网络病毒的预防原则、背后的产业链以及个人诚信与责任

在广州我发现父亲的台式机被病毒感染得“满目疮痍”。虽然我的笔记本使用原版Windows XP SP2到现在四年都没“中过毒”,却仍然无法将父亲的电脑彻底治愈:我只是了解一些“预防”原则,而“治疗”对我来说,难度颇大。对于Windows这样一个庞杂的系统,即便是“专家”,“治疗成本”也是高昂的。

先分享一下我预防的4条原则:

  1. 尽量使用不支持ActiveX的浏览器(Ie6及以下版本)
    在Yahoo Widget、Adobe AIR、Microsoft Silverlight和WPF逐步萌芽的今天,ActiveX恐怕连把“双刃剑”都称不上了。至少我个人除了网络银行以外,没看到什么有实用价值的ActiveX应用。
    值得强调的是,之前曾说过,Firefox绝对不能做到万无一失,对于许多欺诈性站点来说,没有任何浏览器是可以防御的:比如某些下载网站将木马程序伪装为常用软件下载,例如金山词霸。只要你是Win32平台,你无论用IE还是用Firefox、Safari、Opera,你下载了这个程序并运行,就会中招。
  2. 使用Google搜索,慎用其他搜索引擎
    我的理由是,Google的搜索结果中,如果某网站有木马下载隐患,则会在搜索结果中出现警告;而其他搜索引擎的搜索结果没有此类提示,而且由于大量的“推广”链接存在,很多时候只要花钱,就能被“搜出来”,这也不能不说是一种风险。
  3. 慎用IM接收文件
    IM中好友发过来的文件,一定要回复对方以确认:某好友给你发来一个.scr的“超酷屏保”,那千万不要急着打开看,一定要问对方。如果对方答复说根本不知道有这回事,那么肯定是他中招了。
  4. 拒绝使用来历不明的光盘和U盘
    许多CD和U盘都有“autorun.inf”,这些程序最初是作为优质的商业软件发行本提供给终端用户的。当年Macromedia的Flash在这方面作出不少贡献:插入一张光盘,出现一连串生动的动画、音乐等等。这从CD发行产品的角度来讲,是对使用者的极大感染和传达。然而,逐渐有许多“破坏者”利用这一方式,让CD或者U盘直接运行一些VBScript脚本之类的恶意程序,破坏计算机。

这么多的木马,让很多人,尤其是那些喜欢“自拍隐私”的朋友们开始感到担忧。不过只要你不是娱乐圈的大明星,完全可以放心:黑客入侵大量的计算机不是为了看那点破隐私,而是设法获得庞大的“分布式”网络控制权(利益和力量):一个拥有数万台“傀儡终端机”的黑客,可以利用这成千上万的计算机进行虚假流量交易、虚假广告点击,也可以以DDOS攻击(就是数万的电脑疯狂链接某一个服务器,让服务器负载过度而瘫痪)竞争对手的网站。久而久之,这就成了一个恶性的“ecosystem”:牵扯到杀毒软件供应商、黑客和终端计算机。面对这个Ecosystem,有时候我们真的“防不胜防”(技术和法律都还有很远的路要走)。

当然,有了这些原则,从理论上来说,欺诈和木马仍是防不胜防:因为每一个网络节点背后,都是一个活生生的个体。这些个体的社会化关系一旦被“入侵者”控制,面对“社会化欺诈”就很难防了:最简单的例子,你朋友的QQ被盗,然后给你发来一个应用程序并告诉你是他极力推荐的“好东西”,你总不可能保证每次都去不停地盘为对方的真实身份吧。

然而,我总认为(其实客观规律也是如此),只要有持续的社会力量参与,正义永远能战胜邪恶。周鸿祎当年的3721曾经让这样一个“Ecosystem”达到高潮。然而随着大众网民对互联网知识的逐步了解,周鸿祎这个聪明无比的“流氓软件教父级人物”却用一个safe360将黑脸唱成了白脸,真是360度大转变。他这么做,从哲学上来说,就好比“生产关系”迎合“生产力”的发展一样。

我们每一个普通人:上网用户、Blogger也是一样,你在这个社会中,是有诚信额度的:努力保证自己不“中招”不仅仅是为了自己不被利用、欺诈,更重要的是,维护了你自己的诚信额度。诚信额度是你日后在日常社会交际中获取各种资源的重要因素,千万不要不在乎。例如我自己的网站awflasher.com,也经常有垃圾留言指向木马下载地址,我会第一时间把这些留言删除,因为访问者点击链接中招的话,我也有责任,也要付出诚信成本,降低诚信额度。

Advertisements

发垃圾评论能赚多少钱?

awflasher under attack

“什么是Spammer?”。相信上过几年网的人都知道我在说什么:它是指一群“垃圾邮件发送者”和“垃圾留言者”,一群丧心病狂的广告推广专员(其实网络推广并不可怕,可怕的是丧心病狂地发送轰炸性信息)。我想每一个网站管理员或者坛维护人员一定对这些人深恶痛绝。我自己也希望有一天,这些Spammer能全部死翘翘,还我们一个健康、安宁的互联网。转载请保留:http://www.awflasher.com/blog/archives/988

写这篇日志是源于前几天看到digg上的一篇文章,今天又遇到这篇文章,忍不住翻译并整理一下发出来给诸位看看。打击垃圾评论和垃圾留言,我们一定要深入了解他们的产业链和盈利模式!

“Ed”是一位已经退休的Spammer(垃圾评论推广专员)。通过发送垃圾邮件,他从“赌博业”、“色情业”和“药品保健行业”获得了巨额的财富。最疯狂的时候,能在一周之内赚到一万到一万五千美金。

当越来越多的人开始渴望从互联网上赌博赚钱和贩卖毒品时,生命就会变得无比贪婪。Ed,这位不愿意透露真名的“Spammer”17岁从高中退学,从事了5年的“Spam”行业,然后“全身而退”。Ed纵横网络多年,从来不用真名,只透露说曾是“电子黑社会”组织SpammerX的一员。

“我知道,不就是要下地狱么?”,Ed上周三在伦敦Cisco旗下IronPort公司的一次活动上如此坦诚。他说:”其实,我是一个善良的人,相信我“。

Ed说话非常礼貌,言谈举止也算是得体大方。头脑敏捷的Ed穿着随便,带着耳饰。然而,他的Spam生涯确实十分令人唾弃:针对性地诱惑喜欢赌博的人上赌博网站;瞄准那些对镇定剂等药品上瘾的人,找到他们的电子邮件并疯狂推销相关的药品。讽刺的是,Ed曾表示:“其实,人们不喜欢互联网”。

他每天花10个小时,并不顾双休日之类的任何休息。全部时间都用来研究如何发送可以绕过“过滤防御系统”的“垃圾邮件”。99%的“过滤防御系统”都被Ed“攻克”了,他说,用一些随机图片等小技巧就可以骗过这些“防御系统”了。

“我在发送垃圾邮件方面经验越来越丰富,我挣到的钱也越来越多”,Ed如此说。 Continue reading “发垃圾评论能赚多少钱?”

“中国缘”滚出中国!

之前,我一直认为出国学习,接受西方的先进教育,能在能力上有所提高,并且能在诚信上非常优秀。然而,并不是每一个在海外受过高等教育的人都会表现出高尚的情操。

上次去见某位IT圈知名人物时就被告知,并不是每一个从美国回来的人都是好东西,他当时就列举饿了“中国缘”。当时我也完全表示赞同,今天看到徐宥的Blog写了一篇文章,想起我被中国缘欺骗的种种……忍不住再次痛批之!

一家SNS网站,利用你的邮箱密码获取你的联系人名单并且擅自发消息,这是什么行为?这是一个现代社会、文明社会中正常人的行为么?我不知道那些写下这一行一行程序的程序员们良心何在

然而,抵制是否有效?我看渺茫……哪怕中国缘再TM垃圾,也有人会用,原因很简单

真正靠谱的SNS和论坛,还是看看我用的这几个吧。

关于一切和中国缘有关的垃圾MSN帐号和网站,大家可以全部放入host文件以防止被流氓危害,黑名单如下:

http://www.bbqun.com/blacklist/

至于如何放入HOST文件,看这里:http://www.awflasher.com/blog/archives/649

我的系统终于恢复了~

更新,刚发现Google提供对流氓网站的封锁支持,非常感动!

23:57更新 – 终于完全搞定,我果然老了,花了一天时间搞这个……好在没有重装系统。

说说与这次中毒具体相关的情况吧(流水帐形式):

  1. U盘是万恶之源:我昨天使用朋友的U盘时,提示了一个Windows内部错误之类的东西(具体记不清楚了,但我记得对话框的标题是”No Disk”),然后系统中产生了N多奇怪进程,如:IEXPL0RER.EXE(模仿IE的进程,把字母”O”换成阿拉伯数字零”0″)
  2. 我第一反应是,重启进入安全模式。结果关机剧慢,几乎花了半个小时才关机
  3. 开机进入安全模式,一切似乎正常,查msconfig启动项,删除(我都是在DOS下用copy con直接覆盖病毒文件删除的,我以为这样就Okay了)嫌疑文件,删除启动进程,再次重新启动
  4. 重启后看似无事,准备打开Apache干正事了。刚输入”net start apache2″,提示一个服务器不应答的错误(Error 1053, The server did not respond….)。进入KISS(Kiwi Internet Server Suite)目录,连uninstall都无效。
  5. 与此同时,系统进程中注入大量的exe文件进程,各种稀奇古怪的名字,一看就知道有问题。我现在记不起来了,去查我的搜索记录,大概是ippro.exe、upxdnd.exe、Kvsc3.exe、mppds.exe、temp1.exe、temp2.exe……这样的名字。同时发现许多同名的DLL文件。
  6. 进入安全模式查杀,重启,文件依然存在……
  7. 一个上午过去了,毫无进展
  8. 考虑重装系统,发现一来我的WinXPEnSP2的ISO落在家里了,而公司也正好没有可以刻录的光盘……
  9. 只能上Google、上百度,搜索……其实我这时已经基本绝望了。毕竟我在Windows系统内部方面懂得太少,现在的流氓软件,招式太狠:(
  10. 偶然启动了Apache一次。非常奇怪。但是这一次的启动让我找到了问题的突破口,且听我慢慢道来。
  11. 我在本机调试服务器,有一个Server叫做localhost2,我启动Apache成功,但进入这个URL却提示错误。仔细检查了HTTPD和VHOST设置,发现都没有任何问题。
  12. 目标锁定:HOST文件
  13. 打开HOST文件,天哪……面目全非了。把几十个域名指向到我的127.0.0.1,而localhost本身没有改变(看来我不用”localhost”调试是明智的-。-)
  14. 思考:为什么病毒要把host改掉呢?我甚至曾经写过一篇日志通过改host来避免一时无法删除的流氓网站的劫持。这个病毒为什么要把这一堆网址屏蔽呢。换个角度思考,这一些网址之中必然有”制服”病毒的资源!
  15. Okay,继续搜索,这次用的是百度,还行。(看来Google爬中文页面的速度还是稍微满一点儿)
  16. 找到一个”费尔木马强力清除助手“(官方下载地址在http://www.filseclab.com),发现提供这个软件的网站就在host列表中。(对知道host的人来说,这一招确实没啥用,但是对于不懂host的普通网友,这一招可真直爽:直接让你无法下载相关的杀毒软件……)
  17. 用这个清除助手”点杀”病毒。重启了两次,终于搞定了。这个”费尔木马强力清除助手“的杀毒能力确实厉害。
  18. 欢呼之前,发现Apache和MySQL彻底挂掉:(
  19. 服务无法卸载,也无法运行,折腾了N久。
  20. 百般无奈下,重新下载了一份KISS(其实我没有报什么希望)。惊讶地发现新KISS包中httpd.exe文件是21k,而我的KISS是32k,这说明httpd.exe被改了……(寒,病毒改这个干吗……)
  21. 备份php.ini、httpd.conf、httpd-vhost.conf重新覆盖KISS,反安装(uninstall)Apache和MySQL服务。再安装之。
  22. 世界清净了!

中毒总结:

Continue reading “我的系统终于恢复了~”