九、“JPEG漏洞”病毒

　　这个病毒主要源于9 月 14 日微软公布的一个新漏洞——JPEG 处理时 (GDI+) 缓冲区溢出漏洞，即在处理 JPEG 图像格式时存在缓冲区溢出现象，可能导致攻击者在系统上远程执行代码，例如安装程序，查看、更改或删除数据，创建拥有完全权限的新帐户等。也就是说只要将攻击代码，植入一个普通的JPEG图片文件中，并使这个图片具有最新的漏洞。当别人打开这个图片时，就会自动从攻击者设定的网络地址中下载恶意程序，例如木马程序、蠕虫病毒等，还有可能出现系统崩溃现象。由于众多软件都调用同一个系统动态链接库GdiPlus.dll文件，所以该漏洞的涉及面非常广，甚至可能成为有史以来威胁用户数量最广的高危漏洞。

　　防范措施：对于这类病毒，防范重于查杀，金山公司的“JPEG病毒及漏洞检测专杀程序”，可以对计算机上所有应用程序进行漏洞检查，特别适合那些目前无法在线更新和还没提供补丁文件的应用程序(下载地址)。无需安装直接运行，在帮助你检查和清除计算机内含有利用漏洞进行攻击的JPEG图片病毒的同时，可以检查计算机内所有存在漏洞的应用程序。

　　十、“股票窃贼”（Win32.Troj.Soufan）

　　股票窃贼（Win32.Troj.Soufan）是一种木马病毒，感染后病毒会监视当前窗口标题中是否含有“交易登录”、“XX证券网上交易”（包括国内多家著名证券公司名称）、“网上股票交易系统”等字符。如果有就开始启动键盘钩子对用户登陆信息进行记录，包括用户名和密码；同时它还会对用户登陆时窗口画面截屏保存为图片，当记录一定次数后，会通过邮件发送到病毒作者指定邮箱webmaster@****.com中。这样就窃取了用户的网上证券交易账号和密码，从而可能获得操作股票的权限，如果用户股票被恶意买卖，将给用户带来非常重大的损失。更加厉害的是“证券大盗”病毒每次窃取成功后就会自动中止运行，并删除大部分病毒文件，以达到销毁罪证的目的。

　　清除方法：打开金山网镖等网络防火墙，提高安全级别也可以选择“断开网络”以防止病毒向外发送盗取的信息，然后在网络状态中，查找“SYSTEM32.EXE”这个文件。如果有说明病毒还没有“得手”，你可以按下“结束进程”按钮终止它的运行。接着在系统盘搜索“SYSTEM32.EXE”这个文件（一般在WINNT或WINDOWS目录下），找到后彻底删除它（事先最好关闭系统还原功能）。接下来到C盘根目录下删除“Screen1.bmp”和“Screen2.bmp”文件（这两个文件是用户登录网上交易系统时病毒抓照的屏幕图象，如果你在系统中只发现了这两个文件，说明病毒已经窃取成功，并删除了病毒可执行文件。这时你必须立刻更改股票交易密码，或者到证券公司办理挂失。）最后打开注册表编辑器，删除病毒添加的启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]"System"=%WinDir%\
SYSTEM32.EXE

　　对系统操作不是非常熟练的朋友，可以到网站下载“股票盗贼”病毒专杀工具对系统进行扫描，以便及时清除病毒。

　　病毒综合防范措施：

　　1、开启网络防火墙：上网时除了开启反病毒软件的病毒实时监控以外，还要打开网镖等网络防火墙，这样可以有效防止木马和病毒的侵入，另外木马病毒盗取了帐号和密码后，会通过网络发送到病毒制造者的服务器上，开启网络防火墙可以拦载没经授权的的程序向外发送消息。安全级别一定要设置到“中”以上才更加有效。

　　2、平时备份进程列表，以便出现可疑情况时进行比对。方法如下：在运行窗口中，输入“CMD”打开命令提示符窗口，然后输入“Tasklist /svc >i:\processlist.txt”敲回车即可。这个命令行可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。

　　3、对于邮件病毒的防范，可以在金山毒霸6中使用邮件规则编辑器，创建相应的规则来拦截带毒邮件，最好同时勾选“自动过滤发件人可收件人为空的邮件”。并在“工具→综合设置→邮件防火墙→”中选中“自动过滤垃圾邮件”。

　　4、关闭无用的服务项目，不要安装和下载一些来历不明的软件，例如游戏外挂、破解软件、算号器等；打开邮件中的附件和QQ中传过来的文件之前，一定要用杀毒软件进行检查。

　　5、禁用活动脚本：针对网页中的脚本病毒，我们可以通过禁用脚本来限制其的运行。打开IE浏览器，在“工具→Internet选项→安全”中，选择“Internet→自定义级别”，在“安全设置”窗口中禁用“活动脚本”和“对标记为可安全执行脚本的ActiveX控件执行脚本”等脚本选项。（完）