木马

电脑里面的木马似乎一直没有删除干净。每一次的手动排查,往往是隔靴搔痒,治了标了压制住了势头,却从没有连根清除过。每次的症状都是系统启动后,间隔性的注入IEXPLORE.exe进程,并连接远端的ip。前几次发现是加入了系统隐藏服务中,把服务删了,病毒文件删了也就干净了。这次是隐藏进程也没有,隐藏服务也没发现。这个木马隐蔽性做的真是非常好,启动调用IEXPLORE.EXE去访问远程站点获取最新的机主IP,然后企图把被感染机器上的密码等信息再发送出去。而且一旦连接后就立即退出运行,并间隔一段时间再重复工作。由于运行的时间很短,就算用了icesword等进程查看工具,也不是每时每刻都能发现问题的。
好在有个人防火墙可以对指定进程的网络行为做日志,这个木马的伎俩也就暴露无疑。但是要定位并找出病毒文件却是非常困难的事情。正巧更新了7月的微软补丁,竟然微软的恶意程序清除工具也能发现我机器里面有的这个灰鸽子病毒,但提示只部分删除。奇怪的是,mcafee对此竟然无动于衷,彻底心碎了。更奇怪的是木马克星对这个病毒也是没有一点反映。这些现成工具对此病毒视而不见,只能自己慢慢找了。
看着这个木马无时无刻不对外尝试着连接,心里真的是蛮难受的。不知道到底有多少个人信息,密码信息被泄露,也无法追查,只知道这个IP是浙江地区的,通过ip查下去,对于我个人没有多大意义也是不现实的。只有重装系统才能彻底解决这个木马吗?
这个时候想到了kapersky,装个试试吧,说不定能够识别并清除这该死的木马。卸载了mcafee,换成kav,果不然,直接干掉了一个木马,再扫描一下硬盘吧,又干掉一个,再看看防火墙的日志,自从安装KAV后,那个进程的访问不再活动了,应该算是干掉这个病毒了吧,效果显著哟。
虽然都说KAV占用系统资源颇大,但是为了安全,牺牲一点性能,还是非常有必要的。同时也能深切的认识到,在客户端安全防护方面,还有很大的路可以走,还有很大的市场份额等待挖掘。

骗术

当我们津津乐道于又发现一个社会上骗人的伎俩时,是否探究过其本质以及与信息安全的关系呢?短信诈骗,街头骗术等等,正是利用人们的疏忽和大意。在多次上当之后,防范此类骗术的意识有所提高,防范小偷的意识有提高,但是对于企业信息、个人信息泄漏的防范却很少有注意。无论是黑客还是骗子,都是对我们的社会生活习惯加以研究并得以利用,这就是社会工程学,我们需要研究的学问!
《入侵方法》讲述了一个渗透测试者的故事。他就简单的对门卫说他是公司的内审员,然后魅惑一位年轻的女职员,让她把ID吊牌和密码都告诉了他,并让他自己一个人使用她的电脑,然后和IT负责人共进午餐讨论公司内部的IT架构。
还可以通过电话来进行简单的入侵。在街上随便买个电话卡,打电话到目标公司找IT负责人,从总机那里得到IT负责人的姓名和电话分机。然后再拨打这些IT负责人的分机,直到听到某某不在的语音提示,知道这位IT负责人外出了。于是打电话给IT支持服务中心,声称自己就是那个外出的IT负责人,并说明自己的电脑坏了,存的登陆公司网络的用户名密码找不到,能不能立即把登陆的用户名密码发送到他的手机上,时间很紧迫。于是IT支持服务中心也没怎么核实就把这些信息发送给一个从未见过的手机号码上去了,这样进轻松进入公司网络了。
这样的事情很多,只要有心搜集信息。现在的BLOG也是非常好的搜集信息的方式。某些员工喜欢把同事的合影一起放在BLOG上并注明谁是谁,甚至把公司发生的一些事情都写在BLOG上,他们根本没有意识到是否有人正在把这些信息元记录并加以利用。
IM工具也是非常好的进行社会工程学渗透的管道。因此有些公司把IM封了,但是这样往往会造成年轻员工的不瞒,甚至报复,内部的攻击和入侵由此而生。为了避免这种情况,应更多的从技术上加以考虑,对IM等通讯工具加以过滤和规范。在企业内部制订安全通讯的策略是非常必要的。
员工需要进行安全教育,孩子也需要教育不要和陌生人说话,但是你真的不敢相信,你跑到聊天室或者用IM软件让这些孩子和年轻员工告诉你他们的个人信息是多么的容易。他们怎么就那么好骗呢!