检测方式在五年内不会被单独应用,通过病毒定义文件来查毒目前依然是最可靠的。“它们的误报与漏报率太高了。每个人对于检测失误都有自己奇怪的解决方法,但只要他们试着进行部署,用户就会开始抱怨。”
其它解决方法
其它种类的安全产品试着藉由改变用户的电脑环境来抵抗新的未知威胁,并限制着攻击者成功入侵后带来的伤害。有些(比如GreenBorder Pro)为常常成为攻击目标的软件,比如网络浏览器与电邮客户端,创建出一个“沙盒”,或者称虚拟的被隔绝的环境。举个例子来说,攻击者也许可以攻破IE浏览器,但安装间谍软件或者进行其它恶意篡改的举动都无法冲破沙盒的阻拦。
其它一些程序,除了创建虚拟环境以外,还修改用户帐号的权限,这样程序就无法对系统做出深层的改变。这类工具包括微软提供的免费的DropMyRights小程序。
还有些程序,如免费的VMWare 播放器,会安装一个单独的操作系统并拥有它自己的浏览器。被层层保护着的浏览器与你正常的电脑环境是完全隔离开的。
Windows Vista引入了一些新的安全特性,但没有人会认为软件漏洞或者零时差攻击会渐渐地销声匿迹。.遗憾的是,充斥着非法数据与垃圾邮件发送者名单的地下黑市将刺激网络罪犯们继续想方设法从恶意软件里获得利益。
然而,趋势科技全球教育主管David Perry对于未来的互联网安全状态还是维持乐观的态度。“我相信最终我们会让网络上的威胁只是件麻烦事而已,”,他说,“但在今年内还看不到事情的进展。”
零时差攻击正在进行时
去年九月SunbeltSoftware发现了利用矢量标记语言图像里的一个漏洞发起的攻击,这种图像格式已经比较少见,但Windows系统依然对其提供着支持。在一星期内,攻击者通过植入了病毒的图片感染了数千个网站,所有不幸查看了这些图片的用户都会被偷偷地装上恶意软件并受到攻击。
2006年9月18日,第一个VML攻击被俄罗斯的一家网站报道。
2006年9月19日,微软表示补丁将在10月10日推出。
2006年9月20日,赛门铁克公司宣布在东欧销售的一款开发工具包中发现了恶意代码。
2006年9月22日,零时差紧急响应小组发布了一个非官方的补丁。成千上万的合法的、但是被感染的HostGator托管网站让他们的网友感染了病毒。
2006年9月26日,微软提前时间表两周的时间发布了补丁。
2007年1月16日,iDefense公司证实一个相似的零时差攻击已经盯上了VML的另一个漏洞。
来自Doc文档的攻击
2006年5月21日,中国大陆及中国台湾省都发生了有明确目标的攻击事件,被黑客利用的是一个Microsoft Word bug(2006年公布的能发起零时差攻击的Office漏洞之一),黑客们攻击了一家名称不详的公司。根据互联网风暴中心的消息,攻击者发送了伪装成发送自公司内部的邮件,毫无戒备之心的雇员打开了感染了病毒的附件。
Vista如何防范零时差攻击
Windows?Vista那些大受吹捧的新安全特性在保护你免受零时差攻击方面做得怎么样呢?比你想象的要好得多。
Vista主要的新特性就是用户帐户控制(UAC),在Vista里改变了用户帐户的操作许可权限。为了方便起见——因为管理员权限在进行许多系统操作时都是必需的——几乎所有的家庭用户都在管理员帐户设置下运行Windows XP。但攻击者也会利用此设置的特权来修改系统,例如安装含有恶意软件的rootkit。
与从前不同的是,默认的Vista用户帐户拥有的权限不高也不低,既不是可以对系统做任何修改的管理员帐户,也不是运行起来处处受缚的guest帐户。微软尝试着让改变易于被人们接受,授予了标准帐户足够的权限来操作一些日常的系统任务,比如安装打印机的驱动程序。但已经有用户抱怨道需要不停地确认一个又一个索要管理员密码的UAC弹出提示框。
同样,IE浏览器默认也是以受保护模式运行,此时只拥有最少的许可权限。这样的改变限制了一些零时差攻击劫持你的IE浏览器(比如利用WMF或者VML漏洞),并对电脑造成太大的破坏。
最后一点,Vista与Windows Defender是捆绑发行的,后者可以阻止试图向启动文件夹添加自启动项的恶意软件——比如,把自己伪装成反间谍软件等。Vista同时还会随机改变内存库与程序载入的位置,这样恶意软件在试图找出并更改系统重要进程时就会扑了个空。
遭到入侵的Myspace
2005年9月28日,与后来出现的VML攻击类似的,微软几乎很少被使用到的Windows图元文件格式里发现了一个漏洞,当用户浏览含有中毒图像的网页时,就会被植入恶意程序。微软在1月5日发布了一个补丁,但7月份一个含有恶意代码的旗帜广告感染了数百万尚未打上补丁的电脑,这些电脑访问了MySpace,Webshots和其一些它网站。
零时差攻击是发现软件漏洞后,在软件生产商尚没有发布修复补丁之前,利用漏洞发起的攻击。不过即使是在这段时间里,你也有办法保护你的系统安全而不会受到零时差攻击。
1. 停止使用IE 6。为了确保网上的安全,你首先应该停止使用微软声名狼籍、满是漏洞的IE 6浏览器。当然了,没有绝对安全的程序,但不管是因为它那些固有的漏洞还是因为巨大的用户群,IE 6都是一个易受攻击的目标。升级到IE 7或者选用其它浏览器比如Firefox或者Opera。
2. 对于某些已经成为零时差攻击目标的软件,你可以试试使用它们的替代软件。例如,用来查看PDF文档的免费Foxit程序,而OpenOffice能兼容许多Office文档。
3. 为Windows和其它程序启用自动更新功能。补丁并不能阻止零时差攻击的入侵,但大多数的漏洞在补丁发布后依然会是攻击目标,正因为攻击者知道许多人不会费心去打补丁。要检查和更改你的Windows系统的自动更新设置,在控制面板里点自动更新。我们推荐你选择“下载更新,但由我来决定什么时候安装”。
启动其它程序的自动更新设置则难易各有不同。以Firefox为例来说,选择工具 — 选项 — 高级,然后选择“升级”标签。(重申一次,我们推荐选择在Firefox发现更新后“询问我该做什么”)。要找到Adobe Reader里的升级设置,你可以从帮助菜单栏里进行手动更新,或者依次选择编辑 — 首选项,然后选中“启动”标签,在&ld