<![CDATA[海上有浪]]>

<![CDATA[海上有浪]]> http://274232619.qzone.qq.com Sun, 29 Nov 2009 20:46:47 GMT Qzone zh-cn Copyright (C), 2005-2008, Tencent Tech. Co., Ltd. Thu, 19 Nov 2009 13:39:27 GMT <![CDATA[“无极杀手”病毒年终爆发日均感染超过万台电脑]]> http://274232619.qzone.qq.com/blog/1258637967
据江民反病毒专家介绍，Worm/Piloyd家族近期更新十分频繁，其中以“无极杀手”变种b（Win32/Piloyd.b）最为明显。该病毒运行后，会试图关闭大量安全软件的相关进程（江民杀毒软件不会被关闭），并利用注册表映像文件劫持技术，使得这些安全程序下一次使用时无法再启动；当发现系统中有特定的安全软件存在时，病毒就会释放恶意驱动程序以结束安全软件的自我保护。

同时，病毒会通过自带的弱密钥列表对网上邻居进行猜解，被猜解成功的计算机将受到病毒的感染，病毒会感染计算机上的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”文件，当用户运行这些受感染的可执行文件时，将会激活病毒，自动连接骇客指定的网站“http://bbnn7*.114central.com”，下载大量恶意程序，在所下载的恶意程序中有90%以上都是盗号木马病毒，严重威胁用户私密信息安全。

江民反病毒专家提醒广大用户，由于该病毒还可以通过移动存储设备进行传播，因此建议用户关闭系统自动播放功能或插入U盘后在自动播放菜单中选择杀毒软件对U盘进行接入前扫描，及时升级江民杀毒软件病毒库并对整个计算机系统进行检查清理。

为了避免遭受更多的未知病毒侵害，反病毒专家建议安装具备主动防御“沙盒技术”和启发式扫描功能的正版杀毒软件，开启江民杀毒软件KV2010主动防御系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力，确保用户电脑免遭病毒侵害。

Worm/Piloyd.e“无极杀手”变种e是“无极杀手”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“无极杀手”变种e运行后，会替换系统文件“%SystemRoot%\system32\qmgr.dll”（BITS后台智能传输服务所对应的文件），以此实现开机自启。同时通过批处理将自我复制为“%SystemRoot%\system32\dllcache\lsasvc.dll”，然后原病毒程序会将自我删除，从而消除痕迹。“无极杀手”变种e运行时，会试图关闭大量安全软件的相关进程，并利用注册表映像文件劫持干扰这些程序的正常启动运行。如果其发现系统中运行着特定的安全软件，便会释放恶意驱动程序“%SystemRoot%\system32\drivers\LiTdi.sys”，用以结束安全软件的自我保护。通过自带的弱口令列表尝试对网上邻居进行口令猜解，被成功猜解的系统将会被其感染。“无极杀手”变种e会在可移动存储设备的根目录下创建“recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe”和“autorun.inf”，以此实现通过移动存储设备进行传播的目的。感染计算机中存储的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件（在网页格式文件中插入挂马脚本“http://mm.aa8856*.cn/index/mm.js”），致使系统用户面临被多次感染的风险。连接骇客指定的站点“http://bbnn7*.114central.com”，下载大量恶意程序并调用运行，从而给用户造成更多的威胁。另外，其会访问骇客指定的页面“http://nbtj.114anhu*.com/msn/163.htm”，以此进行被感染用户的统计。 ]]> http://274232619.qzone.qq.com/blog/1258637967#comment 134218240 Thu, 19 Nov 2009 13:39:27 GMT http://274232619.qzone.qq.com/blog/1258637967 <![CDATA[《开心农场》游戏--成功背后的故事]]> http://274232619.qzone.qq.com/blog/1256401074

《开心农场》成功背后[url=javascript:d=document;t=d.selection?(d.selection.type!='None'?d.selection.createRange().text:''):(d.getSelection?d.getSelection():'');void(saveit=window.open('http://wz.csdn.net/storeit.aspx?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t),'saveit','scrollbars=no,width=590,height=300,left=75,top=20,status=no,resizable=yes'));saveit.focus();][/url]随着“开心农场”游戏风靡互联网，我发现身边的好多朋友都在玩，他们每天花大量时间在这个游戏上，种菜，偷菜，乐此不疲，可是很多人却不知道这个游戏的由来。看下面的文章你就知道了。
你没有偷过菜？王骏睁大着眼睛看着记者。
自称城市白领的王骏最近几个月成了勤勤恳恳的菜农：种菜、收菜，还不时把朋友的菜往自己家里偷。
当然，这一切都不是在现实中，而是在网络上，在《开心农场》上。
如同半年前几乎每个SNS(是Social Networking Service 的缩写,中文意思为社会网络服务）平台都争相推出停车大战和买卖奴隶一样，现在一款名叫《开心农场》的游戏在虚拟世界风靡一时。大家可以在游戏中的农场种菜种花，享受乡间的情趣，当然还有偷的乐趣。
偷菜要半夜偷。王骏颇有心得地说，那时候上线的人少，一次可以把几家的都给偷走。第二天一上班，同事们打开电脑那一刻，就常会响起集体抱怨声，王骏又把我们的菜偷走了。
网络随处有开心
《开心农场》已经成为被抄袭最多的游戏，不仅在国内，在海外被抄袭的比国内还多。该游戏的开发方上海你我信息服务有限公司COO徐城向记者表示。
在五分钟版《开心农场》之外，热酷传媒推出了《阳光牧场》，智明星通推出了《开心农民》。此外，没有对外开放平台的开心网上也推出了自己的《开心花园》。不同版本的《开心农场》以及由此衍生出的山寨军团，摧枯拉朽般横扫着整个SNS开放平台。
在校内网上，开心农场也牢牢占据着第一位。SNS应用咨询服务商智远畅想CEO任自立对记者说。根据智远畅想网站AppLeap的统计，《开心农场》的日活跃用户数达到了368万人，而《阳光牧场》在校内网居第二位，第三到五位分别是《开心农民》、《开心鱼塘》、《开心水族箱》。
QQ也给《开心农场》带来了大量的用户。任自立向记者表示，目前QQ社区给五分钟带来的日访问用户数已经上千万，由于QQ用户有使用Q币的习惯，在将来能够给五分钟带去不少的收入。
此外，《开心农场》在SNS网站鼻祖Facebook上线两个月，就获得了70万日在线用户，虽然数量不多，但是这些用户的含金量却非常之高，据称贡献了目前五分钟30％－40%的收入。
着迷只因有成就感
数以千万计的用户为什么会对一款简单的游戏如此痴迷？王骏的回答是：第一，像他这样的白领虽然渴望在乡间拥有一片蓝天一块菜地，却永远成不了现实，只能在虚拟世界中获得满足；第二，偷菜充满了成就感。
很多人深更半夜爬起来上网偷菜，休息不好。可是如果不起来，又害怕别人把自家的菜偷走。开心网媒介负责人苑丽萍向记者透露，由于怕用户深夜游戏影响生活，开心网只得对游戏进行升级，禁止夜间偷菜。但麻烦并没有结束，像王骏这样夜猫子型的网友们随即表示了反对，声称深更半夜不偷菜就少了游戏的乐趣。于是开心网再次修改规则，允许用户自己选择是否能在半夜偷菜。
向Facebook收钱
如果你想采访我，我会拒绝。但如果你想报道这个行业，让更多的人了解开放平台开发者，那么我不拒绝以五分钟作为例子。7月28日，对于记者溯源五分钟的请求，徐城如此回应。
一直以来，业界只知五分钟，甚少了解开发出这款游戏的幕后团队。
2006年，从华东理工大学信息学院毕业的徐城和郜韶飞获得了上海市大学生创业基金，成立了上海你我信息服务有限公司，开始了创业历程，分别担任公司的COO和CEO。他们的第一个产品是网络收藏夹，此后还做过网站外包。
如果说，最初我们的确有积累，就是外包给我们做开发积累了经验。徐城说。
2008年，随着国内SNS应用的兴起，特别是校内、51.com为代表的SNS网站推出开放平台，允许外部的开发者做应用程序和游戏放在平台上赚钱，一批看到了机会的公司开始做国内市场。五分钟也是在这样的背景下放弃了外包，从2008年6月开始，开发自己的游戏。
默默无闻的五分钟一开始并没有优势。在推出《开心农场》前，五分钟已经做过三款产品，分别是《疯狂王后》(棋牌类)、《爱拼才会赢》(拼图类)、《赛车总动员》。这三款游戏并没有流行起来。虽然没有流行，但这几款游戏都是原创的。徐城表示，与其他公司一开始就乐于从国外抄袭创意相比，五分钟从一开始就坚持原创。
五分钟的开发团队认为，SNS游戏为用户提供的是一个休闲和社交的平台，其中需要突出的是关系、情感等因素，而不纯粹是暴力、金钱的比拼。
2008年底，《开心农场》率先在校内网上线，并一路走红至今。随着公司的声名鹊起，五分钟COO徐城也成为大忙人，他的工作包括接待海外来的潜在合作伙伴，在国内寻找实力强劲的开发团队合作，以及考虑开辟海外市场问题。目前，五分钟已经在美国设立办事处，负责向Facebook收钱。
被解放的开发者
尽管徐城不愿意向记者透露五分钟的营收数据，但据多位业内人士分析，仅靠《开心农场》一款产品，五分钟的月收入估计就能达到300万元左右。
这实际上形成了一种新的模式。资深SNS应用开发者李大维认为，以前的互联网公司必须靠风险投资的大投入，通过烧钱吸引用户，才有可能成长起来。然而，像五分钟这样的开发公司却证明，只需要很少的资金加上创意，借助开放平台的大量用户和病毒式的传播，就可以迅速取得成功。
以五分钟为例，其只需要承担人力成本和基本的公司运营成本，省去了广告、营销等方面的支出。开发出产品来，只需要挂在校内等平台上，就可以借助这些平台的用户来检验产品了。如果产品成功，则获得高额回报；如果失败，则损失不大。李大维说。
五分钟的主要营收方式并非是互联网传统的广告方式，而是靠卖道具。在这种模式中，用户玩游戏是免费的，但是对于一些高级玩家而言，希望获得比别人更多的优势，就可以借助平台方提供的小额支付方式，购买化肥等道具。这些购买道具的钱将在平台方和五分钟之间进行五五分成。
一位资深开发者说，五分钟故事的意义不仅在于，它是一个无名小卒一夜成名的故事，而且，这是第一次，国内的开发者完全利用自己的创意和技术与国外竞争，并且不落下风。
]]> http://274232619.qzone.qq.com/blog/1256401074#comment 134218241 Sat, 24 Oct 2009 16:17:54 GMT http://274232619.qzone.qq.com/blog/1256401074 <![CDATA[五种方法手工驱五种方法手工驱逐恶心流氓软件彻底清除不留余害逐恶心流氓软件彻底清除不留余害]]> http://274232619.qzone.qq.com/blog/1255430737 　　一、当务之急关闭流氓进程

　　任务管理器里有流氓进程的存在，则代表其流氓软件目前正在后台运作，如果此时你不对其进程做以结束，即使你找到幕后操纵的流氓软件，也将无法对其恶意文件做以删除。其原因主要是由于流氓软件的自我保护方法，通过DLL文件插入桌面进程Explorer.exe，使其我们无法删除流氓文件，所以我们这里需先关闭掉其具有保护意义的桌面进程，然后才可将其恶意文件删除。　　为了关闭流氓软件插入桌面进程Explorer.exe，我们这里按住键盘上“Ctrl+Alt+Del”组合键，将“任务管理器”对话框打开，然后切入至上方“进程”标签，从中找到Explorer.exe进程，并且右击该进程名称，选择“结束进程”选项。
　　随后在弹出的“任务管理器警告”对话框内，单击“是（Y）”按钮，结束其桌面进程。当操作完毕后，我们将无法在桌面做任何操作，所以顺原路返回到“任务管理器”对话框，依次单击上方“文件”→“新建任务（运行……）”选项。然后在弹出的对话框中单击“浏览”按钮，将其定位到系统目录下（C:\Windows\System32），其文件类型选择“显示所有文件”选项。而后找到Msdc32.dll文件将其删除即可，接下来再利用以上选中“explorer.exe”文件，单击“打开”按钮，桌面就可恢复正常了，或者重新启动一下计算机也可达到相同的目的。

　　二、查找调用进程，删除恶意文件　　因为流氓软件的种类有很多，其恶意进程运行的名称也是经常会有大的变动，所以这里不排除当你知道流氓文件的具体位置时，却不知道哪个进程在调用的尴尬问题。类似这种的问题，其实殊不知我们完全可以利用系统自带的Tasklist命令，“顺藤摸瓜”找到其所调用文件的进程。
　　这里依次单击“开始”→“运行”选项，在弹出的“运行”对话框内，输入CMD命令回车后，此时就会将其“命令提示”对话框打开。然后我们在光标闪烁的位置处，输入“Tasklist /m >d:\dll.txt”命令回车，就可把当前进程加载DLL模块文件传输到d:\dll.txt文件内。接下来在以记事本的方式，将d:\dll.txt文本文件打开，而后依次单击上方“编辑”→“查找”选项，在弹出的“查找”对话框内，输入恶意文件的名称，单击“查找下一个”按钮。稍等片刻后，就会在记事本里找到其搜索名称，而前面格外显眼的Conime.exe就是调用恶意文件的进程。我们将其记录后打开“任务管理器”对话框，并且切入上方“进程”标签，从中找到Conime.exe进程将其结束即可。接着利用本机自带的“搜索所有文件和文件夹”的功能，找到恶意文件将其删除，就可成功驱逐其流氓文件。
　　三、利用权限驱逐流氓
　　虽然大多数流氓软件是利用进程，来保护自己的恶意文件不被删除，但是还是会有少量的流氓，以系统权限功能来保护自己。比如流氓文件侵入电脑后，它会把自身权限设置为任何用户禁止删除，这样普通权限用户要想删除该文件，系统就会弹出“权限不足”的对话框提示，而唯一的解决办法只能是提升当前用户的权限。
　　首先找到躲藏在电脑里的流氓文件，然后右击该文件选择“属性”选项，切入至“安全”标签，单击“高级”按钮，在弹出的窗口去清除“从父项继承那些可以应用到子对象的权限项目”，以及“包括那些在此明确定义的项目”复选框，而后单击“删除”，就可去除所有继承的权限，单击“确定”按钮确认。此时会顺原路返回到“属性”窗口，这时我们单击“添加”按钮，将允许访问该文件的用户添加到“组和用户列表”，并且将用户权限设置为“完全控制”，这样普通用户就可对其文件里的流氓做以删除了。
　　四、修复受损的流氓，是为了将其更好的赶走
　　可能有些用户想利用专业的清除恶意软件，将其本机存在的流氓赶走，但是虽知流氓文件不仅没被赶走，而且它自身因受到了破坏，导致我们无法对其进行清除。笔者也相信碰到此问题的用户不占少数，所以大家不妨先用命令对破坏的流氓文件进行修复，然后再将其删除。
　　接下来依然在桌面，单击“开始”→“运行”选项，在弹出的“运行”对话框内，输入CMD命令回车，将“命令行提示”对话框打开。然后在命令提示符下输入“chkdsk d:/f/x”对被破坏D盘里的流氓文件，进行扫描并且修复。当然如果你被破坏的流氓文件，在C或者E盘，只要将以上命令里的d:更改成相关的盘符名称即可。等待流氓文件修复成功后，大家就可以顺利将流氓文件赶走了。

　　五、利用解压程序赶流氓　　众所周知，winrar程序是款不错的解压缩软件，其实的功能，它不仅局限于帮助大家减掉电脑里文件的多余“脂肪”，而且它还能够帮助大家赶走那些顽固不化的流氓文件。只要找到在电脑里做恶的流氓文件后，并且右击该文件选择“添加到压缩文件”选项，此时就会弹出“压缩文件名和参数”选项，其默认切换至“常规”标签，这里我们保持默认。

　　然后从中勾选上“压缩后删除源文件（L）”选项，单击“确定”按钮。当压缩完毕后，就可自动删除掉被压缩的流氓文件，最后在将其压缩的流氓文件程序包，删除就可大功告成。　　以上所介绍五种不同删除流氓文件的手工方法，请根据自己的实际情况作以运用，这样才能起到更好的驱逐流氓文件的效果。
]]> http://274232619.qzone.qq.com/blog/1255430737#comment 134218240 Tue, 13 Oct 2009 10:45:37 GMT http://274232619.qzone.qq.com/blog/1255430737 <![CDATA[如何全面清除计算机电脑病毒]]> http://274232619.qzone.qq.com/blog/1254850106 摘要：我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网等，现在就来看看如何全面清除计算机电脑病毒。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键)，调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称(这需要经验)，如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言，正常的windows服务，基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外)，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:\winnt\system32\explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。像以前的Gaobot病毒，可以上yahoo.com,sony.com等网站，但是不能访问一些安全厂商的网站，杀毒软件不能上网升级。
5、取消隐藏属性，查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空，表明电脑已经中毒;打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身，找到之后一并消灭。
2、停止有问题的服务，改自动为禁止。
3、如果文件system32\drivers\etc\hosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件，手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务，如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。
9、上步完成后，重启计算机，完成所有操作。 ]]> http://274232619.qzone.qq.com/blog/1254850106#comment 134218240 Tue, 06 Oct 2009 17:28:26 GMT http://274232619.qzone.qq.com/blog/1254850106 <![CDATA[病毒知识：你可知道电脑病毒的概念来自一场游戏]]> http://274232619.qzone.qq.com/blog/1254395008 电脑病毒的起源
　　电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯·诺伊曼(John Von Neumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。
　　1975年，美国科普作家约翰·布鲁勒尔(John Brunner)写了一本名为《震荡波骑士》(Shock Wave Rider)的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。
　　1977年夏天，托马斯·捷·瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(The Adolescence of P-1)成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。
　　而差不多在同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"(core war)的游戏，进一步将电脑病毒"感染性"的概念体现出来。
　　1983年11月3日，一位南加州大学的学生弗雷德·科恩(Fred Cohen)在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。
　　不过，这种具备感染与破坏性的程序被真正称之为"病毒"，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼(A.K.Dewdney)的专栏作家在讨论"磁芯大战"与苹果二型电脑(别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影)时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个"病毒"的名字可以称呼了。
　　第一个真正的电脑病毒
　　到了1987年，第一个电脑病毒C-BRAIN终于诞生了(这似乎不是一件值得庆贺的事)。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特(Basit)和阿姆捷特(Amjad)所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。
　　这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团(如NuKE,Phalcon/Skism,VDV)。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。
　　DOS时代的著名病毒
　　所谓"DOS时代的病毒"，意思是说这是从DOS时代就有的老古董，诸位读者可别以为您现在已经进入Windows 95/98的年代，就不会感染DOS时期的病毒。其实由于Windows 95/98充其量不过是一套架构在DOS上的操作系统，因此即使是处在Windows 95/98之下，一不小心还是会惹火上身的!
　　耶路撒冷(Jerusalem)
　　这个古董级病毒其实有个更广为人知的别称，叫做"黑色星期五"。为什么会有这么有趣的别称?道理很简单:因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者所执行的程序，症状相当凶狠。
　　米开朗基罗(Michelangelo)
　　米开朗基罗的名字，对于一些早一点的电脑使用者而言，真可说是大名鼎鼎，如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外，更重要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日(这也就是它为什么叫做"米开朗基罗"的原因)时，这个病毒就会以Format硬盘来为这位大师祝寿。于是乎，你辛苦建立的所有资料都毁于一旦，永无翻身之日。
　　猴子(Monkey)
　　Monkey据说是第一个"引导型"的病毒，只要你使用被Monkey感染过的系统软盘开机，病毒就会入侵到你的电脑中，然后伺机移走硬盘的分区表，让你一开机就会出现"Invalid drive specification"的信息。比起"文件型"病毒只有执行过受感染文件才会中毒的途径而言，Monkey的确是更为难缠了。
　　音乐虫病毒(Music Bug)
　　这个发作时会大声唱歌，甚至造成资料流失、无法开机的病毒，正是台湾土产的病毒。所以，当你听到电脑自动传来一阵阵音乐声时，别以为你的电脑比别人聪明，那很有可能是中毒了。
　　其实这种会唱歌的病毒也不少，有另一个著名的病毒(叫什么名字倒忘了)发作时还会高唱着"两只老虎"呢!
　　DOS时期的病毒，种类相当繁杂，而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的"双体引擎"，可以把一种病毒创造出更多元化的面貌，让人防不胜防!而病毒发作的症状更是各式各样，有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。不过幸运的是，这些DOS时期的古董级病毒，由于大部分的杀毒软件都可以轻易地扫除，所以杀伤力已经大不如前了。
　　Windows时期的来临

　　随着Windows 3.1在全球的风行，正式宣告了个人电脑操作环境进入Windows时代。紧接着，Windows 95/98的大为畅销，使得现在几乎所有个人电脑的操作环境都是在Windows状态下。而在Windows环境下最为知名的，大概就属"宏病毒"与"32位病毒"了。　　宏病毒
　　随着各种Windows下套装软件的发展，许多软件开始提供所谓"宏"的功能，让使用者可以用"创造宏"的方式，将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能，在经过有心人士的设计之后，终于又使得"文件型"病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件，而宏病毒则会感染Word、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是，这种宏病毒是跨操作平台的。以Word的宏病毒为例，它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。
　　在这些宏病毒之中，最为有名的除了后面要讲的Melissa就是令人闻之色变的Taiwan NO.1B 。这个病毒的发作情形是：到了每月的十三号，只要您随便开启一份Word文件，屏幕上会出现一对话窗口，询问你一道庞杂的算数题。答错的话(这种复杂的算数大概只有超人可以很快算出来吧)就会连续开启二十个窗口，然后又出现另一道问题，如此重复下去，直到耗尽系统资源而死机为止。
　　虽然宏病毒有很高的传染力，但幸运的是它的破坏能力并不太强，而且解毒方式也较容易，甚至不需杀毒软件就可以自行手动解毒。
　　32位病毒
　　所谓"32位病毒"，则是在Windows 95之后所产生的一种新型态文件型病毒，它虽然同样是感染exe执行文件，但是这种病毒专挑Windows的32位程序下手，其中最著名的就是去年大为流行的CIH病毒了。
　　CIH病毒的厉害之处，在于他可以把自己的本体拆散塞在被感染的文件中，因此受感染的文件大小不会有所变化，杀毒软件也不易察觉。而最后一个版本的CIH病毒，除了每个月26日发作，将你的硬盘Format掉之外，有时候还会破坏主板BIOS内的资料，让你根本无法开机!虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒，不过由于它的威力实在强大，大家还是小心为上。(CIH又可能在今年4月26发作，你不会有事吧?)
　　Internet的革命
　　有人说Internet的出现，引爆了新一波的信息革命。因为在因特网上，人与人的距离被缩短到极小的距离，而各式各样网站的建立以及搜寻引擎的运用，让每个人都很容易从网络上获得想要的信息。
　　Internet的盛行造就了信息的大量流通，但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说，网络不折不扣正好提供了一个绝佳的渠道。也因此，我们这些一般的使用者，虽然享受到因特网带来的方便，同时却也陷入另一个恐惧之中。
　　病毒散播的新捷径
　　由于因特网的便利，病毒的传染途径更为多元化。传统的病毒可能以磁盘或其他存储媒体的方式散布，而现在，你只要在电子邮件或ICQ中，夹带一个文件寄给朋友，就可能把病毒传染给他;甚至从网络上下载文件，都可能收到一个含有病毒的文件。
　　不过虽然网络使得病毒的散布更为容易，但其实这种病毒还是属于传统型的，只要不随便从一些籍籍无名的网站下载文件(因为有名的网站为了不砸了自己的招牌，提供下载的文件大都经过杀毒处理)，安装杀毒软件，随时更新病毒码，下载后的文件不要急着执行，先进行查毒的步骤(因为受传统病毒感染的程序，只要不去执行就不会感染与发作)，多半还是可以避免中毒的情形产生。
　　第二代病毒的崛起

　　前面所谈的各式各样的病毒，基本上都是属于传统型的病毒，也就是所谓"第一代病毒"。会有这样的称呼方式，主要是用来区分因为Internet蓬勃发展之后，最新出现的崭新病毒。这种新出现的病毒，由于本质上与传统病毒有很大的差异性，因此就有人将之称为"第二代病毒"。　　第二代病毒与第一代病毒最大的差异，就是在于第二代病毒传染的途径是基于浏览器的，这种发展真是有点令人瞠目结舌!
　　原来，为了方便网页设计者在网页上能制造出更精彩的动画，让网页能更有空间感，几家大公司联手制订出Active X及Java的技术。而透过这些技术，甚至能够分辨你使用的软件版本，建议你应该下载哪些软件来更新版本，对于大部分的一般使用者来说，是颇为方便的工具。但若想要让这些网页的动画能够正常执行，浏览器会自动将这些Active X及Java applets的程序下载到硬盘中。在这个过程中，恶性程序的开发者也就利用同样的渠道，经由网络渗透到个人电脑之中了。这就是近来崛起的"第二代病毒"，也就是所谓的"网络病毒"。
　　兵来将挡，水来土掩
　　目前常见的第二代病毒，其实破坏性都不大，例如在浏览器中不断开启窗口的"窗口炸弹"，带着电子计时器发出"咚咚"声的"闹闹熊"等，只要把浏览器关闭后，对电脑并不会有任何影响。但随着科技的日新月异，也难保不会出现更新、破坏性更大的病毒。
　　只是，我们也不需要因为这种趋势而太过悲观，更不用因噎废食地拒绝使用电脑上网。整个电脑发展史上，病毒与杀毒软件的对抗一直不断的持续进行中，只要小心一点，还是可以愉快地畅游在因特网的世界里。
　　相关知识：电脑病毒历史
　　最早由冯·诺伊曼提出一种可能性----现在称为病毒，但没引起注意。
　　1975 年，美国科普作家约翰·布鲁勒尔 (John Brunner) 写了一本名为《震荡波骑士》(Shock Wave Rider) 的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。
　　1977 年夏天，托马斯·捷·瑞安 (Thomas.J.Ryan) 的科幻小说《P-1的春天》(The Adolescence of P-1) 成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。
　　1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出，8 小时后专家们在 VAX11/750 计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5 个实验的演示，从而在实验上验证了计算机病毒的存在。
　　1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地。
　　1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。
　　1988 年 11 月 2 日，美国六千多台计算机被病毒感染，造成 Internet不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点，连接着政府、大学、研究所和拥有政府合同的 250,000 台计算机。这次病毒事件，计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特·莫里斯 (Robert T.Morris)，当年 23 岁，是在康乃尔 (Cornell) 大学攻读学位的研究生。
　　罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵 ARPANET 网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判 3 年缓刑，罚款 1 万美元，他还被命令进行 400 小时的新区服务。
　　1988 年底，在我国的国家统计部门发现小球病毒。
　　注：在此文中，把蠕虫、我们常提的病毒定为病毒不同种类。 ]]> http://274232619.qzone.qq.com/blog/1254395008#comment 134218240 Thu, 01 Oct 2009 11:03:28 GMT http://274232619.qzone.qq.com/blog/1254395008 <![CDATA[反病毒技巧：让优盘远离 autorun.inf 病毒威胁]]> http://274232619.qzone.qq.com/blog/1254240744 现状分析：
事实表明，目前已经有新的病毒能够有意识地检测autorun.inf的存在，对于能直接删除的则删之，对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如：重要文件.exe，小说.exe)。对于以上这两种传播方式的病毒，仅仅建立autorun.inf文件夹是抵御不了的。
应对策略：
1、在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器(开始-所有程序-附件-windows资源管理器)将其打开，或者使用快捷键winkey+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备！(要养成这样的良好习惯)
2、如果盘内有来路不明的文件，尤其是文件名比较诱惑人的文件，必须多加小心；需要特别提示的是，不要看到图标是文件夹就理所当然是文件夹，不要看到图标是记事本就理所当然是记事本，伪装图标是病毒惯用伎俩。 ]]> http://274232619.qzone.qq.com/blog/1254240744#comment 134218240 Tue, 29 Sep 2009 16:12:24 GMT http://274232619.qzone.qq.com/blog/1254240744 <![CDATA[[转]请帮助一下这位可怜的女孩]]> http://274232619.qzone.qq.com/blog/1254147265 这个夏天，这个女孩，需要你的关怀！！！她，陈巧，今年高四，经过不懈的努力，以620多分瑞山中学第一名的成绩被重庆大学录取。然而，就在这个夏天，在她还未来得及踏进大学校门之时，病魔无情降临，现在的她因为疾病，已有些神智不清，生命垂危，医生说情况很不乐观，现在合川医院住院治疗。她的家人为此痛心不已。同时，巨额的医疗费用也成为全家人不能负荷的重担。相信，不会有人忍心看这样的一个女孩被病痛苦苦折磨，相信，人人都有一颗温暖的心！希望有条件的朋友，伸出你的援助之手，让这个女孩有继续走下去的力量。同学已为她开通了爱心帐户：6221516530007900847（邮局的。户名：欧平源。）这个夏天，这个女孩，需要你的关怀！！！
希望大家多多转载，谢谢！！！ ]]> http://274232619.qzone.qq.com/blog/1254147265#comment 134219272 Mon, 28 Sep 2009 14:14:25 GMT http://274232619.qzone.qq.com/blog/1254147265 <![CDATA[绝木马读取你硬盘的小技巧]]> http://274232619.qzone.qq.com/blog/1253327494 数据，从而将之盗取。
　　我们怎么防止这种情况出现呢？其实您可以把硬盘加密码。但是如果入侵者用远控软件访问就不需要输入密码，直接就能访问到你的硬盘。
　　今天为大家讲解如何将自己的硬盘隐藏起来，让别人不能访问你的硬盘。
　　我们以一个Windows XP用户为例进行说明，假如我的重要文件在E盘。
　　方法一：
　　进入
　　HKEY_CURRENT_USERSoftWareMicrosoftWindowsCurrentVersionPoliciesExplorer
　　分支中。在右窗口中新建一个二进值的键值名为“NoDrives”，磁盘驱动器所一一对应的键值如下：
　　A驱为“01000000”；
　　B驱为“02000000”；
　　C驱为“04000000”；
　　D驱为“08000000”；
　　E驱为“10000000”；
　　F驱为“20000000”。
　　依此类推!
　　方法二：
　　开始→“运行”里输 gpedit.msc 并点确定→用户配置→管理摸板→Windows组件→WINDOWS资源管理器→阻止打开硬盘。
　　方法三：
　　我的电脑-管理-磁盘管理-更改驱动器路径-删除-确定。
　　前边两者可以防止别人在电脑控制台上看到你硬盘里的文件，后者呢可以防止远控软件的盗窃。
　　个人推荐使用第三者，这样释放驱动器和隐藏驱动器的时候也很方便。
　　假如文章有不足的地方请提出批评指正，谢谢！ ]]> http://274232619.qzone.qq.com/blog/1253327494#comment 134218240 Sat, 19 Sep 2009 02:31:34 GMT http://274232619.qzone.qq.com/blog/1253327494 <![CDATA[企业如何防范服务器安全隐患]]> http://274232619.qzone.qq.com/blog/1253293864 摘要：我们都知道，企业的信息往往都是存储于服务器之中，但是服务器中难免有一些安全隐患让我们广大网管人员担忧，怎样从容消除这些隐患和去防范呢?下面主要针对Linux系统来做一些简单的介绍。
我们都知道，企业的信息往往都是存储于服务器之中，但是服务器中难免有一些安全隐患让我们广大网管人员担忧，怎样从容消除这些隐患和去防范呢?下面小编主要针对Linux系统来做一些简单的介绍。
Linux启动后出现boot:提示时，使用一个特殊的命令，如Linuxsingle或Linux 1，就能进入单用户模式(Single-User mode)。这个命令非常有用，比如忘记超级用户(root)密码。重启系统，在boot:提示下输入Linux single(或Linux 1)，以超级用户进入系统后，编辑Passwd文件，去掉root一行中的x即可。
防范对策：
以超级用户(root)进入系统，编辑/etc/inittab文件，改变id：3：initdefault的设置，在其中额外加入一行(如下)，让系统重新启动进入单用户模式的时候，提示输入超级用户密码：
S:walt:/sbin/sulogin
然后执行命令：/sbin/init q，使这一设置起效。
在系统启动时向核心传递危险参数
在Linux下最常用的引导装载(boot loader)工具是LILO，它负责管理启动系统(可以加入别的分区及操作系统)。但是一些非法用户可能随便启动Linux或者在系统启动时向核心传递危险参数，这也是相当危险的。
防范对策：
编辑文件/etc/lilo.conf，在其中加入restricted参数，这一参数必须同下面一个要讲的password参数一起使用，表明在boot：提示下，传递给Linux内核一些参数时，需要你输入密码。
password参数可以同restricted一起使用，也可以单独使用，下面将分别说明。
同restricted一起使用：只有在启动时需要传递给内核参数时，才会要求输入密码，而在正常(缺省)模式下，是不需要密码的，这一点一定要注意。
单独使用(没有同restricted一起使用)：表示不管用什么启动模式，Linux总会要求输入密码;如果没有密码，就没有办法启动Linux，在这种情况下的安全程度更高，相当于外围又加入一层防御措施。当然也有坏处——你不能远程重启系统，除非你加上restricted参数。
由于密码是明文没有加密，所以/etc/lilo.conf文件一定要设置成只有超级用户可读，可使用下面的命令进行设置：
chmod 600 /ietc/lilo.conf
然后执行命令：
/sbin/lilo -V，将其写入boot sector，并使这一改动生效。
为了加强/etc/liIo.conf文件的安全，你还可以设置这个文件为不可改变的属性，可使用命令：
chattr 十i/etc/lilo.conf
如果日后你要修改/etc/liIo.conf文件，用chattr -i/etc/lilo.conf命令去掉这个属性即可。
使用“Ctrl+Alt+Del”组合键重新启动对于这一点，非常重要，也非常容易忽略，如果非法用户能接触到服务器的键盘，他就可以用组合键“Ctrl+AIt+Del”使你的服务器重启。
防范对策：
编辑/etc/inittab文件，给ca：：ctrlaltdel：/sbin/shutdown-t3 -r now加上注释###ca：：
rlaltdeI：/sbin/shutdown-t3 -r now。
然后执行命令：
/sbin/init q，使这一改动生效。

]]> http://274232619.qzone.qq.com/blog/1253293864#comment 134218240 Fri, 18 Sep 2009 17:11:04 GMT http://274232619.qzone.qq.com/blog/1253293864 <![CDATA[瑞星提醒：毒王“梅勒斯”今年已有500个变种共感染3284万用户]]> http://274232619.qzone.qq.com/blog/1253032921
自18日至19日，“云安全”系统就收到了39227次用户上报，“梅勒斯宠物”运行后会关闭或破坏多种主流杀毒软件和安全工具，在用户丧失防毒能力后，大量下载木马病毒，并替换系统文件，使用户电脑成为“毒窝”。

（“梅勒斯”木马四大变种感染量统计）

瑞星反病毒专家介绍，“梅勒斯宠物”运行后，会通过注册表劫持项、调用函数与释放驱动等多种方法破坏关闭杀毒软件。病毒会释放出一个“机器狗”类似的驱动，替换userinit.exe实现开机启动和长期驻留的目的。最后释放木马下载器，访问黑客指定地址http://txt.****.com/xx.txt的下载列表，下载木马和病毒。对此，瑞星“云安全”系统进行了及时升级，所有用户已经具有防御和彻底查杀该病毒的能力。

瑞星反病毒工程师提醒用户，由于该病毒使用了多种方式关闭主流杀毒软件和安全工具，所以会给用户带来非常严重的影响，用户应及时升级至最新版本，以防感染木马。由于瑞星杀毒软件采用了木马行为防御和增强的自我保护技术，所以使该病毒的破坏行为失败。

瑞星反病毒专家提醒广大用户：
1、尽快升级杀毒软件到最新版本并加入瑞星“云安全”系统；
2、更新系统及第三方软件的漏洞，防止网页中的病毒通过软件漏洞感染电脑；
3、如果已经感染该病毒，从其他干净的系统中替换中毒系统的userinit.exe，随后使用杀毒软件清除病毒下载的木马和病毒。

附：病毒破坏关闭杀毒软件方法
1、病毒会查找瑞星、金山、江民的进程，找到则调用VirtualFreeEx函数将其内存逐渐释放掉直至相应进程退出。
2、查找avp.exe,360tray.exe进程，如果找到则在临时文件夹内释放一个随机名的扩展名为.t的DLL文件，并以Rundll32.exe带AboutDlgProc 18参数的方式启动。以加/uninstsp的参数方式启动360tray.exe。然后释放驱动并释放掉该进程的内存。
3、查找ekrn服务是否存在，如果存在则修改ekrn服务为禁用并调用taskkill /f /im ekrn.exe。通过taskkill /f /im egui.exe结束NOD32相关服务，并创建对应的注册表劫持项使其无法再次打开。 ]]> http://274232619.qzone.qq.com/blog/1253032921#comment 134218241 Tue, 15 Sep 2009 16:42:01 GMT http://274232619.qzone.qq.com/blog/1253032921