现在Windows XP日益普及,不过针对XP的病毒也越来越多,去年有臭名昭著的冲击波,今年则流行震荡波,这些病毒都有一个共同特征,就是利用XP系统漏洞对电脑实施攻击的。很多朋友没有这方面的知识,可能还在认为Windows XP很安全呢,那么Windows XP真得很安全吗?
Win XP上的著名病毒篇
一、“冲击波”蠕虫及其变种病毒(新蠕虫:W32.Blaster.worm)
2003年8月11日微软开始调查一个名为W32.Blaster.Worm的新蠕虫及其变种,该病毒之前正在通过网络疯狂传播,这就是“冲击波”蠕虫,也被称为W32/Lovsan.worm (McAfee)、WORM_MSBLAST.A (Trendmicro)、Win32.Posa.Worm (Computer Associates)。
如果感染上该病毒,WinXP和Windows Server 2003系统就会在没有用户输入的情况下,每隔几分钟即重新启动、或在客户的系统中存在“msblast.exe”文件。该蠕虫在TCP 135端口上扫描随机的IP地址范围,以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞,通过开放的RPC端口传播。2003 年7月16日,微软在安全公告MS03-026中提到了DCOM RPC漏洞,为此发布了安全补丁。
MS03-026安全补丁消除了DCOM RPC漏洞,因此安装该补丁后可以防止感染这种蠕虫,具体操作如下:首先启用WinXP内置的防火墙(Internet Connection Firewall (ICF))。单击“开始”菜单/设置/控制面板,双击“网络和Internet连接”,然后单击“网络连接”,在希望启用防火墙的连接上右击,点击“属性”/高级,在“Internet防火墙”下打钩(如下图),现在你的WinXP防火墙就启用了。注意:如果电脑不断重复启动,在启用防火墙之前要将自己的机器从Internet断开,如果正在运行Win2000或 WinNT 4.0,需要使用第三方的防火墙产品。
其次下载MS03-026安全补丁程序。WinXP(32位)和WinXP(64位)的用户请下载安全补丁(下载地址),更新Windows系统。最后使用最新版本的杀毒软件来清除这种蠕虫。该蠕虫有几个变种,有关它们的最新信息可以在杀毒软件开发商的网站上找到。
二、震荡波蠕虫病毒(Sasser)
2004年5月1日,TrendLabs为控制该病毒的传播,发布病毒中度风险警报,之后该病毒迅速在全世界流传。WinXP和Win2000会感染上这种病毒,如果你收到自称Microsoft发来的邮件,并且邮件附带了可执行文件(例如扩展名为 .exe、.com、.bat、.scr、.js、.vbs 或 .cmd 的文件),就有可能是震荡波蠕虫病毒,请立即删除该邮件,注意不要打开任何附件,也不要从电子邮件直接下载任何可执行文件。
此蠕虫病毒会导致LSASS.EXE停止响应,使系统在60秒钟后强行关机。如果你的计算机反应迟缓或者Internet连接速度过慢,则说明蠕虫病毒可能已经在你的局域网内扩散。该病毒利用了Windows LSASS的一个已知漏洞。这是一个缓冲溢出漏洞,后果是使远程攻击者完全控制受感染系统。而实际上,微软针对该漏洞的补丁早在今年4月13日的MS04-011公告中发布了,如果你已经进行了操作系统补丁升级,杜绝了该系统漏洞,震荡波也就失去了攻击目标。
首先应该结束病毒进程,按CTRL+ALT+DELETE,单击“任务管理器”中的“进程”,选中任意以_up.exe 结尾的任务(例如 12345_up.exe),或者以avserve、avserve2、skynetave开头的任务,或者名为hkey.exe、msiwin84.exe的任务,最后单击“结束任务”按钮将其结束;接下来启用防火墙,重新连接 Internet,下载并安装微软MS04-011公告中的安全补丁(下载地址),以便电脑免受此蠕虫病毒的感染;最后使用震荡波蠕虫移除工具,搜索你的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。
Win XP上的著名安全漏洞篇
迄今为止,已经发现了上百个WinXP的安全漏洞,以下列出的只是XP极其严重的安全漏洞,级别为“重要”和“中等”的安全漏洞,限于篇幅我们就不介绍了。
【漏洞之一】HTML帮助远程执行代码漏洞(发布日期:2004-07-13)
Windows允许应用软件使用一种标准方法(例如HTML帮助API方法),来显示和处理帮助文件。Windows HTML Help存在问题,远程黑客可以利用这个漏洞,在中招系统上执行任意代码,包括安装程序,查看更改删除数据,建立新帐户等攻击。黑客可以构建恶意页面、诱使用户点击来触发此漏洞。
Microsoft为此发布了一个安全公告(MS04-023)以及相应补丁,安装了WinXP 和WinXP Service Pack 1的用户立即下载补丁(下载地址),然后进行更新,此问题的补丁也将包含在 Windows XP Service Pack 2 中。
如果你不能立刻安装补丁或者升级,建议点击开始,运行“regsvr32/u %windir%\system32\itss.dll”,注销HTML Help协议,以降低威胁。如果你使用的是 Outlook 2002 或更高版本,或者是Outlook Express 6 SP1 或更高版本,请用纯文本格式阅读电子邮件,以免自己受到HTML电子邮件恶意代码的攻击。
【漏洞之二】任务计划程序(发布日期:2004-07-13)
Windows的任务计划程序在处理应用软件文件名验证时存在问题,黑客可以利用这个漏洞远程取得系统权限、执行任意指令,完全控制受影响的系统。黑客可以使用多种方法,例如构建恶意WEB页、诱使用户点击来触发此漏洞。
Microsoft为此发布了一个安全公告(MS04-022)以及相应补丁,安装了WinXP 和WinXP Service Pack 1的用户立即下载补丁(下载地址),然后进行更新,该安全补丁也将包含在 Windows XP Service Pack 2 中。
【漏洞之三】LSASS 漏洞(发布日期:2004-4-13):震荡波蠕虫病毒
LSASS(本地安全验证子系统服务)主要处理客户端和服务器的身份验证,LSASS 中存在一个缓冲区溢出漏洞,后果是使远程攻击者完全控制受感染系统,其中包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户等。在WinXP/2000上,能向你传送特制消息的用户,都能利用此漏洞。2004年5月,利用该漏洞的震荡波蠕虫病毒(Sasser)在网上疯狂传播,如果你已经堵住了该漏洞,震荡波也就失去了攻击目标。
今年4月13日,微软在MS04-011公告中发布了该漏洞的补丁(下载地址),建议安装该补丁。如果不能安装补丁,应该使用个人防火墙,如WinXP/2003 中的Internet 连接防火墙,在防火墙处阻塞以下端口的非法入站通信,免受利用该漏洞的攻击:
UDP 端口 135、137、 138、445;
TCP端口 135、139、445、593;
端口号大于 1024 的端口;
【漏洞之四】RPC运行时库漏洞(发布日期:2004-4-13)
RPC提供了进程间的一种通信机制,允许A机器上运行的程序可以访问B机器上的服务。RPC 运行时间库在处理特制邮件时出现争用情况,利用该漏洞可以远程执行代码,从而完全控制你的系统。黑客可以将一些特制的网络邮件发送给你,来利用此漏洞,然后这些邮件就可以使你的系统中招,这样黑客可通过交互方式登录到你的系统。
建议你下载并安装该问题的补丁(下载地址)如果不能安装补丁,应该使用WinXP/2003 附带的个人防火墙(如 Internet 连接防火墙),在防火墙处阻塞以下端口上未经请求的入站流量:
UDP 端口 135、137、138 和 445;
TCP 端口 135、139、445 和 593;
端口号大于 1024 的端口;
任何其他特别配置的 RPC 端口;
用于监听端口 80 和 443 的 COM Internet 服务 (CIS) 或 RPC over HTTP(如果已安装)
【漏洞之五】图像文件漏洞(发布日期:2004-4-13)
在Windows WMF、EMF图像格式显示中存在一个缓冲区溢出漏洞,黑客可以在中招系统上远程执行代码。只要你运行了显示WMF 或 EMF 图像的软件,就有可能受到攻击,成功利用此漏洞的黑客可以完全控制你的系统。
下面的方式都可以触发漏洞:黑客拥有一个利用此漏洞的Web站点,诱使你查看该站点;一个夹带了特制图像的HTML电子邮件发送给你,诱使你查看该邮件,当你用Outlook 2002 或 Outlook Express 6打开时即触发此漏洞;或者将特制图像嵌入 Office 文档中,然后诱使你查看该文档;将特制图像添加到本地文件系统中,或者添加到网络共享中,诱使你使用 WinXP 中的 Windows资源管理器预览目录。
如果你使用了Outlook 2002 或更高版本,或者是Outlook Express 6 SP1 或更高版本,请用纯文本格式阅读电子邮件,以免自己受到HTML 电子邮件恶意代码的攻击,建议你下载并安装该问题的补丁(下载地址)。
【漏洞之六】ASN.1漏洞可能允许执行代码(发布日期:2004-2-10)
ASN.1(Abstract Syntax Notation 1)是IT行业中软件和设备使用的一种数据标准,微软ASN.1 Library 中存在安全漏洞,此漏洞是由微软ASN.1 Library 中未经检查的缓冲区溢出引起的。如果黑客成功地利用了此漏洞,就可以在中招的系统上以系统特权执行代码,在该系统上执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
微软为此发布了安全补丁(下载地址),但要求安装在WinXP或WinXP Service Pack 1 (SP1) 上,该补丁也将包含在 Windows XP Service Pack 2 中。
【漏洞之七】Workstation 服务中缓冲区溢出(发布日期:2003-11-12)
Workstation服务中存在一个未经检查的缓冲区安全漏洞,该漏洞允许在中招的系统上执行远程代码。如果该漏洞被人利用,黑客就可以获得你的系统权限,或者使Workstation 服务无法正常工作,黑客可以对系统执行任何操作。
使用WinXP 附带的 Internet 连接防火墙,在