引:病毒”,充斥着整个电脑世界。无论是个人电脑还是商务用机,如今想要在一个完全没有防护系统的环境下,使用电脑上网正常工作已经是不可能的了。众多的杀毒、防护类安全软件,在国内已经发展的相当成熟。但无奈的是,出于安全考虑,目前国内是不允许使用病毒库对它们进行性能测试的,作为媒体,目前我们也只能对杀毒软件作一些常规的功能测试——美国PC World实验室,最近测试了16种安全软件,他们与安全公司合作,进行了周密而细致的全方位功能、性能测试,从中获益匪浅。
虽然美国PC World测试的软件在国内市场中大都不常见,但我们清楚地看到,所有的安全软件在功能、性能和对个人电脑的保护方案中,都有相似之处,从一个侧面,我们可以更加深入地了解到病毒的主要攻击途径、主要传播方式以及我们应该做哪些工作以更好地保障电脑安全,更可以了解到很多安全隐患的存在,从而提高自身的警觉意识,加强个人防护。下面,就让我们跟随美国PC World的评测工程师们,一起遁入反病毒的安全之道。
16种安全软件包括防火墙,反病毒软件和反监视程序,这些软件的目的就是为了阻止蠕虫、病毒、监视和黑客的魔掌摧毁您的电脑。如今的“恶意代码”不仅仅是针对你的电脑而设计的——它的目标甚至是你本人。在盗用信用卡和个人信息的犯罪案件中, 越来越多的罪犯通过病毒和蠕虫来陷害受害者。
病毒只是众多威胁之一。很多垃圾邮件利用所谓的“phishing schemes”(电子黑饵,一种假冒恶意病毒网页,通常会说你的银行帐号有问题了或仿冒登录页,建议你打开附件以了解更多,然后等着受骗者上钩主动透露个人信息)来骗取收件人的银行或信用卡信息。用心险恶的广告商利用伪造的弹出广告来找到受害者操作系统的漏洞并攻击其浏览器,或是安装监视软件。
由于安全威胁已经不仅仅只包含病毒,安全专家们开始使用术语“Malware”(恶意程序)来描述所有的恶意代码。要抗击这成堆的恶意入侵程序,需要更深层的防御——在你的系统与恶意软件之间建立多层屏障。PC World[美]评测了16种包括防火墙、病毒扫描程序、监视卸载工具和安全套件在内的应用程序,并组织成强大的安全兵器库。(关于反垃圾邮件程序,请参阅“组织垃圾邮件进入你的收件箱”。)
防火墙组是阻止电脑黑客、蠕虫、监视软件等恶意程序的第一到防线。PC World和德国安全公司AV-Test合作要找出最好的防火墙。
很多家庭和公司使用路由器来共享一个网络带宽。为了测量这种硬件提供的保护功能,我们测试了两种型号的路由器和802.11g无线访问端点:Linksys 公司的Wireless-G Broadband 路由器WRT54G和Microsoft Wireless-G Base Station MN-700。路由器提供基本的防火墙功能,通过使用网络地址解释器(NAT)和动态主机控制协议(DHCP),路由器可以赋予网络内的PC一个私有的IP地址,因此对于外部计算机它们是隐藏的,外部计算机只能看到路由器自己的IP地址。只有当你打开路由器端口或PC接受来自外部的数据时,它的端口才是对因特网的开放的(例如,打开一个网页时)。
 
电脑黑客经常使用端口扫描工具寻找脆弱的目标,而路由器是可以抵挡这些扫描的。由于网络内已经没有系统请求数据包,路由器只是简单的停止数据包的传输。我们可以打开这两种路由器的端口并把某些PC的IP地址分配给这些端口。众所周知的port forwarding功能就是让你可以运行在线游戏和网站的服务器而不会把网络内的其他PC暴露在外。Microsoft路由器非常出色的一个特点是:它缺省能够进行数据加密并生成一个密钥用来保护无线通信数据。
软件防火墙保卫你的PC
一个路由器可以防卫外来的攻击。但是某些恶意程序,例如蠕虫、特洛伊木马和监视软件等,是在网络内部发起攻击的。这就让你需要一个PC上安装的软件防火墙来阻止这些病毒。
当任何应用程序试图和网络外部进行通信时,一个纯粹的基于许可的防火墙便会向你发出警报,并能使你阻止它。这个功能将使你的注意力集中在潜在的恶意应用程序上。
方便的是,Panda Platinum Internet Security 和Symantec Nortan Internet Security 2004 上的防火墙可自动获准很多Windows程序访问,但是这样会危及系统的安全。例如,Panda允许访问Windows很多服务导致PC上的135号端口被打开,而声名狼藉的Blaster蠕虫正是利用这个端口蠕动进你的PC的。Panda公司在我们发出警告后修正了这个弱点。
显然地,一个安全套件内是应该允许自己的组件运行的。但是McAfee Internet Seurity Suite 6却不允许这样做。当我们试图发送电子邮件时,McAfee Private Service 会发出警告提示说明MCSHIELD.EXE和MGHTML.EXE正要访问一个“被保护的文件”,即电子邮件客户端的应用DAT文件。(MCSHIELD.EXE和MGHTML.EXE正是这个套件的两个组件)
与蠕虫对抗
Sygate Personal Firewall Pro 5.5和 Zone Lab ZoneAlarm Pro 4.5即不会阻碍自己运行也不会将功能全权委托给其他应用程序。这样做的结果就是赋予你很大的权利来监控你的系统。但是如果你在按下“确定”钮之前没有耐心的考虑防火墙弹出的警告,你很可能将自己置于更危险的状态下。
最好的防护者
软件和硬件防火墙
Trend Micro PC-cillin Internet Security 2004
Zone Labs ZoneAlarm Pro 4.5
杀毒软件
Trend Micro PC-cillin Internet Security 2004
反间谍软件
Lavasoft Ad-aware 6 Plus
Spybot Search & Destroy
Bagle蠕虫,它通过将自身嵌入Windows 浏览器引用中而隐藏自己。当一个系统被感染上这个蠕虫时,McAfee、Norton、Sygate和ZoneAlarm的防火墙会询问Windows浏览器是否能访问因特网。细心的用户可能会注意到为什么应用程序总是自发的试图访问因特网,但是其他用户可能只是在警告提示时按下“确定”钮,不会去考虑警告的含意。
为了预防这类危险情况,用户可以选择一个有端口扫面功能的防火墙,这个功能是Windows XP操作系统自带的;或者一个同时具备端口扫描同和包过滤的防火墙,例如Trend Micro PC-cillin Internet Security 2004套件中的防火墙。
通常情况是,你不需要防火墙来捕获蠕虫或是后门程序(即秘密运行的程序),这是反病毒软件的工作。如果反病毒软件能将潜在的病毒和数据库中已被识别出的病毒相比较就能发挥最大的作用。新的病毒威胁通常在被识破之前总是任意横行着,直到杀毒软件更新、发布后才能阻止它们,但是这一过程最少要几个小时,最多甚至要花费几天时间,这是AV-Test在对众多反病毒公司中进行的一次广泛调查,针对的就是各公司对病毒发作的响应时间。
我们看到,AV-Test利用普通蠕虫病毒攻击来挑战防火墙的性能。例如,测试人员先安装了一个病毒程序,这个程序试图发送大量电子邮件,并附带一个可执行文件,一旦运行就会发送上百封拷贝。McAfee和ZoneAlarm的防火墙都能阻止这个动作,主要是向所有收件人发送一个警告邮件或是单独向每个收件人发送警告。Panda通过使用一个阻止功能把所有带可执行文件的附件的邮件过滤掉来阻碍这个蠕虫的传播。
在另一个测试中,Panda不能阻止Bagle蠕虫在系统中打开一个后门端口并通过此端口接受来自远程黑客的指令。Linksys 和Microsoft的路由器到是能阻止这个蠕虫,McAfee、Nortan、Sygate和ZoneAlarm的防火墙在蠕虫试图动作时发出警告,但是它们只认为Windows Explorer在使用这个端口,而且防火墙分辨不出是一个蠕虫隐藏在Windows Explore 背后试图逃避系统监测。PC-Cillin和Windows XP 防火墙有端口扫描功能,能阻止蠕虫访问端口,从而默默的保护着计算机而且不需要和用户进行交互,不像基于许可的防火墙要求用户进行干涉,例如McAfee,Norton,Sygate和ZoneAlarm.。
除了能打开后门端口之外,有些恶意程序通过使安全软件无效将PC暴露在外部世界。Panda,Sygate和ZoneAlarm Pro都能抵抗住这类攻击。但是恶意代码能强制关闭Windows XP防火墙和McAfee、Norton和Trend Micro套件,并从系统中删除后三者的程序文件。
强强联合
Linksys 和Microsoft这两种型号的路由器能抵挡来自外部的攻击,软件防火墙能防止蠕虫通过共享盘、电子邮件、文件共享程序在系统间传播,例如Kazaa和Gnutella。笔记本电脑是必须要安装防火墙软件的,这些电脑通常是把平时在家里或办公室的路由器和网络连接保护功能委托给公共无线Wi-Fi网络或是酒店的网络。
我们喜欢Sygate的性能和详细的配置选项,但是发现这个程序容易让人困惑。看看这个Sygate的警报“Internet Explorer(IEXPLORE.EXE)正试图连接www.microsoft.com>www.microsoft.com">www.microsoft.com (207.46.134.221),使用远程端口80(HTTP–World Wide Web)。”ZoneAlarm 则提示“是否允许Internet Explorer访问因特网?” 鉴于ZoneAlarm Pro 4.5的可用性和性能,我们认为它是最值得购买的。如果你没有足够的耐心配置一个基于许可的防火墙,那么具有端口扫描功能的PC-Cillin防火墙是另一个好选择。
Features Comparison: Combine Software and Hardware Firewalls (chart)特点比较:软件和硬件防火墙(表格)EXCEL FANYI-3.XLS SHEET “3”
|
