1.im软件中的一个网站地址——该网站地址其实是一个利用了activex漏洞或mime漏洞的页面,当用户采用启用activex的浏览器 或mime解析不严格的web浏览器访问该页面时,会导致脚本病毒自动执行,修改用户的本机设置,并将远程木马木马下载到本地,在没有提示的情形下运行起来,之后又挂接到im软件,在用户知情/不知情的情形下,将该网站地址发送到用户im软件里的好友中,以次延续感染;对付activex漏洞的方式是使用 能准确控制是否启用页面中activex的浏览器,如myie2;对付mime头的方法是及时打上系统补丁——“美女图片”病毒就是典型的一个利用浏览器 没检查jpg的mime的漏洞,而这个漏洞微软在很早前就发布了patch,结果没想到还是很多人中招了。
2.主动在im软件中发送木马——这类方法比较拙劣,攻击者以“这是我的照片”,“新发现一个好用的软件”等借口,将一个文件发过来——并要求 你执行,由于可执行文件的后缀是以.exe .bat .pif . scr .cmd 为主,所以用户看到这几类后缀就要小心了。如果的确想看对方的照片怎么办?让对方把图片转成jpg文件发过来,记住是放到你本地来,而不是给你一个 url,否则上面提到的mime头检查漏洞正等着你呢!
3.利用邮件方式传播病毒。对利用outlook等客户端工具的朋友来说,自动在邮件里显示出html是一项很贴心的设计—— 可惜是有漏洞的设计——这样在ie存在漏洞的时候,读取html格式的邮件同样会中毒;预防方式要么是禁用html方式解析,要么是及时升级 windows补丁,要么是不采用outlook本地方式收信,而是先利用webmail方式以文本格式读信,然后将有必要的信保留,没必要的删除,再行下载。
本来利用imap远程管理信箱是个好主意——可以将名字/来源email看着不对劲的信直接删除掉;但由于smtp协议本身的不完善和不少邮件 病毒采用获取用户outlook地址本的特性,使得信件来源常常来自一个可信任的朋友地址,令远程管理无从仅仅根据信件来源email地址和信件标题判断 是否为病毒。对待这类病毒,除了依仗邮件系统自身的杀毒功能外,用户在自己机器上装一个带邮件监控功能的杀毒系统也是非常有益的。当然,***的方法就是用纯文本方式阅读信件——舍弃一点华丽,换来更多安全是值得的,至少在有重要资料的机器上是如此。
4.程序捆绑欺骗。目前有一种程序,专门将2个文件捆绑到一起,称为捆绑机。具体来说——打个比方,我把a.exe文件和b.exe文件捆绑到 一起的话,会生成一个c.exe文件——那么如果我运行c.exe,则等于同时执行了a.exe和b.exe文件。如果正好a.exe或b.exe文件是 一个木马的话……常见的做法就是不少所谓的“安全站点”告诉好奇的学习者——这是xx强大的安全工具、扫描工具。结果是捆绑着木马的,下载下来一运行,自 己先中招了。不少脚本小子自己的机器上都被人种了木马还茫然不知,真是报应啊,哈哈哈。不过对普通用户来说,对待不信任的人发给的这类文件还是不运行比较好;当然自己去一些不是太正规的站主动下载文件就更是脑袋里进水了。
本文转自wangshujiang51CTO博客,原文链接:http://blog.51cto.com/wangshujiang/42406 ,如需转载请自行联系原作者
