除掉可恶的病毒

全球接近20亿人使用互联网，他们是恶意软件的潜在受害者。密码、个人账号、信用卡号――这些重要的个人信息可能被黑客们浏览过。黑客攻击用户最简单的办法就是通过受感染的网站和文件（PDF文档为主）进行攻击，除此之外，另一种往往被人们所忽视的传播途径就是闪存盘。CHIP将为你讲述病毒如何经过这3种途径进行传播的，以及如何才能保护我们的电脑以免遭其害。

来自安全软件厂商卡巴斯基的报告显示，2010年1月至3月，被感染的个人电脑数量增加了26.8%，其主要感染源是那些被篡改的网站。为了规避它们，简单地屏蔽那些可疑的、软件下载和破解网站是不够的。防病毒软件厂商Avast调查发现，99%的危险网站是合法注册的，而且很多的恶意软件都是源自外部的站点――恶意软件宿主服务器。据卡巴斯基调查发现，全球约有1.2亿这样的宿主机。

Adobe Reader在软件漏洞治理方面已有动作。信息安全研究机构Secunia，在2009年6月至2010年6月间，总共发现了69个漏洞。Adobe最终决定采取行动：在刚刚的第10个版本中，Reader将运行在沙盘（Sandbox）环境中，以减少对系统底层权限的访问。另一方面，USB存储设备作为一种不为人们所熟知的恶意软件传播设备，黑客可以利用它们对电脑个体进行攻击。在多数情况下，恶意软件利用的正是Windows默认打开的自动播放功能。

互联网：恶意网站窃取数据

对于黑客来说，合法的网站是传播恶意软件最有效的途径。联想、TomTom以及美国财政部都曾经是受害者。

攻击：被黑客操纵的网站

黑客篡改合法网站的代码，使其连接恶意软件宿主服务器。

重定向 最简易的方法――网页源代码将用户请求重定向至恶意软件的宿主服务器，代码如下：

 

iFrame 该技术可以实现在一个网站中隐藏另一个网站的数据并加载恶意软件，从而实现直接访问目标网站：

JavaScript 在被攻击的网站中嵌入JavaScript代码相对复杂一些，尤其是与ActionScript（Flash中用到的脚本语言）组合在一起使用。大多数时候，重定向代码被隐藏在网页的众多代码中（如下面的代码片段）。因此，对于安全保护软件来说，几乎不可能识别其中被重定向的目标站点：

function c268fb268di49ff54f25b4a1(i49ff54f25b87a){ff54fr4f+‘3637‘+rF7‘+r4f+‘3637‘+r4f+‘2697‘+r4f+‘07‘+r4f+‘43E‘;document.write(i49ff54f25c40e(i49ff54f25df4f));

ZIELDOMAIN: antivirus.vc/?174c

自动化：

利用工具自动攻击PC

不同于病毒，黑客在实施攻击前，会在恶意软件站点放置一些小程序。这些小程序会利用大量的安全漏洞，自动进入用户的PC机中。“Eleonore”就是这样一款小程序，它已经在全球范围内感染了120万台PC机。

PDF：攻击程序正在迷惑安全软件

病毒扫描程序能够识别绝大多数的病毒代码。因此，黑客们采取化整为零的策略，以加密的方式将病毒代码隐藏于PDF文档中。

隐藏：在PDF文件中

分散攻击代码

PDF文档由一系列对象，如文本、字体、空格、表单或跳转标示组成。在一个100页的文档中，至少有10000个左右这样的对象。黑客们的高明之处在于将恶意代码切分并分散存储于多个对象中，以躲避病毒扫描程序。

合并：PDF阅读器打开PDF文档并拼合代码

PDF阅读器打开文档的过程是将PDF文档中的对象进行组合，并根据对象设定的参数进行显示。通过这种方式，PDF阅读器执行位于对象中的脚本，如JavaScript或Visual Basic（如下图）。通过组合来自不同对象的代码单元并最终执行它，恶意软件可能会实现内存溢出攻击。

感染：恶意软件

接管电脑

通过被篡改的PDF文档，各种各样的恶意软件进入电脑。Zbot和Kneber是最常见的木马软件。

执行：恶意代码引发

缓冲区溢出攻击

恶意软件在执行时将利用无用的代码片段占满PDF阅读器的内存区域，并引发内存溢出，以此使得恶意代码片段可以占用下一个内存区域并在其中执行，通常在缓冲区溢出成功后恶意代码会从网页下载另一个恶意软件。

如下方法保护电脑免受感染的PDF文档攻击

Scripts 在PDF阅读器的“编辑|首选项| JavaScript”菜单中，关闭JavaScript并禁止外部程序的执行。

其他工具 由于PDF攻击是针对PDF阅读器的，所以我们建议使用其他PDF文档阅读软件，如Foxit阅读器。当然，它也需要定期更新。

文件检查 黑客们会通过电子邮件的方式发送受感染的PDF文档。可使用工具VirusTotal Uploader联网检查接收到的文档。

USB：高风险的病毒传播设备

数码相机、MP3播放机以及闪存盘等设备很容易受到恶意软件的感染。正是由于Windows的一些功能设置缺陷使病毒可以借助移动存储设备轻易地在电脑间传播。

控制：恶意软件识别USB设备

一些恶意软件通过监视Windows的自动运行功能来检测外部的数据存储设备。当恶意软件检测到一个移动的USB存储设备时，它会将病毒复制到数据载体中，并且在其根目录写入一个名为Autorun.inf的隐藏文件。

传递：

源自生产商的病毒

令人气愤的是，一些“知名”厂商也在生产和分发受病毒感染的USB设备。这里有几个案例：

奥林巴斯μTough 6010 由于质量控制存在缺陷，奥林巴斯在日本销售了1700台有病毒的数码相机。

IBM闪存盘 在澳大利亚安全会议上，IBM给每一个与会者赠送了一个有病毒的闪存盘。

创新Sound Blaster X-FI Go 这个设备的驱动程序感染了木马和蠕虫病毒。木马病毒Corelink.D会安装Rootkit软件THK，运行木马病毒Almanahe.V并修改了Windows的自动运行功能。蠕虫病毒RJump.AJ运行木马病毒JXU并将病毒复制到每一个连接在电脑上的USB存储设备中。

启动：自动运行功能感染Windows操作系统

如果被感染的数据存储设备连接到另一台电脑上，Windows将执行Autorun.inf文件中指定的文件，除了exe可执行程序外，也可以是HTML文件。一旦它被打开，浏览器将被重定向到一个恶意网站。

如下方法可以防止USB设备传播病毒

自动执行 利用Panda Research USB vaccine工具，自动执行的功能将被关闭。除此之外，不要使用他人的USB存储设备，如闪存盘。

病毒检查 在防病毒软件中将“扫描可移动存储设备”的选项打开。这个选项通常在软件的高级选项设置中。