WINXP系統安全漏洞大搜索

　　現在很多的電腦用戶都將自己的操作系統換成了最新的WINXP系統，但即使是最新的Windows系統，依然還是存在著很多安全隱患，那麼怎樣保證你的系統安全呢？　　　　下面就讓我們來看看Windows家族有哪些安全漏洞？以及如何堵住這些漏洞？　　　　1、快速用戶切換漏洞　　WindowsXP快速用戶切換功能存在漏洞，當你單擊“開始”／“注銷”／“切換用戶”啟動快速用戶切換功能，在傳統登錄方法下重試登錄一個用戶名時，系統會誤認為有暴力猜解攻擊，因而會鎖定全部非管理員賬號。　　　　安全對策：單擊控制面板／用戶賬戶／更改用戶登錄或注銷的方式，取消“使用快速用戶切換”，以便禁用用戶快速切換功能。　　　　2、UPnP服務漏洞　　UPnp眼下算是比較先進的技術，已經包含在WindowsXP中，這本是件好事，但卻惹出了麻煩，因為UPnp會帶來一些安全漏洞。黑客利用這類漏洞可以取得其他PC的完全控制權，或者發動DOS攻擊。如果他知道某一PC的IP地址，就可以通過互聯網控制該PC，甚至在同一網絡中，即使不知道PC的IP地址，也能夠控制該PC。具體來講，UPnP服務可以導致以下兩個安全漏洞：　　　　（1）緩沖溢出漏洞　　　　UPnP存在緩沖區溢出問題。當處理NOTIFY命令中的Location字段時，如果IP地址、端口和文件名部分超長，就會發生緩沖區溢出。該安全漏洞是eEye數字安全公司發現並通知微軟的，這是Windows有史以來最嚴重的緩沖溢出漏洞。由於UPnP服務運行在系統的上下文，因此利用該漏洞，黑客可以進行Dos攻擊，水平高的黑客甚至可以一舉控制他人的電腦，接管用戶的計算機，查閱或刪除文件。更為嚴重的是服務器程序監聽廣播和多播接口，這樣攻擊者即可同時攻擊多個機器而不需要知道單個主機的IP地址。　　　　安全對策：由於WindowsXP打開了UPnP（通用即插即用）功能，因此所有WinXP用戶都應該立即安裝該補丁；而WinME的用戶，只有在運行了UPnP的情況下才需要該補丁，因為WindowsME的UPnP功能在安裝時是關閉的；至於Win98,由於其中並沒有UPnP，只有當用戶自己安裝了UPnP的情況下，才需要使用該補丁。你可以從微軟的網站下載該補丁程序。　　　　（2）UDP和UDP欺騙攻擊運行了UPnP服務的系統也很容易，只要向該系統的1900端口發送一個UDP包，其中“LOCA－TION”域的地址指向另一個系統的Chargen端口，就可能使系統進入一個無限的連接循環，由此會導致系統CPU被100％占用，無法提供正常服務。另外，攻擊者只要向某個擁有眾多XP主機的網絡發送一個偽造的UDP報文，也可能會強迫這些XP主機對指定主機進行攻擊。　　　　安全對策：單擊XP的控制面板／管理工具／服務，雙擊“UniversalPlugandPlayDeviceHost”服務，在啟動類型中選擇“已禁用”，關閉UPnP服務。　　　　如果你不想關閉UPnP服務堵住此類安全漏洞，可以到微軟的網站下載安裝對應的補丁；或者設置防火牆，禁止網絡外部數據包對1900端口的連接。　　　　3、“自注銷”漏洞　　熱鍵功能是WinXP的系統服務之一，一旦用戶登錄WinXP，熱鍵功能也就隨之啟動，於是你就可以使用系統默認的或者自己設置的熱鍵了。假如你的電腦沒有設置屏幕保護程序和密碼，你離開電腦一段時間到別處去了，WinXP就會很聰明地進行自動注銷，不過這種“注銷”並沒有真正注銷，所有的後台程序都還在運行（熱鍵功能當然也沒有關閉），因此其他人雖然進不了你的桌面，看不到你的電腦裡放了些什麼，但是卻可以繼續使用熱鍵。　　　　此時如果有人在你的機器上用熱鍵啟動一些與網絡相關的敏感程序（或服務），用熱鍵刪除機器中的重要文件，或者用熱鍵干其他的壞事，後果也是挺嚴重的！因此這個漏洞也蠻可怕的，希望微軟能及時推出補丁，5自學網，以便WinXP進行“自注銷”時熱鍵服務也能隨之停止。　　　　安全對策：在離開計算機的時候，按下Windows鍵＋L鍵，鎖定計算機；或者打開屏幕保護程序並設置密碼；或者檢查可能會帶來危害的程序和服務的熱鍵，取消這些熱鍵。　　　　4、遠程桌面漏洞　　建立網絡連接時，WinXP遠程桌面會把用戶名以明文形式發送到連接它的客戶端。發送的用戶名可以是遠端主機的用戶名，也可能是客戶端常用的用戶名，網絡上的嗅探程序可能會捕獲到這些賬戶信息。　　　　安全對策：單擊控制面板／系統／遠程，取消“允許用戶遠程連接到這台計算機”，以便停止遠程桌面使用。小桐　　　　熊貓軟件病毒周報　　上周較活躍病毒主要有Bagle．AM和以下4個木馬病毒：Leritand．A、Ler－itand．B、Leritand．C和Toquimos．A。Bagle．AM周一首次出現，並在短時間內造成多起計算機中毒事件。病毒通過不帶主題的郵件傳播，郵件附件名字多變且後多跟ZIP拓展名。這種病毒郵件通常由兩部分組成：　　　　其一是Illwill．A。它是一個在不被用戶發現的情況下、Bagle．AM用以傳播的網頁文件。　　　　另一個則是EXE文件，每當用戶打開Illwill．A該文件即會同時運行。　　　　Bagle．AM一旦侵入成功，首先它試圖從不同網頁上下載某個錯誤的JPG文件，然後開始再傳播。此外，該病毒還會藉由P2P文件共享程序傳播。　　　　該病毒同時會在被感染計算機中打開一個TCP端口，5自學網，伺機等待黑客進入該台機器。該蠕蟲亦會終止其他程序進程，例如像一些反病毒軟件的升級程序，以便阻止它們對最新病毒的防護等。無獨有偶，假如當前機器亦曾被網絡天空變種感染，Bagle．AM同樣會在Windows啟動時阻止上述病毒的運行。　　　　Leritand．A、Leritand．B和Leritand．C這三個木馬病毒可改變那些以www起始的網頁地址的前綴名，使得這些網頁將以某一站點的形式出現，而事實上該站點並不是用戶原先准備打開的網頁所屬站點。不僅如此，上述惡意代碼還可使諸如its、ms－its及mhtml等協議的URL管理失效，阻止求助系統的正常工作。這三個木馬同時還會更改默認主頁，並在因特網上搜尋某一網頁後添加至收藏夾中。　　　　本周最後一個介紹的木馬是To－quimos．A，專門感染諾基亞60系列手機。這個木馬無法自行傳播，必須在借助用戶安裝運行的前提下方可行動，主要傳播方式為P2P文件共享程序。 　　　　在運行之前，Toquimos．A首先會確認該手機是否已安裝了一個海盜船標示的游戲。一旦當前手機確已安裝該游戲，無需經過用戶同意，每逢游戲運行該病毒都會向一些特殊手機號碼發送SMS。