{Windows XP}Windows XP操作系统安全漏洞大搜索

现在很多的电脑用户都将自己的操作系统换成了最新的WINXP系统，但即使是最新的Windows系统，依然还是存在着很多安全隐患，那么怎样保证你的系统安全呢？

下面就让我们来看看Windows家族有哪些安全漏洞？以及如何堵住这些漏洞？

1、快速用户切换漏洞

WindowsXP快速用户切换功能存在漏洞，当你单击“开始”／“注销”／“切换用户”启动快速用户切换功能，在传统登录方法下重试登录一个用户名时，系统会误认为有暴力猜解攻击，因而会锁定全部非管理员账号。

安全对策：单击控制面板／用户账户／更改用户登录或注销的方式，取消“使用快速用户切换”，以便禁用用户快速切换功能。

2、UPnP服务漏洞

UPnp眼下算是比较先进的技术，已经包含在WindowsXP中，这本是件好事，但却惹出了麻烦，因为UPnp会带来一些安全漏洞。黑客利用这类漏洞可以取得其他PC的完全控制权，或者发动DOS攻击。如果他知道某一PC的IP地址，就可以通过互联网控制该PC，甚至在同一网络中，即使不知道PC的IP地址，也能够控制该PC。具体来讲，UPnP服务可以导致以下两个安全漏洞：

（1）缓冲溢出漏洞

UPnP存在缓冲区溢出问题。当处理NOTIFY命令中的Location字段时，如果IP地址、端口和文件名部分超长，就会发生缓冲区溢出。该安全漏洞是eEye数字安全公司发现并通知微软的，这是Windows有史以来最严重的缓冲溢出漏洞。由于UPnP服务运行在系统的上下文，因此利用该漏洞，黑客可以进行Dos攻击，水平高的黑客甚至可以一举控制他人的电脑，接管用户的计算机，查阅或删除文件。更为严重的是服务器程序监听广播和多播接口，这样攻击者即可同时攻击多个机器而不需要知道单个主机的IP地址。

安全对策：由于WindowsXP打开了UPnP（通用即插即用）功能，因此所有WinXP用户都应该立即安装该补丁；而WinME的用户，只有在运行了UPnP的情况下才需要该补丁，因为WindowsME的UPnP功能在安装时是关闭的；至于Win98,由于其中并没有UPnP，只有当用户自己安装了UPnP的情况下，才需要使用该补丁。你可以从微软的网站下载该补丁程序。

（2）UDP和UDP欺骗攻击运行了UPnP服务的系统也很容易，只要向该系统的1900端口发送一个UDP包，其中“LOCA－TION”域的地址指向另一个系统的Chargen端口，就可能使系统进入一个无限的连接循环，由此会导致系统CPU被100％占用，无法提供正常服务。另外，攻击者只要向某个拥有众多XP主机的网络发送一个伪造的UDP报文，也可能会强迫这些XP主机对指定主机进行攻击。

安全对策：单击XP的控制面板／管理工具／服务，双击“UniversalPlugandPlayDeviceHost”服务，在启动类型中选择“已禁用”，关闭UPnP服务。

如果你不想关闭UPnP服务堵住此类安全漏洞，可以到微软的网站下载安装对应的补丁；或者设置防火墙，禁止网络外部数据包对1900端口的连接。

3、“自注销”漏洞

热键功能是WinXP的系统服务之一，一旦用户登录WinXP，热键功能也就随之启动，于是你就可以使用系统默认的或者自己设置的热键了。假如你的电脑没有设置屏幕保护程序和密码，你离开电脑一段时间到别处去了，WinXP就会很聪明地进行自动注销，不过这种“注销”并没有真正注销，所有的后台程序都还在运行（热键功能当然也没有关闭），因此其他人虽然进不了你的桌面，看不到你的电脑里放了些什么，但是却可以继续使用热键。

此时如果有人在你的机器上用热键启动一些与网络相关的敏感程序（或服务），用热键删除机器中的重要文件，或者用热键干其他的坏事，后果也是挺严重的！因此这个漏洞也蛮可怕的，希望微软能及时推出补丁，以便WinXP进行“自注销”时热键服务也能随之停止。

安全对策：在离开计算机的时候，按下Windows键＋L键，锁定计算机；或者打开屏幕保护程序并设置密码；或者检查可能会带来危害的程序和服务的热键，取消这些热键。

4、远程桌面漏洞

建立网络连接时，WinXP远程桌面会把用户名以明文形式发送到连接它的客户端。发送的用户名可以是远端主机的用户名，也可能是客户端常用的用户名，网络上的嗅探程序可能会捕获到这些账户信息。

安全对策：单击控制面板／系统／远程，取消“允许用户远程连接到这台计算机”，以便停止远程桌面使用。小桐

熊猫软件病毒周报

上周较活跃病毒主要有Bagle．AM和以下4个木马病毒：Leritand．A、Ler－itand．B、Leritand．C和Toquimos．A。Bagle．AM周一首次出现，并在短时间内造成多起计算机中毒事件。病毒通过不带主题的邮件传播，邮件附件名字多变且后多跟ZIP拓展名。这种病毒邮件通常由两部分组成：

其一是Illwill．A。它是一个在不被用户发现的情况下、Bagle．AM用以传播的网页文件。

另一个则是EXE文件，每当用户打开Illwill．A该文件即会同时运行。

Bagle．AM一旦侵入成功，首先它试图从不同网页上下载某个错误的JPG文件，然后开始再传播。此外，该病毒还会藉由P2P文件共享程序传播。

该病毒同时会在被感染计算机中打开一个TCP端口，伺机等待黑客进入该台机器。该蠕虫亦会终止其他程序进程，例如像一些反病毒软件的升级程序，以便阻止它们对最新病毒的防护等。无独有偶，假如当前机器亦曾被网络天空变种感染，Bagle．AM同样会在Windows启动时阻止上述病毒的运行。

Leritand．A、Leritand．B和Leritand．C这三个木马病毒可改变那些以www起始的网页地址的前缀名，使得这些网页将以某一站点的形式出现，而事实上该站点并不是用户原先准备打开的网页所属站点。不仅如此，上述恶意代码还可使诸如its、ms－its及mhtml等协议的URL管理失效，阻止求助系统的正常工作。这三个木马同时还会更改默认主页，并在因特网上搜寻某一网页后添加至收藏夹中。

本周最后一个介绍的木马是To－quimos．A，专门感染诺基亚60系列手机。这个木马无法自行传播，必须在借助用户安装运行的前提下方可行动，主要传播方式为P2P文件共享程序。

在运行之前，Toquimos．A首先会确认该手机是否已安装了一个海盗船标示的游戏。一旦当前手机确已安装该游戏，无需经过用户同意，每逢游戏运行该病毒都会向一些特殊手机号码发送SMS。