研究人员发现新型“无文件”恶意软件

研究人员日前发现了一种极其罕见,也可能是独一无二的“无文件”恶意软件,该恶意软件不需要在受感染电脑的硬盘上存储任何文件,完全在内存中运行。这一最新发现是由Kaspersky实验室完成的,该实验室收到了一种恶意软件攻击一个常用Java漏洞(CVE-2011-3544)的报告,这些攻击报告来自俄罗斯的一些网站,但似乎没有像传统特洛伊攻击那样留下任何文件痕迹。

实际上,这次攻击是从一个嵌入受感染网站的iFrame上运行Javascript,然后将加密的.dll负载直接注入Javaw.exe进程。

这个非常寻常的恶意软件的目的看起来是双重的:首先是让Windows的用户账号控制(UAC)失效,其次是像一个“pathfinder”一样设置一个可用命令操控的僵尸,通过它接收指令去控制服务器,期间还包括要在受感染的电脑上安装Lurk数据盗窃木马。

这次攻击的不足之处是,用户只需要重启电脑就可以将其从内存中清除,只是这一过程有可能还会受到新的感染。但是反过来说,正是由于这种不足,所以它也极难被发现。它在目标PC上不会存储文件,首先是不会更改任何文件。如果被攻击目标没有打补丁,那么安全软件很不容易探测到它。

使用Java也让这个病毒可以跨平台运行,可以攻击PC、Mac和Linux电脑,虽然目前记录到的特洛伊攻击只能在Windows电脑上运行。

Kaspersky还提醒我们说,这个新型恶意软件会让我们想起十年前非常有名的红色代码和Slammer病毒,这些病毒的构造都很简单,但传播速度却非常之快,因为它们都是利用缓冲区溢出来攻击特定微软程序的,同样不需要文件传播。

“根据我们对Lurk用来跟命令服务器进行通信的协议的分析,我们已可以确定,在过去数月时间内,这些服务器已经处理了来自多达30万台受感染电脑的请求,”Kaspersky研究人员Sergey Golovanov说。

文/网界网

当当冻结全网账户:误判危机促使李国庆做出决定

3月23日,当当网运营高级总监梁健鹏很意外地发现,从19日晚22点到22日24点这74个小时里,当当网所有被冻结了账户的用户中只有6位致电当当网反映自己的账户异常。

另一个数据令梁健鹏更感蹊跷。19日当当网给大约50万账户上有余额和礼品卡的用户发出了短信、邮件。按照他们自己的设想,至少要有80%的客户会去修改自己的密码。但实际上这三天的数据显示,只有不到5%的用户更改了自己的密码。

当当网冒着商誉受损的巨大风险作出全网冻结账户的决策,却得到这个令人大跌眼镜的结果,这是一次被误判的危机吗?又是什么原因促使当当网CEO李国庆紧急作出这个决定,之后的74个小时中又发生了什么?

端倪

当当网用户账户异常的现象早在一个月前就已经出现端倪。

据当当网客户服务中心负责人梁健鹏回忆,2月份里有几起零星的用户投诉,称自己的密码失效或者登录不进去。

当当网临时制定了几个针对性的措施帮助用户恢复正常使用。但由于距离CSDN账户被盗已经过去了两个月,两家网站的大部分用户重合度不高,且 CSDN是用户大规模泄密,而当时当当网仅仅是几个用户出现了异常,因此当当网并不敢断定用户的账户异常就一定与CSDN事件有关。

当时当当网分析推断,有可能是用户自己平时不够谨慎泄露了自己的账户信息例如在公共场合上网,或者是泄露给了自己的亲友,泄露了账号和密码。因此只采取了在首页上公告提醒用户,由于CS-DN事件,请用户更改登陆密码确保自己账户安全。

此后相当“安静”,3月的第一个星期里几乎没有什么事情发生。

但到了3月的第二个星期,突然开始有很多用户向当当投诉,反映自己的账户异常,无法登录、金额不对,或者是出现了陌生的订单,有的时候一天多达二三十个投诉电话。当当网的客服和技术人员都已经意识到事情并不那么简单,情况比想象中的要严重得多。

他们在加紧研究对策方案的同时第一时间向当当网的大当家CEO李国庆汇报了此事。

冻结所有用户账户中的余额和礼品卡,是19日早上当当网CEO李国庆召集的一次多部门会议上做出的决定这次由客服中心、技术部、法务部和运作部 各部门责任者共七人参与的紧急会议事实上在当天上午和下午召开了两次,上午的会议由李国庆亲自拍板,决定冻结所有有礼品卡和余额的账户,通过短信和邮件的 方式通知所有用户上网改密码,所有用户损失当当来补偿,以及向公安机关报警。

19日下午,李国庆再次召开会议,汇总了各项决定执行的情况,并且立刻着手布置付款流程的改进付款前要用手机接收验证码。李国庆看到的数据是, 从2月中旬到3月19日冻结用户账户前,报告上来的账户异常共197例,损失账户的金额从几十到数百不等,只有极个别账户金额较高。

当当网随后发布公开声明承认部分用户账户被盗的事实。李国庆指示,要通过短信、邮件等一切方式通知所有用户赶紧到当当网上来更改密码,并检查自 己的账户是否有被盗用,以减少用户和当当自己的损失尽管法务部认为当当可能不需要负担完全责任,但李国庆坚持损失的账户要全额、分批补偿,计划时间期限是 两个星期,当然,要在核实该用户确实受到了损失之后。

这个时候李国庆和他的团队面对的首要棘手问题是,究竟有多少用户账号被盗,损失究竟有多少?对于这家互联网公司来讲,只能通过自家网站公告、短 信和邮件的方式提醒用户登录自己的账号,更改新密码并检查礼品卡、账户余额是否有异常。事实上,他们最担心的是用户被盗但是还未曾察觉。

而另一个棘手的问题是,这些被盗的钱和损失怎么办如果是已经发生的订单,当当网不仅损失了货品,还要补偿给用户,相当于双倍的损失。

李国庆认为,尽管在法理上也许当当网不需要全部责任,但在情理上当当网却不能辜负用户的信任,必须全额补偿即使是几百万元。

李国庆希望能在三天的时间里,让大部分用户把自己的密码更新完。他下如此大的决心和成本冻结所有有资金、礼品卡账户的原因,也许是由于中国用户对密码的安全性的重视程度犹如A4纸的颜色一样浅。

祸起弱密码

根据当当网的判断,是一些不法分子盗取了用户的账户和密码进行操作。事实上对一些稍微懂技术的人来讲这很容易,现在很多用户在不同的网站上使用了相同的账户名和密码,给犯罪分子留下了盗取的机会。

国内最大的网络安全厂商360安全中心在2011年年底曾发布过一次《密码安全指南》,根据国内流行的密码破解字典软件破解列表,整理总结出中国网民最常用的25个“弱密码”。

根据360安全专家给本报提供的资料,中国网民常用的TOP25“弱密码”中,有9个与国外网民使用习惯完全相同。其中,除password、abc123、iloveyou、qwerty等全球网民通用“弱密码”外,其余均为数字组合。

而简单的数字组合,似乎更是中国网民最爱,占了榜单近半数。比如“666666”和“888888”这样的吉利数,几乎是所有中国黑客密码字典中的必备项,而“5201314”(我爱你一生一世)显然被国人寄予了浓厚的感情色彩,为中国特色“弱密码”。

网民常用的“弱密码”主要包括简单数字组合、顺序字符组合、临近字符组合以及特殊含义组合等四大类别。而从中国版“弱密码”榜单来看,国内网民 更习惯设置6位字符密码。TOP25中竟有18个是6位字符,所占比例高达72%。此外,“a1b2c3”和“p@ssword”这类组合型密码看似复 杂,其实也在黑客重点关注的密码列表中。

如果系统账号或其他网络账号采用上述“弱密码”,很容易被黑客利用密码字典自动“蒙中”,从而造成个人隐私信息泄漏甚至财产损失。

李国庆试图通过这三天的账户冻结让80%的当当网用户都来为自己的账户设置一个高强度的密码。然而三天下来,6个用户报告账户异常和仅有不到5%的用户更改密码这个事实却令人大跌眼镜。

究竟是什么原因让客户不去关心自己账户中的财产?

也许是因为账户中的钱款数额比较少,也许是因为一些用户还没收到当当网账户可能被盗的消息,也许是因为礼品卡得来全不费工夫,也许他们不在乎的 原因,恰恰是一个令当当网员工不愿意相信的、但可能性很高的一个原因李国庆的“全额补偿”承诺。如果丢了也跟没丢一样,为什么要费事再去改个密码?

【科普】Key-Value 存储

key-value分布式存储系统查询速度快、存放数据量大、支持高并发,非常适合通过主键进行查询,但不能进行复杂的条件查询。如果辅以 Real- Time Search Engine(实时搜索引擎)进行复杂条件检索、全文检索,就可以替代并发性能较低的MySQL等关系型数据库,达到高并发、高性能,节省几十倍服务器数 量的目的。以MemcacheDBTokyo Tyrant为代表的key-value分布式存储,在上万并发连接下,轻松地完成高速查询。而MySQL,在几百个并发连接下,就基本上崩溃了。

相关:

1. Apache Cassandra 是一套开源分布式 Key-Value 存储系统。它最初由 Facebook 开发,用于储存特别大的数据。 Cassandra 不是一个数据库,它是一个混合型的非关系的数据库,类似于 Google 的 BigTable。

2. Redis 是一个高性能的key-value数据库。 redis的出现,很大程度补偿了memcached这类keyvalue存储的不足,在部 分场合可以对关系数据库起到很好的补充作用。它提供了Python,Ruby,Erlang,PHP客户端,使用很方便。

性能测试结果:

SET操作每秒钟 110000 次,GET操作每秒钟 81000 次,服务器配置如下:

Linux 2.6, Xeon X3320 2.5Ghz.

stackoverflow 网站使用 Redis 做为缓存服务器。

关于独立游戏开发者的若干思考

作者:David Amador

1. 是否属于独立开发者

大家都可以说:“我是有抱负的独立开发者”。你或有真正开发游戏,或者并没有涉猎游戏制作。若你通过自己的资金着手游戏设计,那么你就属于独立开发者。很多人经常在得到融资的情况下称自己是独立开发者,因为他们也许再也无法获得投资。

2. 这是个危险地带

要成为杰出的独立开发者没有什么安全途径。你无法通过采用他人的模式获得成功(游戏邦注:这就是为什么建议仅仅是建议,有时可能可行,有时则不适合)。

3. 遗留雷区

雷区无处不在,独立捆绑内容、“随你付”模式、免费游戏、1美元游戏,基于这些模式创收的游戏遗留下糟糕内容,它们所带来的是不愿支付众多资金的用户。

4. 真正制作内容

你将应该将读到的内容付诸实践,而不是仅仅停留在阅读层面。

5. 你需要学习规则

凭此把握何时需要打破常规。

6. 你需要打破规则

把握其重要性所在。

7. 光体验游戏无法让你成为优秀的设计师

很多人觉得这就是成为优秀设计师所需的条件,我擅长体验游戏,所以我定也擅长于游戏制作。但你要懂得如何批判性地体验,这才是关键所在。

8. 独立工作

这就像只用一根桨划船。

9. 和团队合作

这就像是2个人一起骑自行车,一个操控方向盘,一个人踩脚踏板。

10. 一夜成名

minecraft from pakman.com

minecraft from pakman.com

从无到有,这就是独立开发者!一夜成名!数百万收益!你觉得,“我做得到。”但是那些“一夜成名”的人士从来都不是一蹴而就的。《 Minecraft》?其开发者此前已投身游戏开发多年。《Super Meat Boy》?我猜Edmund至今已制作过30多款游戏。他们不过是一直默默无名。实践非常重要。

11. 接受失败

这点非常困难,尤其是当你觉得自己的作品非常杰出,但获得的首个评论却非常负面。从失败中积累经验,再次进行尝试,但要做得更好。

12. 开发游戏绝非易事

你需要应对所有的反对意见。

13. 常常有人告诉你要大胆进行试验

这些多数都是在骗人,他们觉得你非常懒,很难得到一份真正的工作。

14. 你的父母会翘首期盼

它们期盼你积极申请IBM或微软的职位(游戏邦注:这是可以让你赚钱的地方)。

15. 你通常会再三思考

当有人问你靠什么谋生时,你通常会再三思考若你是个医生,对于此问题,你通常不假思索。(本文为游戏邦/gamerboom.com编译,拒绝任何不保留版权的转载,如需转载请联系:游戏邦)

Some thoughts about indie dev

by David Amador

1 – You either are, or you aren’t.

People can go and , “I’m an aspiring indie game developer”. You are either doing games or not, period. If you are starting in development with your own money then you are one. People tend to think they are indie developers when money starts rolling in, well think again, cause money may never come.

2 – It’s a jungle out there

There’s not a safe path on becoming a successful indie developer. It’s not like following another’s path will get you there. That’s why giving advices is just that, it might work or not.

3 – There’s a minefield being left behind

We see it everywhere, indie bundles, pay what you want, fremium games, games at $1, the ones who made money with those models are leaving behind a bad legacy and an audience that doesn’t want to pay much.

4 – Finish you stuff

You should actually be working instead of reading this.

5 – You need to learn the rules

… to know when they must be broken

6 – You need to break the rules

… to know why they matter.

7 – Playing games does NOT make you a developer

Yet many think it’s all it takes, I’m good at playing thus I must be good at making them. You should however play critically, that is the key.

8 – Working alone

..can be like rowing a boat with just one paddle.

9 – Working with a team

…can be like two people on a bike, one steering and another one pedaling.

10 – Overnight success

Out of nothing this indie developer! Overnight success! Million-dollar! And you think, “I can do that”. Yeah, except, those who are “overnight successes,” rarely appear out of nowhere. Minecraft? That dude’s been working in games for years. Super Meat Boy? I bet Edmund made over 30 games till now. They just stayed in obscurity for years. Work matters.

11 – Learn to fall

This one’s hard especially if you think your game is great and the first comment is “This is s***”. Learn from mistakes and do it again, but better.

12 – Making games is hard work

…and you will shoot fire from your eyes to whoever says otherwise.

13 – People who tell you to keep trying

…are mostly lying, they think you’re lazy and can’t get a real job.

14 – Your parents will keep the hope

…that you get your act together and apply for IBM or Microsoft, cause that’s where the money is.

15 – You will think twice

…when someone asks you what you do for a living. It would be the first thing said if you were a Doctor.(Source:gamasutra