给做公益事业的人的病毒防范建议

这几天,我和一些正直的做公益事业的人在一起交流和工作,遇到几件事。

  1. 第一件,2008年11月2号,我去艾未未的发课(fake)工作室,说服他启用 http://blog.aiweiwei.com/ 来写BLOG。我发现他用的MacBook,但安装的是Windows XP,没黑屏,但接着又发现他用Internet Explorer(简称IE)浏览器,我问他用过Firefox没有,他也用过,他告诉我之所以用Windows XP是因为有些设计用到的软件是运行在XP下。人家是大忙人,我没敢啰里啰嗦推荐他用回MacBook的麦金塔什操作系统,也没敢强烈推荐他使用Firefox还有TOR,他甚至不能意识到GFW的存在。

    他那里有ADSL,不过是用自己的电脑拨号,没有WIFI,我带了电脑都不能上网,我用他的电脑PPOE拨号,IE浏览器打开了几个网页,向他介绍我如何在短时间内为他搭建一个BLOG,但是,我从我电脑里找回密码登录 https://panel.dreamhost.com 时,死活不认我的密码,我以为是他键盘的问题导致字母和符号输入不一致,还有一次断网死活打不开网页,重启后重新拨号就能上网了,仍然没有成功现场为他设置好BLOG,我于是教他用Google Reader订阅RSS,告诉他我回去后帮他建立好BLOG,然后通知他改一下IP指向就可以启用blog.aiweiwei.com 了。但是今天我打电话问他是否有收到改IP的邮件时,他告诉我自我那天用过他的电脑后,他的电脑就坏了,重装操作系统了。我明天再去他家找他讨论时再强烈推荐他使用ADSL路由器和FIREFOX。有ADSL路由器和Firefox,可以减少很多风险,如果艾未未用苹果电脑原来的操作系统,又可以减少许多风险。
  2. 另一件事,一直努力关注杨佳案的刘晓原未能介入杨佳死刑复核,前阵子有消息称刘晓原Email邮箱被盗,密码被改,但他用密码找回功能找回密码了。刘晓原还在BLOG上次称收到威胁电话要求刘晓原不要接受采访,本来准备到传知行做活动讲“我看杨佳案”都因为传知行被国保要求而被取消了,结果那天是由我来讲《BLOG 、新技术与公民报道》。
  3. 第三件事,我在公盟做奶粉受害者索赔法律援助团的志原者,我帮他们创立了一个Google Group用于工作进度讨论,把一个受害者家长赵联海也加进来了,结果发现[email protected]冒充[email protected]发过一封邮件,并在邮件里添加了四个doc附件,还不知道是否有病毒。幸好我从来对附件都是Open as a Google document ,并且我安装的是免费的OpenOffice和WPS个人版,即便我下载并直接打开了有Wold病毒的文档也少了些可能性。看来国安和国保的工作强度和技术应用程度不底啊,但从他们干这些下三滥的活,也不知道他们是不是真的为了国家利益。
    对了,谁有兴趣查一下那四个DOC文档有没有病毒?在这:http://dl.getdropbox.com/u/226211/attachments.zip
  4. 第四件事,特赦杨佳签名超过四千 签名邮箱被破坏更换邮箱 ,本来签名是发签名到[email protected] ,结果原来签名的电子邮箱遭受破坏,无法启用,用密码找回也无法找回,备用邮箱也被改了,所以特赦杨佳发起人把征集签名的邮箱改为[email protected]了。这难道又是神通广大的国家安全局的人干的吗?要求特赦杨佳危害了谁的利益?刘晓原在他BLOG上批露的种种细节表明,杨佳案不符合法律程序,政府和法院的行为妨碍了程序公正。杨佳的母亲到现在都没露面,有传言说杨佳母亲王静梅已经死了,如果真死了,这帐肯定记在上海警方和曾经获得杨佳母亲授权的律师谢有明、谢晋身上。
  5. 第五件事,我的BLOG被黑了,但没有找到类似iframe的恶意代码,只是发现有不明身份的人在</body>前面添加了一个ZML的文字链接,就像这个网站底部一样 http://www.dalianweiquan.com/ ,不知道是不是利用了一个Wordpress漏洞,这链接是国外的,应该不是国内的人干的,只添加一个链接,算我运气好。只加这样的国外链接,就应该不是从我电脑里种植间谍程序偷我的网站密码,我相信我坚持使用Firefox并且只使用官方网站上的软件,应该还是比较安全的。

给所有NGOer和看我BLOG的人的建议:

  1. 你必须接受培训,懂得更多电脑知识才能免于恐惧;
  2. 关掉并卸载你的防病毒软件,去掉对“警察”的依赖,自己用良好的操作习惯来保护自己才是正道。在防病毒软件的保护下,你会增加很多危险行为让自己暴露在危险下,却以为防病毒软件能帮你应付危险,如扫描病毒后就放心大胆地安装非官方软件,这是很危险的。
    实际上,防病毒软件并不知道新病毒和新间谍软件的特征,对多数人来说,防病毒软件能给人安慰。
  3. 开始使用Firefox浏览器。大多数病毒和木马程序通过网页和EMAIL传播,网页木马只针对Internet Explorer,对开源的Firefox无攻击效果;
  4. 慎重下载邮件附件。最好是开始使用在线的EMAIL程序,如Gmail。病毒和木马针对OutLook设计,改用在线EMAIL,可以减少风险,我认为Gmail足够好了。对于别人发来的Doc附件,建议用Google docs来打开。
  5. 开始使用ADSL路由器和无线WIFI的AP。ADSL路由器可以帮你完成PPOE拨号,还可以成为你的网关,所有针对电脑的漏洞扫描和攻击都会被一台小小的ADSL路由器挡掉,ADSL路由器是你的防火墙,也是你的盾牌,让你免于被恶意攻击。
  6. 使用Vista操作系统或关闭XP操作系统的autorun功能,可以防范多数U盘病毒。通过在U盘里生成一个autorun.in 和desktop.ini来传播是最主要的U盘病毒传播方式。
  7. 离开电脑要锁屏,用ctrl+alt+del,然后选择锁屏,或用windows键+L来锁屏。防止同事在你不在的时候用你电脑。同事可能会故意放木马在你电脑,同事也可能是不故意的情况下,用Internet Explorer浏览网页导致你的电脑被网页木马入侵。

对了,艾未未和许志永都被我说动参加网志年会了,届时可以在广州的星坊60看到他俩。我会在网志年会主持一个《无墙电脑—无障碍访问互联网》的议题,时间在2008年11月15号下午,我会分享一些计算机使用经验给大家,包括但不限于无障碍访问互联网和网络安全。欢迎大家发邮件报名参加我主持的小会议,没报名的人不能参加这个小会议。参加我主持的小会议的人都可以得到一件从美国寄来的Tor的T恤,还有机会得到我设计的T恤

23 thoughts on “给做公益事业的人的病毒防范建议”

  1. 1. 提供基本技术培训很必要。不要用任何中共国程序员开发的软件。
    2. 但是往往教给他们复杂的技术会导致他们依然糊涂,误以为安全而掉以轻心导致更大损失。
    3. 签名主办者信箱被攻击最有可能他们的电脑已经被植入木马。比如以前胡佳,滕彪的 gmail 信箱密码被盗。所有签名者的隐私信息都被狗东西获取,并冒充主人发欺诈邮件。需要调查 google 公司内部是否有走狗,以及 gmail.com 本身是否有程序漏洞。我觉得后者可能不大,否则老早有人发现了。最大可能是中共国内的用户自己的电脑被植入太多的木马。
    4. 很有必要做一套方便的可以从光盘启动运行的 WinXP,以用于对通信安全有要求的场合。Linux 可以用 gOS http://www.thinkgos.com
    5. 在推广突破封锁的代理技术之后,也需要推广 S/MIME, OpenPGP (PGP, GnuPG) 加密和签名邮件。
    6. 你推荐他用自己的 DNS 名,我觉得换 BSP 更重要,可以把 blogger.com 作为主站,而国内发布拷贝,克服被删贴问题。

  2. 哥们,我很迷惑:邮箱被破坏,我在网上基本上也非常谨慎,甚至连ID在某些网站都不用同样的,如果有人在意你,想找你的蛛丝马迹的话,那么你就应该具备一点反侦查能力,起码要能抵抗非官方的那种“人肉搜索”,这是我的看法。

  3. to zola
    你的blog被黑是否和你在艾未未那登录dreamhost有关?建议用ssh登录dreamhost仔细查看一下登录log之类,也许有蛛丝马迹。
    另外:强烈建议不要在他人的电脑中键入自己的任何密码!

  4. gmail有些xss漏洞,当然和浏览器的安全性也有关系,当你访问了一些恶意网站后,你的登录session就会被窃取。解决方法如下:

    1、使用https登录gmail
    2、不要在gmail里点击不明来源的链接
    3、登录gmail的浏览器和平时访问网站的浏览器分离,比如一个使用opera,另一个使用FireFox或者IE
    4、不要使用公共AP上网

  5. 补充几点建议:
    1、目前针对IE的木马十分多,恶意程序嵌入IE的技术也十分成熟。如果使用了中了木马的IE很容易导致密码或登录session被盗。所以建议登录gmail采用非IE内核的浏览器,最好是一些非主流的浏览器,比如Opera/SeaMonkey/Safari/K-Meleon/Chrome。

    2、不要盲目相信Tor之类的代理,Tor有许多伪装节点(至少美国FBI就有很多节点,国安有没有还不清楚),用来监控用户的信息。

  6. 看了一下左拉的建议, 除了第一点之外, 别的都做到了. 电脑培训方面, 只能是自己摸索提高了. 有深圳的讲座计划没?

  7. 关于 gmail 的漏洞,google: gmail vulnerability

    Gmail HTTPS Doesn’t Protect Account, New Setting Does | Threat Level from Wired.com
    http://blog.wired.com/27bstroke6/2008/08/gmail-https-doe.html

    平时总是用 https://mail.google.com 访问 gmail 全程加密连接,中恶意代码的可能会低一些,拒绝一切不安全连接。但是恶意的钓鱼邮件,广告,浏览的一些恶意网站依然可能导致问题。

    3721实名,360安全卫士,上网助手, QQ 之类流氓软件绝对不要用。暴风影音这类国产软件曾经捆绑恶意软件,现在也难说是否潜藏木马代码,未确认。推荐用 k-lite mega codec pack 代替。flashget, 迅雷这类中共国人做的下载软件也无法保证安全,并且有隐私泄露问题。替代可以用 free download manager。orbit downloader 功能不错,也是中共国程序员做的,曾经捆绑广告软件,安全性未知。mediacoder 是中共国程序员做的,因为是 opensource 的,可信度高一些。

    http://www.virustotal.com/
    http://virusscan.jotti.org/
    http://virscan.org/

    可以把文件上传到这些网站,它会用几十种杀毒软件查,显示结果你拿到有疑问的小软件,就可以这样测试。

    系统诊断修复太费时间 所以不能轻信杀毒软件。
    做个安全系统光盘,需要安全通信的场合,从光盘启动运行系统。参考:

    [1] DriveImage XML
    http://www.runtime.org/dixml.htm
    类似 Norton Ghost 的功能。免费。

    [2] Bart’s Preinstalled Environment (BartPE) bootable live windows CD/DVD
    http://www.nu2.nu/pebuilder/
    制作启动可运行 Windows 的光盘。免费。

    [3] UBCD for Windows
    Windows 启动运行光盘工具。免费。可用于诊断,修复系统。http://www.ubcd4win.com/

    [4] Ultimate Boot CD http://www.ultimatebootcd.com/

    推荐 avast! antivirus, free 的,或者 AVG anti virus 都是捷克的公司做的,有免费版本。网站上可以下载。捷克的社会相对俄罗斯更正常一些,所以我不相信俄罗斯做的 kaspersky,宁愿用捷克的。kaspersky 和中共国的公司合作很多,难免会搞鬼。升级病毒库,然后全面检查机器。断开网络检查。

    然后,下载安装 google pack 英文版里面提供的两个免费的 spyware scanner:http://pack.google.com/intl/en/pack_installer_new.html?hl=en&gl=us&ciNum=11
    spyware doctor, norton security scan 全面检查系统。

    另一个口碑比较好的反间谍软件的免费软件:spybot s&d:
    http://www.safer-networking.org/en/index.html

    进一步,还要用检查 rootkit 的工具清查系统可能的隐藏木马。这个比较罗嗦,需要熟悉电脑的人容易做到。你应该找一个近的,高度可信的技术人员定期检查你的电脑。这个人要绝对可信,如同你对自己一样信任。

    检测 rootkit:
    http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx
    http://www.pcsupportadvisor.com/rootkits.htm
    http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html 这个
    免费工具,我没有试验过。
    http://free.grisoft.com/doc/download-free-anti-rootkit/us/frt/0 推荐你先试验这个检查是否有 rootkit trojan
    http://free.grisoft.com/doc/20/us/frt/0 这个 antispyware
    http://free.grisoft.com/doc/2/us/frt/0 这个免费的反病毒。现在 AVG
    anti-rootkit 和 antispyware 合并到 antivirus 里面了。

    avast antivirus 家庭版免费
    http://www.avast.com/eng/home-registration.php
    http://free.grisoft.com/ww.download
    http://free.grisoft.com/ww.download?prd=afe

    如果有重要的通信事务,必须用可靠的光盘启动运行的系统来做为好。因为平时使用机器几乎无法避免不中招。
    安全的专用光盘系统可以用 bartpe 做,网上也有一些,需要懂电脑的帮你定制。把需要用的软件包括进去。
    http://www.ubcd4win.com/contents.htm 这个是可以光盘启动运行的 windows

    gos 原先预装 google app,现在变成 myspace 了 我还有以前的 google app 的 gos 版本光盘,但是估计用 windows 的更便利。我准备做一个 windows 的启动运行系统来用。

    还有种方式是采用虚拟机软件运行一个干净的临时系统用于安全通信。可以用免费的虚拟机软件 microsoft virtualpc, vmware, virtualbox etc.但是占资源多一些,技术复杂些。
    http://www.reatogo.de/REATOGO.htm 这也是一个光盘运行系统。

    norton antivirus corporate edition (navce) 有免费可以用的版本,不知道是否盗版,网上可以下载到。
    其漏检比率较高。所以我建议用各种不同的都检查看看。但是问题在于同时装多个杀毒软件相互可能冲突。
    所以可以装上以后,升级病毒库,全面检查查完了以后卸载掉。

    如果你检查发现有木马了,那么基本上应该考虑重新安装系统。木马病毒现在变种极多,根本无法杀干净。
    但是要看病毒木马是否在关键位置发现。如果是在你下载但是没有运行过的文件里面,就没关系。删掉那些文件即可。

    如果在 windows 系统目录,system32, program files 之类目录下面,那么系统肯定中毒了,最好重装。
    如果在 temporary internet files 目录下面,也可能被浏览器运行了,估计也中毒了。

    http://www.grisoft.com/ww.download-trial 你也可以试验 avg antivirus 的商业试用版,装上检查,查完了卸掉就是了。总之不要用中共国内杀毒软件

    为了安全,你可以建一个没有管理员特权的普通用户,平时用这个用户上网浏览。这样会相对安全一些。但是麻烦在于需要安装软件的时候要用 runas administrator 方式。

    如果要用到一些无法确认是否安全的软件,比如 keygen 破解之类,最好放到在线多引擎查毒网站上扫描检查一下 [1]。

    防火墙一般用 winxp 自带的也可以,要细致监视网络异常行为的话,那么就要用控制能力更强的防火墙软件,比如 Tiny Firewall

    老版本 Freeware :
    http://www.oldversion.com/program.php?n=tp*firewall*

    6.5 试用版
    http://www.download.com/Tiny-Personal-Firewall/3000-10435_4-10266527.html

    评价
    http://personal-firewall-software-review.toptenreviews.com/tiny-firewall-review.html

    Tiny Personal Firewall 卖给了 Kerio,改名 Kerio Personal Firewall
    http://en.wikipedia.org/wiki/Kerio_Technologies

    然后又卖给了 Sunbelt,成了 Sunbelt Personal Firewall,提供免费版本
    http://en.wikipedia.org/wiki/Sunbelt_Personal_Firewall
    http://www.sunbelt-software.com/Home-Home-Office/Sunbelt-Personal-Firewall/

    Tiny Software 继续开发 Tiny Firewall,然后卖给了 CA,成了 CA Personal
    Firewall
    http://en.wikipedia.org/wiki/Tiny_Software

    CA Personal Firewall free trial:
    http://www.webmasterfree.com/CA_Personal_Firewall_d7637.html

    中共国做的天网防火墙,瑞星防火墙,虽然也提供细致的监视控制功能,我不信
    任。需要注意:安全软件是最不安全的。
    计算机安全学界关于“security software”的定义是:那些能威胁你的系统和数据
    安全的软件。

    [1] 木马病毒 在线查毒 光盘备份恢复系统
    http://groups.google.com/group/Chinese_TUDelft/browse_thread/thread/5e7a5c4ee9b5dc04

  8. zola 居然没有提最最重要的 noscript 安全插件,NoScript :: Firefox Add-ons
    Add-ons extend Firefox, letting you personalize your browsing experience. … Experts do agree: Firefox is really safer with NoScript …
    https://addons.mozilla.org/firefox/addon/722
    http://noscript.net/
    noscript 的功能应该加入 firefox 主流代码,非常重要。必须安装以防范针对 gmail 等 ajax (大量 javascript 编写的) 网络服务的 XSS 攻击。

    其他相关的通信安全建议,免费反病毒,木马/防火墙软件参见[1]。注意,如果用 https://gmail.com 打开 gmail,可能只有登录过程加密,然后自动转到不加密的连接。
    必须用 https://mail.google.com 打开。最好在 gmail 设置总是用 https。Settings > General > Browser connection: > Always use https 。

    [1] Re: 给做公益事业的人的病毒防范建议; http://groups.google.com/group/lihlii/msg/39ca7f00f2bc7fa3

  9. gmail 很不安全。要注意防范。不要认为可以加密连接就安全,它还挂着 beta 的测试版本标志,也许有很多 bug 漏洞,也许中共特务窃取 gmail 密码就是通过这些漏洞。反而通过 pop3/smtp+ssl 收发 gmail 相对安全一些(但是也会泄露一些隐私信息,比如IP地址,操作系统版本,email 客户软件)。因为网页浏览器的漏洞太多了。

    最好用 firefox,并装上 noscript 插件。可以防范网站交叉攻击。你即使在虚拟机中运行,也防范不了一些网页攻击手段。通过 XSS 跨站点脚本,钓鱼欺诈邮件,网页广告插入恶意代码等等都可能实施攻击。通过窃取不加密通信的 cookies 很容易窃取不加密的 gmail 信箱访问权限,这对于掌握了网络路由的网狗们就是小菜一碟了,都不需要用复杂的 XSS,或者在你的电脑植入木马的复杂手段。

  10. 反病毒引擎 版本 最后更新 扫描结果
    AhnLab-V3 2008.11.7.1 2008.11.08 –
    AntiVir 7.9.0.26 2008.11.07 –
    Authentium 5.1.0.4 2008.11.07 –
    Avast 4.8.1248.0 2008.11.07 –
    AVG 8.0.0.161 2008.11.08 –
    BitDefender 7.2 2008.11.08 Exploit.MSWord.Gen.5
    CAT-QuickHeal 9.50 2008.11.08 –
    ClamAV 0.94.1 2008.11.08 –
    DrWeb 4.44.0.09170 2008.11.08 –
    eSafe 7.0.17.0 2008.11.06 –
    eTrust-Vet 31.6.6198 2008.11.07 –
    Ewido 4.0 2008.11.08 –
    F-Prot 4.4.4.56 2008.11.07 –
    F-Secure 8.0.14332.0 2008.11.08 –
    Fortinet 3.117.0.0 2008.11.08 MSWord/MalWord.ROL!exploit
    GData 19 2008.11.08 Exploit.MSWord.Gen.5
    Ikarus T3.1.1.45.0 2008.11.08 –
    K7AntiVirus 7.10.519 2008.11.07 –
    Kaspersky 7.0.0.125 2008.11.08 –
    McAfee 5427 2008.11.07 –
    Microsoft 1.4104 2008.11.08 –
    NOD32 3596 2008.11.07 –
    Norman 5.80.02 2008.11.07 –
    Panda 9.0.0.4 2008.11.08 –
    PCTools 4.4.2.0 2008.11.08 –
    Prevx1 V2 2008.11.08 –
    Rising 21.02.52.00 2008.11.08 –
    SecureWeb-Gateway 6.7.6 2008.11.08 Exploit.Win32.Ginwui.gen!MS-Word (suspicious)
    Sophos 4.35.0 2008.11.08 Troj/MalDoc-Fam
    Sunbelt 3.1.1785.2 2008.11.08 –
    Symantec 10 2008.11.08 –
    TheHacker 6.3.1.1.145 2008.11.08 –
    TrendMicro 8.700.0.1004 2008.11.07 –
    VBA32 3.12.8.9 2008.11.07 –
    ViRobot 2008.11.7.1457 2008.11.07 –
    VirusBuster 4.5.11.0 2008.11.07 –

    结果,怎么没有病毒???

  11. Pingback: 佐拉
  12. Pingback: 胡*
  13. Pingback: iStone
  14. Pingback: Tom Zhi
  15. Pingback: lihlii
  16. Pingback: Ree

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据