¿Qué hacer con los virus en su computadora?
Dado que el tamaño de IFrame se puede configurar libremente, los vándalos pueden colocar múltiples marcos "invisibles" en una página y adjuntar múltiples programas dañinos "invisibles", por lo que las personas que naveguen por esa página se convertirán naturalmente en víctimas. Las vulnerabilidades MIME son más famosas que las vulnerabilidades IFrame, que en realidad son solo una pequeña pieza de datos que se utiliza para describir el tipo de información. El navegador sabe qué hacer con los datos recibidos leyéndolos. Si se trata de texto e imágenes, se mostrarán. Si es un programa, aparecerá una confirmación de descarga. Si es música, simplemente reprodúcela. Tenga en cuenta que para el último tipo: Música, la acción que realiza el navegador es: Reproducir. b. Rastreadores en páginas web C. Gusanos sociológicos D. Gusanos de vulnerabilidad del sistema 2. Varios ejemplos típicos de virus A. Pintura al óleo Una extraña pintura al óleo circula en Internet. Se dice que mucha gente alucinará después de verlo. Algunas personas lo interpretan como la estimulación visual provocada por la composición y el color del cuadro al óleo, mientras que otros piensan que es un efecto psicológico. Hay opiniones diferentes, pero ninguna respuesta convincente. Frente a los dos niños aparentemente normales en la pantalla, la gente quedará fascinada y no notarán que la barra de estado en la esquina inferior izquierda del navegador IE nunca ha detenido la barra de progreso al abrir la página. La unidad óptica de la computadora se expulsó automáticamente y, tan pronto como la presioné, se expulsó nuevamente. El mouse se mueve por todas partes y el teclado no responde. Después de un tiempo, la computadora se reinició y apareció el mensaje de error "Falta NTLDR..." para siempre. Evidentemente, este es otro incidente típico de sabotaje troyano. Lo que abriste no es una imagen en absoluto. El navegador IE es muy potente. Puede identificar y abrir automáticamente archivos de un formato específico, independientemente del sufijo del archivo, porque IE determina el contenido del archivo no en función del sufijo, sino del encabezado del archivo y MIME. Cuando un usuario abre un archivo, IE lee la información del encabezado del archivo y busca su descripción en formato MIME correspondiente en la base de datos del registro local. Por ejemplo, al abrir un archivo MIDI, IE primero lee un dato delante del archivo. Según la definición estándar de un archivo MIDI, debe contener información de descripción que comience con "RIFF". Según esta etiqueta, IE encuentra el formato MIME de "x-audio/midi" en el registro. Luego, IE confirmó que no tenía la capacidad de abrir estos datos, por lo que encontró un archivo con el sufijo ".MID" para abrir según la información del sufijo del archivo en el registro, y luego lo envió a este programa para su ejecución, y veremos el resultado final. Es por este principio que IE se daña fácilmente. Aquí igual. Los intrusos hacen que las páginas web oculten gusanos falsificando información de descripción de etiquetas MIME. Lo que abrió Xiao Wang fue en realidad una página HTML con el sufijo cambiado a un formato de imagen. Contenía los archivos de virus con las dos vulnerabilidades anteriores y una etiqueta IMG con la altura y el ancho establecidos en 100%, por lo que la gente pensó que era solo una imagen. archivo. Sin embargo, detrás del cuadro se esconde un malvado caballo de Troya. El programa troyano es relativamente grande y tarda algún tiempo en descargarse, por lo que la barra de progreso de IE nunca se detiene. Para garantizar que la víctima descargue el archivo troyano completo en el tiempo que lleva abrir la página, los intrusos emplean ingeniería social para que la víctima no cierre la página durante un breve período de tiempo. b. Firma de mapa de bits (BMP). Es administrador de red de una empresa y tiene suficiente experiencia en mantenimiento de servidores y configuración de seguridad. No necesita temer a los virus que explotan las vulnerabilidades del navegador. Ese día, en un foro de tecnología, vio una publicación de un internauta sobre defectos operativos en algunos procesadores AMD y dio un enlace a una página de prueba. Según la descripción oficial, si la CPU que estás utilizando está defectuosa, verás que las imágenes de prueba en la página están dañadas y desordenadas. Se sorprendió: la CPU que utilizó era este modelo. Inmediatamente hizo clic en el enlace a la página. Al mirar las imágenes desordenadas en la página, suspiró aliviado: ¡Había algún problema con la CPU de esta máquina y quería usar esta máquina para procesar datos importantes de la empresa! Inmediatamente acudió al departamento de gestión para discutir con el responsable y dejó a un lado la máquina que mostraba la imagen del silbato. El departamento de administración prometió reemplazarlo con una máquina lo antes posible y permitirle transferir el disco duro porque contenía información comercial importante. Cuando regresó, vio que la foto todavía estaba luciendo. Cerró la página con disgusto y abrió la carpeta donde se almacenaba la información como de costumbre. Su mente de repente se quedó en blanco: ¡la información había desaparecido! ¿Quién lo eliminó? Buscó frenéticamente en cada rincón del disco duro, pero los archivos parecieron evaporarse. Después de mucho tiempo, finalmente se dio cuenta: ¡la máquina había sido pirateada! Quitó el disco duro y fue directamente a la empresa de recuperación de datos. Luego, analizó cuidadosamente el motivo. Debido a que la máquina había pasado estrictas pruebas de seguridad y se habían completado todos los parches, era imposible que ocurrieran vulnerabilidades web y ataques de desbordamiento.
Lo único cuestionable es la llamada página de prueba de vulnerabilidad. Rápidamente descargó y analizó toda la página de código, miró la etiqueta IMG con el sufijo ".BMP" y un montón de códigos de script complejos en el código fuente de la página. Sabía que había caído en manos del troyano BMP. La imagen del "defecto de prueba" tendrá el mismo "defecto" en cualquier máquina, porque no es un archivo de imagen en absoluto, sino un programa troyano que comienza con el encabezado del archivo BMP. ¿Por qué imágenes aparentemente dóciles se convierten en armas mortales? Esto debería comenzar con el formato de mapa de bits. Muchos amigos deberían conocer el antiguo método de transmisión de "texto cifrado" llamado "palabras ocultas en la imagen", que agrega una cierta cantidad de datos al final del archivo de mapa de bits sin causar demasiado daño al archivo de mapa de bits original. lo cual se debe a las restricciones flexibles del formato de mapa de bits. El método del sistema para juzgar un archivo de mapa de bits no es una consulta estricta, sino que simplemente lee su longitud, ancho, número de dígitos, tamaño del archivo y longitud del área de datos de los 54 bytes del encabezado del archivo para completar el reconocimiento de la imagen. El mecanismo de interrogación flexible permitió que naciera el troyano BMP. Sin embargo, primero hay que aclarar el concepto. El troyano BMP no es un archivo EXE adjunto en la parte inferior del archivo de mapa de bits BMP, sino un archivo ejecutable EXE independiente, pero el encabezado del archivo PE se reemplaza por el encabezado del archivo de mapa de bits. Debido al mecanismo de consulta del sistema, el navegador reconoce el archivo EXE como un archivo de mapa de bits. Dado que es un mapa de bits, en la lógica del programa del navegador, es un archivo que debe descargarse a la carpeta de caché de Internet y luego mostrarse en la página. Sin embargo, dado que este archivo no es un mapa de bits, naturalmente se convertirá en un montón de datos basura sin sentido después de la visualización forzada y se convertirá en una imagen desordenada a los ojos del usuario. Pero esa no fue la causa de la crisis del caballo de Troya. A lo que debemos prestar atención son a estas palabras: "¡Es necesario descargar a la carpeta de caché de Internet"! Esto muestra que el navegador ha invitado al lobo a entrar en la habitación: el caballo de Troya se ha instalado en el disco duro, pero todavía está inactivo porque el encabezado del archivo se ha cambiado a un formato de mapa de bits, lo que le impide ejecutarse por sí solo. Como no puede ejecutarse, ciertamente no puede causar daño al sistema. Entonces la extensión dejada por el lobo en el disco duro es un desperdicio y el intruso no puede dejar que se desperdicie. Entonces, cuando crean una página para descargar el caballo de Troya en el navegador, también configuran el código de la página para que el navegador ayude a quitarle el pelaje al lobo. Luego de estos pasos, un lobo malo ingresa al sistema. Esta vulnerabilidad irrevocable es aterradora. Es difícil para los usuarios saber si la página que están navegando está descargando secretamente datos troyanos, porque incluso si aplican todos los parches, no ayudará. El troyano lo descarga "legítimamente" IE, no es una vulnerabilidad de código. Además, es difícil saber por el propio programa si la imagen es un troyano. La máquina completa el trabajo de procesamiento mediante binario, en lugar de dejar la imagen de la retina al cerebro para que la juzgue. Sin embargo, dado que este también es un método de intrusión que requiere la descarga de un archivo, si se puede descargar y si el usuario está dispuesto a ver la página depende de la ingeniería social del intruso. Publicar una imagen desordenada o un cuadro de imagen oculta en cualquier página no es la opción más inteligente a menos que utilice alguna "declaración de privacidad" o un truco para generar interés. La razón por la que el administrador de red de esa empresa no estaba tan preparado fue porque el atacante robó los "puntos ciegos psicológicos" de las personas. Debido a que las personas son particularmente sensibles a la seguridad, las vulnerabilidades, los virus, los refugios de ocio, etc., el intruso envió a un profesional informal al refugio. El caso engañó a mucha gente. Esta vez utilizó un incidente real: algunos modelos de CPU AMD pueden causar problemas de imagen, entonces, ¿qué usará como cebo la próxima vez? c. Devil's Curse (JPEG, GIF) Para la mayoría de los usuarios de un foro de entretenimiento, hoy es un día negro, porque después de leer una publicación de pintura al óleo sobre "Cursed Eyes", el sistema fue bloqueado por razones desconocidas. El personal técnico de la administración del foro realizó inmediatamente múltiples análisis en esta publicación, pero solo había un enlace de imagen JPEG en toda la página y otros códigos y programas maliciosos no existían en absoluto. ¿Qué hizo el intruso para comprometer la máquina del usuario? ¿Es realmente esta imagen JPEG? Me temo que la respuesta es difícil de aceptar. De hecho, fue esta imagen JPEG la que infectó al usuario con el virus. Aunque la investigación de virus nunca se ha detenido, el desarrollo hasta este punto es realmente insoportable: ¿me infectará un virus si sigo abriendo archivos de texto? El ataque de la imagen viral realmente hizo sudar a todos. Sin embargo, como todos sabemos, las imágenes en JPEG, GIF y otros formatos no tienen las condiciones para autoejecutarse y propagar virus, lo cual es ilógico.
Recordando los acontecimientos del 14 de septiembre de 2004, Microsoft emitió el boletín de seguridad MS04-028: Un desbordamiento del búfer en el procesamiento JPEG (GDI+) podría permitir la ejecución de código. Sí, esta es la laguna jurídica. Su término es GDI+ y la biblioteca de vínculos dinámicos correspondiente es GdiPlus.dll. Esta es una interfaz de dispositivo gráfico que proporciona gráficos, imágenes y diseños de medios bidimensionales a aplicaciones y programadores. La mayoría de los programas de Windows llaman a esta DLL para completar el procesamiento de imágenes en formato JPEG. Pero ahora es esta "figura pública" la que se ha convertido en el blanco de la crítica pública. En este punto, los lectores básicos deben comprender que no es la imagen en sí la que puede propagar el virus, sino que el módulo del sistema responsable del procesamiento de gráficos se desbordará al procesar la imagen, provocando la destrucción de las instrucciones maliciosas contenidas en la imagen. Si una herramienta de imágenes no llama a este módulo del sistema, sino que utiliza su propio módulo de procesamiento, las imágenes que también contienen instrucciones maliciosas no pueden lograr el propósito de destrucción. Sin embargo, dado que este módulo del sistema es el módulo de procesamiento predeterminado, la mayoría de los programas han caído frente al "virus JPEG". ¿De dónde viene este desbordamiento? Esto comienza con el principio de cómo el sistema lee los gráficos en formato JPEG. Cuando el sistema procesa una imagen JPEG, necesita cargar el módulo de procesamiento JPEG en la memoria, y luego el módulo de procesamiento JPEG lee los datos de la imagen en el espacio de memoria que ocupa, que es el llamado búfer. Finalmente, vemos la visualización de la imagen. Sin embargo, aparece un error cuando los datos de la imagen entran en el búfer: Windows especifica el tamaño del búfer. Sin embargo, el volumen real de datos no fue examinado rigurosamente. Este modo de verificación de límites defectuoso conduce a una pesadilla: un intruso procesa los datos de una imagen JPEG a un tamaño extremadamente grande y agrega instrucciones maliciosas. Entonces, ¿qué sucede cuando el sistema carga la imagen en la memoria? Los datos de la imagen llenarán el búfer proporcionado por todo el módulo de procesamiento JPEG y las instrucciones maliciosas simplemente se desbordarán en el área de memoria del programa en sí, que se utiliza para ejecutar las instrucciones, es decir, el área central. De esta manera, el programa ejecutará incorrectamente las instrucciones maliciosas y el intruso destruirá el sistema o el comportamiento de invadir la máquina se podrá implementar normalmente. Algunas personas se preguntarán, ¿son todos los intrusos magos? ¿Por qué saben exactamente qué datos se desbordarán y ejecutarán? La respuesta es simple, porque cuando Windows asigna espacio para el módulo de procesamiento JPEG, la dirección inicial de memoria asignada es fija. Los intrusos pueden saber qué datos se ejecutarán simplemente calculando el tamaño del espacio, por lo que el virus JPEG se propaga rápidamente. El llamado virus JPEG no significa que las imágenes JPEG puedan liberar virus, sino que el módulo del sistema que procesa las imágenes JPEG ejecuta los virus que contienen las imágenes JPEG. No debemos entrar en pánico. Mientras se parchee la vulnerabilidad de GDIPLUS.DLL, incluso si todas las imágenes JPEG de su máquina contienen datos de virus, no podrán escapar y causar daños. Como dijo Austin, profesor asistente de la Universidad de Massachusetts: "Los virus no son sólo códigos autorreplicantes, sino que necesitan propagarse a través de código ejecutable. Los archivos JPEG no pueden ejecutar código, son archivos de datos abiertos por software de aplicación. El software de aplicación No busque código ejecutable en los archivos de datos, para que estos códigos de virus no se ejecuten. "Los virus gusanos representan la mayor amenaza para los usuarios individuales, son también los más difíciles de erradicar y causan mayores pérdidas. Para los usuarios individuales, los gusanos amenazadores suelen propagarse a través de correo electrónico y páginas web maliciosas. Para los gusanos que se propagan por correo electrónico, se suele utilizar la ingeniería social. En otras palabras, una página web maliciosa se propaga a través de diversos medios engañosos para inducir a los usuarios a hacer clic en ella. Específicamente, es un programa destructor de código de un hacker incrustado en la página web. Los virus pueden aparecer cuando un usuario, sin saberlo, abre una página web que contiene un virus. El principio de esta tecnología de incrustación de código de virus no es complicado, por lo que será utilizado por muchas personas con malas intenciones. En muchos sitios web de piratas informáticos han aparecido foros sobre técnicas para utilizar páginas web para causar daños y se han descargado códigos de programas destructivos, lo que ha provocado una proliferación a gran escala de páginas web maliciosas y cada vez más usuarios sufren pérdidas. Para páginas web maliciosas, a menudo se utiliza la programación de scripts vb y java. ¡Porque el método de programación es muy sencillo! ¡Así que es muy popular en línea! Los scripts Vb y java son analizados y ejecutados por WSH (Windows Scripting Host Windows Script Host) del sistema operativo Microsoft. Debido a una programación sencilla, este tipo de virus script se propaga ampliamente en Internet. El virus Crazy Love Bug es un virus de secuencia de comandos VBS que se disfraza como un archivo adjunto de correo electrónico para atraer a los usuarios a hacer clic para ejecutarlo.
Lo que es aún más aterrador es que este tipo de virus aparece en forma de código fuente. Las personas que saben un poco sobre secuencias de comandos pueden modificar su propio código para formar varios virus. Tomemos un script simple como ejemplo: set o * * fs = createo * * ect ("scripting. filesystemo * * ect") (crear objeto del sistema de archivos) o * * fs. createtextfile ("c:\virus.txt", 1) (Crea TXT a través de objetos del sistema de archivos). Si cambiamos la segunda oración a: o * * fs getfile (wscript . nombre completo del script). copiar ("c: \ virus.vbs"), podemos copiarnos al archivo virus.vbs en la unidad c. El archivo de script se abre delante de esta oración, así como WScript. ScriptFullName significa que es el programa en sí y una ruta completa al nombre del archivo. La función GetFile obtiene este archivo y la función Copiar copia este archivo al archivo virus.vbs en el directorio raíz de la unidad c. Estas dos oraciones simples implementan la función de autorreplicación y ya poseen las características básicas del virus. capacidad de autorreplicación. Este virus a menudo se transmite a través de correos electrónicos y es muy sencillo llamar a la función de envío de correo electrónico en un script vb. El virus a menudo se propaga enviando un correo electrónico independiente a la dirección de correo electrónico que figura en la libreta de direcciones de Outlook. Un ejemplo sencillo es el siguiente: set o * * OA = wscript. createo * * ect("Outlook.Application") (el objeto que crea la aplicación Outlook) establezca o**Mapi=o** OA. obtener espacio de nombres ("MAPI") (obtener espacio de nombres MAPI) para I = 1 a o * * MAPI. DIRECCIÓN. Contar (recorrer la libreta de direcciones) establecer o * * Addlist = o * * MAPI. J = 1 a la dirección (I) de o * * Addlist. DIRECCIÓN. Recuento de mensajes = 0 * * OA. Crear * *Artículo de correo(0). beneficiario. Agregar (o * * Addlist. Direcciones (j)) (Obtener la dirección de correo electrónico del destinatario) o**Mail. Su**ect= "¡Hola!" (A menudo resulta tentador establecer el asunto del correo electrónico) o**Mail. Body= "¡El archivo adjunto que te doy esta vez es mi nuevo documento!" (Establece el contenido de la carta)o * mail adjuntos add (" c:\ virus . VBS ") (difunde como archivo adjunto) o. * * Correo. Enviar (enviar correo) siguiente siguiente Establecer O * * Mapi = Ninguno (borrar o**variables de Mapi y liberar recursos) establecer o * * OA = Ninguno. La primera línea de este código crea un objeto de Outlook, lo cual es muy importante. A continuación se muestra un bucle en el que se envían continuamente cartas con el mismo contenido a los buzones de la libreta de direcciones. Esta es la propagación de un gusano. Se puede ver que es muy fácil usar scripts VB para escribir virus, lo que hace que dichos virus existan en muchas variedades y sean altamente destructivos, ¡lo que los hace muy difíciles de erradicar! 3. Medidas preventivas de los usuarios individuales contra los gusanos. Del análisis anterior, podemos saber que los virus no dan mucho miedo. Los gusanos de red atacan a los usuarios individuales principalmente mediante ingeniería social en lugar de explotar las vulnerabilidades del sistema. Por lo tanto, debes prestar atención a los siguientes puntos para prevenir este tipo de virus: 1. Se debe instalar software antivirus. Rising integra software antivirus con potentes funciones de prevención de incendios, lo que tiene un gran efecto inhibidor sobre gusanos y programas troyanos. 2. Actualice la base de datos de virus con frecuencia. El software antivirus se basa en firmas de virus. Los virus aparecen sin cesar todos los días, especialmente en la era de Internet. Los gusanos se propagan rápidamente y tienen muchas variantes. que se pueden detectar los últimos virus! Generalmente una vez por semana o más. Pero debido a que el software antivirus que instalamos generalmente se instala en varias máquinas, no puedo actualizarlo y hay un límite en la cantidad de actualizaciones por día para un software con un número de identificación. Si esto sucede, podemos actualizar otro día y el problema se puede solucionar.
3. Mejorar el conocimiento antivirus. ¡No haga clic fácilmente en sitios web desconocidos, ya que pueden contener códigos maliciosos! 4. No revise a voluntad correos electrónicos desconocidos, especialmente correos electrónicos con archivos adjuntos. Debido a que algunos correos electrónicos de virus pueden aprovechar las vulnerabilidades de IE y Outlook para ejecutarse automáticamente, los usuarios de computadoras necesitan actualizar los programas de IE y Outlook, así como otras aplicaciones de uso común. 1. Error de mensaje, respuesta: Respuesta de autenticación de correo electrónico: ¿Es esta su respuesta? Nota 5 nuevamente. Desarrolle el hábito de actualizar frecuentemente el sistema: Método específico a. Configure el menú de inicio en modo clásico. Sin embargo, haga clic en el elemento Windows Update en el menú Inicio y siga las instrucciones para completar la actualización. b. También puede configurar actualizaciones automáticas (no se recomienda este método). 6. No crea en las imágenes y sitios web que le recomiendan QQ. A veces estas cosas te las envían tus amigos (internautas). 7. Desarrollar buenos hábitos de aplicación informática y realizar copias de seguridad de datos importantes. 8. No creas que alguien insiste en utilizar los mensajes enviados por el mensajero del sistema para navegar por sitios web desconocidos.
Los virus siempre harán todo lo posible por invadir nuestros ordenadores y destruirlos. Aunque puedes utilizar software antivirus, no descuides tus precauciones habituales. "Mantener al enemigo fuera del país" es lo más ideal, por lo que se recomienda que todos adopten el principio de "primero la prevención" para hacer frente al virus. Esperamos que las siguientes ideas antivirus y antivirus sean útiles para todos.
1. Primero haga un disco de emergencia.
Es muy necesario crear un disco de arranque de emergencia del sistema que no sea tóxico. Lo mejor es copiar un software antivirus y alguna herramienta práctica en este disco y luego desactivar la protección contra escritura.
Cuidado con la entrada
Cuando tenemos algo útil, a todos nos gusta compartirlo con nuestros amigos. Según nuestra experiencia, le recomendamos que no inicie su sistema desde un disquete antes de buscar virus. ¿Has descubierto alguna vez que más del 90% de los virus son virus de arranque? Down no ejecuta archivos comprimidos no verificados, como archivos descargados de Internet (también puede considerarlo en cibercafés). Además, le aconsejo que tenga cuidado con los archivos adjuntos de correo electrónico (aunque algunos parecen estar en forma de texto) y no haga doble clic para ejecutarlos, incluso si los envían amigos.
3. Implementar copias de seguridad
Para los documentos que hemos trabajado duro para crear en nuestro trabajo diario, así como para la diversa información que hemos dedicado tiempo y esfuerzo a recopilar de Internet, estos son suyos Como resultado de su trabajo, necesita realizar una copia de seguridad al menos una vez a la semana, preferiblemente fuera del sitio (es decir, realizar una copia de seguridad en un dispositivo de almacenamiento que no sea su computadora, como un disquete o un disco duro móvil USB) . De esta forma, cuando los archivos del ordenador sean dañados por virus, será de gran utilidad. Por supuesto, antes de hacer esto, debes asegurarte de que tu archivo de copia de seguridad esté "limpio".
4. "Mi PC"
Es mejor no dejar que otros toquen su computadora personal: los novatos siempre la "harán mal uso", y los langostinos inevitablemente pensarán: Pide prestada tu máquina favorita y Pruebe algunos de los ejes que acaba de "investigar". No importa cuál sea la situación, su información puede perderse en un instante y ¡es demasiado tarde para llorar! Así que al menos tienes que evitar que otros utilicen sus propios disquetes o CD en tu ordenador, ya sea de forma intencionada o no.
Ten cuidado con situaciones anormales
Un consejo: cuando utilices habitualmente un ordenador, debes prestar especial atención a su rendimiento. Si nota síntomas anormales, como lentitud como un caracol, menos de 256 MB de memoria, un aumento repentino de archivos que nunca antes había visto, un aumento o disminución en la longitud de archivos con los que está familiarizado, su primera reacción debería ser: ¡Envenenamiento! ! ! En este momento, debes dejar lo que estás haciendo y matar el virus inmediatamente. ¡No seas descuidado! De lo contrario, sus pérdidas serán cada vez más graves. Si el sistema falla y todo se borra, ¡será demasiado tarde!
6. No olvides actualizar
La instalación del software antivirus no es algo que se haga de una sola vez. No permita que los virus entren en su sistema justo delante de las narices de su software antivirus. Por lo tanto, siempre debe prestar atención a los informes antivirus o visitar con frecuencia la página web del fabricante del antivirus correspondiente para conocer las tendencias recientes de actividad de virus, actualizar los códigos de eliminación de virus y actualizar su software antivirus.