据不完全统计，截止目前该病毒已通过迅雷客户端扩散近两个月，已有超过2800万用户中招，并且依然每天有几十万在扩散运行。

　　自6月下旬已有用户不断反馈电脑存在异常，发现一个位于C:\Windows\System32目录下，名为“INPEnhSvc.exe”带有迅雷数字签名的文件，经专业技术人士分析INPEnhSvc.exe的7个版本，被证实内置后门，并且使用类似云指令的技术来强制后台干扰和修改用户电脑，感染量已超过数千万电脑。随后，这一异常被迅雷持续进行至今。

　　迅雷制造并传毒是否属实？360、金山等杀毒软件公司将此程序已认定为典型病毒，并已掌握确凿证据。：

刚才一打开自己的博客，就跳出一个病毒提示，吓了我一跳，以为空间被挂马了！不过仔细一看，是谷歌的广告被卡巴报毒了！看截图！

今天终于看到BBC被黑了，没啥大事情，小黑黑，还黑的这么隐蔽，只是图片不太看的懂，被黑的网址是http://www.bbc.co.uk/worldservice/，是BBC得国际广播网的网站。

看图片的就点进来看，看链接的点链接看。我看到已经半小时了。不过2月是没有30天的，哈哈，这个2月30日真恶心。

    “木马”就是在正常软件的伪装下，对目标计算机实施远程控制的“间谍”软件。
    “嗅探”是指秘密植入特定的功能程序，用来记录诸如网络内部结构、键盘操作、口令密码等信息的窃密技术。
     攻击者利用漏洞或者木马在目标计算机中植入“键盘记录程序”，该程序会自动隐蔽生成记录键盘信息文件。目标用户在其计算机没有连接入网的时候的键盘操作，都会被记录下来，并且保存，一旦目标计算机重新联网，攻击者就可以从目标计算机下载键盘记录文件。还原信息。

VirSCAN.org（http://www.virscan.org/）是一家民间的非盈利性病毒在线检测的权威网站，网站内汇集了包括俄罗斯的卡巴斯基、西班牙的熊猫卫士、德国的AntiVir、捷克的AVAST!及AVG、罗马尼亚的BitDefender、美国的趋势科技及赛门铁克、波兰的mks_vir、奥地利的Ikarus、韩国的安博士V3以及我们国内的天安、江民、金山毒霸、瑞星等多达38家主流杀毒软件最新的杀毒引擎，可以即时对所有用户上传的“可疑文件”进行38家主流杀毒软件的联合“会诊”，进而为用户准确甄别和判断病毒提供权威依据。这个网站支持对.RAR和.ZIP等压缩格式进行病毒在线检测，并且网站的所有功能均免费向所有用户开放。

        漏洞是指计算机操作系统、设备产品和应用程序由于自身结构复杂、安全设计不周等原因，在研究过程中产生的先天性技术缺陷。IBM公司专家认为大型软件每1000-4000行源程序就可能存在一个漏洞，像WINDEOWS这样的操作系统有5000万行源程序，借此估计可能有200000个漏洞。
        以计算机操作系统的“缓冲区溢出”漏洞为例，对目标计算机实施远程攻击、控制、窃密的过程，就是攻击者首先利用漏洞扫描工具对重点网段进行扫描，寻找存在“缓冲区溢出”漏洞的计算机。一旦发现存在该漏洞的计算机，攻击者便启动漏洞攻击软件实施攻击，以获得目标计算机的用户名和口令，而后利用远程登录软件进入目标计算机。之后攻击者就会像操作自己的计算机一样操作目标计算机，从而实施远程攻击、控制、窃密。

今天看到一条消息，应该是前两天就出来了的，是金山软件公司宣布加入微软病毒信息联盟（VIA：Virus Information Alliance），成为国内首家加入微软VIA的反病毒软件厂商。作为VIA的新成员，金山将与VIA联盟内的17家世界顶级反病毒公司共享病毒信息。当重大病毒爆发的时候，VIA也将提供一个反应及时的沟通响应平台，即与联盟内其他成员共享重大病毒的最新研究成果，包括每一个病毒事件的传播频率和范围，攻击手法和目标群等，使得最终用户可以再第一时间内免遭病毒攻击。

金山互联网安全公司COO王欣表示，近几年，黑色产业链日渐成规模，规模效应带给这些病毒编写者和挂马集团越来越多的经济利益和收入，这使得病毒数量激增，而且大多数病毒都是针对微软的WINDOWS平台的。金山毒霸加入VIA，在产品技术持续提升的同时，也可增强金山毒霸的查杀能力。

用了5年的盗版卡巴斯基终于决定买正版的使用了。盗版的我一直在用的是守望麦田版本的，守望版本的破解是基于卡巴斯基本身的试用版的。以前没用正版的不知道差别，其实还是有差别的。最明显的就是杀毒的能力上，卡巴斯基还是做出差别的。我的U盘在守望版本的机器上使用，一直没有报毒，但是一插入自己装了正版的卡巴斯基上，就报毒了。其实也不是什么病毒，这个程序是我自己的。带有可疑行为。不过正版的卡巴就当成危险程序提示。当然从我觉得这样严格是好的。

不过要说的是，网上购买的卡巴3年版本是不带卡巴手机版本的。我是很想用下卡巴的手机杀毒。不过每月要多花10元，我就有点不愿意了。主要是想能拒绝电话什么的。今天发了邮件给卡巴的客服，提出我网上购买的卡巴为什么没有手机版本的功能的。卡巴的回复到是很快，基本上可以说是一小时内回复我的。这样的速度有点出乎我的意料。

今天在各个杀毒软件公司的主页浏览，发现，江民已经使用了沙盒技术来杀毒。沙盒技术的思想就是：在一个装满了平整细沙的盒子里，我们可以尽情随意地在上面作画、涂写，无论画的好坏，最后轻轻一抹，沙盒又回到了原来的平整状态。沙盒的魅力就在于他允许你出错，还可以给你改正的机会。这个技术，主要是用在查杀为知病毒上的。

应用较多的未知病毒防御技术有基于病毒行为的智能主动防御技术，以及虚拟机技术，启发式扫描技术。“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作，在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

一、网络设置的问题
这种原因比较多出现在需要手动指定 IP 、网关、 DNS 服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置即可。

二、DNS服务器的问题
当IE无法浏览网页时，可先尝试用IP地址来访问，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题。这时你可以手动指定DNS服务，地址可以是你当地ISP提供的DNS服务器地址，也可以用其它地方可正常使用的DNS服务器地址。在网络的属性里进行，控制面板－网络和拨号连接－本地连接－右键属性－TCP/IP协议－属性－使用下面的DNS服务器地址。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题，无法与ISP的DNS服务连接，这种情况的话，可把路由器关一会再开，或者重新设置路由器。

杀毒软件公司Panda Security最近列出了过去的6个月中出现的最有意思的病毒，比如：最恐怖的病毒、最爱干净病毒、最浪漫病毒等，下面就来细看吧。

最恐怖的病毒：MalwareProtector2008和Ad-vancedXpFixer会一点点的“吃掉”被感染电脑的桌面，实际上，这两个病毒是由一个杀毒软件公司制造的。该公司希望通过这种方式让用户使用他们的产品。

最爱干净的病毒：Tixcet.A会删除用户硬盘上的所有文件。

绑架者病毒：PGPCoder.E和"ransomware"。该病毒会对用户电脑硬盘上的数据进行加密，然后向用户索要金钱。用户只有花钱才能得到解密密码。

最浪漫病毒：Nuwar.OL、Nuwar.QI和Valentin.E用浪漫的内容来勾引用户点击激活它从而感染电脑。

最具资讯功能的病毒：尽管该病毒名为Romeo.C它却能让你获取丰富的资讯信息。Romeo.C不仅串改注册表，还会在发作的时候弹出新闻窗口。

      svchost.exe 是基于NT核心技术的操作系统非常重要的进程，它提供许多系统服务，比如远程过程调用系统服务（RPCSS）、动态主机配置协议（DPCH）服务等与网络相关的服务。现在广大计算机用户普遍使用的w indows XP 、 windows 2003 等操作系统都涉及该进程，但是现在很多病毒、木马都以此为依托，感染、攻击广大计算机用户，尤其是给上互联网的用户带来许多不方便，那么作为计算机用户，快速、及时的识别真假 svchost.exe 显得尤为重要。

       根据用户操作系统和提供的服务不同，您的操作系统可能提供不同数量的svchost.exe，一般情况下， windows xP提供四个或四个以上的该进程，我们可以通过快捷键ctrl + Alt + Delet 。打开任务管理器，观察svchost.exe 。一般用户发现有问题时，通常是想在任务管理器结束该进程。但是，要么结束一个立即又生成一个，要么提示60秒关机，非常讨厌。那么如何来解决这个问题呢？

       显然靠以上结束进程的方法不太实用，我们可以通过以下几步快速的辨别真假 svchost.exe 进程，并及时关闭相应的非法进程：
 

       近两年，熊猫烧香、灰鸽子、磁碟机等不断衍生，其变种更是呈几何级数地增长，令传统安全产品疲于应付；在破坏性方面，从网络拥堵到感染可执行文件，再到击破硬盘还原等等，给信息系统带来了巨大的损失。其中，最具摧毁性的无疑是 root kit 类攻击工具，因为它是基于操作系统内核级的，危及面覆盖信息系统里的所有业务应用及数据，前段时间疯狂作恶的磁碟机病毒，在侵入系统时就加载了大量 root kit 组件进行破坏。
       1、ROOT KIT的狠招
       系统中病毒时，管理员们通常的做法是查看可疑进程，然后一路追杀到文件目录进行清除。随着攻击技术水平的提升，像制造疑似系统进程名这样的初级手段已少有人用，攻击者往往直接将攻击进程嵌入系统进程，这时候，只有借助专门的进程管理器（如 procexp 等）才能发现。Rootkit则更进一步，这种内核级后门通过自身的伪装和隐藏，运行时根本没有进程显示。
       我们知道，程序运行的时候，系统会在内存中写入一些数据结构，进程管理器就是通过这些数据结构来显示进程的。Root kit 的做法是在内核层修改这些数据结构，用自带的ps 、top等程序替代原有系统程序，从而达到隐藏进程的目的。很显然，现在再用 Pslist 进程查看工具已经无济于事了。    在隐藏文件时， root kit也是在系统内核层做手脚。具体做法是修改内核文件系统的代码，用自己编写的 ls 程序来替换，从而使原有的 ls 文件目录查看工具形同虚设。
 

      在WINDOWS运行中，有时会遇到系统自动弹出“**内存不能为read或written”的错误提示。遇到这种故障，可以尝试用以下总结的办法来解决。

      移除无效插件程序

      在上网的过程中，经常会被偷偷安装各种插件，不少插件都有防删除功能，这些插件很容易与其他的应用程序发生冲突，最好定期使用360安全卫士等软件来清除

      手工修复系统服务

      与系统内存读写操作有关系的Windows Management Instrumentation服务要是发生错误的话，也会导致系统弹出内存读写错误的提示，所以当我们遇到这种错误现象时，可以尝试手工修复Windows Management Instrumentation服务。

       我们写的脚本是WSH windwos script Host （脚本主机）来解释运行的，具体是由Wscript.exe 和Cscript.exe这个程序来执行的.. 因为脚本还可以直接嵌在网页中，所谓的动态网页设计，现在还有VBS脚本病毒生成器

       在脚本语言里可以不存在内存管理之类乱七八糟让初学者不知所措的东西，一切变量在脚本运行结束后都会由WSH来负责释放,这里用不着你操心.所以你不必在代码最后加上set someclass = Nothing 这类话来显式销毁对象WSH内有两大强有力的对象FSO 和WSH ，FSO可以创建，修改，删除文件，WSH嘛功能太强大了，说不完 。从操作注册表(我指的是直接写注册表某个键值,而不是用什么.REG文件来导入)到管理桌面的快捷方式，应有尽有.

       脚本语言强大的地方，就是直接访问 WMI(Windows Management Instrumentation) ，本人也是一知半解，因为WMI内，各个子对象太多了，有3000多个包括主板，内存，显卡，进程，服务等各方面的属性和方法. 说的直白一点就是，脚本语言可以通过访问WMI 来达到终止某个程序的运行，或让个程序以隐藏方式运行，可以查看到CPU的型号，内存容量，硬盘状态.关闭计算机。
 

       如果中了镜像劫持类病毒，通常很麻烦，很多时候需要重装系统，其实，镜像劫持就是注册表中的一个应用程序重定向键值所造成的。

       以自己的电脑的输入法图标为例，在输入法图标驻留在任务栏中的情况，通过镜像劫持，可以让用户无法关闭高级文字服务，导致任务栏上不显示输入法，而只能通过快捷键来切换自己想要的文字输入法。

实验如下：
点击开始菜单，选择运行，输入regedit，打开注册表编辑器，展开：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options,新建项名为ctfmon.exe，在该项中新建字符串值，名为debugger，值为ntsd -d。

         通过网络找到一下解释：
         就是恶意程序修改你电脑上DNS缓存中的内容，一是让你不能正常上网，比如把www.sina.com.cn的IP地址修改为127.0.0.1，这样无论如何也不能找到新浪网了，二是将某些恶意IP地址放进DNS缓存，比如把www.sina.com.cn对应的IP地址修改为恶意网站地址，当你在地址栏输入www.sina.com.cn的时候，访问的却是恶意网站。由于操作系统在进行DNS解析的时候首先查询DNS缓存，如果在缓存中能查到，就不会再找DNS服务器了。这样一旦dns缓存被修改，你去修改DNS服务器之类的网络参数也是无效的。
1.用IPCONFIG/displaydns命令栏查看当前dns缓存里的内容。 （可以查看）
2.用ipconfig /flushdns命令刷新dns缓存中的内容。 （可以使用）
3.若要防止dns缓存攻击，应禁用dns缓存，方法：
   禁用客户端 DNS 缓存 
   1. 启动注册表编辑器 (Regedit.exe)。
   2. ……

[IMG]upload/伪造邮件.gif[/IMG]
 

       收到这邮件的时候吓了一跳，我想我什么时候给自己发了一封这样的邮件，还担心自己邮箱被偷了，呵呵，其实只是被仿冒了地址，想想自己的邮箱地址被这样准确的仿冒了，其他看起来像来自某些‘系统’的邮件也要注意防伪造了，淘宝的，银行的，腾讯的。没试过通过OE打开这样的邮件的结果，不知道杀毒软件的邮件防火墙对这样的邮件会不会识别下，难不成……为了安全，还要用OE收发邮件了……。

       网上，搜索了下，邮件地址仿冒的技术。大致为一下两个。其实也不是什么技术……，就是个SMTP的原理吧，不关心这些。就罗列下吧。

        前几天想改密码的时候才发现，QQ在记录使用者登陆的IP地址了，我想换密码的时候居然被提示，要我回到我常用的IP段上修改密码。虽然有点过于垄断，不过还是觉得不错，起码偷号码的人不能随便修改密码了。觉得这个有点多余吧，对于下面情况，就有用了。

        朋友遇到个QQ骗局，呵呵，其实早有耳闻，不过亲眼见见，还是挺有感觉，觉得网页设计吧，还能用来糊人，一点都不含糊，真是学的本事归本事，赚钱又是另外的能力。不是么。会做网页的人不少，赚偷QQ号码钱的人应该不多。

        举个例子来说明ARP和RARP协议的工作原理。例如两个位于同一个物理网络上运行TCP/IP协议的主机：主机A和主机B。主机A分配的IP地址是192.168.1.1，主机B分配的IP地址是192.168.1.2。
当主机A要与主机B通讯时，以下步骤可以将主机B软件指定的地址（192.168.1.2）解析成主机B硬件指定的媒体访问控制地址：
       （1）根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后主机A在自己本地ARP缓存中检查主机B的匹配硬件地址。
       （2）如果主机A在缓存中没有找到映射，它将询问“192.168.1.2的硬件地址是什么？”从而将ARP请求帧广播到本地网络上的所有主机。源主机A的硬件和软件地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机未找到匹配值，它将丢弃ARP请求。