安全警告真真假假 "行走江湖"需謹慎從事

【賽迪網-IT技術報道】【論壇整理】真真假假的"安全警告"IDC（國際資料信息）：呈現爆炸性成長，成長幅度高達283%，攀升為網絡安全的第四大威脅。美國Pew Internet and American Life Projec研究組織：90％用戶表示為避免間諜軟體威脅而改變了上網習慣。25％的受訪者不再從P2P網站上下載歌曲或電影。

這些資料都在驚人的告訴我們，間諜軟體在我們的網絡生活中已經無孔不入。而很多時候，不需要TROJ_QLOWZONES 木馬病毒的暗中搗蛋，"Security Warning（安全警告）"有時候也會幫倒忙。

一 「安全性警告」不見得安全！

我有一個朋友喜歡網上下載，他在網上最常搜索的關鍵詞是" Free"、"MP3"、"Movie"，因此當有天他在 MSN 信息看到「Free Movies/MP3/Entertainment links…..」的鏈接時，就迫不及待地猛按鼠標。

當他被引導至網站下載軟體面前時，還出現"Security Warning（安全警告）"界面。他在這個通過認證的信息慫恿下按下了 「是（Y）」之後，第一個木馬 TROJ_DOMCOM.D 便開始進入計算機。

接下來還陸續安裝57個文件，其中包含一個撥號程序和4個木馬（TROJ_HIJACK.B、TROJ_DOMCOM.A TROJ_DLOADER.MG、TROJ_SMALL.ZZ）以及10個廣告軟體。

二 發現間諜軟體要趁早，否則將喋喋不休

我們發現以"YourSiteBar"個人瀏覽工具列為促銷的網站http://www.ysbweb.com，是廣告軟體的來源網站之一，包括ADW_ISTBAR.K ADW_SITEBAR.A、ADW_ISTBAR.J 都來自於該網站。

更糟的是，有些廣告軟體網站彼此之間都會互通有無，形成廣告軟體自動存取特定鏈接，下載惡意文件的互助模式。我那個想看免費電影的朋友，就被暗中引導到前文所提及的另一工具列廣告軟體網站 SLOTCHBAR.COM 下載安裝其它惡意文件。

這樣看來，一旦中了一個廣告軟體，那就表示一連串的惡意軟體將尾隨而上，這或許可以解釋美國國家計算機安全聯盟(NCSA)的調查發現：八成家庭計算機感染間諜軟體，但大多不知情。

更令人驚訝的是，他們還在其中一個受訪者運行遲慢的計算機上，發現1000多個間諜軟體。所以如果你沒有趁早覺查到系統中的間諜軟體，隔一段時間可能會發現裡頭已經悄悄滋生了一窩小間諜了，到時候間諜軟體比正常軟體還多可就得不償失了。

我那個愛下載免費軟體的朋友，因為一時不查急於按下鼠標，導致桌面多出一些 URL 連結，而且收藏夾中會出現許多書籤，瀏覽器首頁也被更改。除此之外為了安裝上述文件，一些設定檔初始值及其它中介文件也被下載到系統裡，這是受害者可以輕易發現的改變。

但另一方面他的計算機開始有了新生命加入，許多Internet存取活動正在暗中進行、程序受到背景監控、資料可能竊取、通訊端口會開啟，而且可能被人從遠程訪問。極大量的 CPU 與記憶體被這些不速之客用來秘密地執行地下任務。

所以奉勸各位，下載文件時，不要完全信任"Security Warning"（安全警告）對話框所言："XXX單位聲名這個內容是安全的"。因為有些程序會拿某幾個文件去認證，但是當你安裝那些通過認證的文件時，其它未認證的文件就會搭順風車下載。當然也不要勾選"Security Warning"（安全警告）對話框最底下的 "Always trust content from XXX"（永遠信任來自XXX的內容），因為一旦勾選以後連警告窗口都不會出現，很多廣告軟體就直接打開你家大門把家當搬進去，長期進駐、隨時騷擾了。

三 間諜軟體耗費企業資源，應視為整體安全策略的一部份

惡意間諜程序會妨礙企業的生產活動，並且危害信息安全。它會造成主要系統的速度減慢、支持成本增加、以及生產力降低。它還會讓網絡安全出現漏洞，而且能突破傳統防毒掃瞄程序的偵測，滲透到系統登錄資料與記憶體中，並且在客戶端安裝數百種文件與處理程序。

為了對抗間諜軟體等惡意威脅，IT組織必須做更廣泛的思考。最安全的作法必須包含在網關與台式計算機上部署多層式架構的間諜程序防護解決方案，此外還必須在所有客戶端提供自動清除功能以強化防禦能力。

Internet網關是阻擋間諜程序入侵與防止向外擴散的最理想位置，而客戶端的安全不管是對本地或遠程的使用者都十分重要。將整個網絡環境的病毒防護、間諜程序防護、垃圾郵件防護、以及內容安全等一系列完整威脅防護功能整合在一起的解決方案可提供企業組織更大的效益，因為間諜程序與其它惡意威脅的攔截可成為整體安全策略的一部份。

(