查查你的Windows XP系统安全吗？

　　现在Windows XP日益普及，不过针对XP的病毒也越来越多，去年有臭名昭著的冲击波，今年则流行震荡波，这些病毒都有一个共同特征，就是利用XP系统漏洞对电脑实施攻击的。很多朋友没有这方面的知识，可能还在认为Windows XP很安全呢，那么Windows XP真得很安全吗?

　　Win XP上的著名病毒篇

　　一、“冲击波”蠕虫及其变种病毒(新蠕虫：W32.Blaster.worm)

　　2003年8月11日微软开始调查一个名为W32.Blaster.Worm的新蠕虫及其变种，该病毒之前正在通过网络疯狂传播，这就是“冲击波”蠕虫，也被称为W32/Lovsan.worm (McAfee)、WORM_MSBLAST.A (Trendmicro)、Win32.Posa.Worm (Computer Associates)。

　　如果感染上该病毒，WinXP和Windows Server 2003系统就会在没有用户输入的情况下，每隔几分钟即重新启动、或在客户的系统中存在“msblast.exe”文件。该蠕虫在TCP 135端口上扫描随机的IP地址范围，以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞，通过开放的RPC端口传播。2003 年7月16日，微软在安全公告MS03-026中提到了DCOM RPC漏洞，为此发布了安全补丁。

　　MS03-026安全补丁消除了DCOM RPC漏洞，因此安装该补丁后可以防止感染这种蠕虫，具体操作如下：首先启用WinXP内置的防火墙(Internet Connection Firewall (ICF))。单击“开始”菜单/设置/控制面板，双击“网络和Internet连接”，然后单击“网络连接”，在希望启用防火墙的连接上右击，点击“属性”/高级，在“Internet防火墙”下打钩(如下图)，现在你的WinXP防火墙就启用了。注意：如果电脑不断重复启动，在启用防火墙之前要将自己的机器从Internet断开，如果正在运行Win2000或 WinNT 4.0，需要使用第三方的防火墙产品。

　　其次下载MS03-026安全补丁程序。WinXP(32位)和WinXP(64位)的用户请下载安全补丁(下载地址)，更新Windows系统。最后使用最新版本的杀毒软件来清除这种蠕虫。该蠕虫有几个变种，有关它们的最新信息可以在杀毒软件开发商的网站上找到。

　　二、震荡波蠕虫病毒(Sasser)

　　2004年5月1日，TrendLabs为控制该病毒的传播，发布病毒中度风险警报，之后该病毒迅速在全世界流传。WinXP和Win2000会感染上这种病毒，如果你收到自称Microsoft发来的邮件，并且邮件附带了可执行文件(例如扩展名为 .exe、.com、.bat、.scr、.js、.vbs 或 .cmd 的文件)，就有可能是震荡波蠕虫病毒，请立即删除该邮件，注意不要打开任何附件，也不要从电子邮件直接下载任何可执行文件。

　　此蠕虫病毒会导致LSASS.EXE停止响应，使系统在60秒钟后强行关机。如果你的计算机反应迟缓或者Internet连接速度过慢，则说明蠕虫病毒可能已经在你的局域网内扩散。该病毒利用了Windows LSASS的一个已知漏洞。这是一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。而实际上，微软针对该漏洞的补丁早在今年4月13日的MS04-011公告中发布了，如果你已经进行了操作系统补丁升级，杜绝了该系统漏洞，震荡波也就失去了攻击目标。

　　首先应该结束病毒进程，按CTRL+ALT+DELETE，单击“任务管理器”中的“进程”，选中任意以_up.exe 结尾的任务(例如 12345_up.exe)，或者以avserve、avserve2、skynetave开头的任务，或者名为hkey.exe、msiwin84.exe的任务，最后单击“结束任务”按钮将其结束;接下来启用防火墙，重新连接 Internet，下载并安装微软MS04-011公告中的安全补丁(下载地址)，以便电脑免受此蠕虫病毒的感染;最后使用震荡波蠕虫移除工具，搜索你的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。

　　Win XP上的著名安全漏洞篇

　　迄今为止，已经发现了上百个WinXP的安全漏洞，以下列出的只是XP极其严重的安全漏洞，级别为“重要”和“中等”的安全漏洞，限于篇幅我们就不介绍了。

　　【漏洞之一】HTML帮助远程执行代码漏洞(发布日期：2004-07-13)

　　Windows允许应用软件使用一种标准方法(例如HTML帮助API方法)，来显示和处理帮助文件。Windows HTML Help存在问题，远程黑客可以利用这个漏洞，在中招系统上执行任意代码，包括安装程序，查看更改删除数据，建立新帐户等攻击。黑客可以构建恶意页面、诱使用户点击来触发此漏洞。

　　Microsoft为此发布了一个安全公告(MS04-023)以及相应补丁，安装了WinXP 和WinXP Service Pack 1的用户立即下载补丁(下载地址)，然后进行更新，此问题的补丁也将包含在 Windows XP Service Pack 2 中。

　　如果你不能立刻安装补丁或者升级，建议点击开始，运行“regsvr32/u %windir%\system32\itss.dll”，注销HTML Help协议，以降低威胁。如果你使用的是 Outlook 2002 或更高版本，或者是Outlook Express 6 SP1 或更高版本，请用纯文本格式阅读电子邮件，以免自己受到HTML电子邮件恶意代码的攻击。

　　【漏洞之二】任务计划程序(发布日期：2004-07-13)

　　Windows的任务计划程序在处理应用软件文件名验证时存在问题，黑客可以利用这个漏洞远程取得系统权限、执行任意指令，完全控制受影响的系统。黑客可以使用多种方法，例如构建恶意WEB页、诱使用户点击来触发此漏洞。

　　Microsoft为此发布了一个安全公告(MS04-022)以及相应补丁，安装了WinXP 和WinXP Service Pack 1的用户立即下载补丁(下载地址)，然后进行更新，该安全补丁也将包含在 Windows XP Service Pack 2 中。

　　【漏洞之三】LSASS 漏洞(发布日期：2004-4-13)：震荡波蠕虫病毒

　　LSASS(本地安全验证子系统服务)主要处理客户端和服务器的身份验证，LSASS 中存在一个缓冲区溢出漏洞，后果是使远程攻击者完全控制受感染系统，其中包括安装程序，查看、更改或删除数据，或者创建拥有完全权限的新帐户等。在WinXP/2000上，能向你传送特制消息的用户，都能利用此漏洞。2004年5月，利用该漏洞的震荡波蠕虫病毒(Sasser)在网上疯狂传播，如果你已经堵住了该漏洞，震荡波也就失去了攻击目标。

　　今年4月13日，微软在MS04-011公告中发布了该漏洞的补丁(下载地址)，建议安装该补丁。如果不能安装补丁，应该使用个人防火墙，如WinXP/2003 中的Internet 连接防火墙，在防火墙处阻塞以下端口的非法入站通信，免受利用该漏洞的攻击：

　　UDP 端口 135、137、 138、445;

　　TCP端口 135、139、445、593;

　　端口号大于 1024 的端口;

　　【漏洞之四】RPC运行时库漏洞(发布日期：2004-4-13)

　　RPC提供了进程间的一种通信机制，允许A机器上运行的程序可以访问B机器上的服务。RPC 运行时间库在处理特制邮件时出现争用情况，利用该漏洞可以远程执行代码，从而完全控制你的系统。黑客可以将一些特制的网络邮件发送给你，来利用此漏洞，然后这些邮件就可以使你的系统中招，这样黑客可通过交互方式登录到你的系统。

　　建议你下载并安装该问题的补丁(下载地址)如果不能安装补丁，应该使用WinXP/2003 附带的个人防火墙(如 Internet 连接防火墙)，在防火墙处阻塞以下端口上未经请求的入站流量：

　　UDP 端口 135、137、138 和 445;

　　TCP 端口 135、139、445 和 593;

　　端口号大于 1024 的端口;

　　任何其他特别配置的 RPC 端口;

　　用于监听端口 80 和 443 的 COM Internet 服务 (CIS) 或 RPC over HTTP(如果已安装)

　　【漏洞之五】图像文件漏洞(发布日期：2004-4-13)

　　在Windows WMF、EMF图像格式显示中存在一个缓冲区溢出漏洞，黑客可以在中招系统上远程执行代码。只要你运行了显示WMF 或 EMF 图像的软件，就有可能受到攻击，成功利用此漏洞的黑客可以完全控制你的系统。

　　下面的方式都可以触发漏洞：黑客拥有一个利用此漏洞的Web站点，诱使你查看该站点;一个夹带了特制图像的HTML电子邮件发送给你，诱使你查看该邮件，当你用Outlook 2002 或 Outlook Express 6打开时即触发此漏洞;或者将特制图像嵌入 Office 文档中，然后诱使你查看该文档;将特制图像添加到本地文件系统中，或者添加到网络共享中，诱使你使用 WinXP 中的 Windows资源管理器预览目录。

　　如果你使用了Outlook 2002 或更高版本，或者是Outlook Express 6 SP1 或更高版本，请用纯文本格式阅读电子邮件，以免自己受到HTML 电子邮件恶意代码的攻击，建议你下载并安装该问题的补丁(下载地址)。

　　【漏洞之六】ASN.1漏洞可能允许执行代码(发布日期：2004-2-10)

　　ASN.1(Abstract Syntax Notation 1)是IT行业中软件和设备使用的一种数据标准，微软ASN.1 Library 中存在安全漏洞，此漏洞是由微软ASN.1 Library 中未经检查的缓冲区溢出引起的。如果黑客成功地利用了此漏洞，就可以在中招的系统上以系统特权执行代码，在该系统上执行任何操作，包括安装程序，查看、更改或删除数据，或者创建拥有完全权限的新帐户。

　　微软为此发布了安全补丁(下载地址)，但要求安装在WinXP或WinXP Service Pack 1 (SP1) 上，该补丁也将包含在 Windows XP Service Pack 2 中。

　　【漏洞之七】Workstation 服务中缓冲区溢出(发布日期：2003-11-12)

　　Workstation服务中存在一个未经检查的缓冲区安全漏洞，该漏洞允许在中招的系统上执行远程代码。如果该漏洞被人利用，黑客就可以获得你的系统权限，或者使Workstation 服务无法正常工作，黑客可以对系统执行任何操作。