今天,卡巴斯基的相关人士表示已经在网上看到了瑞星发出的“ 瑞星悬赏百万求证据 欲起诉卡巴斯基”的声明,但一直没有接到瑞星给卡巴斯基公司发来的声明或律师函,没法回应。这位卡巴斯基的相关人士语气轻松,当被问及此事时,她首先笑了。按照卡巴斯基这位“杀毒卫士”的说法是“瑞星在网上瞎嚷嚷,卡巴斯基还无法针尖对麦芒地发表声明回应。”
此前,瑞星就卡巴斯基误杀事件攻势猛烈,卡巴斯基也相继针对瑞星的凌厉攻势发表连续声明,双方剑拔弩张。
瑞星和卡巴斯基之间形成的已经初具规模的内外杀毒软件互掀内幕之战正在进一步升级,双方都有海量的粉丝用户做后盾,好戏还在后面。继卡巴斯基误杀瑞星卡卡、瑞星怒斥卡巴斯基、卡巴斯基称瑞星炒作等事件后,瑞星与卡巴斯基之争再次升级。
瑞星发声明称,“卡巴斯基雇用论坛枪手恶意诽谤瑞星公司”,并已经掌握了“大量确凿的证据”;另外,瑞星还发布公告,“悬赏100万征集更多证据”,以便“对卡巴斯基公司提起国际诉讼”。之前,瑞星曾称自己受到大规模的网络论坛攻击。
5月19日,卡巴斯基将瑞星卡卡当病毒查杀,两家便开始交锋。以下为瑞星律师声明和悬赏公告全文:
卡巴斯基雇用论坛枪手恶意诽谤瑞星公司 律师声明
根据瑞星公司已经掌握的大量确凿证据表明,自从2006年9月至今,卡巴斯基公司雇用多家论坛、博客传播公司及大量论坛枪手(包括部分论坛版主和站长),冒充用户的名义,通过夸大卡巴斯基产品功能,并宣称“瑞星产品不好用”、“查不出病毒”等内容肆意诋毁瑞星公司品牌及产品形象,误导和欺骗公众,给瑞星公司造成及其恶劣的社会影响,严重侵害了瑞星公司的商誉等合法权益,严重影响了瑞星公司的正常运营并造成了巨大的经济损失。卡巴斯基公司上述行为,已涉嫌违反《中华人民共和国反不正当竞争法》,并构成诽谤罪。
本律师谨代表瑞星公司要求卡巴斯基公司及其雇用的论坛传播公司、论坛传播人立即停止一切攻击、诽谤瑞星公司的非法行为,并立即向瑞星公司公开道歉。同时瑞星将对卡巴斯基公司、受雇论坛传播公司和受雇论坛传播人提起法律诉讼,要求卡巴斯基公司、受雇论坛传播公司和受雇论坛传播人承担相应的民事及刑事责任,并赔偿一切经济损失。
瑞星悬赏100万征集更多证据 卡巴斯基面临国际诉讼 瑞星悬赏公告
鉴于卡巴斯基公司雇用数家论坛传播公司和枪手,对瑞星公司长达9个月的恶意攻击,瑞星公司正式宣布,悬赏100万元人民币向社会各界继续征集相关证据。被征集的证据仅限于,替卡巴斯基公司攻击瑞星的论坛传播公司及论坛枪手(包括某些版主),关于在论坛上诋毁、攻击瑞星行为的商业合同、组织计划、沟通信件和任务、报酬证明等资料,具体的悬赏办法将在近日公布。
瑞星将征集更多的证据,对卡巴斯基公司提起国际诉讼,并对相关论坛传播公司、论坛枪手(包括某些版主)提起诉讼,要求相关公司和个人承担民事及刑事等一切法律责任,并赔偿一切经济损失。
附录:瑞星已对相关证据进行了保留和公证,部分证据如下:
证据一:收买个人站长、版主和博客的QQ信息
证据二:5月21日,在两个著名博客的评论栏中,接连出现四个顺序相同、内容相同、时间相近、攻击瑞星吹捧卡巴斯基的匿名评论
证据三:网友提供的有组织同时发贴的证据截图
Windows操作系统
Windows系列操作系统之所以容易受到病毒攻击,主要是因为操作系统设计复杂,会出现大量的安全漏洞。如2003年8月份全球泛滥的“冲击波(Worm.Blaster)”病毒就是利用了系统的RPC缓冲区漏洞才得以大面积传播与泛滥。
漏洞是指操作系统中的某些程序中存在有一些人为的逻辑错误,这些错误隐藏很深,一般是被一些程序员或编程爱好者在研究系统的过程中偶然发现的,这些发现的错误公布后很可能被一些黑客利用,于是这些能被利用的逻辑错误就成了漏洞。
除了RPC漏洞外,操作系统还存在许多其它的漏洞,比如说年初的“蠕虫王”病毒就是利用了SQL Server 2000的缓冲区漏洞。据不完全统计,Windows NT系列操作系统已存在有近千个已知的安全漏洞。而随着新操作系统的推出,新漏洞将会更多地被发现。
安全建议:对于我们普通用户,大家首先应该是填补漏洞,操作系统的漏洞就像一个非法的通道,通过这个通道病毒可以随意进入用户的电脑,所以要想使操作系统安全就必须定期升级系统,给系统打上安全补丁。建议大家经常去微软网站下载补丁包来升级系统,例如最新的SERVER PACK 4补丁包能修补600多个安全漏洞。
当用户填补完系统漏洞后,笔者建议大家选用一款专业的杀毒软件来全面保护系统。经常升级的杀毒软件将能最大限度地保护电脑,免除隐患。
即时通讯软件
QQ、MSN、网易泡泡这些即时聊天软件的出现拉近了人与人之间的距离。据说QQ软件在中国已经拥有了1亿多用户,每天都有几十万的用户同时在线。然而,随着这类软件使用人数的增加,这类软件也成了病毒的新攻击对象。
攻击即时通讯软件的病毒主要有两种形式。一种是偷盗用户号码。它会将自己伪装成即时通讯软件的登录页面来欺骗用户,当用户在这个登录框中输入自己的用户名和密码时,病毒便会自动将这些信息发送到指定邮箱,从而失去即时通讯软件中的网络身份。另一种是利用即时通讯软件的活链接功能来进行传播,活链接功能即当用户收到好友发来的一个网址时,只要点击该网址就能直接进入该网页。由于该功能的方便性,被很多病毒利用,病毒运行时会利用聊天窗口向所有在线好友发送一个病毒网址的活链接,当好友误以为是有用网址点击时就会中毒,从而使病毒得到广泛传播。比如在去年大规模泛滥的“QQ尾巴(Trojan.QQ3344.s)”病毒,该病毒运行时会向正在聊天的QQ用户发送消息,收到消息的QQ好友如果点击该链接地址的话,就会中毒,然后继续感染其它正在QQ上聊天的QQ好友。
安全建议:这类软件设计比较简单,所以笔者估计,类似“QQ尾巴(Trojan.QQ3344.s)”的病毒还将大量出现。用户可以下载专门的病毒专杀工具定期清除电脑中隐藏的病毒,对电脑比较了解的用户还可以使用防火墙来防止一些非法的程序来访问网络。此外用户还可以使用一些专门的即时通讯保护软件来防止未知病毒的破坏,因为国内的几家反病毒公司都在积极研制即时通讯软件的保护产品,象瑞星公司就在与腾讯公司积极进行深层次的技术合作,相信不久以后,用户就可以用到这些即时通讯保护产品。
网络游戏软件
目前市场上流行的网络游戏已达数十种。网络游戏的火暴让攻击网络游戏的病毒也大量地滋生。它们的主要特点就是盗号,盗号成功后病毒释放者就会将被盗网络游戏用户的身份以及价值不菲的虚拟财产偷走,攻击网络游戏软件的病毒大多数会通过网络扫描的方式或者向外发送大量病毒邮件的方式来感染用户计算机,感染成功后,病毒就会偷盗特定网络游戏的密码信息,然后在电脑联网时将这些信息发送到指定信箱。如“密码狩猎者(Worm.PSW.CqSys)”病毒就是这样的病毒,病毒运行时会通过局域网传播并偷盗“传奇”游戏的密码,使用户的游戏身份和虚拟财产丢失。
安全建议:由于攻击网络游戏的病毒很多,而且病毒变种产生的速度也很快,笔者建议玩家在玩游戏时打开实时监控程序来防止病毒攻击。除此之外,用户还可以采用网络游戏保护产品来保护某些网络游戏,只要配置得当,就能防止该网络游戏被任何病毒攻击。
Outlook类软件
Outlook以及Outlook Express是最常用的邮件客户端软件,也是非常容易受到邮件病毒攻击的软件。由于这类软件有两个重要漏洞:预览漏洞和执行漏洞,因此产生了大量利用这两个漏洞的病毒。利用预览漏洞编写的病毒,用户只要一点击该病毒邮件,病毒就会自动执行破坏代码,使用户防不胜防。利用执行漏洞编写的病毒,它的带毒邮件会有一个特点,就是邮件很大但用户却看不到附件,原因是病毒利用邮件编码功能将自身以媒体形式隐藏在邮件的正文中,只要用户打开该邮件,病毒就会自动还原成病毒,继而对用户电脑进行破坏。如“欢乐时光(VBS.Happytime)”病毒会将自己伪装成信纸,然后附加到邮件的正文中四处传播;而“求职信(Worm.Klez)”病毒则是利用邮件预览漏洞进行传播的。
安全建议:保护这类软件的最好的方法是使用杀毒软件的邮件监控功能。几乎每种杀毒软件都提供了邮件监控功能,该监控程序会监控邮件形成、发送、接收的全过程,在接收或者发送邮件的同时对该邮件进行病毒扫描,发现病毒时就会提醒用户采取相应的措施。
IE浏览器
IE浏览器是我们使用最多的浏览器,它也存在许多安全漏洞并成为了病毒的攻击对象。最常见的病毒攻击方式是利用脚本执行漏洞。该漏洞会在用户浏览网页时自动执行网页中的有害脚本程序,或者自动下载一些有害的病毒,从而对用户的电脑造成破坏。如“极限女孩”病毒,它内嵌在网页中,当用户在不知情的情况下打开含有该病毒的网页时,病毒就会修改用户的IE默认首页、在桌面上建立大量的色情网站链接,影响用户正常使用计算机。
安全建议:保护IE浏览器的最好方法是使用杀毒软件的脚本监控功能和注册表修复工具。脚本监控功能会从系统的底层监视IE浏览器的网页执行情况,当发现有病毒时,该监控就会提示用户,采取相应的措施。而注册表修复工具可以修复被病毒破坏的注册表信息。
P2P软件
P2P软件是点对点的传输通讯工具,只要使用同一个P2P软件,用户之间就可以直接进行交流、聊天、交换文件等。随着P2P软件使用范围的普及,有越来越多的病毒开始盯上这类软件。大多数攻击P2P软件的病毒都是利用自动配置脚本和共享目录进行传播。病毒感染用户电脑时就会查找这些P2P软件所在的目录,然后将自身加入到脚本配置文件中,由该配置文件自动将病毒传播出去。或者病毒会将自己拷贝到P2P软件的共享目录中去,并由P2P软件的其它用户主动运行病毒,从而造成病毒传播。像去年泛滥的“泡沫人(Worm.p2p.fizzer)”病毒就是一个通过P2P软件的共享目录进行传播的恶性病毒,病毒泛滥时会造成网络阻塞。
安全建议:对付这类病毒,可以采用杀毒软件的文件监控及内存监控功能了。文件监控是监视系统中的所有文件读写操作,发现病毒时就会直接将病毒清除,而内存监控则会监视内存中活的病毒,在病毒还未发作时,将病毒清除。
总 结
经过分析,笔者发现只要是功能强大、用户群多或者有利可图的软件,都是病毒攻击的重点,这一点是我们分析一个软件是否会受到病毒攻击的标准。而根据病毒产生的逻辑,笔者预计在已经到来的2007年里,网络游戏软件病毒和即时通讯软件病毒爆发的频率将大大增加,建议用户对这两类软件要特别注意病毒的防护。
(一)默认主页被修改
1.破坏特性:默认主页被自动改为某网站的网址。
2.表现形式:浏览器的默认主页被自动设置为其他的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开: HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。
4.危害程度:一般
(二)默认首页被修改
1.破坏特性:默认首页被自动改为某网站的网址。
2.表现形式:浏览器的默认主页被自动设置为其他的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按F5键刷新生效。
4.危害程度:一般
(三)默认的微软主页被修改
1.破坏特性:默认微软主页被自动改为某网站的网址。
2.表现形式:默认微软主页被篡改。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到 Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为http://www.microsoft.com/windows/ie_intl/cn/start/即可。按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]"default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
4.危害程度:一般
(四)主页设置被屏蔽锁定,且设置选项无效不可更改
1.破坏特性:主页设置被禁用。
2.表现形式:主页地址栏变灰色被屏蔽。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建 “ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"HomePage"=dword:00000000
4.危害程度:轻度
(五)默认的IE搜索引擎被修改
1.破坏特性:将IE的默认微软搜索引擎更改。
2.表现形式:搜索引擎被篡改。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到“SearchAssistant”键值名,在右面窗口点击“修改”,即可对其键值进行输入为:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm,然后再找到“CustomizeSearch”键值名,将其键值修改为:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm""CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
4.危害程度:一般
(六)IE标题栏被添加非法信息
1.破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。
2.表现形式:在IE顶端蓝色标题栏上多出了什么“正点网,即使正点网!http://www.zhengdian.com"尾巴。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到“Window title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新。 第二,按如下顺序依次打开:HKEY_CURRENT_MACHINE\Software\ Microsoft\InternetExplorer\Main分支,找到“Window title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Window title"="Microsoft Internet Explorer"[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]"Window title"="Microsoft Internet Explorer"
4.危害程度:一般
(七)OE标题栏被添加非法信息破坏特性
1.破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息。
2.表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支,找到Windowtitle以及Store Root键值名,将其键值均设为空。按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]"Windowtitle"="""Store Root"=""
4.危害程度:一般
(八)鼠标右键菜单被添加非法网站链接
1.破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。
2.表现形式:添加“网址之家”等诸如此类的链接信息。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效。
4.危害程度:一般
(九)鼠标右键弹出菜单功能被禁用失常
1.破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
2.表现形式:在IE中点击右键毫无反应。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支,找到“NoBrowserContextMenu”键值名,将其键值设为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]"NoBrowserContextMenu"=dword:00000000
4.危害程度:轻度
(十)IE收藏夹被强行添加非法网站的地址链接
1.破坏特性:通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息。
2.表现形式:躲藏在收藏夹下。
3.清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。
4.危害程度:一般
(十一)在IE工具栏非法添加按钮
1.破坏特性:工具栏处添加非法按钮。
2.表现形式:有按钮图标。
3.清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可。
4.危害程度:一般
(十二)锁定地址栏的下拉菜单及其添加文字信息
1.破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。
2.表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Toolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键值设为“链接”,多余的字符一律去掉,按F5键刷新生效。
4.危害程度:轻度
(十三)IE菜单“查看”下的“源文件”项被禁用
1.破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。
2.表现形式:“源文件”项不可用。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。 按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]"NoViewSource"=dword:00000000[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]"NoViewSource"=dword:00000000
这份PPT详细的介绍 KAV/KIS 7.0 的各项技术改进,包括:
1.新增的启发引擎(传统特征病毒库+主动防御+基于仿真技术的启发引擎)。
2.加强 Anti-rootkit 效果,可以有效的查杀各种恶意 Keylogger 和 NTFS 数据流。
3.改进型的反黑防火墙,blocked 性能比6.0有不小进步,值得欣喜的是,开发组重写了网络驱动的代码,大大减轻防火墙拖慢网速的程度200条规则下,KIS6 (in) 48.38% (out) 35.37%KIS7 (in) 99.25% (out) 98.75%。
4.加强隐私保护技术和实时阻止各种 keyloggers 等等。
PPT下载:ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.119%20tr/NG_Moscow_18may07_public.ppt
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:
1.攻击系统数据区,攻击部位包括:
硬盘主引寻扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
2.攻击文件
病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。
3.攻击内存
内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存。
4.干扰系统运行
病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。
5.速度下降
病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6.攻击磁盘
攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。
7.扰乱屏幕显示
病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。
8.键盘
病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。
9.喇叭
许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声
10.攻击CMOS
在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
11.干扰打印机
假报警、间断性打印、更换字符。
近日,360安全卫士所属公司奇虎网董事长周鸿祎表示,诺顿和卡巴斯基出现误报和误杀的根源在于本地化不够,乌龙事件给国际厂商们敲响了警钟。
周鸿祎在22日下午接受专访时表示,杀毒产品现在已经从一款单一的软件,转变成服务,这对厂商本地化提出了更高的需求,但是现在国际安全厂商在这些方面的步伐都没有跟上。
“诺顿和卡巴斯基同时犯了错误,就说明这是个行业的问题。”周鸿祎认为,安全类产品的地域化用户需求差别很大,“诺顿在美国那边测试时,肯定不知道中国人到底在用什么软件,卡巴斯基俄罗斯的测试人员也不会使用QQ。”
“中国的流氓软件很少能够跑到美国用户的电脑上,而美国的流氓软件也很少能够在中国泛滥。”他说,杀毒产品在研发、测试、管理以及市场方面,都要非常本地化才能够进行。
周鸿祎认为,要从根源上解决这些低级错误的误报问题,必须真正建立本地化的团队,或者是学习eBay和TOM的合作模式,找一个本土的企业来成立合资公司,放权运营。
周鸿祎说,误杀事件如果演变成口水战,可能会毁掉整个杀毒行业。他认为,企业在出现了问题之后,必须首先是解决问题,而且是给予用户最简单直接的解决办法。
“视用户的利益于不顾,推诿责任,或者是与其它企业去打口水仗,最终会让用户对这个行业失去信任。”周鸿祎说,发生问题的企业,该认错的时候要认错,该道歉的时候要道歉,其它同行也不应该抓住此事不放,否则一旦全行业面临信任危机,最终可能没有赢家。
近日,卡巴斯基和赛门铁克误判的均为中文版Windows XP 操作系统的文件。周鸿祎怀疑有可能是微软捣鬼。他说中文版系统和英文版底层是完全一样的,不同的只是语言界面。而微软在其系统上留有后面,在用户接入互联网之后,操作系统可以偷偷进行正版验证。
周鸿祎说,“其实也有可能是微软在中文Windows中,偷偷的放入了某些不干净的文件”。他强调这是一个猜测,尚需业界安全专家去验证误杀是不是有微软身上的原因。
周鸿祎透露之前在与卡巴斯基的合作中,也遇到过一些卡巴斯基本地化不够的问题,“中国公司做不了很多事情,比如, 病毒样本上报,都要送到俄罗斯去。”他表示,误报并不会影响到360安全卫士与卡巴斯基的合作,但是奇虎会建议卡巴斯基多做本地化的工作。
“ 杀毒软件和药一样,都是有副作用的。”周鸿祎说,判断规则太严,容易产生很多误报,太松又容易产生漏报。他说很多杀毒厂商在判断上都有自己的平衡点,虽然误杀的问题暴露了,但是如果厂商都怕误杀而将警报的规则放松,导致病毒漏报,可能也不是用户愿意看到的。
对于误杀事件的解决,周鸿祎认为,最好的解决办法是积极面对问题,坦诚的向用户道歉,并给予用户一定的免费使用时间,以弥补给用户造成的不便。
5月18日,一场突如其来的诺顿误报事件波及了中国数百万电脑用户,一时间,各大媒体纷纷报道,网络上关于杀毒软件误报的讨伐声也不绝余耳。
5月19日,在事件发生的十几个小时后,诺顿发表公开声明,并公布了本次误报问题的解决方案,事件尘埃落地。
然而这场被反病毒专家称为“近5年来最大的误报”事件,是否就这样结束?误杀到底是如何产生的?能否避免?类似的误杀事件是否可能再次发生?一系列的问题都还没有答案。
误报是如何产生的?
误报是杀毒软件最忌讳的事情,也是难免的,但在有保证的情况下,是可以最大限度的去避免误报。
金山毒霸反病毒专家戴光剑表示,误报的产生主要有两种原因:一是鉴定错误,把正常文件误认为病毒。比如一个网管软件,有病毒分析员收集到这个文件后,分析认为其存在不安全行为,就极有可能并将判定为病毒;二是病毒特征提取错误引起的误报。如果工程师在提取病毒特征时,因疏忽而提取错误。比如病毒一般是用高级语言编写,如果疏忽提到了该编译器的部分特征,就可能出现将使用该语言编写的所有程序判断为病毒,此次诺顿误报事件就是将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll判定为病毒所致。
人非圣贤,孰能无过?但作为一个国际知名的杀毒软件出现将系统文件判定为病毒这种严重的误报问题,确实需要反思一下。
是突发事件,还是早有隐患?
其实,误报问题在杀毒软件中时有发生,尤其是一些国外的杀毒软件,由于一些操作机制的问题,发生误报的几率要高于国内的杀毒软件。
2001年诺顿“误报”瑞星2002版杀毒软件带“欢乐时光”病毒;2006年卡巴斯基误报金山词霸为病毒;同年,误报QQ2006正式版和QQ游戏2006为木马病毒;2007年卡巴斯基提示暴风的升级模块是木马,造成大部分用户无法正常使用暴风影音;2007年趋势误报联众客户端为病毒等等。
既然误报问题并非技术难题?为什么同样的错误一再发生?而且这些被误报的软件均是很受国内用户欢迎的应用软件。问题又出在哪里呢?
金山毒霸反病毒专家戴光剑给出了答案,“各大杀毒厂商通常会不断的从用户、互联网中收集大量的程序和软件,其中最重要的就是各种操作系统,形成一个巨大的误报库,通常这个库多达几百个G的容量。在十几台专用误报测试服务器的速度保证下,完成当次病毒库的测试工作。与国内杀毒软件相比,国外产品对中国软件的收集不足,误报库不全面。”
而此次诺顿误报简体中文版Winxp sp2系统文件为病毒的根本原因,正是因为没有将中文版的操作系统文件加入到误报库中。
如何避免误报?
诺顿误报事件已经告一段落,但没人会知道明天是否再会发生类似的事件,误报问题是否有根本的解决办法呢?
戴光剑指出,各大杀毒厂商在防止误报方面都在进行着积极的努力,以金山毒霸为例,采取了很多积极的措施来最大限度的减少误报的可能。
首先,金山毒霸的病毒库的制作升级过程需要有病毒库制作、病毒库测试、病毒库升级三个过程来进行,并使用专门的小组来负责;
其次,金山毒霸在对可疑样本文件进行鉴定时,是通过了有效的白名单过滤机制,再通过二次人工鉴定方法来确认病毒样本的可信性,这是为了有效的确认样本文件确为病毒,排除误鉴定的问题。提取病毒特征的方法上我们进行了多年的经验积累,已经可以有效的避免提到非病毒特征的位置。将病毒特征制作成最后的病毒库。
再次,在病毒库测试阶段又分为病毒查杀有效性测试和误报测试,有专人维护,不停的从互联网和用户手中收集各类程序来扩充。
最后,将测试完毕的病毒库放给用户升级。金山毒霸每周17次升级,每次升级前都会用最新制作的病毒库扫描这个庞大的误报库,如果在鉴定和提取特征时出现失误,也基本会在误报库测试中发现并即时修正。
互联网的迅猛发展,人们对网络的依赖程度越来越高,网络银行、网络炒股、网络查询等等,人们的生活开始日益网络化。然而面对蠕虫、木马、黑客的频繁入侵,人们对杀毒软件的需求也日益强烈。用户越多,杀毒厂商的责任就越大,任何无视用户利益的行为必将遭到用户的质疑。
今天,瑞星再次发布声明,公布了卡巴斯基杀毒软件半年之内发生的22次重大误杀事件,并称其行为是蔑视中国用户权益的强盗行径。(全文如下)
附:请看卡巴斯基22次重大误杀的具体情况
一、2007年5月21日,卡巴斯基将QQ2007Beta1官方版本中的"QQExternal.exe"文件当作"Trojan-Dropper.Win32.Agent.ajw"木马进行查杀,造成该软件许多功能无法正常使用。——QQ是中国最大的即时通信软件,拥有上亿用户。
二、2007年5月19日,卡巴斯基将金山公司WPS2005安装程序释放的startMenu.dll文件当作"TrojanDownload.Agent.yoh"木马程序进行查杀,造成WPS2005无法被正确安装使用。——WPS是中国民族软件的旗帜,而且金山公司是卡巴斯基公司的竞争对手。
三、2007年5月19日,卡巴斯基把瑞星卡卡的升级组件识别为病毒,并将其彻底删除,导致瑞星卡卡无法升级,无法查杀最新的流氓软件。——瑞星卡卡是中国用户量最多、最受用户欢迎的反流氓软工具,拥有5000万左右的用户,瑞星公司为卡巴斯基公司的竞争对手。
四、2007年5月18日,卡巴斯基误将XP中文版的系统文件shdocvw.dll文件当作"Trojan.Win32.Agent.alz"病毒清除,会造成用户启动系统后桌面上所有图标都消失,并且无法看到任务栏。——几乎所有的华语用户都在使用简体或繁体版本的操作系统软件。
五、2007年4月28日,卡巴斯基将金山词霸某升级版本当作病毒查杀,造成用户无法正常使用该软件。——国内用户量最大的翻译软件,金山公司为卡巴斯基公司的竞争对手。
六、2007年4月,卡巴斯基将股票交易软件"同花顺"误报为病毒。
七、2007年4月6日,卡巴斯基5.0误报卡巴斯基6.0简体中文版安装包为"Trojan.Win32.KillAV.jr"。——不作评论。
八、2007年2月26日,卡巴斯基将企达软件公司的多款商业软件作品报毒(企达软件系列作品是由全中文编程语言--《易语言》编写的。)值得注意的是,早在2006年2月23日卡巴斯基因为误报"易语言"而被大连某公司状告至大连中山区法院,并败诉且在电脑报上公开道歉,可畏屡教不改。
九、2007年2月24日,卡巴斯基将著名压缩软件WinRAR 3.62的官方版本的Default.SFX文件当作病毒清除,同时,采用该版本生成的自解压缩包均被识别为"Trojan-PSW.Win32.Nilage.bhe"病毒。——数千万中国用户在使用的重要工具软件。
十、2007年1月22日,卡巴斯基再次将Win2000 SP4中的wininet.dll文件当作病毒清除,导致打开IE时报错,并且依赖于该文件访问网络的下载工具等均无法正常使用。——目前有数千万中国用户正在使用该操作系统。
十一、2006年12月29日,卡巴斯基将系统文件wininet.dll当作病毒清除,造成IE无法正常使用。--目前有数千万中国用户正在使用该操作系统。近日,有消息称,有大量的用户因诺顿误杀导致XP崩溃,又有数千名卡巴斯基杀毒软件的用户称开机后XP系统崩溃,无法进入计算机“桌面”。
对此,卡巴斯基台湾地区代理商向外界发表声明,称其为某些有心人士特意利用媒体炒作,企图夸大并捏造事实。
声明全文如下:
我们在此提出正式的声明响应关于此次的状况,使用者必须更新了有这个状况的病毒数据库之后,并且进行全机扫瞄才会出现这个状况,未进行全机扫瞄仅使用实时监控,并不会发生任何问题。
而由于大部分用户都是在夜间进行全机扫描,因此只有极少数需要在白天进行全机扫描的用户才会受影响,因此受影响的用户,事实上是非常的少数比例。而事实上,卡巴斯基的技术支持中心也并未接获太大数量的相关技术支持需求。
关于当日所发生此现象之后,卡巴斯基技术支持单位在发现这个状况后,立刻通知卡巴斯基分析专家,在半小时内便已经排除了这个状况,之后便再也没有受影响的用户。
关于媒体报导未经求证 "满屏一片蓝色" 实在过于夸大,这个档案即便遭到删除,根本也不会让系统发生 "蓝色屏幕" 的状况 系统仍可正常开机,唯一有状况 只是无法开启 Explorer.exe 这个程序。所有媒体上"标准"报导中前篇提到 "满屏一片蓝色" ,后篇又提到"无法开启档案以及IE",试问若已经"满屏一片蓝色",又何来得知"无法开启档案以及IE",对于此不专业的内容,便可证明实在为有心人士未达特殊目的不择手段的不专业态度。另外若删除此档案的用户,都可以直接于系统上透过工作管理员 呼叫卡巴斯基,将档案由备份区恢复即可将系统回到先前的状态,并不会对使用者造成太多的不便。
5月19日上午,许多卡卡用户向瑞星公司求助:用卡巴斯基杀毒软件杀毒后,瑞星卡卡上网安全助手无法正常升级。经过瑞星研发部门的测试分析,发现卡巴斯基杀毒软件,把瑞星卡卡的升级组件识别为病毒,并将其彻底删除,导致瑞星卡卡无法升级。
同时,当卡巴斯基杀毒软件的实时监控功能开启时,用户即使重装瑞星卡卡,其升级组件也会被继续杀除,导致该产品无法升级。
据介绍,该版本的升级组件早在2007年3月16日就已经发布,在发布后长达2个月的时间内并没有任何公司、组织、个人、机构对该升级组件表示异议。测试部经理表示,完全不理解为什么卡巴斯基查杀瑞星卡卡。继国际反病毒软件卡巴斯基被曝“误杀”瑞星卡卡上网助手风波之后,近期又有网友反映,卡巴斯基对网上即时通信软件——腾讯QQ的文档软件发出“木马病毒”预警。接到报料后,笔者先后与腾讯公司以及卡巴斯基实验室(中国)求证。腾讯方面表示,腾讯QQ软件中未植入恶意代码,有关的防病毒软件警报俱属误报。卡巴斯基(中国)经核实后向笔者表示,查杀QQ文档文件系个别现象,不知如何解释。 卡巴斯基会与合作伙伴核实相关软件的风险,更新病毒库信息。
是腾讯含木马还是卡巴斯基误报?
21日,有网友反映,在使用卡巴斯基杀毒软件时,弹出一个窗口称腾讯QQ中的一个名为“QQexternal.exe”文档“含有特洛伊木马程序且无法被清除”。究竟是腾讯QQ内含木马程序,还是卡巴斯基杀毒程序误报?网友表示无法确认。
通过网友提供的截屏信息,笔者查找了QQexternal.exe的相关信息,据了解,QQexternal.exe是QQ即时通讯客户端相关程序,用于下载展示广告,即QQ弹出广告程序。该文件信息显示文件不含木马和病毒。
腾讯:绝对不含病毒程序
笔者随后向腾讯客服中心求证。腾讯客服热线表示,腾讯公司可以保证,聊天软件中绝对不含病毒程序。腾讯与卡巴斯基是合作伙伴,相关问题可能是由于卡巴斯基病毒库尚未更新引起的。
腾讯公关负责人经核实后声明, 腾讯公司从未在软件中植入恶意代码,有关的防病毒软件警报俱属误报。广大用户可以安心使用腾讯软件。腾讯解释称,确实有少量用户致电反映这一现象,误报现象主要出现在QQ2007 Beta1版本上。QQ表示目前正就误报问题与卡巴斯基沟通,敦促其更新病毒库,解除此次误报。
卡巴斯基:个别现象不知该如何解释
卡巴斯基实验室(中国)方面公关负责人在了解情况之后表示,经过向腾讯公司以及卡巴斯基技术服务部门的核实,没有接到相关情况的报告。公关负责人表示,网友反映的问题可能是“个别现象”。卡巴斯基表示,公司会在核实相关软件的风险后,会更新病毒库信息去除相关信息。另外,卡巴斯基公关负责人指出,软件只是提示用户,某些程序的行为可能存在风险,并非判定该软件就是病毒。
既然软件不含木马病毒,为什么卡巴斯基软件会跳出“含有木马程序”的提示呢?对此,卡巴斯基公关负责人表示“我不知道该如何解释”,得问“技术人员”。建议遇到相关问题的网友直接找卡巴斯基技术支持人员联系获取技术帮助。
卡巴斯基关于5月18在台湾地区短暂怀疑shdocvw.dll.doc为木马的解释性说明
2007年5月21日,有部分报道将5月18日发生在台湾地区的卡巴斯基反病毒软件短暂怀疑Windows XP系统中的shdocvw.dll.doc文件为木马的现象扭曲成“卡巴斯基误杀Windows 导致XP系统崩溃”。发生在台湾地区的这起针对shdocvw.dll.doc文件的短暂怀疑行为已经过去数天,而且由于卡巴斯基在事发三十分钟内即已修正该怀疑行为,即使在台湾也只涉及极少数的用户,中国大陆用户就更绝少受到此因素影响。为了让广大用户了解全面而真实的情况,卡巴斯基诚挚的就这件已经过去好几天、几乎未对中国大陆用户造成什么影响的短暂怀疑行为做出如下解释性说明:
一、shdocvw.dll.doc是Windows应用程序自带的一个文件。2007年5月18日上午,有台湾地区用户在使用卡巴斯基反病毒软件进行整机扫描时,发现卡巴斯基会短暂的将shdocvw.dll.doc怀疑为木马文件,向用户提示其可选择“跳过”或“删除”该文件。从接到第一个用户反映开始,卡巴斯基即在半小时内在全球更新了病毒库,自动修正了该问题。由于只有选择整机扫描的用户才会遭遇上述情形,而绝大多数用户都是在夜间进行全机扫描,所以即使在台湾,也只有极少的用户受此影响,中国大陆用户就更少。
必须指出的是,即使那些选择了“删除”上述文件的用户,其电脑根本就不会发生“蓝屏”现象,也没有遭遇系统崩溃,系统仍可正常关机,只是无法开启IE程序。因此,所谓卡巴斯基误杀Windows XP,导致“蓝屏”、系统崩溃是没有事实依据的。
二、卡巴斯基是目前全球少数提供了备份机制的杀毒软件,其设计目的就是为了保障,即使用户误删除了某些文件,用户也可以通过点击卡巴斯基的备份区恢复这些文件,并恢复原有的系统。这是非常贴心的设计。“删除”shdocvw.dll.doc的用户即可通过卡巴斯基程序内设的备份机制恢复系统功能。
三、卡巴斯基反病毒软件是全球病毒库更新最快的软件,平均不低于每两小时一次,而且对于病毒、木马以及恶意程序的判定方式采用特征码以及人工智能引擎进行比对相结合的方式,因此,响应可能的短暂怀疑事件的速度非常快。只要商业软件厂商通过正常渠道向卡巴斯基提出意见,或者是卡巴斯基接受到用户的相关报告,该类短暂怀疑事件均可有效、迅速的解决。
特此声明
卡巴斯基公司
2007年5月22日
5月21日消息,与赛门铁克旗下诺顿软件误杀“乌龙”类似,5月18日卡巴斯基也摆了一道“乌龙”,将Windows系统文件“shdocvw.dll”误判为病毒,导致其用户启动电脑后无法看到正常的桌面,“满屏一片蓝色”。
目前,卡巴斯基已通过台湾代理商向用户通报,卡巴斯基杀毒软件删除了C:/WINDOWS/system32/shdocvw.dll导致用户无法正常进入Windows系统,并给出了相应的解决办法。
卡巴斯基的“乌龙”波及到了众多其中国的用户。在很多社区中,查阅到有用户对此进行求助,然而只是一些用户互相之间的扶持和帮助。卡巴斯基中国公司并未能够像其台湾代理商一样坦诚的承认错误,并给解决方案。
据悉,卡巴斯基“乌龙”的症状为系统文件shdocvw.dll被误报感染病毒“Trojan.Win32.Agent.alz”. shdocvw.dll是系统文件,一般不允许删除。如果删除,系统文件保护也会自动恢复。但是被卡巴斯基误判并强制处理之后,会导致文件夹无法打开或者IE打开报错。据瑞星公司透露,在5月19日,卡巴斯基还将查杀流氓软件的工具——瑞星卡卡误判为病毒,导致其无法正常的升级。
事发已经4天,卡巴斯基中国公司尚未公开承认此事。对于给用户造成的损失和不便,该公司也未表示是否作出相应的赔偿。
网络安全让人担心
近几年网络经济的快速发展,导致网络越来越不安全,搞得人心惶惶。利益的膨胀,使黑客慢慢走向商业化。QQ常常被盗,和游戏帐号经常被盗是最明显的例子。病毒的泛滥,使得PC用户加强对电脑的安全意识。
加强对电脑的保护最好的办法就是安装杀毒软件,但市场上的杀毒软件太多了,用户应该怎么选择呢?这是件令用户头痛的事情。现在的杀毒厂商花样百出,积极宣传他们的杀毒软件,用户真的很难选择。而杀毒厂商之间也为了争夺市场,也竞争非常激烈,现在都把对方的杀毒软件当做病毒错杀。
卡巴斯基杀瑞星卡卡事件
以前曾出现诺顿把卡巴斯基的杀毒软件里的某个文件隔离掉的例子,不过都是出现一些错误导致的。现在更严重,出现卡巴斯基杀毒软件把瑞星卡卡当做病毒处理的新闻。消息是这样的:瑞星公司5月19日下午正式发出公告,称旗下软件卡卡上网安全助手升级组件,遭卡巴斯基反病毒软件当做病毒查杀。
根据瑞星介绍,目前已接到多位卡卡用户无法升级求助。经测试分析后,发现卡巴斯基杀毒软件将卡卡升级组件识别为病毒彻底删除,导致其无法正常升级。与此同时,当卡巴斯基的实时监控功能开启时,用户即使重装卡卡,其升级组建也会被继续删除,导致无法升级。
给厂商的启发
卡巴斯基都把瑞星卡卡视为病毒处理,真的越来越难去相信那些杀毒软件了。正所谓宁杀错一万,也不肯放过一个。现在用哪个杀毒软件都不安全,杀毒软件之间都杀来杀去了,这不是给了更多的机会给病毒去作恶吗?那杀毒软件失去了保护电脑的作用了。既然失去了作用,那电脑用户根本不需要买杀毒软件,杀毒厂商也不必再费神去开发杀毒软件了。还有现在的杀毒软件升级速度也明显加快,好像卡巴斯基杀毒软件,在前几个月,更新速度超快,有时候快得是几天更新一个版本,那叫用户怎么适应,整天都是为了去升级版本吗?杀毒厂商应该好好考虑考虑今后杀毒软件的出路,如果再杀来杀去,恶性竞争,争夺市场,那用户必定对杀毒软件失去信心。卡巴把瑞星卡卡视为病毒处理,也说明国外杀毒厂商对国内的厂商不重视,看不起国内的杀毒引擎。
这次事件也是给国内杀毒厂商敲响了警钟,国外杀毒厂商正在蚕食中国的用户市场,国内厂商要警觉起来,加快杀毒引擎的开发,是当前燃眉之急。而鉴于网络安全形势越来越严峻,用户面临的威胁越来越多,所有杀毒软件厂商,无论是本土的还是全球的,应该把恶性竞争放在一边,联合起来,集中精力研发更好的产品,向用户提供尽可能准确的信息,为用户提供更好的网络安全服务。有了用户的信任,杀毒软件才会有光明的前景。软件开发的目的,也首先考虑用户的需求,杀毒软件也不例外。
2007年5月19日上午,卡巴斯基公司接到瑞星公司来电,称卡巴斯基反病毒软件将瑞星卡卡当作病毒“查杀”,要求卡巴斯基解决这一问题。卡巴斯基公司当即表示,卡巴斯基将在保障用户安全的前提下,立即安排病毒分析工程师对瑞星卡卡在用户计算机内的行为进行全面评估。鉴于卡巴斯基在全球均奉行“用户安全第一”的保护原则,对任何可能对计算机安全造成威胁的进程都会向用户提出警告,即使这些进程来自于商业软件。事实上,绝大多数全球领先的商业软件厂商在将其软件推向市场时,都很重视其软件与卡巴斯基反病毒软件的兼容性。
令人吃惊的是,卡巴斯基公司负责媒体宣传的部门很快发现互联网上出现了多篇以“卡巴斯基查杀瑞星卡卡 导致大量用户无法正常升级”为题、内容完全一样的新闻稿,最早的一篇于2007年5月19日15点05分43秒发布在瑞星官方网站上。
为避免用户、公众受到不准确信息的干扰,切实保障用户网络安全,卡巴斯基公司特就瑞星公司指称卡巴斯基反病毒软件“查杀”瑞星卡卡一事,发表如下声明:
一、卡巴斯基是全球技术领先的安全软件厂商,卡巴斯基反病毒软件是专业而领先的安全软件,卡巴斯基将用户安全放在第一位,专注于应对病毒、木马、蠕虫、恶意程序等任何可能影响计算机安全的威胁,并保护用户远离这些威胁。卡巴斯基并不是针对任何一款特定软件的卸载工具,也不事先假定任何软件是恶意软件或流氓软件;当然,如果某一软件包含上述任何可能对用户安全造成影响的威胁,卡巴斯基会实时的、负责任的提醒用户注意这些威胁,直到这些威胁在那些软件进行相应修正后消失。
二、卡巴斯基将传统的病毒特征码技术与最新的主动防御技术相结合,能够处理进出计算机的所有数据,包括电子邮件、互联网数据流和网络互动;能够监控在内存中运行的所有程序与进程,可在任何危险的、可疑的或隐藏的进程(例如Rootkits)出现时发出警报,阻断对系统的所有可能的有害更改,并可在恶意行为出现后将系统复原。
三、尽管卡巴斯基拥有全球范围内“百科全书”般丰富而庞大的病毒样本、恶意程序库和令人惊叹的主动防御能力,卡巴斯基依然十分尊重最终用户的选择权。在卡巴斯基提出威胁警告后,用户可以根据自己的知识、经验或任何其它理由自主的决定是“删除”还是“跳过”这些威胁。是否“查杀”某个软件由用户来决定,如果用户非常确信运行某个软件或进行某个操作不会产生任何威胁,卡巴斯基欢迎用户将其提交给卡巴斯基的病毒分析中心,并将由病毒分析工程师对其进行重新分析评估。
四、作为致力于保障包括中国用户在内的全球用户计算机安全的公司,卡巴斯基愿意再次重申,卡巴斯基来中国是为了向中国用户提供更好、更完美的网络安全解决方案,我们在全球都没有炒作概念,打口水战的传统,只懂得专注于提升技术实力以应对日益增长的安全威胁,只会低调前行。在发布这份官方声明之后,卡巴斯基公司将不会再就此事件发表任何的评论。我们相信,在中国这样一个有着五千年文明的伟大而智慧的国度,所有用户都能看清楚所谓的“卡巴斯基查杀瑞星卡卡”事件的真相。
鉴于网络安全形势越来越严峻,用户面临的威胁越来越多,卡巴斯基呼吁所有安全软件厂商,无论是本土的还是全球的,集中精力研发更好的产品,向用户提供尽可能准确的信息,为用户提供更好的服务。
特此声明 卡巴斯基公司 北京时间:2007年5月20日
卡巴斯基实验室公司日前发现了一种专门针对移动电话的新木马病毒。据悉,这种病毒只能在安装有SymbianOS系统的手机上运行。专家们指出,该病毒的变种会伪装成针对手机的实用程序并通过俄罗斯著名网站dimonvideo.ru进行传播。被感染的手机会向付费号码1055发送短消息——每条信息的收费为177卢布。
一旦有手机感染该病毒,犯罪分子们便可以通过其赚取不义之财。对于个人用户来说,他们的手机可能会在非常隐蔽的状态下向1055发送短信息,从而造成巨额话费支出。
据卡巴斯基实验室提供的数据,在dimonvideo.ru网站将这种新病毒清除之前,其已感染了大约200位用户的手机。这已不是卡巴斯基公司首次记录到针对JAVA手机的木马病毒。首批类似的病毒早在2004年便已出现。
病毒要进行传染,必然会留下痕迹。生物医学病毒如此,电脑病毒也是一样。检测电脑病毒,就要到病毒寄生场所去检查,发现异常情况,并进而验明“正身”,确认电脑病毒的存在。电脑病毒静态时存储于硬盘中,被激活时驻留在内存中,因此对电脑病毒的检测可以分为对硬盘的检测和对内存的检测。
一般对硬盘进行病毒检测时,要求内存中不带病毒,因为某些电脑病毒会向检测者报告假情况。例如“4096”病毒在内存中时,查看被它感染的文件,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已经增lk了4096字节;又例如,“DIR2”病毒在内存中,用Debug程序查看被感染文件时,根本看不到“DIR2”病毒的代码,很多检测程序因此而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒,当它活跃在内存中时,检查引导区就看不到病毒程序而只看到正常的引导扇区。因此,只有在要求确认某种病毒的类型和对其进行分析、研究时,才能在内存中带毒的情况下作检测工作。
从原始的、未受病毒感染的DOS系统软盘启动,可以保证内存中不带病毒。启动必须是上电启动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热启动,因为某些病毒可以通过截取键盘中断,将自己驻留在内存中。检测硬盘中的病毒,启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。如果硬盘上使用了硬盘管理软件DM、ADM,硬盘压缩存储管理软件Stacker、DoubleSpace等,启动系统软盘时应把这些软件的驱动程序包括在软盘上,并把它们写入config.sys文件中,否则用系统软盘引导启动后,将不能访问硬盘上的所有分区,使躲藏在其中的病毒逃过检查。
检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同,但由于病毒的存储方式不同,检测方法还是有差别的。主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象,确证是否为病毒的分析法。
比较法
这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法,可以用打印的代码清单(比如Debug的D命令输出格式)进行比较,也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。比较法不需要专用的查病毒程序,只要用常规DOS软件和PCTOOLS等工具软件就可以进行,而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。因为病毒传播得很快,新病毒层出不穷,而目前还没有能查出一切病毒的通用程序,或通过代码分析,可以判定某个程序中是否含有病毒的查毒程序,所以只有靠比较法和分析法,或这两种方法相结合来发现新病毒。
对硬盘的主引导区或对DOS的引导扇区作检查,用比较法能发现其中的程序源代码是否发生了变化。由于要进行比较,因此保留好原始备份是非常重要的。制作备份时必须在无电脑病毒的环境里进行,制作好的备份必须妥善保管,写好标签,贴好写保护。比较法的好处是简单、方便,不用专用软件;缺点是无法确认病毒的种类名称。另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,以查明是电脑病毒造成的,还是DOS数据被偶然原因,如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法,查看变化部分代码的性质,以此来确认是否存在病毒。
搜索法
这种方法主要是对每一种病毒含有的特定字符串进行扫描,如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的病毒。国外称这种按搜索法工作的病毒扫描软件为“Scanner”。这种病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序,病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。
病毒代码串的选择是非常重要的,短小的病毒代码只有一百多个字节,长的也只有10KB字节。一定要在仔细分析程序之后选出最具代表特性的,足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。一般情况下,代码串是由连续若干个字节组成的,但是有些扫描软件采用的是可变长串,即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时,只要除“模糊”字节之外的字串都能完好匹配,就也能够判别出病毒。另外,特征串还必须能将病毒与正常的非病毒程序区,不然就会出现“假报、误报”。
特征字识别法
这是基于特征串扫描法发展起来的一种方式,运行速度较快、误报频率较低。特征字识别法只须从病毒体内抽取很少的几个关键特征字,组成特征字库。由于需要处理的字节很少,又不必进行串匹配,因此大大加快了识别速度,当被处理的程序很大时,用这种办法比较合适。由于特征字识别法更注意电脑病毒的“程序活性”,因此减少了错报的可能性。使用基于特征串扫描法的查病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的,只要运行查毒程序,就能将已知的病毒检查出来。这两种方法的使用,都须要不断地对病毒库进行扩充,一旦捕捉到病毒,经过提取特征并加入到病毒库,就能使查病毒程序多检查出一种新病毒来。
分析法
这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒,另一方面可以辨认病毒的类型和种类,判定是否为一种新病毒,另外还可以搞清楚病毒体的大致结构,提取用于特征识别的字节串或特征字,增添到病毒代码库中供病毒扫描和识别程序使用。同时,详细地分析病毒代码,还有助于制定相应的反病毒方案。与前三种检测病毒的方法不同,使用分析法检测病毒,除了要具有相关的知识外,还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。因为即使是很精通病毒的技术人员,使用性能完善的分析软件,也不能完全保证在短时间内将病毒代码分析清楚;而病毒则有可能在被分析阶段继续传染甚至发作,把软盘、硬盘内的数据完全毁坏掉,所以分析工作必须在专门的试验用PC机上进行,不怕其中的数据被破坏。
不具备必要的条件,不要轻易开始分析工作。很多电脑病毒采用了自加密、抗跟踪等技术,使得分析病毒的工作经常是冗长枯燥的。特别是某些文件型病毒的源代码可达10KB以上,与系统的牵扯层次很深,使详细的剖析工作十分复杂。病毒检测的分析法是反病毒工作中不可或缺的重要技术,任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。
分析法分为静态和动态两种。静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析,看病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程,哪些代码可被用做特征码以及如何防御这种病毒等等。分析人员的素质越高,分析过程就越快,理解也就越深;动态分析则是指利用Debug等程序调试工具在内存带毒的情况下,对病毒作动态跟踪,观察病毒的具体工作过程,以进一步在静态分析的基础上理解病毒工作的原理。在病毒编码比较简单的情况下,动态分析不是必须的。但是,当病毒采用了较多的技术手段时,就必须使用动、静相结合的分析方法才能完成整个分析过程。
综上所述,利用原始备份和被检测程序相比较的方法适合于不用专用软件,可以发现异常情况的场合,是一种简单、基本的病毒检测方法;扫描特征串和识别特性字的方法更适用于广大PC机用户使用,方便而又迅速;但对新出现的病毒会出现漏检的情况,须要与分析和比较法结合使用。
通过采取技术上和管理上的措施,电脑病毒是完全可以防范的。
18日早晨,部分装有卡巴斯基6.0的电脑出现了加载shdocvw.dll模块出错,导致EXPLORER.EXE无法运行。通过了解发现,这些电脑上的卡巴斯基6.0在今天早上病毒库升级后均检测到病毒Trojan.win32.Agent.alz,病毒文件是shdocvw.dll,并在提示操作下删除了C:\windows\system32\shdocvw.dll文件。
解决方法: 找到另一台XP的机器,搜索SHDOCVW.DLL文件存放只U盘中,在写个批处理文件内容:regsvr32 shdocvw.dll;然后启动电脑进入到WINDOWN后 ,打开任务管理器(Ctrl+Ait+Del ) ,选文件,新建运行找到U盘,把U盘中的SHDOCVW.DLL文件复制到 C:\WINDOWS\system32 目录下,重启动电脑问题即可解决!
进入操作系统后卡巴斯基还会提示木马不要点删除,跳过就行。
与6.0系列相比,7.0具有新界面和新引擎。今天,卡巴斯基官方论坛连续连续发布了7.0.0.116 nct 和7.0.0.0117 rc版。 测试版激活码就不用说了。如果覆盖安装,则以前的注册信息仍然保留有效。 这里只提供最新版下载链接。
Kaspersky Anti-Virus 7.0.0.117 RC:
Kaspersky Internet Security 7.0.0.117 RC:
下载:Kaspersky Anti-Virus 7.0.0.115 Beta (12.3 MB)
下载:Kaspersky Internet Security 7.0.0.115 Beta (12.8 MB)
KAV7.0 测试用激活码: fhj4s-r1xex-5bw3t-jyekb
KIS7.0 测试用激活码: t1jvs-nnmbd-k1qtn-subp8
近日,卡巴斯基四月份幸运消费者名单已全面出炉,数字星空已在卡巴斯基官方指定下载升级站将其完整公布,而随着回馈用户月活动的火热展开,卡巴斯基反病毒软件的高品质性能被越来越多的用户所认可与传颂。
据了解,活动主办方已将领取奖品的流程公布如下:此次活动的实体奖品(一等奖:笔记本电脑一台;二等奖:数码相机一部)中奖用户须在自中奖名单公布后30天内,按照要求提供其相关中奖凭证,中奖凭证包括本人身份证或其他有效身份证明的复印件,以及带有完整卡巴斯基盒装产品条码标签的产品包装盒,在领奖期限内,中奖者须将中奖凭证邮寄至官方指定地址;其他奖品(三等奖:卡巴斯基升级卡)将会自动发至用户(http://www.kaba365.com)的序列号保管箱内,用户可以通过点击http://www.kaba365.com上“提取我的激活码”予以提取;如果中奖者不能按期提交或提交的资料不完整,则将被视为自动放弃本次获奖奖品,详情可登录卡巴斯基官方下载升级站进行查询。
从四月份用户参与活动的情况可以看出,目前,卡巴斯基的“畅销红旗”已遍布全国,在幸运消费者“大名单”中,一等奖获得者刘学明来自辽宁锦州,二等奖获得者刘鸿雅与姬涛分别来自云南昆明与山西西安,另外还有来自全国各地的三等奖获得者200名。
为回馈国内用户对卡巴斯基产品的支持,卡巴斯基与数字星空双方发起了为期三个月的用户答谢活动。从4月1日到6月30日,凡是购买卡巴斯基互联网安全套装(KIS)或者卡巴斯基反病毒软件产品(KAV)的用户,均可以参加本次抽奖活动。用户只需登录卡巴斯基官方指定下载升级站(http://www.kaba365.com)活动专区http://cs.kaba365.com,按照网站提示要求输入产品序列号以及其他相关信息即可参与。
在四月份幸运大奖发布后,此活动还将继续展开。据卡巴斯基相关人士介绍,此次活动只是卡巴斯基答谢用户的方式之一,今后还将会推出更多优惠活动,让用户在体验国际顶尖反病毒软件的同时收获更多意外惊喜!
1. Kaspersky version 7.0.0.43 beta - 99.23%
2. Kaspersky version 6.0.2.614 - 99.13%
3. Active Virus Shield by AOL version 6.0.0.308 - 99.13%
4. ZoneAlarm with KAV Antivirus version 7.0.337.000 - 99.13%
5. F-Secure 2007 version 7.01.128 - 98.56%
6. BitDefender Professional version 10 - 97.70%
7. BullGuard version 7.0.0.23 - 96.59%
8. Ashampoo version 1.30 - 95.80%
9. eScan version 8.0.671.1 - 94.43%
10. Nod32 version 2.70.32 - 94.00%
11. CyberScrub version 1.0 - 93.27%
12. Avast Professional version 4.7.986 - 92.82%
13. AVG Anti-Malware Professional version 7.5.465 - 92.14%
14. F-Prot version 6.0.6.4 - 91.35%
15. McAfee Enterprise version 8.5.0i+AntiSpyware module - 90.65%
16. Panda 2007 version 2.01.00 - 90.06%
17. Norman version 5.90.37 - 88.47%
18. ArcaVir 2007 - 88.24%
19. McAfee version 11.0.213 - 86.13%
20. Norton Professional 2007 - 86.08%
21. Rising AV version 19.19.42 - 85.46%
22. Dr. Web version 4.33.2 - 85.09%
23. PC-Cillin 2007 version 15.00.1450 - 84.96%
24. Iolo version 1.1.8 - 83.35%
25. Virus Chaser version 5.0a - 79.51%
26. VBA32 version 3.11.4 - 77.66%
27. Sophos Sweep version 6.5.1 - 69.79%
28. ViRobot Expert version 5.0 - 69.53%
29. Antiy Ghostbusters version 5.2.1 - 65.95%
30. Zondex Guard version 5.4.2 - 63.79%
31. Vexira 2006 version 5.002.62 - 60.07%
32. V3 Internet Security version 2007.04.21.00 - 55.09%
33. Comodo version 2.0.12.47 beta - 53.94%
34. Comodo version 1.1.0.3 - 53.39%
35. Ikarus version 5.19 - 50.56%
36. ClamWin version 0.90.1 - 47.95%
37. Quick Heal version 9.00 - 38.64%
38. Solo version 5.1 build 5.7.3 - 34.52%
39. Protector Plus version 8.0.A02 - 33.13%
40. PcClear version 1.0.4.3 - 27.14%
41. VirIT version 6.1.75 - 18.78%
42. E-Trust PestPatrol version 8.0.0.6 - 11.80%
43. True Sword version 4.2 - 2.20%
44. Abacre version 1.4 - 0.00%
45. A-Squared Anti-Malware version 2.1 - 52.69%
46. Digital Patrol version 5.00.37 - 49.80%
47. AntiTrojan Shield version 2.1.0.14 - 20.25%
48. PC Door Guard version 4.2.0.35- 19.95%
49. Trojan Hunter version 4.6.930 - 19.20%
50. Trojan Remover version 6.6.0 - 10.44%
51. The Cleaner version 4.2.4319 - 7.26%
52. Hacker Eliminator version 1.2 - 1.43%
详细,请访问:http://www.virus.gr/english/fullxml/default.asp?id=85&mnu=85
