ido。这种蠕虫利用了微软的MS08-067漏洞。尽管针对这个漏洞的更新已经发布了很久,但还是有越来越多的用户机器被这种蠕虫感染。卡巴斯基实验室建议大家安装微软的更新补丁。这种蠕虫会作为服务启动,并使自己在磁盘上隐藏起来。所以,用户很难在机器上找到这个病毒。而要在磁盘上找到这个二进制文件就必须从其它介质上启动系统,比如从光盘启动系统并进行扫描。
这个例子很好地说明了在复杂的安全问题下卡巴斯基的反病毒产品的优势。蠕虫病毒有时可以隐藏起来不被反病毒扫描器扫描到,但是它的网络活动却可以被网络模块检测到。正因为如此,卡巴斯基可以成功地对抗这种恶意程序。
另一种网络攻击Scan.Generic.UDP并不能明确地指示出网络中存在哪种恶意程序。对这种网络活动的产生原因还需要更详细的分析。需要注意被扫描的端口、攻击源IP地址以及攻击的间隔。也可能这只是一次性的扫描,也不用太过于不安。但如果这种攻击是周期反复性的,那就要引起特别的注意并采取措施,不仅要研究扫描端口列表,查看并关闭未使用的服务,还要及时地为系统打补丁。端口扫描都是网络攻击的第一步,因而需要提前做好准备。
位居第五的网络攻击是Intrusion.Generic.TCP.Flags.Bad.Combine.attack。一般来说,如果在网络数据包中使用了不正确的标志组合都会给出这种提示。这种不正确的标志组合是一种异常情况,需要进一步详细地分析原因。有可能只是虚惊一场,但也有很大概率是恶意行为。
一般而言,所有这些攻击可以分为:扫描攻击、拒绝服务式攻击和exploit攻击。如果系统中没有启动含有漏洞的服务,那么扫描攻击不会产生什么危害。而拒绝服务式攻击和exploit攻击通常都是由恶意程序产生的,值得引起更多的关注。
我们得到的另外一个结论是,大多数攻击都是针对Win32平台的,在排行榜里只有两种攻击是针对Unix的,即Intrusion.Unix.Fenc.buffer-overflow.exploit和Intrusion.Unix.AtpHttpd.buffer-overflow.exploit.当然,这并不能用来证明哪种平台更安全,这只是因为大多数桌面用户使用的都是Win32平台。
我们还要再次提醒您:尽管卡巴斯基的IDS入侵检测系统提示您有人试图攻击您的计算机并被成功阻止,您也要为您的软件安装好最新的更新程序,并及时更新病毒库。
3、恶意程序排行:
根据卡巴斯基安全网络(KSN)2009年1月份收集的数据,我们整理并列出两个恶意程序排行榜,每个榜单罗列出了活跃度排名前20 位的恶意程序。
第一个排行榜是根据卡巴斯基实验室2009的反病毒产品收集到的数据整理出的排名前20位的恶意程序榜单,包含了在用户计算机上发现的恶意程序、广告软件以及其他潜在的不良程序的详细信息。
排行榜一
2009年的第1个月,以上榜单的排名没有大的变化。只是Exploit.JS.Agent.aak取代了于去年12月上榜的Trojan.HTML.Agent.ai和Trojan-Downloader.JS.Agent.czm。而AutoRun.eee worm则从本月的榜单中消失,取而代之的是Worm.Win32.AutoRun.vnq。这一点并不奇怪,因为对于此类恶意程序,频繁的更改正是其特点。
值得注意的是,去年12月消失于榜单中的Trojan-Downloader.WMA.Wimad.n,本月又重新上榜。这是由于榜单中的三个非典型的恶意下载程序的大范围传播以及用户对于多媒体文件的信任态度。Trojan-Downloader.WMA.GetCodec.r在榜单中急速上升,其排名已经位于第十位,恰恰证实了我们在上个月的前20名恶意程序报告中提到的对恶意程序传播方式的判断,即恶意程序利用点对点网络以及多媒体文件下载程序进行传播的方式是非常有效的。
同时Sality.aa仍高居榜首,而且Sality.z也加入到前20名,使得Sality家族成为最近转播最为9
7
3
1
2
3
4
8
: