互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2005年5月至2006年5月间，有54％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的安全事件为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。
    互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2005年5月至2006年5月间，有54％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的安全事件为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。
    目前，许多企事业单位的业务依赖于信息系统安全运行，信息安全重要性日益凸显。信息已经成为各企事业单位中的重要资源，也是一种重要的“无形财富”，分析当前的信息安全问题，有十五个典型的信息安全问题急需解决。 1 网络共享与恶意代码防控
　　网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。
　　2 信息化建设超速与安全规范不协调
　　网络安全建设缺乏规范操作，常常采取“亡羊补牢”之策，导致信息安全共享难度递增，也留下安全隐患。
　　3 信息产品国外引进与安全自主控制
　　国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前, 国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。
　　4 IT产品单一性和大规模攻击问题
　　信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、“零日”攻击等安全事件。
　　5 IT产品类型繁多和安全管理滞后矛盾
　　目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
　　6 IT系统复杂性和漏洞管理
　　多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。据SecurityFocus公司的漏洞统计数据表明，绝大部分操作系统存在安全漏洞。由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将可能成为攻击切入点，攻击者可以利用这些漏洞入侵系统，窃取信息。1998年2月份，黑客利用Solar Sunrise漏洞入侵美国国防部网络，受害的计算机数超过500台，而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。
　　为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在安全漏洞，系统管理员也不敢轻易地安装补丁。特别是，大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。
　　7 网络攻击突发性和防范响应滞后
　　网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。
　8 口令安全设置和口令易记性难题
　　在一个网络系统中,每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是系统管理员，需要记住的口令就更多，例如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则，口令设置既要求复杂，而且口令长度要足够长，但是口令复杂则记不住，因此，用户选择口令只好用简单的、重复使用的口令，以便于保管，这样一来攻击者只要猜测到某个用户的口令，就极有可能引发系列口令泄露事件。
　　9 远程移动办公和内网安全
　　随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，安全程度难以得到保证，如果内部网络直接允许远程访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网，又要保证内部网络的安全。”就成了一个许多单位都面临的问题。
　　10 内外网络隔离安全和数据交换方便性
　　由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，“内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要发布到外网上。因此，要想完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。
　　11 业务快速发展与安全建设滞后
　　在信息化建设过程中，由于业务急需要开通，做法常常是“业务优先，安全靠边”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是“亡羊补牢”,出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。
　　12 网络资源健康应用与管理手段提升
　　复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、色情网站，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做到 “可信、可靠、可视、可控”。
　　13 信息系统用户安全意识差和安全整体提高困难
　　目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，“安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下:
　　■ 用户选取弱口令，使得攻击者可以从远程直接控制主机;
　　■ 用户开放过多网络服务，例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机，允许建立空连接;
　　■ 用户随意安装有漏洞的软件包;
　　■ 用户直接利用厂家缺省配置;
　　■ 用户泄漏网络安全敏感信息，如DNS服务配置信息。
　　14 安全岗位设置和安全管理策略实施难题
　　根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。
　　15 信息安全成本投入和经济效益回报可见性
　　由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来，信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命工作，成了“救火队员”。

病毒警报

   近期，微软公司的办公文字处理软件Office Word 2007出现三个新的漏洞。其中有两个若被恶意攻击者利用，很有可能会对受攻击的计算机系统产生类似于拒绝服务式攻击的恶果，例如：受攻击计算机系统的CPU占用量会达到100％，造成系统无法正常使用。同时，第三个漏洞可能会使恶意攻击在远程对受攻击的计算机系统执行任意代码，最终导致系统瘫痪。
    目前，微软公司尚未发布针对这三个漏洞的补丁程序。恶意攻击者很有可能会利用这些漏洞来对存在漏洞的计算机系统发起恶意攻击，例如：用一个含有恶意代码的Word文档，诱使计算机用户下载或打开这个文件。一旦文件被打开，攻击者就可以对计算机系统进行一些远程控制，进行一系列的破坏。

病毒名称："木桶"病毒（Worm_Firkin.A）
病毒类型：蠕虫
发作日期：4月19日
危害程度：该蠕虫会在这一天在受感染的计算机系统中删除下列文件夹中的文件：C:\ 、
C:\Windows、C:\Windows\System、C:\Windows\Command，并显示如下字符"You Have Been Infected By Chode You may now turn this piece of shit off!"
专家提醒：
   在微软公司没有发布针对这三个漏洞的补丁程序之前，我们建议广大计算机用户在使用办公文字处理软件Office Word 2007的时候注意，不要随意打开陌生的Word文档，对不熟悉的文档最好立即删除掉
国家计算机病毒应急处理中心通过对互联网的监测发现，微软公司的Windows DNS服务器系统出现一个新的漏洞，该漏洞会使Windows 2000 Server和Windows 2003 Server系统受到恶意攻击影响。
    如果该漏洞被恶意攻击者利用，那么存在Windows 2000 Server和Windows 2003 Server系统的局域网络中计算机系统就会受到攻击。恶意攻击者可以发送特制的RPC（远端程序呼叫）封包程序到受攻击的局域网络系统中，最终导致局域网络中计算机用户的操作系统被恶意控制，而无法正常使用。

病毒名称：CIH1.2
病毒类型：文件型病毒
发作日期：4月26日
危害程度：病毒感染操作系统中的EXE可执行文件。26日将尝试用随机的数据重写系统硬盘，并通过破坏Flash BIOS的数据存储对系统进行永久性的破坏，被该病毒破坏后的数据恢复是十分困难
专家提醒：
    目前，微软公司还未对这一新出现的漏洞发布补丁程序。在漏洞补丁程序发布前，我们建广大局域网络管理员可以先禁用Windows 2000 Server和Windows 2003 Server系统的DNS RPC（域名解析 远端程序呼叫）功能，并及时升级局域网络中防病毒软件和防火墙。

    借助第三方的工具也可更为简单、直观的实现上述功能，如Windows平台下的：TcpView、TCPMonitor工具。这类第三方工具不但且有Netstat所有功能及便捷的图形界面外，还提供了更为详细端口和进程信息。可以帮助我们具体了解详细的应用程序名并可以通过界面直接终于这个进程。

    通过上面工具我们可以直观的发现异常的对外连接的进程名，这里我们以QQ.exe为例，这个进程是否就是我们需要关注的问题程序呢，他具体是安装在那个目录之下呢。想了解这类的信息，可以利用扩展的进程查看工具，如：Process Explorer，Icesword等工具。是否是正常的系统文件，安装路径在什么地方更可以一目了然。
    如下图所示QQ.EXE文件安装目录在“C:\Program Files\Tencent\QQ.exe”，使用本地TCP-3552端口，他访问外网的TCP-80端口。

   前面所提几种分析工具，我们可以看作是对系统的一种动态分析，而下面讲到的日志收集工具就是对系统的一种静态分析。两者可以取其一类进行分析，也可以相互配合。
    动态分析虽然可以帮助我们即时、清晰的了解到所需要的相关信息，但面对大型的网络环境、众多的终端设备，有限的人手和精力让我们无法针对每台设备都去这样分析，这种情况下我们可以通过相关的日志收集软件来自动完成上述的工作，帮助我们节省大量的时间。同时这些日志分析结果也是之后向通过论坛需求帮助或是向防病毒厂商提供病毒样本时最好提供的重要信息。总而言之，好的日志分析工具可以帮你全面、快速的了解系统的运行状况。
    常用的日志收集工具介绍：
    奇虎360安全卫士，是一款不错的免费安全软件。我们认识他也是从他可以完美的清除IE恶意插件开始的，除去强大的系统插件的管理之外，他的系统全面诊断功能也是非常实用的，如下图所示点击导出诊断报告后，会提示你保存一个txt文件。

    实例讲解，下面以一个实例来了解一下如何查看日志文件，判断故障。终端机器的问题是最近刚刚成功清除病毒后，却发现系统变慢，IE自动弹出810810.org网站的访问故障。防病毒产品无法检测出存在恶意软件。但用户反应发现启动项中会有不正常的启动项，但多次手工清除启动项无效，重启后恶意软件又出现了，发来以下诊断报告）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
各位高手：
非常感谢您留心我这份系统诊断报告，小菜鸟十万火急等待您的帮助！
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2007-04-17? 14:11:37
诊断平台: Microsoft Windows 2000? Service Pack 4
IE版本: Internet Explorer V6.0.2800.1106 Build:62800.1106
计算机物理内存:247MB - 当前可用内存:23MB
O2 - 未知 - BHO: (浏览器辅助对象(BHO)) - [Active Setup Controls] - {8728D167-41A6-4561-969C-CD75049F83AB} - C:\WINNT\system32\cfgmgrsvc.dll
O23 - 未知 - Service: at2.810810.org [at2.810810.org] - C:\WINNT\system32\at2.810810.org.exe - (not running)
O23 - 未知 - Service: BITS [用闲置网络带宽在后台传输文件。如果此服务被禁用，那么任何依赖于 BITS 的功能，例如 Windows Update 或 MSN Explorer，都将不能自动下载程序和其它信息。] - C:\WINNT\system32\cfgmgrsvc.dll - (not running)
O23 - 未知 - Service: msiehome [msiehome] - C:\WINNT\system32\Iepage.exe - (not running)
O23 - 未知 - Service: ntrtscan [OfficeScanNT 实时扫描] - "C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe" - (running)
O23 - 未知 - Service: OfcPfwSvc [OfficeScanNT 个人防火墙] - "C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe" - (running)
O23 - 未知 - Service: OracleOraHome92ClientCache [OracleOraHome92ClientCache] - E:\oracle\ora92\BIN\ONRSD.EXE - (not running)
O23 - 未知 - Service: tmlisten [OfficeScanNT 侦听程序] - "C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe" - (running)
O23 - 未知 - Service: TransactionService [多用户支持服务，提供多线程程序运行。] - C:\WINNT\system32\4.exe - (not running)
=======================================
O3 - 安全 - Toolbar: (@msdxmLC.dll,-1@2052,电台(&R)) - [是Windows Media Player播放器ActiveX控制相关文件。] - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 安全 - HKLM\..\Run: [OfficeScanNT Monitor] [trend micro公司出品的officescan 监控程序。] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - 安全 - HKLM\..\RunOnce: [360Safe] [360安全卫士] Rundll32.exe C:\PROGRA~1\360safe\AntiAdwa.dll,KillAdware
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] ctfmon.exe
O4 - 安全 - HKCU\..\Run: [msnmsgr] [微软msn即时通讯工具] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O23 - 安全 - Service: Fax [微软Microsoft传真服务相关程序，该服务允许用户创建和发送传真到微软Office组件中。] - C:\WINNT\system32\faxsvc.exe - (not running)
O23 - 安全 - Service: SoundMAX Agent Service (default) [是Analog SoundMAX声卡产品相关程序。] - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe - (running)
=======================================
O40 - winlogon.exe - SoundMAX - C:\WINNT\system32\SYNCOR11.DLL - SynthCore R2.0 Midi Interface Driver - bd9b4450d00d4ac891407b8c0e08de9c
O40 - winlogon.exe - Microsoft Corporation - C:\WINNT\system32\cfgmgrsvc.dll - Active Setup Controls - 98fba4d81af250ca83924c0122404cea
O40 - services.exe - Microsoft Corporation - C:\WINNT\system32\cfgmgrsvc.dll - Active Setup Controls - 98fba4d81af250ca83924c0122404cea
O40 - svchost.exe - Microsoft Corporation - C:\WINNT\system32\cfgmgrsvc.dll - Active Setup Controls - 98fba4d81af250ca83924c0122404cea
O40 - Explorer.EXE - Microsoft Corporation - C:\WINNT\system32\cfgmgrsvc.dll - Active Setup Controls - 98fba4d81af250ca83924c0122404cea
=======================================
O41 - TM_CFW - Trend Micro Common Firewall Module 1.2 - C:\Program Files\Trend Micro\OfficeScan Client\TM_CFW.sys - (running) - Trend Micro Common Firewall Module 1.2 - Trend Micro Inc. - 866fdebc24d8f1a373968f4574248b82
O41 - MG-U31 - MG-U3.1 - C:\WINNT\system32\drivers\MG-U31.sys - (not running) - MG-U3.1 - Multi-Group Holdings Ltd. - 132f37e8015d7bf3dd9987d614040ee5
=======================================
360Safe.exe=3.3.0.1001
AntiAdwa.dll=3.3.0.1001
AntiEng.dll=3.3.0.1001
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1012
=======================================
操作历史报告：
----------清理恶评软件历史----------
2007-04-13 15:31
清理恶评软件 - 雅虎助手&上网助手 - HKCU\SOFTWARE\Yahoo\Assistant
清理恶评软件 - 百度超级搜霸 - HKCU\Software\Baidu\BaiduBar
清理恶评软件 - 广告软件ASN.2 - C:\WINNT\system32\delme.bat
2007-04-13 15:34
清理恶评软件 - Adobe Reader附带的BHO插件 -
清理恶评软件 - 广告软件ASN.2 -
2007-04-17 14:11
清理恶评软件 - 雅虎助手&上网助手 - C:\Program Files\Yahoo!\Assistant
清理恶评软件 - 百度超级搜霸 - HKCU\Software\Baidu\BaiduBar
清理恶评软件 - winform - C:\WINNT\system32\winform.dll
清理恶评软件 - 广告软件ASN.2 - C:\WINNT\system32\delme.bat
 
----------插件卸载操作历史----------
2007-04-13 15:24
插件管理 - Adobe Reader附带的BHO插件 - C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.DLL
2007-04-13 15:31
插件管理 - Active Setup Controls - C:\WINNT\system32\cfgmgrsvc.dll
----------修复IE浏览器操作历史----------
2007-04-13 15:25
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
2007-04-13 15:25
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
2007-04-13 15:32
R0 - 危险 - IE首页 - HKLM\Software\Microsoft\Internet Explorer\Main
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
2007-04-17 09:08
R0 - 危险 - IE首页 - HKLM\Software\Microsoft\Internet Explorer\Main
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
日志信息相关信息汇总：

    从上面的日志文件可以很明显的看出上表几点问题之处，cfgmgrsvc.dll恶意文件篡改了系统中已有的BITS服务，单单看服务的描述看不出任何问题具有一定的隐蔽性，并且在多个系统进程中注入运行。用户在清除显而易见的at2.810810.org.exe文件后并没有留意到这些隐藏的系统进程，所以系统问题无法清除且反复发作。
    与用户沟通后，建议用户先将上述的文件备份后删除（备份的目的是为了进一步分析之用，如无此需要可以直接删除），再这些服务删除及恢复：
sc delete msiehome 删除msiehome服务
sc delete at2.810810.org 删除at2.810810.org服务
sc delete TransactionService 删除TransactionService服务
sc config bits binpath= "c:\windwos\system32\svchost.exe -k netsvcs" 恢复BITS服务
通过360删除浏览器插件”Active Setup Controls”，问题解决

    其它的推荐的日志分析工具还有System Repair Engineer? 如下图所示：

    这些日志收集软件使用大同小异这里就不在赘述。透过初步的分析我们现在已经掌握了终端系统中以下这些信息：
异常的进程名称、具体的安装路径及他们进行网络访问的端口、异常的程序是如何自我加载的（启动项、系统服务、更改文件关联等等）。
    下面如何进一步去判断这类异常软件是如何“破坏”系统的？
    我们如何利用网络资源判定的这些文件是否就是病毒？
    最后，如何利用这些已知信息对内网的防病毒及其它安全产品进行相应的配置去防范这些攻击呢？
    我们在下一篇中继续探讨，欢迎你的关注与交流。