第12章 網(wǎng)絡時代的病毒威脅

第12章網(wǎng)絡時代的病毒威脅2本章概要病毒、惡意代碼和垃圾郵件是計算機系統(tǒng)中常見的安全威脅。這些安全威脅有以下共性：它們都是來自網(wǎng)絡；它們使用或破壞計算機資源；它們通常在用戶不知情或無意的情況下進入計算機系統(tǒng)；3課程目標通過本章的學習，讀者應能夠：識別幾種計算機惡意代碼并能列舉范例；識別幾種特殊類型惡意代碼并了解其特性；解釋各種類型的惡意代碼是如何進入計算機系統(tǒng)，以及是如何在計算機系統(tǒng)中傳播的；了解可能感染惡意代碼的系統(tǒng)所表現(xiàn)出的常見癥狀或行為。412.1特洛伊木馬

512.1.1特洛伊木馬程序的特征和行為就像神話傳說一樣，特洛伊木馬程序表面上是無害的，甚至對沒有警戒的用戶還是頗有吸引力，它們經(jīng)常隱藏在游戲或圖形軟件中，但它們卻隱藏著惡意。這些表面上看似友善的程序運行后，就會進行一些非法的行動，如：刪除文件或?qū)τ脖P格式化。特洛伊可能會帶有一個有效負載，如病毒。特洛伊將該病毒釋放到系統(tǒng)中，或者有效負載中可能包含一些指示來收集信息，并將信息通過互聯(lián)網(wǎng)發(fā)送給一個未授權(quán)的用戶（這些類型的特洛伊通常被稱為后門特洛伊）。一個有效負載通常會被某個特定的用戶活動或一個觸發(fā)時間激活，如某個特定的日期或時間。與病毒不同，特洛伊木馬不復制自己。一個被特洛伊木馬程序感染的計算機系統(tǒng)將會表現(xiàn)出不尋常的行為或運行得比平時要慢。可能會有一個或多個不尋常的任務在運行(這個癥狀通?？梢酝ㄟ^使用任務管理器或相似的工具查出)，或者對計算機的注冊表和其他配置文件進行修改。最后，還可能有證據(jù)顯示，電子郵件信件會在用戶不知情的情況下被發(fā)送。712.1.2特洛伊木馬程序的傳播由于特洛伊是一個非自我復制的惡意代碼，因此它們要依靠用戶向其他人發(fā)送它們自己的拷貝。特洛伊可以作為電子郵件附件傳播，或者它們可能隱藏在用戶與其他用戶進行交流的文檔和其他文件中?；ヂ?lián)網(wǎng)新聞組通常包含隱藏有后門特洛伊病毒的信件。它們還可以被其他惡意代碼所攜帶，如蠕蟲。最后，特洛伊有時也會隱藏在從互聯(lián)網(wǎng)上下載的捆綁的免費軟件中。當用戶安裝這個軟件時，特洛伊就會在后臺被自動秘密安裝。812.1.3特洛伊程序范例TROJ_WIDGET.046該特洛伊與從互聯(lián)網(wǎng)上下載的免費游戲軟件進行捆綁。被激活后，它就會將自己復制到Windows的系統(tǒng)文件夾中，并向注冊表添加鍵值，保證它在啟動時被執(zhí)行。該特洛伊然后便可以從被感染的計算機中盜取信息，并將其發(fā)送到mail.ru的賬戶中。該信息包含硬件配置信息，被緩存的密碼和WebMoney信息。如果計算機安裝了ICQ，它還可以獲得ICQ的信息。然后，特洛伊會從互聯(lián)網(wǎng)上更新自己，也就是說，在到達了目標的計算機后它的任務可能會改變。TROJ_WIDGET.046己不是在野(in-the-wild)病毒(通過互聯(lián)網(wǎng)傳播，通過日常的普通的運行感染用戶)下圖12.1示范了該病毒的活動情況。圖12.1特洛伊木馬感染機理TROJ_FLOOD.BI.DR該后門程序包可能會迫使被感染的系統(tǒng)成為FTP服務器，使遠程用戶能夠向被感染的工作站或服務器上傳或下載文件。它還會將被感染的系統(tǒng)變成HTTP服務器，通過HTTP請求對其進行遠程操控。該后門程序包還包含IRC(InternetRelayChat)腳本，可以用來發(fā)動DoS攻擊。如果安裝了該腳本，惡意用戶便可以操縱被感染的系統(tǒng)進入IRC網(wǎng)絡中的大量目標中，使它對這些目標連續(xù)進行Ping操作。它表現(xiàn)出特洛伊木馬程序、后門和Dropper這三種不同類型惡意代碼的特征。然而，將這種特殊類型的惡意代碼定義為特洛伊是因為它在運行前表面上是無害的程序。

它可以運行在MicrosoftWindows的幾種版本中，包括Windows98、ME、2000和XP。TROJ_FLOOD.BI.DR已不是在野病毒。變體：遠程訪問特洛伊木馬

遠程訪問特洛伊(RAT)是特洛伊木馬程序的一個變體。也稱作net-hack程序。RAT是一個可以在目標計算機上安裝服務器組件的惡意代碼，當計算機被感染后，攻擊者便可以使用一個簡單的客戶程序訪問這臺計算機。這個服務器組件作為一個網(wǎng)關(guān)可以讓攻擊者進入一臺計算機或網(wǎng)絡。BackOrifice(BO)就是當前出現(xiàn)的一個臭名昭著的在野RAT之一。BO是一個稱為“TheCultoftheDeadCow(死牛祭拜)”的小組創(chuàng)造和發(fā)布的，按他們的說法是，他們想警告消費者注意Microsoft操作系統(tǒng)的安全問題。BO的最初版本是在1998年出現(xiàn)的，主要影響運行Windows95或Windows98的PC。BO2000是該RAT的一個更新版本，它還可以感染W(wǎng)indowsNT。BO可為遠程用戶許可“系統(tǒng)管理員”的特權(quán)，使攻擊者能夠完全控制被感染的計算機。BO不可能被計算機的合法用戶發(fā)現(xiàn)，因為它是隱蔽運行的，只消耗很少的內(nèi)存和資源，只提供遠程訪問。下圖12.2示范了BO的活動情況。

圖12.2遠程訪問特洛伊木馬示意圖像其他特洛伊木馬一樣，RAT表面上是無害的程序，可作為附件被下載或發(fā)送。一些RAT具有類似蠕蟲的特性，這大大增強了它們的傳播能力。1412.2網(wǎng)絡蠕蟲蠕蟲和病毒是兩種最常見的惡意代碼形式。兩種形式都是通過復制自己來達到破壞的目的，并且都可以通過電子郵件傳播的。然而，病毒要求一個宿主來傳播，而蠕蟲是獨立的。1512.2.1蠕蟲的特征和行為蠕蟲是能夠復制自己的一個程序或一組程序，蠕蟲有時會攜帶病毒，當蠕蟲被激活時，病毒就會被釋放到計算機系統(tǒng)中，或該蠕蟲本身能夠破壞信息和資源。一個被蠕蟲感染的計算機系統(tǒng)表現(xiàn)出的行為與受到特洛伊木馬感染的系統(tǒng)所表現(xiàn)出來的行為相同。系統(tǒng)可能會表現(xiàn)出不尋常的行為，或運行較平常變慢?？赡軙幸粋€或多個不尋常的任務在運行(該癥狀通?？梢酝ㄟ^使用任務管理器或相似的工具查出)，或者對計算機的注冊表和其他配置文件進行修改。最后，還可能有證據(jù)顯示，電子郵件信件在用戶沒有授權(quán)或不知情的情況下被發(fā)送。1612.2.2蠕蟲的傳播方式蠕蟲的傳播方式與特洛伊的傳播方式相同：是通過電子郵件附件或計算機用戶之間共享的文件傳播。然而.病毒通過感染宿主文件來傳播，被感染的宿主文件在用戶的行為下從一個用戶傳播到另一個用戶(發(fā)送電子郵件或共享文件)。特洛伊在這一點上相似，它要求用戶執(zhí)行它攜帶的惡意代碼或?qū)⒏郊D(zhuǎn)發(fā)給其他用戶。然而、蠕蟲能夠不在用戶的參與下自己傳播。作為獨立的程序，它們不需要借助宿主即能傳播。許多蠕蟲利用操作系統(tǒng)和其他程序中的自動化功能。例如，許多電子郵件閱讀程序有一個預覽窗口，向用戶顯示附件中包含的內(nèi)容。這個預覽功能能夠使蠕蟲在用戶不執(zhí)行該惡意代碼時也能啟動。當蠕蟲被激活時，他便能夠命令一個電子郵件程序創(chuàng)建并向用戶地址本中所列的地址發(fā)送包含有該蠕蟲的郵件，所有這些都是在用戶不知情的情況下進行的。蠕蟲還可以將自身的復制文件栽種到共享文件夾，或使用文件系統(tǒng)共享，如Kazaa。假設(shè)此時用戶下載了共享文件的文件，從而為蠕蟲的傳播創(chuàng)造了條件。有些時候，蠕蟲還得用聊天程序傳播，如ICQ、AIM或其他即時消息程序。1812.2.3蠕蟲范例蠕蟲KLEZ系列的變種在2002年活動非常猖獗。WORM_KLEZ.H就是其中的一個。這個蠕蟲還包括：W32/KLEZ-G：I-WORM.KLEZ.H；I-WORM.W32/KLEZ.GEN＠MM；W32.KLEZ.H＠MM。WORM_KLEZ.H是一個群發(fā)郵件蠕蟲，利用電子郵件來傳播自己。該蠕蟲附著在電于郵件附件中，在通過MicrosoftInternetExplorer查看或預覽時會自動運行。執(zhí)行后，蠕蟲會將隨意被命名的文件栽種到系統(tǒng)中，在系統(tǒng)注冊表AutoRunkey中創(chuàng)建一個表項，然后感染EXE文件。它對其目標文件進行加密(壓縮)，然后用隨機的名稱修改文件擴展名。它還會將它所加密的文件的屬性設(shè)置為只讀、隱藏、系統(tǒng)和存檔等類型。然后這個蠕蟲會將它自己復制到被感染文件的原來的文件上。該蠕蟲還會使與各種防毒產(chǎn)品相關(guān)的程序的可執(zhí)行文件停止運行，或暫時刪除這些文件。最后，蠕蟲可以通過自己的SMTP引擎發(fā)送電子郵件來向其他計算機傳播。該蠕蟲可使用幾種不同的方法來收集目標電子郵件地址，并為新電子郵件隨機選擇主題行。2012.3釣魚程序網(wǎng)絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，是常見的網(wǎng)絡詐欺行為。該詞嫁接了fishing和phone，大約起源于1996年，黑客起初利用電子郵件作為誘餌，盜用美國在線的賬號和密碼，后來鑒于最早的黑客是用電話線作案，所以黑客們常常用Ph來取代f，就形成了Phishing一詞?！熬W(wǎng)絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點進行詐騙活動，受騙者往往會泄露自己的重要數(shù)據(jù)，如信用卡號、賬戶用戶名、口令和社保編號等內(nèi)容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達5％的人都會對這些騙局做出響應。2112.3.1常見的網(wǎng)絡釣魚手段“網(wǎng)絡釣魚”的主要伎倆在于仿冒某些公司的網(wǎng)站或電子郵件，然后對其中的程序代碼動手腳，如果使用者信以為真地按其鏈接和要求填入個人重要資料，資料將被傳送到詐騙者手中。實際上，不法分于在實施網(wǎng)絡詐騙的犯罪活動過程中，經(jīng)常采取以上幾種手法交織、配合進行，還有的通過手機短信、QQ、MSN進行各種各樣的“網(wǎng)絡釣魚”不法活動。發(fā)送電子郵件，以虛假信息引誘用戶中圈套

詐騙分于以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內(nèi)容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。2006年2月份發(fā)現(xiàn)的一種騙取美邦銀行(SmithBarney)用戶的賬號和密碼的“網(wǎng)絡釣魚”電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，并精心設(shè)計腳本程序，用一個顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄，使用戶無法看到此網(wǎng)站的真實地址。當用戶使用未打補丁的Outlook打開此郵件時，狀態(tài)欄顯示的鏈接是虛假的。而用戶點擊鏈接時，實際連接的是釣魚網(wǎng)站http://**.41.155.60:87/s。該網(wǎng)站頁面酷似SmithBarney銀行網(wǎng)站的登陸界面，但是用戶一旦輸入了自己的賬號密碼，這些信息就會被黑客竊取。建立假冒網(wǎng)站，騙取用戶賬號密碼實施盜竊犯罪分子建立起域名和網(wǎng)頁內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺極為相似的網(wǎng)站，引誘用戶輸入賬號密碼等信息，進而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲蓄卡、證券交易卡盜竊資金；還有的利用跨站腳本，即利用合法網(wǎng)站服務器程序上的漏洞，在站點的某些網(wǎng)頁中插入惡意Html代碼，屏蔽住一些可以用來辨別同站真假的重要信息，利用cookies竊取用戶信息。如曾出現(xiàn)過的某假冒銀行網(wǎng)站，網(wǎng)址為，而真正銀行網(wǎng)站是，犯罪分子利用數(shù)字l和字母i非常相近的特點企圖蒙蔽粗心的用戶。又如2004年7月發(fā)現(xiàn)的某假公司網(wǎng)站(網(wǎng)址為)，而真正網(wǎng)站為，詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過QQ散布“XX集團和XX公司聯(lián)合贈送QQ幣”的虛假消息，引誘用戶訪問。而一旦用戶訪問該網(wǎng)站，首先生成一個彈出窗口，上面顯示“兔費贈送QQ幣”的虛假消息。而就在該彈出窗口出現(xiàn)的同時，惡意網(wǎng)站主頁面在后臺即通過多種IE漏洞下載病毒程序lenovo.exe，并在2秒鐘后自動轉(zhuǎn)向到真正網(wǎng)站主頁，用戶在毫無覺察中就感染了病毒。病毒程序執(zhí)行后，將下載該網(wǎng)站上的另一個病毒程序bbs5.exe，用來竊取用戶的傳奇賬號、密碼和游戲裝備。當用戶通過QQ聊天時，還會自動發(fā)送包含惡意網(wǎng)址的消息。利用虛假的電子商務進行詐騙此類犯罪活動往往是建立電子商務網(wǎng)站，或是在比較知名、大型的電子商務網(wǎng)站上發(fā)布虛假的商品銷售信息，犯罪分子在收到受害人的購物匯款后就銷聲匿跡。如2003年，罪犯佘某建立“奇特器材網(wǎng)”網(wǎng)站，發(fā)布出售間諜器材、黑客工具等虛假信息，誘騙顧客將購貨款匯入其用虛假身份在多個銀行開立的賬戶，然后轉(zhuǎn)移錢款的案件。除少數(shù)不法分子自己建立電于商務網(wǎng)站外，大部分人采用在知名電子商務網(wǎng)站上，如“易趣”、“淘寶”、“阿里巴巴”等，發(fā)布虛假信息，以所謂“超低價”、“免稅”、“走私貨”、“慈善義賣”的名義出售各種產(chǎn)品，或以次充好，以走私貨充行貨，很多人在低價的誘惑下上當受騙。網(wǎng)上交易多是異地交易，通常需要匯款。不法分子一般要求消費者先付部分款，再以各種理由誘騙消費者付余款或者其他各種名目的款項，得到錢款或被識破時，就立即切斷與消費者的聯(lián)系。利用木馬和黑客技術(shù)等手段竊取用戶信息后實施盜竊活動木馬制作者通過發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序，當感染木馬的用戶進行網(wǎng)上交易時，木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼，并發(fā)送給指定郵箱，用戶資金將受到嚴重威脅。如2005年網(wǎng)上出現(xiàn)的盜取某銀行個人網(wǎng)上銀行賬號和密碼的木馬Troj_HidWebmon及其變種，它甚至可以盜取用戶數(shù)字證書。又如去年出現(xiàn)的木馬“證券大盜”，它可以通過屏幕快照將用戶的網(wǎng)頁登錄界面保存為圖片，并發(fā)送給指定郵箱。黑客通過對照圖片中鼠標的點擊位置，就很有可能破譯出用戶的賬號和密碼，從而突破軟鍵盤密碼保護技術(shù)，嚴重威脅股民網(wǎng)上證券交易安全。又如2004年3月，陳某盜竊銀行儲戶資金一案，陳通過其個人網(wǎng)頁向訪問者的計算機種植木馬，進而竊取訪問者的銀行賬戶和密碼，再通過電子銀行轉(zhuǎn)帳實施盜竊行為。利用用戶弱口令等漏洞破解、猜測用產(chǎn)賬號和密碼不法分子利用部分用戶貪圖方便設(shè)置弱口令的漏洞，對銀行卡密碼進行破解。如2004年10月，3名犯罪分子從網(wǎng)上搜尋某銀行儲蓄卡卡號，然后登陸該銀行網(wǎng)上銀行網(wǎng)站，嘗試破解弱口令，并屢屢得手。2812.3.2網(wǎng)絡釣魚的防范措施對網(wǎng)絡釣魚可采取以下一些防范措施：(1)對要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件不予理睬。(2)絕對不要回復或者點擊郵件的鏈接——如果你想核實電子郵件的信息，使用電話，而非鼠標；若想訪問某個公司的網(wǎng)站，使用瀏覽器直接訪問，而非點擊郵件中的鏈接。(3)留意網(wǎng)址——多數(shù)合法網(wǎng)站的網(wǎng)址相對較短，通常以.com或者.gov結(jié)尾，仿冒網(wǎng)站的地址通常較長，只是在其中包括合法的企業(yè)名字(甚至根本不包含)。同時開啟反網(wǎng)絡釣魚(anti-phishing)工具來防范，因為眼睛看到的是正確網(wǎng)址，但工具看到的才是真正機器碼。(4)避兔開啟來路不明的電子郵件及文件，網(wǎng)絡釣魚經(jīng)常會伴隨著間諜軟件同時潛入，所以還需要安裝專業(yè)的反間諜/反木馬專業(yè)產(chǎn)品(如：上網(wǎng)助手的“反釣魚專家’)，打開個人網(wǎng)絡防火墻，及時升級病毒知識庫和操作系統(tǒng)補丁。(5)使用網(wǎng)絡銀行時，選擇使用網(wǎng)絡憑證及約定賬戶方式進行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計算機上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。(6)大部分的“網(wǎng)絡釣魚”信件使用英文，除非用戶在國外申請過該服務，否則收到的應該都是中文信件。(7)將可疑軟件轉(zhuǎn)發(fā)給網(wǎng)絡安全機構(gòu)或直接提交給上網(wǎng)助手(上傳可疑進程)，共同維護一個良好健康的網(wǎng)絡環(huán)境。3012.4間諜軟件3112.4.1Spyware簡述Spyware間諜軟件通過以下一些手段竊取用戶信息：監(jiān)控使用者的計算機使用習慣及個人信息的應用程序；在用戶未知情或授權(quán)的情況下發(fā)送信息到第三方；使用欺騙手段安裝的程序；隱藏在個人計算機中的軟件；使用隱秘手段監(jiān)視用戶活動的軟件；擊鍵記錄程序；以及收集網(wǎng)頁瀏覽歷史記錄的軟件。參見下頁圖12.3Spyware間諜軟件隱秘手段示意圖。圖12.3Spyware間諜軟件隱秘手段示意圖通常在發(fā)生以下情形時，系統(tǒng)中有很大的可能性被安裝了Spyware：在沒有進行網(wǎng)頁瀏覽的狀況下彈出廣告頁面：網(wǎng)頁瀏覽器的默認主頁以及默認搜索設(shè)置選項在用戶不知情的情況下被篡改；發(fā)現(xiàn)瀏覽器的工具欄出現(xiàn)了新的用戶并不清楚的按鈕，而且該按鈕很難被去除；計算機系統(tǒng)有時會發(fā)生在執(zhí)行特定任務時需要比平時花費更多的時間(例如瀏覽網(wǎng)頁時，發(fā)生下載安裝Spyware的情形，將導致瀏覽器的響應速度變慢)；系統(tǒng)可能無緣無故的掛起并死機。一般情況下SPyware往往會伴隨一些顯示廣告或是跟蹤記錄個人敏感信息的軟件(稱為adware)：運行時顯示廣告條的應用程序；常常包含Spyware的組件，以幫助應用程序了解基于用戶的行為習慣顯示特定的廣告。還有其他一些令人厭煩的程序，會修改系統(tǒng)的設(shè)定導致令人煩惱的結(jié)果。這些程序通常具有修改瀏覽器首頁以及默認搜索頁的能力，或者在瀏覽器中添加用戶不想要的組件。往往這些程序會使得將設(shè)定恢復到初始狀態(tài)的操作變得極為困難。這些程序也被定義為Spyware。有許多方式可以被Spyware利用，進而將Spyware安裝到系統(tǒng)中的操作。最常見的手法是用戶在安裝所感興趣的應用程序時，偷偷的進行安裝，如安裝音樂和視頻共享軟件。當用戶在安裝任何應用程序時，一定要確保閱讀所有免責條款，包括用戶許可以及隱私保護條款。有時候關(guān)于Spyware的安裝聲明會被列在相關(guān)條款的最后。3612.4.2常見的Spyware表現(xiàn)癥狀不斷彈出廣告與當前瀏覽的網(wǎng)站無關(guān)的廣告大量彈出，這些通常是令人討厭的站點的廣告。如果發(fā)現(xiàn)在開機時即有廣告彈出，或在沒有瀏覽網(wǎng)頁的情況下彈出廣告，系統(tǒng)中有很大的可能性被安裝了Spyware。設(shè)定被修改并且無法有效恢復某些Spyware具有修改瀏覽器主頁以及搜索頁設(shè)定的能力。這將導致在打開瀏覽器進行瀏覽或是使用瀏覽器的搜索功能時，彈出的是用戶所不熟悉的頁面。而且即使用戶知道如何恢復相關(guān)的設(shè)定，在系統(tǒng)重啟后這些設(shè)定又被恢復到被篡改的狀態(tài)。瀏覽器被安裝了所不認識的額外組件Spyware可在瀏覽器上添加不必要的工具條按鈕。即使用戶對這些工具條進行刪除操作，但在系統(tǒng)重啟后這些工具條又會重現(xiàn)。計算機運行變遲緩Spyware通常不被設(shè)計為可以有效率的運行。Spyware所運用監(jiān)控以及對用戶行為的監(jiān)控技術(shù)會直接導致系統(tǒng)的運行效能下降，甚至這些軟件中所包含的錯誤可導致系統(tǒng)崩潰。如果發(fā)現(xiàn)特定程序持續(xù)崩潰，例如瀏覽器持續(xù)發(fā)生異常，系統(tǒng)在運行例行任務時比正常緩慢，系統(tǒng)中有很大的可能被安裝了Spyware。3812.4.3Spyware常見安裝手法

用戶被欺騙進行Spyware的安裝（參見圖12.4）圖12.4Spyware間諜軟件安裝界面與其他軟件進行捆綁（參見圖12.5）圖12.5Spyware間諜軟件與其他軟件捆綁4012.4.4如何防護Spyware調(diào)整瀏覽器設(shè)定對瀏覽器安全等級進行調(diào)整，適當提高安全等級，參見圖12.6。圖12.6提高瀏覽器安全級別使用防火墻多數(shù)Spyware會和特定的Web站點進行信息的交換，通過在防火墻上設(shè)置相關(guān)的策略，可以阻止此類的信息交換。同時，帶有應用程序監(jiān)控的防火墻軟件可以很好的監(jiān)控系統(tǒng)中建立網(wǎng)絡連接的應用程序，從而可以很容易的發(fā)現(xiàn)系統(tǒng)中產(chǎn)生非正常活動的程序，并進一步采取移除及防護措施。僅從可信站點下載程序可避免下載經(jīng)過第三方修改的捆綁有Spyware的軟件。閱讀軟件安裝須知及使用者協(xié)議通過仔細閱讀軟件安裝須知及使用者協(xié)議，可避免在不知情的情況下在系統(tǒng)中安裝不必要的Spyware。關(guān)閉窗口時使用窗口上的關(guān)閉按鈕可以避免錯誤的對軟件安裝須知及使用者協(xié)議進行確認的操作，從而將不必要的Spyware安裝到系統(tǒng)。4312.5垃圾郵件4412.5.1概述垃圾郵件也稱為Spam。與惡意代碼和病毒不同，垃圾郵件不包含惡意代碼，不會破壞系統(tǒng)。然而，垃圾郵件可通過大量的業(yè)務造成服務器的過載，并消耗帶寬和網(wǎng)絡存儲空間，降低公司發(fā)送和接收合法郵件的能力。垃圾郵件會拖慢系統(tǒng)運行，嚴重時會造成停機。例如，DoS攻擊會利用大量的垃圾郵件來向系統(tǒng)“灌水”，使系統(tǒng)無法正常運行。接收到垃圾郵件的員工必須花時間來對電子郵件進行分類，將合法郵件從垃圾郵件中摘出。他們可能還會閱讀垃圾郵件或點擊垃圾郵件中的網(wǎng)絡連接，造成員工的分心和工作效率下降。此外，騙取雇員的返回地址的垃圾郵件還可能破壞公司的名譽和關(guān)系。垃圾郵件可能包括(但不限于)：用戶不想接收的廣告；連鎖信；層壓式銷售；色情內(nèi)容。4612.5.2垃圾郵件的傳播垃圾郵件主要通過電子郵件中的廣告?zhèn)鞑?。發(fā)送垃圾郵件的人使用電子郵件地址列表群發(fā)垃圾郵件信息。為了收集這些地址列表，垃圾郵件發(fā)件人使用可以瀏覽互聯(lián)網(wǎng)郵件地址的軟件程序。一些垃圾郵件發(fā)件人會從商店和其他記錄他們客戶的電子郵件地址的組織那里購買電子郵件列表。垃圾郵件的發(fā)件人還會向其他垃圾郵件發(fā)件人銷售地址列表。大多數(shù)垃圾郵件發(fā)件人不會從他們自己的互聯(lián)網(wǎng)服務供應商(ISP)處發(fā)送垃圾郵件，因為接收垃圾郵件的人通過封鎖來自某個ISP域的郵件便很容易防止將來垃圾郵件的攻擊。他們一般通過垃圾“郵件中轉(zhuǎn)”的方法路由郵件，隱藏垃圾郵件的來源。當一個郵件服務器被用來處理不是那個郵件服務器用戶發(fā)送和接收的郵件時，垃圾郵件中轉(zhuǎn)就會發(fā)生。下圖12.7示范了垃圾郵件發(fā)件者使用垃圾郵件中轉(zhuǎn)來發(fā)送大量的垃圾郵件。圖12.7垃圾郵件的傳播垃圾郵件通常被認為是第三方中轉(zhuǎn)。當郵件的發(fā)送人和接收人都在郵件服務器的本地域之外，則該郵件服務器就是該事務中的第三方。第三方中轉(zhuǎn)有一些合法的使用權(quán)利。網(wǎng)絡管理員有時會使用第三方中轉(zhuǎn)來調(diào)試郵件的連續(xù)性或路由郵件。垃圾郵件的發(fā)件者使用垃圾郵件中轉(zhuǎn)使他們的郵件混過垃圾郵件過濾器。當一封郵件通過一個垃圾郵件中轉(zhuǎn)時，它會改變顯示在地址窗口中的互聯(lián)網(wǎng)域。當郵件到達目的接收者的郵箱時，它看起來像來自于中轉(zhuǎn)的源地址。垃圾郵件發(fā)送者的ISP域是不可見的，郵件可能會混進可能正在運行的垃圾郵件過濾器。4912.5.3垃圾郵件的影響如果有人把你的網(wǎng)絡當作是郵件中轉(zhuǎn)站，則你將付出沉重的代價。接收垃圾郵件的人可能會認為是你發(fā)送的。如果垃圾郵件對接收者的系統(tǒng)采取無理行為或造成破壞，可能會破壞你與該公司的關(guān)系。此外，當垃圾郵件發(fā)件者將你的網(wǎng)絡當作是垃圾郵件中轉(zhuǎn)時，他們可能會盜用你的帶寬。他們使用你的網(wǎng)絡資源，限制了你的郵件服務器能夠處理的合法業(yè)務量。當業(yè)務量變得越來越多以致超載時并造成郵件服務器癱瘓時，你有可能遭到了DoS攻擊。利用偽造地址發(fā)送的垃圾郵件還可能造成機密信息的丟失。例如，一些垃圾郵件可能要求獲得私密、金融或安全信息。接收者相信該郵件是由可信任的機構(gòu)發(fā)送的，例如業(yè)務合伙人，可能會提供所請求的信息。在這種情況下，真正發(fā)送這封郵件的攻擊者會盜取用戶的ID獲得想要的信息。垃圾郵件的泛濫會為IT部門帶來沉重的費用。IT專業(yè)人員會收到大量受到影響的、最終用戶的投訴，他們不得不從垃圾郵件中進行篩選，以及那些主管人員的投訴，他們擔心由于這些垃圾郵件所產(chǎn)生的責任問題。IT專業(yè)人員不僅要花大量的時間來處理這些投訴，還要分析垃圾郵件問題，評估和管理相應的反垃圾郵件解決方案。目前的大多數(shù)反垃圾郵件技術(shù)都是被動的，無法完全檢測目前復雜的垃圾郵件戰(zhàn)術(shù)或垃圾郵件類型，不能滿足全球分布式企業(yè)的核心需要。5112.5.4垃圾郵件的伎倆

一些垃圾郵件聲稱提供快速致富方法和其他商業(yè)機會。這些郵件只會欺騙那些天真的人或老年人。例如，Nigerianscam欺騙全球的人們現(xiàn)在用幾千美元可能換回幾百萬美元。根據(jù)美國財政部的統(tǒng)計，Negerian垃圾郵件每年可獲得幾億美元的利潤，目前損失還在繼續(xù)升級。Negerian垃圾郵件的最成功版本還牽涉到資金轉(zhuǎn)賬。公司或個人通常會收到一封來自自稱是尼日利亞(也可能說是其他國家)的高級官員的電子郵件。這名“官員”告訴收信人說他正在尋找一家知名的外國公司或個人，并能夠向他們的賬戶中存取1000萬～6000萬美元的資金。這封信還聲明這些資金將只會被轉(zhuǎn)到一個外國賬戶。發(fā)送垃圾郵件的人會向?qū)⒁芎Φ氖占颂峁?0％的傭金。為了開始轉(zhuǎn)賬過程，騙子請求被騙人先寄些錢。在被害人寄完錢后，發(fā)送垃圾郵件的人就會等待一段時間，然后再同被騙人聯(lián)系。該垃圾郵件的發(fā)送者會說，事情沒有按照計劃中的那樣進展，還需要再寄一些錢來才能完成資金的轉(zhuǎn)賬。騙子會一直這樣要下去，直到被騙人最后放棄或把錢都匯光了。5312.5.5垃圾郵件的防范

不幸的是，從過去幾年的趨勢來看，垃圾郵件有增無減。垃圾郵件的發(fā)送者看到了垃圾郵件的低成本和為他們帶來的豐厚利潤。一個垃圾郵件發(fā)送者發(fā)送出10000000封垃圾郵件，其中只要有100人回復，就能為他帶來利潤，這也就是說，垃圾郵件的攻擊還會繼續(xù)增加。封鎖垃圾郵件通常是一件非常困難的任務。垃圾郵件的發(fā)送者不斷采用高級的新方法來發(fā)送他們的郵件，但你可以通過以下幾種方法來減少系統(tǒng)被攻擊的危險。不輕易留下電子郵件地址每次你給某個人留下你的電子郵件地址時，你被列人垃圾郵件發(fā)送者的發(fā)信清單中的機會就會增加一些。大多數(shù)網(wǎng)上購物站點都要求你留下電子郵件地址。有些脫機商店提供一些打折或免費商品，需要你留下你的電子郵件地址。你應該清楚，雖然只要留下你的電子郵件地址你便會獲得一點好處，但也可能使你的郵件地址被垃圾郵件的制造者獲得。使用電子郵件的過濾功能大多數(shù)電子郵件應用程序都有過濾功能，使你能夠封鎖指定地址的郵件。如果你經(jīng)常從同一個互聯(lián)網(wǎng)域中收取垃圾郵件，你可以封鎖來自這個用戶的所有郵件。然而，封鎖一個互聯(lián)網(wǎng)域可能會導致這個域中的所有郵件都無法進入你的郵箱，即使是你想要的郵件。只有在確定來自這個域的所有郵件都是垃圾郵件時才應使用這個特性。垃圾郵件產(chǎn)生的影響在物理上可能不會造成破壞性，但在經(jīng)濟上卻具有破壞性。垃圾郵件使用系統(tǒng)資源，降低了員工的工作效率。雇員花費時間從垃圾郵件中進行篩選，降低了工作效率。有些雇員可能會閱讀垃圾郵件，并點擊信件中所包含的網(wǎng)絡連接，造成工作效率的進一步下降。垃圾郵件利用眾多的業(yè)務使服務器超載，降低了服務器發(fā)送、接收與業(yè)務相關(guān)的信件的能力。過多的業(yè)務量減緩了系統(tǒng)運行，甚至造成郵件服務器的癱瘓。另外，垃圾郵件還可能破壞公司的商業(yè)關(guān)系，引起法律訴訟，給雙方都來昂貴的代價。當前，垃圾郵件仍然是不可忽視的問題。雖然已經(jīng)努力阻止垃圾郵件進入郵箱，但用戶每天收到的垃圾郵件的數(shù)量卻仍在增加。一個防止垃圾郵件的最有效方法是不要輕易告訴別人你的電子郵件地址，只告訴值得信任的團體。如果收到大量的來自一個地址的垃圾郵件，可以利用電子郵件應用程序中的過濾功能來阻擋所有郵件進入該地址。5812.6即時通信軟件

互聯(lián)互通與安全已經(jīng)成為即時通信市場發(fā)展的兩大掣肘，不同服務商之間的“井水不犯河水”、“分而治之”制約了即時通信市場的發(fā)展步伐，頻頻出現(xiàn)的病毒和黑客攻擊現(xiàn)象則讓用戶深受其害，大大影響了即時通信市場的拓展。提起騰訊QQ，這在互聯(lián)網(wǎng)民當中可以說是無人不知、無人不曉，它是使用率相當高的一項即時通信軟件，而騰訊QQ的火爆程度證明了即時通信市場的巨大發(fā)展?jié)摿ΑＳ纱?，騰訊公司又推出了針對商務個人用戶的即時通信軟件--TencentMessenger，顯然隨著即時通信市場的不斷發(fā)展，即時通信產(chǎn)品定位也在不斷走向細化。但是，不同即時通信產(chǎn)品之間的互聯(lián)互通以及即時通信軟件的安全防護問題將是用戶最為關(guān)心的兩大問題，也是制約即時通信市場發(fā)展的兩大掣肘。截至本書出版時，不同服務商的即時通信軟件之間還無法實現(xiàn)互聯(lián)互通，這讓用戶頗有怨言，即時通信市場的發(fā)展步伐也因此受到制約。即時通信產(chǎn)品擁有廣闊的市場前景。如，據(jù)騰訊官方統(tǒng)計數(shù)據(jù)表明，騰訊QQ擁有1.2億用戶，網(wǎng)易的“網(wǎng)易泡泡”則擁有5300萬使用網(wǎng)易郵箱的潛在用戶。但互聯(lián)互通性能的缺失很大程度上阻礙了即時通信市場的進一步拓展。目前國內(nèi)最受消費者關(guān)注的即時通信軟件是騰訊QQ、網(wǎng)易泡泡、雅虎通、朗瑪UC和微軟MSN、新浪“了了吧”、阿里巴巴“貿(mào)易通”等，但毫無例外，不同服務商的即時通信軟件無法實現(xiàn)互聯(lián)互通。對于服務商來說，不同服務商看待互聯(lián)互通問題的立場也是不一致的。實力較強的服務商多半不愿意實現(xiàn)和其他服務商的軟件兼容，而實力相對較弱的服務商則希望通過即時通信軟件的兼容，也就是互聯(lián)互通來擴大自身即時通信軟件產(chǎn)品的用戶群。實際上，即時通信軟件之間要實現(xiàn)互聯(lián)互通主要涉及技術(shù)和利益兩個方面。從技術(shù)角度分析，即時通信軟件之間互聯(lián)互通的難度并不高，軟件之間實現(xiàn)兼容、實現(xiàn)互聯(lián)互通完全可以做到。2004年9月，美國路透社AOL就簽署了一項合作協(xié)議以實現(xiàn)兩家公司的即時通信服務軟件之間的互相開放。這樣，路透社即時通信軟件的用戶將能夠“看到”登錄到包括AIM、ICQ在內(nèi)的AOL公司即時通信服務系統(tǒng)上的用戶，并與他們互相通信。目前互聯(lián)互通難，就難在互聯(lián)互通企業(yè)間的利益分配上。經(jīng)濟學上有個“馬太效應”，大意是：越是富有的越容易得到，越是貧窮的越容易失去。在即時通信領(lǐng)域，馬太效應表現(xiàn)得很明顯。因為多數(shù)即時通信軟件的用戶都具有從眾心理，他們希望通過即時通信軟件尋找網(wǎng)友實現(xiàn)網(wǎng)絡交流，當然會首先選擇使用已經(jīng)擁有相當多使用者的即時通信軟件。而且用戶群體龐大的即時通信軟件在功能上相對來說也比較完善，在程序運行上會更加穩(wěn)定，這也是許多用戶青睞QQ、MSN的主要原因。由此，“強者愈強，弱者愈弱”。而對于騰訊QQ、MSN這樣已經(jīng)擁有數(shù)百萬用戶的企業(yè)而言，他們更愿意將精力放在對自身即時通信產(chǎn)品的進一步研發(fā)上，產(chǎn)品間的互聯(lián)互通在一定程度上會分流這些企業(yè)的潛在用戶甚至現(xiàn)有用戶。用戶群較小的即時通信軟件則十分希望能夠?qū)崿F(xiàn)軟件產(chǎn)品之間的互聯(lián)互通，其原因不言自明。所以，如何進行利益分配仍然是解決即時通信軟件之間互聯(lián)互通問題的關(guān)鍵。但是，如果不同服務商之間“井水不犯河水”、“分而治之”，長此以往，用戶利益將受到損害，即時通信市場的發(fā)展步伐也將因此受到制約。其一，對于用戶來說，不能互聯(lián)互通顯然帶來了不少麻煩。例如，由于MSNMessenger和騰訊QQ不能互聯(lián)互通，許多國內(nèi)用戶不得不在機器上安裝兩套軟件，以便保持同兩個社區(qū)的用戶溝通。但顯而易見，同時啟動多個聊天應用程序會導致電腦程序運行速度下降，給用戶操作帶來不便。試想想，看見程序欄上四五個即時通信軟件的圖標在閃動，能不煩嗎？實際上，許多用戶沒少抱怨過即時通信軟件之間不兼容的問題。“一山不容二虎”，當越來越多用戶厭倦了安裝兩套功能雷同的工具，而不得不在兩者之間做出去留選擇的時候，實現(xiàn)互聯(lián)互通的迫切性就越來越高。其二，即時通信軟件之間互聯(lián)互通的缺失不利于服務商拓展市場。以騰訊QQ為例，QQ目前的個人消費用戶群體越來越大，用戶在收入層次、文化層次和年齡段差異也越來越大，用戶的需求也就越來越多樣化，“一件衣服大家穿”顯得越來越不合時宜。這樣，騰訊就必須認真考慮如何對個人消費用戶群體進行細分，這對騰訊來說是個極大的挑戰(zhàn)。所以，服務商應當將目光放諸長遠，尋找一條可以“共享利益”、“共同發(fā)展”的途徑。而且，無論何種產(chǎn)業(yè)，聯(lián)合都是發(fā)展趨勢之一。

安全問題是困擾即時通信服務商已久的市場“軟肋”，它正成為即時通信市場發(fā)展的“攔路虎”。頻頻出現(xiàn)的病毒和黑客攻擊對即時通信軟件的安全敲響了警鐘。僅僅2003年12月，MSN出現(xiàn)了“我愛你”、“MSN竊賊”和“JITUX”三種病毒，這不能不引起人們對即時通信軟件安全隱患的關(guān)注。據(jù)了解，目前病毒攻擊即時通信軟件主要有兩種形式，一種是偷盜用戶號碼，另一種是利用即時通信軟件的活鏈接功能來進行傳播。顯然，安全隱患正成為即時通信服務商拓展市場的“攔路虎”。對于個人用戶來說，通過即時通信軟件傳播的病毒就像是潛藏的炸彈，一旦爆發(fā)，輕則資料丟失，重則電腦癱瘓，更有甚者，會造成即時通信用戶之間的誤會，給人們帶來“情感危機”。例如前一段時間相當猖撅的“QQ尾巴”病毒，感染該病毒的用戶在向其他用戶發(fā)送即時信息時，所謂的“QQ尾巴”即一些網(wǎng)絡廣告或者商業(yè)網(wǎng)址會隨之送出，接收信息的一方點擊這些網(wǎng)址的時候，也會同樣感染上“QQ尾巴”病毒。

而對于企業(yè)級用戶來說，一個重要問題就是大多數(shù)即時通信系統(tǒng)是公開的，這意味著用戶只要知道另一個用戶的即時通信地址，他就可以直接向?qū)Ψ桨l(fā)送信息，這對于員工向外界泄露企業(yè)的商業(yè)秘密非常便利。而且即時通信的主要特點是點對點(ptop)進行數(shù)據(jù)交換，即兩臺終端之間的直接交流，而不需要通過任何第三方服務器中轉(zhuǎn)。這就使得網(wǎng)絡監(jiān)管對即時通信用戶的數(shù)據(jù)交換進行監(jiān)控的難度增加，這讓企業(yè)管理者大為頭疼。有分析人士指出：在任何規(guī)模的一家企業(yè)當中，制定安全標準，諸如加密XML信息至關(guān)重要。否則的話，企業(yè)無法知道誰會得到其保密信息。實際上，企業(yè)解決這一問題的一個最佳辦法就是部署一個可以與企業(yè)外部聯(lián)系但卻相對封閉、執(zhí)行嚴格安全技術(shù)標準的系統(tǒng)。即時通信的安全軟助因此也孕育出另一個龐大的市場。IDC公