不懂安全的人上网多久会沦陷

曾经有个朋友在微博上问："不懂安全的人上网多久会沦陷？"，网友的回复五花八门，有人说，可能要24小时。也有人说，这要看这个人上网做什么，也许只需要几分钟，这台电脑就不再属于他了。

在回答这个问题前，让我们先看看普通网民的电脑有什么情况吧。

一台崭新的电脑系统大概来自这几种不同渠道：及时类渠道是电脑城或网上电子商城购买的品牌机或笔记本电脑，新买的电脑已经预装了 Windows 7、Windows 8；第二类渠道是在朋友或电脑城装机商的帮助下购买的兼容机，预装了盗版的 Windows系统(操作系统可能是 Win XP、Win 7、Win 8 的任一版本)；第三类是其他情况，比如公司的 IT 部门统一配置的系统，或者，一些比较懂系统管理的网民自己 DIY 配置的电脑系统。

在这些电脑上除了预装的 Windows，一些最常用的软件，比如聊天工具、办公软件、下载工具、视频播放软件等也多半预装在里面。在春节放假去亲戚朋友家看到，每个家庭都会用电脑上网看电影、聊天、打游戏。这些电脑几乎 724 小时连接在互联网上，不联网独立运行的电脑一台也没有看到。

由于这些电脑只要打开电源就时刻连接在互联网上，在搞网络安全的人看来，这些电脑就存在被不明攻击者入侵的可能。这些电脑非常容易被入侵的一个关键因素在于使用了盗版的 Windows 系统。

不久前，看到过一个有争议的资料，国外某些研究机构报告说，中国软件行业盗版率有 80% 之多。笔者就有不少朋友不习惯电脑里预装的 Windows 7，在小区找电脑维修人员将正版操作系统换成了盗版 Windows XP。

互联网上每天都有一些攻击者在四处漫游，他们喜欢使用一些黑客工具对互联网的某段 IP 进行随机的扫描侦察，当他们发现某处存在防御弱点时，便会伺机入侵。

这就好比有形迹可疑的人在社区漫无目的地闲逛，当他发现某户人家门窗没关好时，就可能尝试入室盗窃。大量盗版的 Windows XP，就像没有关好门窗的房间，随时有被入侵的可能。

不光 Windows、Office 这种软件存在漏洞时可能导致电脑被入侵，当一个软件普及程序很高时，比如杀毒软件、下载工具软件、聊天工具、视频播放软件、输入法软件、浏览器软件，如果这些软件存在安全漏洞，就会被入侵者利用。

经常有黑客高手试图挖掘这些软件的漏洞，正义的黑客会及时把发现的漏洞通知给软件开发商，要求软件开发商尽快修补。而另一类黑客则会迅速利用不为人知的软件漏洞大肆入侵，控制成千上万台电脑组成僵尸网络，或者把漏洞信息高价出售给另一群攻击者。

黑客远程入侵与蠕虫病毒爆发

历史上曾经有多款国外杀毒软件的系统漏洞被小范围披露，黑客针对这些漏洞开发出批量抓鸡工具(就是简单扫描实现大批量入侵的攻击程序)。运行这些攻击工具，可以在很短的时间内实现批量入侵。

现在，你的电脑中毒可能和你本地的操作一点关系也没有。黑客可以在数千里之外，将木马后门程序植入那些存在安全漏洞的电脑里，从而控制这些电脑的资源。有许多普通人刚配置好的个人电脑就是这样被入侵的。

一些博学老网民可能记得这种经历：电脑开机没多久，屏幕上就弹出一个对话框，RPC 服务中止，Windows 将在 60 秒内重启。重启之后，再次重复这一过程。这就是大名鼎鼎的冲击波蠕虫病毒自动攻击联网的 Windows 电脑系统漏洞造成的结果。

2003 年，据楚天都市报报道，武汉政府网与武汉经济信息网 7 月 23 日突然瘫痪，与其链接的市党政机关群 82 家单位办公受到严重影响。相关技术人员查明，入侵病毒是一种变异的蠕虫病毒，身份无法确定但其性质与美国电影《黑客帝国 2》中的"史密斯"病毒极为相似，可大量进行自我复制，以堵塞网络通道。

据悉，病毒入侵现象在22日下午4时许已零星出现，大规模入侵于23日凌晨爆发。

记者 23 日上午 8 时至 9 时数次尝试登录两网站，未果。事发后，该中心立即组织技术人员连夜清除病毒，但该病毒也同时在三镇多个地区出现。

武汉市信息中心负责人接受记者采访时表示：种种迹象表明，此次病毒入侵很可能是黑客入侵且人数众多，有关人员正在核实并追查源头。据了解，因武汉经济信息网站主要是提供商业服务信息，所以不排除有商业竞争对手恶意破坏。而该中心一位工作人员透露，此前，曾有人冒充应聘人员混入中心，并对中心人员有过此类威胁。

几天后，中新网 7 月 27 日电，武汉市公安局网监处 26 日证实：武汉政务网此前一度瘫痪是防毒措施不健全，被病毒侵入所致，与传闻的黑客入侵无关。网警调查后发现，自 22 日下午 4 时起，该网站遭到 MS-SQL 蠕虫病毒入侵，由于防毒措施不健全，与其链接的有关委办局及区级政府安装的 MS-SQL 2000 数据库服务器未安装补丁程序，导致部分网络上的服务器感染病毒，并相互传播，产生大量无用信息包(垃圾访问包)访问政务网防火墙，半小时内就达 2 亿多个，阻塞了武汉政务网与互联网之间的通道，使用户无法正常访问。

上面这个看起来惊心动魄的攻击案例，就是运行在 Windows 系统上的 SQL Server服务器软件未打补丁造成的。比起黑客的随机扫描行为，蠕虫病毒就像一头被激怒了的莽撞的大象，在互联网上一路狂奔，随机闯入防守脆弱的网络，然后造成严重的破坏。

当年的 SQL 蠕虫王曾经取得辉煌的攻击成果：

1.美国花旗银行的 13000 个自动柜员机(ATM)中的多数不能处理客户的交割业务；

2.泰国、日本、韩国、马来西亚、菲律宾和印度都发生了网络堵塞，导致网络速度缓慢；

3.日本广播协会 NHK 电视报道，严重的网络堵塞使日本部分互联网连接发生瘫痪；

4.在韩国，几百万互联网用户因大韩电信和南韩电信指挥传输的电脑无法运作而受影响；

5.在中国，信息产业部新闻处和国家计算机中心有关人士证实，北京、上海、四川、广东等大部分省市的网络不同程度地发生故障；

6.蠕虫病毒发作 5 天后，英国的市场调查机构估计，全世界范围内因此造成的直接经济损失达到 12 亿美元。

近年来，蠕虫病毒的爆发机会越来越少，成为几乎被人遗忘的病毒。其中一个非常重要的原因在于正版的 Windows 操作系统中，已经集成了性能优良的 Windows 防火墙。Windows 防火墙有效地阻止了蠕虫病毒发送的攻击数据包，避免了网络堵塞，使蠕虫病毒的传播被阻止。

在一些盗版 Windows 操作系统中，盗版商竟然默认关闭了这个重要的防御工具，那些自以为是的盗版软件发行者认为 Windows 防火墙的性能不佳。而且，随着盗版组织商业模式的变化，这些人还会蓄意给盗版 Windows 留下后门，比如给所有安装这个盗版系统的用户分配相同的用户名和空密码，盗版组织在用 Ghost 灌装的盗版Windows 中预装商业软件来获利。

现在，安全厂商观察到的蠕虫病毒已经和以往大不相同，随着社交网络的广泛使用，利用社交网站的安全漏洞传播恶意程序或者钓鱼网站成为一种新型攻击——XSS 蠕虫。

在 Twitter 和新浪微博，都曾经多次遭遇黑客恶搞，攻击者发现微博程序存在XSS 漏洞(一种跨网络域的漏洞攻击)，攻击者制作了一个特别的攻击页面，通过微博评论将攻击网址发送出去欺骗其他网民点击。点击之后，立刻被攻击成功，所幸这个利用 XSS 漏洞攻击的黑客并无恶意，中招微博用户只会关注这个攻击者账号，并自动转发一条带攻击链接的微博。于是，在短短的 1 小时左右，新浪微博就有数万网民遭到攻击。这就是新型 XSS 蠕虫的形态之一，攻击者可以将攻击链接设定为钓鱼网站，或者通过 XSS 攻击传播病毒下载链接，攻击者能制造和冲击波蠕虫病毒类似的轰动效应，可能导致非常严重的信息安全事件。

另外，国内安全厂商金山毒霸还发现有攻击者利用 QQ 群空间来制造蠕虫病毒。

病毒作用利用 QQ 的快速登录功能，自动在后台登录 QQ 群，将病毒程序文件副本上传到中毒用户的所有 QQ 群中，由于 QQ 群共享文件具有自动分享的能力。QQ 群的成员会看到一个新文件被分享了，病毒可能伪装成一部热门的电影视频或者一个搞笑的图片来欺骗其他人点击。如果有人双击打开病毒上传到 QQ 群共享空间的恶意程序，便会立刻中毒，新感染的病毒再将自身上传到若干个新的 QQ 群空间，这类新蠕虫病毒就能在非常短的时间内迅速通过 QQ 群实现传播。

本章总结

现在，聪明的读者大概知道本章问题的答案了：不懂安全的人上网，电脑沦陷的时间最短可以只是几分钟。

在移动互联网日益风行的今天，蠕虫病毒会重新在手机上泛滥吗？暂时还没看到，因为现在的攻击者，其攻击目的不是制造网络瘫痪，而是直接牟取经济利益。发起大规模攻击的可能性仍然存在，如果某款普及率很高的应用软件被发现存在严重安全漏洞，蠕虫病毒就可能在一夜之间卷土重来。

网民该如何防御这种攻击呢？其实这并不难，不是安全专家，也可以有效防御电脑被攻击。

及时，建议网民使用正版操作系统，如果你买的品牌机、笔记本已经预装了正版 Windows，那就充分使用它，别把正版的格式化，再装一个盗版的系统。预装的系统已由专业人员配置了防火墙系统，在出厂之前，一些 Windows 安全漏洞已经修补妥当，被入侵的可能性相对较低。

第二，如果不得不使用盗版 Windows，联网前先在控制面板中启用 Windows防火墙，联网后，及时时间使用 Windows Update 描述安装系统补丁。笔者曾经看到不少朋友在 Windows 提示需要下载安装补丁时，总是去点"否"，不由得为他们的安全捏把汗。看完这篇文章的朋友，你是不会这样做的，对吧？

第三，关注一些与信息安全有关的新闻，当安全厂商重大警报时，早做防范，避免自己的电脑成为牺牲品。

第四，对于 QQ 群中出现的新鲜事件，收敛一下好奇心，避免打开未知的可疑程序而中毒。记住，任何一个不清楚其用途的可执行程序，都不要轻易双击它。在杀毒软件报告可能有危险时，应按提示停止运行。