网络目的。在该项目的开发文档中详细介绍了感染光盘的步骤,下面我们来简要分析解读下:
1. 冲击钻会启动一个线程通过wmi接口来监控系统进程。
2. 如果在进程列表中发现NERO.EXE, NEROEXPRESS.EXE and NEROSTARTSMART.EXE三个进程名,就会往进程中注入一个恶意的dll文件,并劫持进程的读文件操作。
3. 如果发现光盘刻录软件读入了PE可执行文件,就篡改文件注入shellcode恶意代码。
最终,光盘刻录软件读取编辑的PE可执行文件都会被感染,这个光盘将成为一个恶意感染源,如果光盘被接入隔离网络使用,计算机操作人员不慎运行或安装了其中的软件,网客也就成功渗透了隔离网络。由于资料只披露了HammerDrill2.0的开发笔记,没有利用高级的安全漏洞技术,但在技术上推测实际上可以作为“震网三代”的一个辅助攻击组件,配合震网三代感染光盘等软数据存储介质。
第五章 “BadUSB”攻击技术简介
在维基解密披露的CIA知识库文档中还介绍了“BadUSB”技术,实际上这是近年计算机安全领域最热门的攻击技术之一,网客已经广泛利用了该技术。“BadUSB”主要是利用恶意的HID(Human InterfaceDevice,是计算机直接与人交互的设备,例如键盘、鼠标等)设备和无线网卡设备进行攻击,而与正常的普通的HID设备不同,这类设备被网客定制小型化,外形和一个U盘没有任何差别。
类似的HID设备一旦插入电脑就会被模拟成键盘自动输入恶意代码运行,而NSA(美国国家安全局)的另外一个强大的无线间谍工具水蝮蛇一号(COTTONMOUTH-I),也是看起来像一个普通U盘,但实际上是一个恶意的小型电脑,在被披露的文档中介绍了它可以创建一个无线桥接网络接入到目标网络中,然后通过这个无线网络控制目标电脑。
所以,网客仍然有可能通过恶意的USB设备入侵渗透隔离网络,但这类攻击并不具备震网三代病毒那样强大的自动感染传播能力。
篇6:隔离网络高级威胁攻击预警的分析报告
防范震网三代(CVE-2017-8464),广大用户和企事业单位应及时安装微软6月补丁修复漏洞。360安全卫士及天擎等产品也已针对震网三代的漏洞利用特征更新了防护规则,能够精准拦截和查杀震网三代攻击样本。
同时,在隔离网络中的计算机操作人员仍然需要提高安全意识,注意到封闭的隔离网络并不意味着绝对安全,对于高安全级别的隔离网络除了要修复系统和软件的安全漏洞,还要隔绝一切不被信任的外部数据存储介质和硬件设备。
篇7:网络安全威胁报告(一)
网络安全跟随着计算机技术的飞速发展,正在成为社会发展的重要保证,有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。
全球综合性网络安全信息解决方案供应商安博士公司基于网络安全监控平台与安全威胁趋势,发布了20网络信息安全威胁趋势报告,主要焦点如下:
1. SNS恶意代码攻击常态化
SNS已经成为恶意代码实施攻击的重要平台。那么,年SNS平台作为恶意代码攻击的主要手段,其表现方式主要为:一种是捏造搜索结果而导致安全威胁。比如在搜索朋友或着名艺人网页的过程中,会出现很多虚假网页以及网页携带恶性编码或等事件。另一种是,盗窃SNS个人信息或进行数据伪造。即在twitter、Facebook等网站,植入恶意网站地址或者改变SNS传送的博客地址,以此来达到窃取个人信息和进行恶意代码攻击事件。
2. DDoS攻击智能化
7.7 韩国DDoS攻击事件之后,各种恶意代码混合,有的以更加隐蔽的方式进行DDoS攻击。这种情况在2011年也会一直持续,特别是变种恶意代码会成为 2011年DDoS攻击的主要手段。此外,利用SNS使僵尸电脑在短时间内受到DDoS攻击的机会也会大幅增加,这种与SNS相结合的DDOS的攻击将会在2011年变得更加活跃。最后,随着电子商务网站模式和网上支付的日益兴起,犯罪集团将目标瞄准了支付通道,支付通道也成为了2011年DDoS攻击的重要目标。
3. 攻击目标军事化
正如像针对伊朗核电站设施的网络攻击那样,用于军事化目的的网络恐怖袭击和网络战争将日益频繁。针对国家基础设施(比如电力、军事、高科技、城市交通等)的恶意代码攻击,主要目的就是削弱甚至摧毁敌对国综合国力,从而恶意代码攻击源从个人转换为国家,由一群技术爱好者变味了国家军事人员,
4.智能手机威胁金钱化
从20出现的智能手机恶意代码到2011年以获取金钱为目的的智能手机网络信息安全威胁,其主要表现形式为:第一,针对手机以及个人信息泄露或暗中发短信或拨打电话的恶意软件,将出现大幅增长。第二,利用智能手机屏幕较小而很难看到整个网络地址的缺点,诱导通过智能手机上网用户点击恶意网页或钓鱼网站。
5.恶意攻击无线网络
随着智能手机和移动办公市场的兴起,无线网络基础建设大幅度提高,年急剧增加的无线网络接收器和终端之间的情报传输,由于与有线网络不同,无线网络以电波形式传递信息,因此非法 安全保护措施脆弱的AP,成为了2011年网络信息安全7大威胁之一。
6.针对云计算虚拟化技术漏洞的攻击
2011年,针对云计算和虚拟化技术漏洞的网络攻击将更加频繁。一种方式是:如果利用云计算漏洞,准备多台主控服务器,让僵尸电脑里的恶性代码直接找主控服务器。这时候利用虚拟专用服务器,虚拟构建的多台主控服务器来有效管理僵尸电脑网络。另一种方式是:盗用已构建的云计算平台,自由使用该平台资源。
7. 0日攻击方法的高度化
整个2010年,汇报了无数0日攻击[Zero-day]的弱点。微软公司或Adobe公司即使拿出了‘保护模式”等安全对策,但是攻克的方法已经早就传播开来。预计在2011年可能出现多种进攻方法,将被立刻用于制作恶意代码 。除此之外,预计,在线游戏、移动游戏、网络游戏等将成为 攻击的对象。同时预计,为了回避安全程序的诊断,隐藏方法也将更加智能化。
到2011年,以SNS平台为基础的恶意编码将成为 一个新的话题;其次,随着无线网络 技术的发展,智能手机以及移动办
篇8:小角色,大威胁
狮子是森林大帝、百兽之王,所有的动物,无不臣服在它的利爪獠牙之下,战战兢兢,惟命是从,不敢有丝毫的反抗,
但是,森林中却有一只小蚊子,不屑于狮子的权势,公然挑战百兽之王的威风,宣称:“你不过是一只又臭又蠢的狮子,有什么资格做森林大帝?你有胆子就和我决斗,赢了我,你才有资格称王称帝!”
狮子听了,愤怒地咆哮起来,凶猛地向蚊子扑了过去,蚊子却嗡的一声,轻灵地飞了开去,狮子扑了一个空,正要转身,蚊子已经飞到他的脸上,狠狠地叮咬了一口,狮子暴怒地吼叫着,照自己脸上猛搔了一爪子,抓得脸上鲜血淋漓,却没有抓住蚊子,这时候蚊子已经飞落到狮子的耳根上,又狠狠地叮了一口,
狮子疯狂地咆哮着,不停地抓搔着自己脸上的皮肉,却始终无法抓住蚊子,最终狮子累得筋疲力尽,鲜血淋漓地瘫倒在地。蚊子却轻盈地飞翔过来:
“狮子,你告诉我,究竟谁才是百兽之王?”
这个故事告诉我们,不起眼的小人物,也会有着意想不到的作用。而在职场之中,这个故事的寓意就更为深刻:
底层员工在高级主管的权势面前固然是噤若寒蝉,可一旦高层面临着小人物的挑衅,就会形成高管最大的困扰。
企业高管一旦遭遇到来自底层员工的挑衅,就意味着高管的末日来临,因为这种挑衅标志着领导权力与威信的不足及丧失。
所以,任何一个领导者都迫切地需要追随者,而对来自于底层的不屑与挑战充满了恐惧。
篇9:病毒升级网络威胁影响电子商务发展
随着计算机的不断发展,计算机和网络的安全已成为计算机用户普遍关注的问题,而计算机病毒已发展到受利益驱动的、全方位的“网络威胁”新阶段,中国信息安全厂商瑞星公司计算机病毒专家今天向记者介绍,包括网上支付、身份认证等网络安全问题已成为中国电子商务产业的发展瓶颈。
近年来,计算机网络安全问题日益严重,病毒和 活动频繁,垃圾邮件剧增。据介绍,自一九八六年首次发现计算机病毒以来,经过二十年的时间,计算机病毒经历了以捣乱为目的第一阶段和有明显恶意倾向的第二阶段,现在,计算机病毒已发展到第三阶段,
专家介绍,第三阶段的计算机病毒不再是一个单纯的病毒,而是以不正当获取利益为目的,包含了病毒、 攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。形形色色的“网络窃贼”让广大电脑用户防不胜防,也极大地制约着电子商务等在内的互联网相关产业的发展。
十一月,由中国金融认证中心发布的一项调查显示,有百分之七十五的用户因为担心安全问题而不敢使用网上银行业务。
防范计算机病毒及网络威胁已成为当今全世界关注的话题。中国瑞星公司在此间对外宣布,由该公司研制的以全面反击网络威胁为研发策略、被称为网络威胁粉碎机的最新版防毒软件正式面市,并将以中、英、德、日四种语言在全球同步发行。
篇10:反击网络威胁成为网络安全的重中之重
随着网络危害魁首由传统的病毒变为全方位的“网络威胁”,信息安全厂商也适时将工作重心由反病毒升级为反击网络威胁,6日以中、英、德、日四种语言在全球同步发布的瑞星杀毒软件006版,就包含了“木马墙”“卡卡上网安全助手”和“在线专家门诊”三大功能,成为全面反击“网络威胁”的一件利器。
“网络威胁”是指 和不法分子为获取经济利益,利用包括 木马、僵尸网络、间谍软件、流氓软件、网络诈骗、垃圾邮件等工具对网络及用户的攻击行为。与损人不利己的传统病毒相比,它不仅侵害用户的经济利益,也可为攻击者带来经济利益,因而为害尤甚。
0至0月中旬,仅瑞星公司就截获各类病毒766个,其中木马、蠕虫和后门一共占了9%,以窃取各种账号、密码为直接目的的病毒共有000多个(不包含病毒变种),
和以往“冲击波”“震荡波”等恶性病毒大规模发作不同,这些病毒直接以经济利益为驱动,感染范围较小、对电脑系统本身的攻击趋弱,但是对用户信息安全的影响却更直接、威胁更大。
正是在这种状况下,瑞星006新品首先着眼于对个人财务和隐私信息的保护。瑞星个人防火墙内嵌了独家的“木马墙”功能,它使用反挂钩、反消息、反进程注入等方式,直接阻断木马、恶意程序对用户隐私信息的窃取,从根本上解决了即时通信工具、网络游戏、网上银行等账号、密码失窃的问题。
瑞星006新品还全面集成了“卡卡上网安全助手”,表明安全厂商开始了全面扫荡流氓软件的行动。这些流氓软件侵入用户电脑安装插件和后门程序,窃取个人信息、欺骗或强制用户浏览某些网站广告,借以获取巨额商业利益。“卡卡上网安全助手”集反浏览器劫持、反恶意插件、反网络诈骗、快速修复系统等功能为一体,帮助用户能够安全、自主地上网。
篇11:网络信息安全威胁与防范措施论文
网络信息安全威胁与防范措施论文
随着计算机技术在各行各业中的不断普及,网络信息安全问题也不断出现。网络信息安全在当今社会已是一个热门话题,它关系到社会生活的方方面面。本文通过对网络安全问题的阐述,从计算机硬件本身、网络信息安全管理以及计算机病毒对网络信息安全的破坏等角度出发,对网络信息安全问题进行分析,并提出通过改善网络信息管理方式,强化使用者网络信息安全意识等方式来对网络信息安全问题进行防范。
随着计算机技术的不断发展与革新,计算机已经应用到各个行业中,并且越来越起到至关重要的作用。而计算机技术发展到今天,更重要的是关于信息技术的发展与应用。可以说计算机技术的核心内容就是信息技术,而当今时代也是信息的时代,信息技术已成为日常工作与生活中不可或缺的一部分。
1 计算机网络信息安全的定义
信息安全的定义是一个随着时间而不断变化的概念,总体来讲,信息安全是指信息本身在传送与储存时的完整而不受干扰。最基本的信息安全就是信息的保密性,在传递过程中不受到来自外界的窃取,这一点,从很早时起就已经有所体现,从古到今,有多种保护信息不被窃取的方式,这包括最早的对信息的封存,到后来的对信息本身的加密。人们通过越来越复杂的密码技术来确保信息在被非送达人读取后依旧不能破解,从而实现信息安全。这也是计算机网络安全技术中常用到的方式。
计算机网络信息安全还包括信息的完整性和真实性,信息的完整性就是指信息在送达后,接受人能够完整的读取信息中所包含的所有内容,这一点在传统信息的传送介质上较难实现,常常会因为自然条件的干扰破坏而不能完整读取。网络技术虽然能够避免大部分外界的环境干扰,但对于信息威胁严重的今天,信息的完整性仍然需要加大保护力度。信息的真实性与完整性相似,它是指信息在送达后能够如实的`反应信息的原貌,而不会在传递过程中发生信息的替换或信息的重组,从而使收信人难以理解或误解。这在网络环境中与信息的完整性一样至关重要,真实而完整的信息对于网络信息的安全是一项基本要求。
网络信息安全还包括另一项重要因素,那就是信息的可用性,这一点对于网络信息安全来讲也是一项重要的内容。在人们收集和传递信息之后,对信息的处理是信息为人所用,是信息的体现价值的基础。因此信息的可用性对于信息而言是基础而又必须的。除此之外,信息的可控性也是信息的一项重要因素。对于信息的控制也是网络信息安全需要确保的一项重要工作之一。
2 当前网络信息安全的主要威胁
2.1 计算机硬件自身的问题
随着计算机的不断革新,计算机技术的不断发展,电子产业已经走上一条快速发展的高速路,然而在这样的背景下,计算机硬件在许多时候依旧是难以对网络信息安全实现保证。随着计算机硬件的老化和损坏,许多信息在计算机的存储和传递方面受到了很大的阻碍,很容易造成信息的丢失和错乱,造成读取困难。除此之外,电子产品在制造时也有着许多本身难以改变的缺点和不足,其中重要的一点是对于电的依赖。当电力中断或电力不足时,对信息的处理方面就显得十分不可靠,很容易发生因为电力问题而造成的信息的安全威胁。而外界环境如电磁污染等都会对计算机的运行造成影响。还有一点至关重要,那就是计算机自身容错性的分析,一个优异的容错性可以大幅提高信息的安全性,而相反容错性也会使得计算机在使用上对自身信息造成错误处理,影响信息安全。
2.2 组织管理上的不健全
在我国,信息安全的保证主要是通过各个单位自身的技术人员对信息进行处理和分析,并对一些网络信息安全问题进行排除。这种维护方式无论在效率上还是在成本上都远远不如集中有效专门化的管理方式,这也就为信息安全埋下隐患。此外,许多组织机构未能采取有效的信息安全管理手段,未能有效使用一些如防毒卡,身份验证卡,防火墙等防护信息安全的方式和方法。对于信息安全问题往往采用一种被动的方式来处理,通常是在发生信息安全事故后才采取有效的措施,往往会造成极大的损失。
2.3 计算机病毒的威胁
网络技术的发展使越来越多的人通过网络来实现信息的共享和读取,这就为一些威胁制造者提供了一定的机会。专门对网络信息安全破坏的使用者通常被称为xx,他们制造出计算机病毒,通过计算机病毒对计算机数据库的入侵,实现对信息的读取和破坏活动。这种破坏活动随着网络的普及而越来越频繁,并且影响力也越来越大,例如初,计算机xx通过计算机病毒对美国商业网站进行破坏,损失高达10亿美元。
3 加强网络信息安全的对策
3.1 加强网络信息安全管理
网络信息安全的管理对于网络安全至关重要,加强网络信息安全管理对于网络信息安全的作用不可忽视。具体来讲,加强网络信息安全管理的首要任务是建立一个广泛的网络信息安全保证体系,通过专门的组织机构对网络信息整体安全进行保证。其次是在使用者层面建立硬件和软件上的防护体系,如对信息使用需要通过身份验证来实现对使用者的核实,通过建立防火墙来对外部攻击进行防御等一系列的防护措施,实现主动防御,建立健全信息使用规范流程。
3.2 增强使用者网络信息安全意识
对于使用者而言,信息安全意识需要植根于每一个使用者的心中。通过对使用者安全意识的强化,可以对信息的读取和使用时做到有目的的读取,并通过安全的手段来处理信息。同时,通过安全教导强化使用者主动防御的理念,通过主动地防护,在不造成损失的情况下,保证信息安全,这样不仅可以降低信息维护成本,还可以对信息的安全进行全面保护。
4 总结
总而言之,网络信息安全的保障对于信息本身有着重要意义,对于信息的使用者也有着很大的作用。好的网络信息安全防护措施可以有效促进网络信息的使用和发展,实现网络信息的广泛安全使用。
篇12:网络威胁成新患网上银行首当其冲
“电脑上传统的‘冲击波’、‘CIH’等病毒已经退居二线,而一系列包括 木马、僵尸网络?JBotNet K、间谍软件、流氓软件、网络诈骗、垃圾邮件等网络威胁成为新的隐患,”在近日瑞星006版杀毒软件发布会上,瑞星副总裁毛一丁表示:大多数的病毒不再单纯地攻击电脑系统, 攻击和不法分子为了获取经济利益开始盯上了互联网。网络安全问题泛滥成灾,网上银行首当其冲。
网上银行首当其冲
互联网研究与咨询机构iResearch公布的一项调查结果显示,因为担心交易安全问题,有56.%的网民拒绝使用网上银行,而有.%的网民是因为“不知道如何使用”而拒绝使用网上银行。
最近,网上银行被窃取帐号密码的事件频繁上演,一些开通网络银行的用户面临资金安全威胁。而正因为网上银行被盗取帐号密码事件的影响,一些倾向于使用网上银行业务的用户也开始持怀疑态度。
目前我国网上银行用户有近千万,每年仅通过网上银行流通的资金超千亿。而利用多种安全认证技术的网上银行系统,在一个小小的木马病毒面前脆弱地不堪一击,这的确令人担忧,如何帮助用户看好网上的“钱袋子”已经成为头等大事。
中国信息安全产品测评认证中心系统工程实验室主任江长青表示,在技术设计上,银行本身不存在大的技术管理缺陷。但是目前的大众版都是由银行对客户端的单向识别,这种单向识别就导致了信息的不对等,只有银行可以识别用户的身份而用户无法识别银行的身份,用户就无法识别真假银行网站。在业务应用上,网上支付认证方式存在漏洞,现在国内大多银行的网上支付业务只要用户输入银行账号及密码即可,导致了账号及密码很便捷地通过网上购物的方式被盗走。
瑞星公司研发部副总经理毛杰接受记者采访时称,针对网银大众版用户的盗取途径大致有五类。一是通过制作假银行网站进行诱骗;二是通过冒充银行发送电子邮件实行诱骗;三是假借银行之名发送短信诱骗;四是假冒银行客服打电话套取;五是通过网络发起攻击向计算机种植木马及间谍软件以盗取,
被装入了木马或间谍程序的电脑,就存在着被盗取帐号密码的隐患。
恶意程序成剿杀重点
除了网上银行等暴露出的安全问题外,互联网上恶意程序也屡屡刁难网民。从今年月到0月5日,瑞星共截获各类病毒766个,其中木马、蠕虫和后门一共占了9%,以窃取QQ密码、网游密码和网上银行密码为直接目的的病毒共有000多个(不包含病毒变种)。和前两年“冲击波”、“震荡波”等恶性病毒大规模发作不同,这些病毒直接以经济利益为驱动,感染范围较小、对电脑系统本身的攻击趋弱,但是对用户的信息安全影响却更加直接、威胁更大。
06月,浙江金华警方破获一起“ 窃取网游密码案”,单单一个 就窃取网游账号6万多个,价值上百万元。根据国家计算机网络应急技术处理协调中心的报告,仅今年6月日至9月9日,就发现较大规模僵尸网络59个,平均每天发现万个受 控制的“僵尸”计算机。 将这些僵尸网络出租,买家可以使用它们散播垃圾邮件、网络诈欺、散播病毒甚至实施拒绝服务攻击。
另外,包含间谍软件、恶意插件和浏览器劫持在内的流氓软件更大行其道,它们侵入用户电脑安装插件和后门程序,窃取个人信息、欺骗或强制用户浏览某些网站和广告。国内某知名网站利用流氓插件,强制用户的电脑弹出窗口,一年之内使自己的流量上升600%,而通过设立搏彩、低价网络购物等欺诈性网站直接骗取用户钱财等等,更是数不胜数。
瑞星副总裁毛一丁表示,瑞星006版杀毒软件“网络威胁粉碎机”,主要针对的就是来势汹汹的网络威胁程序,同时,瑞星“在线专家门诊”也正式开通,上百位安全专家实时在线,当用户遇到病毒、 等网络威胁时,可以立刻获得安全专家的救助。
许多互联网公司以欺骗、蒙蔽甚至强迫的方式让用户下载安装灰色软件或插件,影响了用户的信息安全及使用。今年6月,此现象曾引发业界的声讨运动,毛一丁透露,瑞星将制定一个运行流氓软件的企业名单,改正后的企业,可以在该黑名单中消失。据透露,已经有相当多的企业与瑞星沟通,希望能从黑名单中除名。
篇13:赛门铁克发布《互联网安全威胁报告》
赛门铁克日前发布的最新《互联网安全威胁报告》显示,bot僵尸程序的威胁似乎更加可怕,“由于流氓软件的复杂性,目前赛门铁克还没有明确的流氓软件的定义。”赛门铁克公关经理严冬梅表示,但是,对于一些流氓软件的不良行为,例如间谍软件,广告软件等则有相应的防范措施。
最近业内一些杀毒软件公司甚至将流氓软件定义为“病毒”。对此,赛门铁克产品专家经理朱雅辉表示,一些软件或者恶意的代码,虽然没有对系统产生明显的破坏性质,但却有强烈的经济目的,这样可能更加可怕。
赛门铁克认为,目前攻击者的动机正日益变成获取经济利益。金融服务是上半年有针对性的攻击发生第二频繁的领域,进一步证实了这一点。这些通过针对金融行业中的计算机的攻击者可能会寻找机密信息,如信用卡信息或银行信息,进而可以使用这些信息获得经济利益,
由于获得经济利益是恶意活动的最大推动因素,所以一些我们常见的“流氓软件”的活动其实具有很强的经济目的。很多人或组织利用一种叫做Bot僵尸网络,不仅可以用来传播恶意代码,还用来发送垃圾邮件或网页仿冒消息,下载广告软件和间谍软件,攻击机构,获得机密信息。
报告显示,在20上半年,中国感染bot僵尸程序病毒的计算机数量最高,占全球总量的20%。北京是世界上感染bot僵尸程序病毒的计算机数量最高的城市,约占全球总量的3%。与此同时,中国也是攻击来源的最大国家之一,目前已经排在第二位,占发动攻击的所有IP地址的10%。
此外,Bot僵尸网络还常用于拒绝服务(DOS)攻击,这对各机构是一个主要威胁,因为这些攻击会破坏通信,造成收入损失,损害品牌和声誉,遭受敲诈犯罪活动。“日前,百度曾经遭受到的短暂攻击,就是类似的情况。”朱雅辉说。
从技术上讲,很多经济利益驱动的攻击软件防范的难度已经变得越来越大。报告显示,很多这类软件已经采用了模块化恶意代码,这种恶意软件可以自行更新,或在被攻击的主机上建立基地,使其下载更具侵略性的威胁,以便盗取敏感信息。
篇14:远离网络带来的威胁:撕破木马的隐身衣
前段时间上映《特洛伊》让很多人着实知道了木马的威力,和电影中一样,我们的爱机如果进了木马,也有可能面临“城毁人亡”的危险。今天就教你如何“免费”找出它藏身点,轻松撕破木马的隐身衣。
Autoexec.bat和Config.sys
先来看看这家伙在不在这里:C:autoexec.bat与C:config.sys。这两个文件里通常是一些系统所需的驱动程序,看看有没有加入什么奇怪的东东。如果你发现有可疑的对象,就在它前面加上“REM”,如果你发现冤枉了它,将“REM”去掉即可恢复。
Win.ini
在“开始→执行”功能中,输入“regedit”命令,分别依次展开这两个键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuervices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
睁大眼睛看看这两个登录文件中执行了哪些东东,
这里放的是启动Windows后自动执行的程序。木马很可能会出现在这里,如果你有怀疑的对象,就在它前面加上“:”,恢复时去掉“:”就OK了。
System.ini
这个地方可不能放过,这里一般放的是系统本身和外加的驱动程序,注意外加的驱动程序通常都会用全路径,如,device=c:abcd.86,如果有怀疑的对象,就在前面加上“:”把它打入“冷宫”,觉着冤枉了它,去掉“:”就可以了。
Witat.bat
在Windows目录下,看看有没有一个叫Witat.bat的文件。它是和autoexe.bat类似的一个自动批处理文件,不过它只能为Windows工作而不能为DOS干活。看看其中有没有什么怪异的驱动程序,一般情况下这个文件是不会被用到的。经过这几步,一般的木马都会现出原形,就等你干掉它们啦。
