|
查查你的Windows XP系统安全吗?(1) 现在Windows XP日益普及,不过针对XP的病毒也越来越多,去年有臭名昭著的冲击波,今年则流行震荡波,这些病毒都有一个共同特征,就是利用XP系统漏洞对电脑实施攻击的。很多朋友没有这方面的知识,可能还在认为Windows XP很安全呢,那么Windows XP真得很安全吗?
Win XP上的著名病毒篇
一、“冲击波”蠕虫及其变种病毒(新蠕虫:W32.Blaster.worm)
2003年8月11日微软开始调查一个名为W32.Blaster.Worm的新蠕虫及其变种,该病毒之前正在通过网络疯狂传播,这就是“冲击波”蠕虫,也被称为W32/Lovsan.worm (McAfee)、WORM_MSBLAST.A (Trendmicro)、Win32.Posa.Worm (Computer Associates)。
如果感染上该病毒,WinXP和Windows Server 2003系统就会在没有用户输入的情况下,每隔几分钟即重新启动、或在客户的系统中存在“msblast.exe”文件。该蠕虫在TCP 135端口上扫描随机的IP地址范围,以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞,通过开放的RPC端口传播。2003 年7月16日,微软在安全公告MS03-026中提到了DCOM RPC漏洞,为此发布了安全补丁。
MS03-026安全补丁消除了DCOM RPC漏洞,因此安装该补丁后可以防止感染这种蠕虫,具体操作如下:首先启用WinXP内置的防火墙(Internet Connection Firewall (ICF))。单击“开始”菜单/设置/控制面板,双击“网络和Internet连接”,然后单击“网络连接”,在希望启用防火墙的连接上右击,点击“属性”/高级,在“Internet防火墙”下打钩(如下图),现在你的WinXP防火墙就启用了。注意:如果电脑不断重复启动,在启用防火墙之前要将自己的机器从Internet断开,如果正在运行Win2000或 WinNT 4.0,需要使用第三方的防火墙产品。
其次下载MS03-026安全补丁程序。WinXP(32位)和WinXP(64位)的用户请下载安全补丁(下载地址),更新Windows系统。最后使用最新版本的杀毒软件来清除这种蠕虫。该蠕虫有几个变种,有关它们的最新信息可以在杀毒软件开发商的网站上找到。
二、震荡波蠕虫病毒(Sasser)
2004年5月1日,TrendLabs为控制该病毒的传播,发布病毒中度风险警报,之后该病毒迅速在全世界流传。
WinXP和Win2000会感染上这种病毒,如果你收到自称Microsoft发来的邮件,并且邮件附带了可执行文件(例如扩展名为 .exe、.com、.bat、.scr、.js、.VBs 或 .cmd 的文件),就有可能是震荡波蠕虫病毒,请立即删除该邮件,注意不要打开任何附件,也不要从电子邮件直接下载任何可执行文件。
此蠕虫病毒会导致LSASS.EXE停止响应,使系统在60秒钟后强行关机。如果你的计算机反应迟缓或者Internet连接速度过慢,则说明蠕虫病毒可能已经在你的局域网内扩散。该病毒利用了Windows LSASS的一个已知漏洞。这是一个缓冲溢出漏洞,后果是使远程攻击者完全控制受感染系统。而实际上,微软针对该漏洞的补丁早在今年4月13日的MS04-011公告中发布了,如果你已经进行了操作系统补丁升级,杜绝了该系统漏洞,震荡波也就失去了攻击目标。
首先应该结束病毒进程,按CTRL+ALT+DELETE,单击“任务管理器”中的“进程”,选中任意以_up.exe 结尾的任务(例如 12345_up.exe),或者以avserve、avserve2、skynetave开头的任务,或者名为hkey.exe、msiwin84.exe的任务,最后单击“结束任务”按钮将其结束;接下来启用防火墙,重新连接 Internet,下载并安装微软MS04-011公告中的安全补丁(下载地址),以便电脑免受此蠕虫病毒的感染;最后使用震荡波蠕虫移除工具,搜索你的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。
Win XP上的著名安全漏洞篇
迄今为止,已经发现了上百个WinXP的安全漏洞,以下列出的只是XP极其严重的安全漏洞,级别为“重要”和“中等”的安全漏洞,限于篇幅我们就不介绍了。
【漏洞之一】HTML帮助远程执行代码漏洞(发布日期:2004-07-13)
Windows允许应用软件使用一种标准方法(例如HTML帮助API方法),来显示和处理帮助文件。Windows HTML Help存在问题,远程黑客可以利用这个漏洞,在中招系统上执行任意代码,包括安装程序,查看更改删除数据,建立新帐户等攻击。黑客可以构建恶意页面、诱使用户点击来触发此漏洞。
Microsoft为此发布了一个安全公告(MS04-023)以及相应补丁,安装了WinXP 和WinXP Service Pack 1的用户立即下载补丁(下载地址),然后进行更新,此问题的补丁也将包含在 Windows XP Service Pack 2 中。
如果你不能立刻安装补丁或者升级,建议点击开始,运行“regsvr32/u %windir%\system32\itss.dll”,注销HTML Help协议,以降低威胁。如果你使用的是 Outlook 2002 或更高版本,或者是Outlook Express 6 SP1 或更高版本,请用纯文本格式阅读电子邮件,以免自己受到HTML电子邮件恶意代码的攻击。
【漏洞之二】任务计划程序(发布日期:2004-07-13)
Windows的任务计划程序在处理应用软件文件名验证时存在问题,黑客可以利用这个漏洞远程取得系统权限、执行任意指令,完全控制受影响的系统。黑客可以使用多种方法,例如构建恶意WEB页、诱使用户点击来触发此漏洞。
Microsoft为此发布了一个安全公告(MS04-022)以及相应补丁,安装了WinXP 和WinXP Service Pack 1的用户立即下载补丁(下载地址),然后进行更新,该安全补丁也将包含在 Windows XP Service Pack 2 中。
【漏洞之三】LSASS 漏洞(发布日期:2004-4-13):震荡波蠕虫病毒
LSASS(本地安全验证子系统服务)主要处理客户端和服务器的身份验证,LSASS 中存在一个缓冲区溢出漏洞,后果是使远程攻击者完全控制受感染系统,其中包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户等。在WinXP/2000上,能向你传送特制消息的用户,都能利用此漏洞。2004年5月,利用该漏洞的震荡波蠕虫病毒(Sasser)在网上疯狂传播,如果你已经堵住了该漏洞,震荡波也就失去了攻击目标。
今年4月13日,微软在MS04-011公告中发布了该漏洞的补丁(下载地址),建议安装该补丁。如果不能安装补丁,应该使用个人防火墙,如WinXP/2003 中的Internet 连接防火墙,在防火墙处阻塞以下端口的非法入站通信,免受利用该漏洞的攻击:
UDP 端口 135、137、 138、445;
| 
