愚人节也称万愚节，是西方也是美国民间传统节日，节期在每年4月1日。在这个开放的互联网环境下，西方的节日早起进化成一个国际化的节日。愚人节成为黑客兴奋的一天，同样也是安全厂商最紧张的一天。当“骚扰”与“被骚扰”成为安全领域的一种家常便饭，黑客与安全厂商的博弈成为这个领域不可或缺的一盘“硬菜”。

　　安全环境不容乐观 木马仍是一个“老大难”

　　金融环境的不景气，可谓是人们触手可及的;但是，互联网安全环境则成为一只无影手伸向每一位网民的日常生活与工作中。最新报告显示，在即将过去的2010年第一季度，新恶意软件的数量仍在攀升。 其中，特洛伊木马的比例占到了2/3，成网络环境中最大威胁。病毒排名第二，所占比例为15.1%。广告软件排名第三，所占比例为13.97%。蠕虫位居第四，占 8.7%。报告还显示，西班牙是恶意软件感染率最高的国家。

　　在西班牙，35%的PC被恶意软件感染。美国位居第二，17%的计算机被感染。墨西哥排名第三，5%的计算机被恶意软件感染。

　　木马一直是安全领域的老大难，今天尤其是这样，真是，节日不常在，无处不木马!

　　愚人节 网友应警惕“变异体”木马下载器作恶

　　本次需要注意的是“变异体”变种beu，英文名称：TrojanDownloader.Geral.beu，病毒长度：34304字节，属于木马下载器，主要影响Winows 9X/ME/NT/2000/XP/2003/VISTA。

　　“变异体”变种beu是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种beu运行后，会遍历当前系统运行的所有进程。一旦发现“kswebshield.exe”、“mctray.exe”、“mcshield.exe”正在运行，便会尝试将其结束，从而致使系统失去安全软件的保护。

　　在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“winagi.ime”，之后会将其插入到系统桌面程序“explorer.exe”中加载运行，从而防止被轻易地查杀。在被感染系统的后台秘密监视用户的键盘、鼠标操作，伺机窃取用户输入的机密信息，并在后台将窃得的信息发送到骇客指定的站点或邮箱(地址加密存放)，从而给被感染计算机用户造成了不同程度的损失。

　　“变异体”变种beu还会利用恶意驱动程序“pcii.sys”关闭安全软件的自保护和进程，致使被感染系统用户面临更多的风险。

　　另外，“变异体”变种beu会在被感染系统的后台连接骇客指定的站点，下载其它恶意程序并自动调用运行。

　　恶意程序同反病毒软件之间的较量旷日持久，说到底，他们之间的较量是技术优势的比拼。为了获取系统控制权，感染更多计算机，黑客在编写某些恶意程序时，甚至加入了对抗反病毒软件的功能。

　　“屠宰者”不该轻视 以防被“屠宰”

　　卡巴斯基实验室近期检测到的一种名为“屠宰者”的木马(Trojan.Win32.KillAV.cab)，具备强大的驱动级反病毒软件劫杀功能，能够将一些常见安全软件关闭，危害性极强。“屠宰者”木马进入系统后，会释放多个驱动文件，通过拦截SSDT HOOK使反病毒软件监控失效，并且会创建映像劫持注册表项劫持安全软件进程，使很多安全软件无法启动。对于已经启动的安全软件进程，也会被木马通过taskkill命令强制关闭。对于使用还原软件保护计算机的网吧用户，此木马还会释放专门的驱动程序来穿透还原系统。在使得计算机系统丧失所有保护后，该木马会释放一个木马下载器，下载大量其他恶意程序到受感染计算机，给计算机用户造成更大的损失。

　　每年到愚人节的时候，病毒都不甘寂寞，也是反病毒行业比较警惕的时候，因各种真假病毒消息也会在愚人节期间传播。建议用户尽快更新病毒库进行查杀以避免不必要的损失。

　　新应用带来新空间 新空间寄生新威胁

　　微博，即微博客(MicroBlog)的简称，是一个基于用户关系的信息分享、传播以及获取平台，用户可以通过WEB、WAP以及各种客户端组件个人社区，以140字左右的文字更新信息，并实现即时分享。微博的出现颠覆了人们的上网行为习惯，在这个提倡简洁、快速的世界，微博已经成为一种生活习惯，同样也成为黑客与病毒关注的焦点。他们不再用传统的邮件病毒，而他们的目光更瞄准了WEB2.0的邮件列表与留言系统。

　　最近，有人在微博中传播这样一段消息：

　　群发紧急转告：请大家要速传!如果你收到一张带有《汶川速递!》的图片文件。在任何环境下都不要打开它，且立即删除它。如果你打开了它，你会失去个人电脑上的一切东西。

　　这是一段非常明显的假病毒消息，与此类似的有N个版本，其目的就是让收到消息的人觉得恐惧，然后继续往下传。

　　还有一些骗取MSN帐号为目的的“病毒”，骗你输入MSN帐号密码，若你真的中招，这个系统就会以你的名义自动登录，继续骗你的联系人输入MSN帐号密码。而一旦帐号密码被骗，只能登录MSN官网修改登录密码来解决。

　　面对这样的威胁，我们该怎么办?

　　和木马说“不”的二十个小招

　　1.制作系统Ghost镜相。这是实在无法处理时的绝招，也是最无奈的一招，但又应该是大家最基本的准备。

　　2.定期，半个月或一个月备份一次注册表。也许有人对此不屑一顾，但我认为这很重要!如今的一些木马病毒、流氓软件非常强悍，往往根植入系统内核，因此清理起来往往会损伤系统注册表或系统文件(例如：清理系统后，某些软件不能运行了)。因此，养成定期备份注册表的好习惯后，一旦遇到此类情况，通过恢复注册表往往能解决问题。

　　3.及时打全Windows、IE补丁。

　　4.调整文件夹选项，显示系统文件、隐藏文件，显示文件扩展名。处理病毒文件的需要。

　　5.安装杀毒软件、防火墙。

　　6.定期升级并清理系统。(每周至少一次)

　　7.安装网络防火墙。

　　8.学会使用SREng、HijackThis、KillBox、冰刃、RegFix等工具分析系统、恢复系统，以便对付一些强悍的流氓。SREng常用操作说明在论坛上可以找到。

　　9.不下载、安装、运行不明来历的java插件。

　　10.不下载、安装、运行来历不明的文件、软件。下载软件尽量去一些大型网站。

　　11.慎用QQ，使用时不点击不明来历的链接、不接收不明来历的文件(当然更不能运行)。尽量少安装QQ辅助软件、在线电影类娱乐软件，很多恶意软件通过这些下载量较大的娱乐类软件传播。

　　12.尽量不访问自己不熟悉的网站、论坛。不点击不明来历的链接。

　　13.不去色情网站、论坛。

　　14.很多恶意软件通过捆绑的方式进行传播，建议要安装一个不熟悉的软件之前先上GOOGLE了解一下这个软件的名声，是否会有强行捆绑的历史。

　　15.在安装软件之前，把安装协议过一遍，有的是在安装协议中说了附带安装其他软件，就不再提示了。

　　16.如果大家能掌握一个虚拟机的使用方法最好，譬如：vmware、VPC或者Powershadow，在安装到自己真实的系统前，可以测试安装。

　　17.有些网站的弹出提示，一定要看一下是什么内容，不要不管3721，就直接点是或者否。

　　18.不上不熟悉的下载网站下载软件，不要在GOOGLE、百度中搜到的链接网站就去下，有些网站下载的软件牛头不对马嘴。

　　19.很多正规的捆绑推广都有明确的提示安装，譬如：skype捆绑googletoolbar，汉化新世纪捆绑yahoo助手，大家在安装这类软件的时候，如果不想安装相关的被捆软件就把原来的默认“勾”去掉。

　　20.有些软件没提示，通过其他软件安装、通过升级程序升级、通过网站代码强求嵌入，又不实现很好功能的真正“流氓”，这些流氓目前发现有“YOKToolbar”等，大家可以坚决查杀。

　　编者按

　　愚人节，可以被人愚，但不能被木马愚。除了安装必要的杀毒软件与防火墙之外，保持更新与安全配置成为工作与生活中的必修课，只有这样才能将木马拒之门外。