近期出现的W32.Fujacks.CA蠕虫值得关注。经赛门铁克安全响应中心安全专家分析,该蠕虫可能是由之前大名鼎鼎的熊猫烧香病毒的源代码修改而成。它采用了与熊猫烧香相似的捆绑感染方式,在计算机中寻找并感染.exe文件。但不同的是,新变种比较“低调”— 被以往病毒变种感染的文件的图标会变成熊猫烧香的图案,中毒特征非常明显;而被W32.Fujacks.CA感染的文件的图标并不会改变,令用户不易察觉。
除了通过感染方式传播外,W32.Fujacks.CA还会试图去猜测开启文件共享服务主机的密码,一旦猜测成功,它就能感染这些主机。另外,W32.Fujacks.CA还会试图下载并执行恶意代码。
虽然目前还不能确认该病毒是否与熊猫烧香有关,我们仍然提醒用户小心防范,注意上网安全,尽可能使用比较复杂的用户密码。
最近有组织在网上爆出Facebook网站的信息保护漏洞。通过利用这个漏洞,可以查看到Facebook中本来设定为不公开的、只有好友或社群成员才可见的个人信息, 如生日、性别、住址、出生地、恋爱状况、政治面貌、信仰等。 为证实该漏洞的确存在,该组织还在网上公布了他们利用该漏洞破解的一些耳熟能详的互联网风云人物在Facebook中的不公开信息。
我们不禁质疑:网络平台中的信息保护设置真的可靠吗?
如今,大家对网络信息平台的使用越来越频繁,除了Facebook一类的交友网站,博客、网络相册等都是我们常用的信息共享工具。出于对网站安全技术的信任,有的用户在选择了信息不公开、或只与圈内好友共享信息后,便会“放心”地发布很多隐私信息和内容到网站上,如家庭住址、电话号码、工作单位、甚至情感生活、医疗健康等敏感话题。然而,一旦网站出现漏洞并被不怀好意的人士利用,这些信息很可能遭到泄露,给用户带来不必要的麻烦甚至是经济损失。
我们建议用户养成良好的上网习惯,防患于未然:
1. 尽量避免在网络上透露敏感信息,尤其是生日。攻击者很可能利用这些信息猜测出您的密码。
2. 尽可能使用比较复杂的密码组合;不同的网站最好设置不同的密码,并定期更换。
3. 不要与他人共享密码。
4. 定期检查您在网络中的信息共享设置。
5. 避免使用自动登录,不要将您的登录信息保存在网站系统中。
Twitter是最近又一人气火爆的网络社区,追随者甚众,连美国“凤凰”号火星登陆器在火星发现冰这一消息也是宇航员选择通过Twitter第一时间发布出来的!然而,哪里有热点,哪里就可能被病毒攻击者利用做攻击用户的途径。最近我们就检测到一波伪造Twitter邀请函来散播群发邮件蠕虫的事件。
从内容和版式看,伪造的邀请函很像是由Twitter官方网站发出的。然而,仔细比较后会发现伪造的邀请函没有官方邀请函中的“邀请进入”的链接,取而代之的是一个名为“邀请卡”的含有恶意文件的.zip格式附件,诱导有意加入Twitter的用户点击。
该“邀请卡”附件中的恶意文件被检测为W32.Ackantta.B@mm。该蠕虫首次出现在今年2月的一次电子贺卡攻击中,是一种群发邮件蠕虫。它会从受感染计算机上收集电子邮件地址,并通过在可移动磁盘及共享文件夹复制自身传播。
下图是一封含有恶意附件的假冒Twitter邮件实例:
该邮件的抬头为:
发件人: invitations@twitter.com主题: Your friend invited you to twitter!
从发送地址来看,该邮件好像的确是来自官方邮箱(@twitter.com...
大家在使用聊天工具的时候可能碰到过这种情况—消息框中有时会跳出一条自动发送的消息,俗称消息“尾巴”。这种消息的内容一般看起来同消息接受者很相关,比如告诉您某网站有您的照片,或者您的好友给您发送了一个有意思的邀请等。消息的最后通常还会提示用户点击一个网址进行访问。有的用户因为好奇而点击这些链接,并按照指令执行一些额外的步骤。然而,这类自动消息通常都可能给用户带来潜在的安全威胁。近期,赛门铁克安全响应中心就发现一个通过即时聊天工具传播的蠕虫—W32.Mibling。
W32.Mibling蠕虫利用Word图标伪装在计算机中。用户见到该图标后,以为是普通的Word文件,因此点击时不会怀疑文件的可靠性。W32.Mibling蠕虫运行后会打开一个Word文档以掩盖它的其它行为,比如将自身拷贝到Adobe和Microsoft Office的安装目录下,并将文件名伪装为类似正常应用程序的名字,令用户不易察觉。另外,该蠕虫还会修改注册表键值已达到以下目的:
另外,W32.Mibling蠕虫会在受感染计算机中运行后门程序,等待从IRC通道过来的恶意连接。
W32.Mibling主要通过即时消息发送恶意链接。用户打开这些URL时,W32.Mibling蠕虫就会自动从网上下载至计算机中,十分危险。目前受该蠕虫影响的即时聊天工具有GoogleTalk和Digsby...
即时聊天工具(IM)如今越来越广泛地被大家所采用,其功能也日趋复杂多样。除了最基本的聊天功能,博客,网络相册,网络游戏等也被纳入其中。信息共享和管理变得更加容易,甚至连银行理财等传统行业的业务也可以在网上实现,极大丰富了我们的网络生活。
然而,大家在享受高科技带来的便利之余,也切忌不能掉以轻心。一些心怀不轨的“黑客”可能正在对您的个人信息虎视眈眈着,尤其是可以带来直接经济效益的信息—网络账号便是他们的目标之一。
近期爆出的某IM软件信息丢失事件再次为我们敲响了警钟。有网民尝试在搜索引擎中输入一组“[IM名称]密码文件 filetype:txt”之类的关键词,发现了大量包含被盗账户信息文件下载的搜索结果。经尝试,部分帐号和密码确实有效,不仅能够顺利登陆,而且被盗用户名下的网络相册、博客内容也可以一览无遗。
攻击者为何会如此“高调”地展示他们的“黑客”成果?这些被盗的账号和密码为什么会出现在网上供人随意下载?初步分析显示,当攻击者利用木马盗取账户信息以后,他们通常会将含有账户登录名和密码的txt文件保存在某个FTP服务器上,或通过email发送。然而,有些攻击者可能将这些FTP服务器的访问权限设置得很低,甚至忘记设置访问权限,因此搜索引擎能够抓取这些页面,令页面包含的信息也一并公开,而这些信息自然就可以被公众所浏览和下载。
盗取IM帐号的木马有很多种,这里我们以其中一个木马为例,给大家演示一下它是如何“得逞”的:
首先,木马利用正版IM软件图标以假乱真,伪装进入受感染的计算机。当用户运行假冒的IM程序后,该程序会在计算机桌面上创建一个同真正的IM完全一样的快捷方式,包括图标和名称。同时跳出的伪造的IM登陆窗口会提示用户输入登陆信息。该窗口也同真正的IM...
新近出现的病毒W32.Sens.A很有特点:不仅非常善于伪装自己,而且它的种种行为又同日期有很高的关联度。
首先,病毒W32.Sens.A可能伪装成setup.exe文件进入用户计算机中,并利用()图标作为自己的身份“掩体”。通常用户看到这类图标,会很自然地把该文件当做安装程序使用,即使他们并不清楚文件的真实内容。
病毒运行时,首先会将文件seus.dll释放到系统目录,该文件将被注册为系统服务文件
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\"ServiceDll" = "%System%\seus.dll"以实现病毒在开机时自动启动。随后,病毒将被感染计算机的时间篡改为2001年8月18日。同时,病毒会在硬盘中搜索病毒编写者感兴趣的信息,并将窃取的信息连同本机用户名、IP地址、操作系统版本和计算机名一起发送至远端的恶意服务器。另外,病毒还会试图下载并执行恶意代码。
值得注意的是,病毒的其它行为还取决于计算机被感染的日期。若计算机在星期二被感染,病毒会在临时目录生成文件~DF5J4E9.tmp;若在星期三被感染,病毒会在系统目录下生成文件dx.vxd;如果在星期四被感染,病毒会感染硬盘上的文件;感染后的文件将会增大8,026字节。
最近我们注意到了新的一轮针对Facebook用户的钓鱼欺骗。这同几个月前,某Facebook用户的登录信息被盗,导致该用户的朋友被假装使用这个账号的攻击者骗取了几千美元的案例很相似。这次攻击者依然采用非法侵入的方式盗取用户的登录信息,然后通过该账户发送恶意链接给所有的联系人。如果联系人点击该恶意链接,便会被定向至另一个看起来同Facebook官方网站很相似的登录页面。一旦联系人在这个假冒的页面上输入了用户名和密码,便可能被不法分子利用,导致无法估料的损失。
我想很多人的网络习惯都是使用同样的用户名和密码登陆不同的账户(包括休闲娱乐使用的社交网站,网络购物,以及金融方面的网上支付和网络银行账户)。在这种情况下,一旦某一个账户密码被盗,如Facebook账户,那用户将可能面临多重攻击,如金融诈骗,其他在线服务的信息被盗取,或被攻击者利用来攻击其他的联系人。这样看来,一个账户的登录信息被盗,所造成的连带损失是巨大的,攻击者可以为所欲为。不过,Facebook的工作人员非常重视并正在积极地处理这起钓鱼欺骗,移除包含恶意链接的短消息,并帮助被攻击的账户恢复正常使用。
所以我们应该怎样保护自己远离这些网络威胁呢?用户需要对网络社区成员传送的站内短消息,或看起来是网站自己发送的官方短消息保持警惕,尤其当其中含有链接时。如果你点击某链接后被定向到新的网页,检查浏览器地址栏里的URL是否是正确的域名、地址。当然,建议用户最好直接在浏览器地址栏中输入要访问的URL, 如http://www.facebook.com,尽可能避免直接点击链接。其他的防范措施还包括:
1. 尽可能使用比较复杂的密码组合,不同的网站最好设置不同的密码。有种方式是,先制定一个由字母和数字组成的通用密码,然后冠以网站名的第一个字母,作为该网站的特制密码。比如,若通用密码是“abc123$”,那么当它被用作Facebook密码时就变成了“Fabc123$”。
2. 及时更新浏览器程序和操作系统。使用如诺顿网络安全特警2009等有效的安全软件。浏览网页前,可使用Norton Safe Web检查网页的安全性。...
最近关于“猪流感”的新闻报道铺天盖地。在“猪流感”成为热点话题的同时,病毒编写者也打起了它的主意。赛门铁克安全响应中心已截获以“猪流感”为主题的病毒样本。而随着大众关注度的提高,攻击者可能会继续利用该话题编写恶意程序,并借助以“猪流感”为主题的垃圾邮件对病毒进行传播。因此,大家要格外警惕。
赛门铁克截获的病毒样本是一个名为“Swine influenza frequently asked questions.pdf”(猪流感常见问题及解答)的Adobe PDF文件。下面是该文件的一段截图:
当用户打开该PDF文件时,文件中所携带的恶意代码会攻击一个已知的Adobe漏洞 (BID 33751) ,并试图释放一个恶意程序。赛门铁克将此类恶意PDF文件检测为Bloodhound.Exploit.6,将释放的恶意程序检测为Infostealer。
同时,我们还发现一些关于“猪流感”话题的网站也遭到病毒攻击,访问这些网页的用户很容易中毒:
如上图所示,该页面被注入了远程脚本http://[REMOVED].org/c.js。此脚本会重定向URL,最终将用户指向另一个被加密的恶意网页23ff[REMOVED]22.org/a/cnzz....
互联网技术的发展改变了企业与消费者相互沟通及交互的方式。互联网已成为信息共享与商务交易的主要平台。同时,互联网变得日益复杂、没有界限。现在,一张网页上可能包含着来自全球许多同步数据源的信息。只要其中一个数据源遭到攻击,新的网站攻击就可能快速传播并发送给许多毫无戒心的互联网用户。网站攻击的普遍性与复杂性,加上基础设施的漏洞,使得互联网变得异常脆弱,越来越容易受到攻击。2008 年,赛门铁克发现互联网威胁的数量与复杂程度都大幅提高,全球各地的用户都受到不同程度的影响。
针对这种情形,赛门铁克以“基于Web的攻击”为主题撰写了本白皮书,旨在提供有关基于Web的攻击分析的常规认识,并分析在过去一年内,造成向这种攻击类型转变的一些影响因素。从 2008 年至 2009 年初,我们对威胁趋势进行了长时间的监视,发现了许多基于互联网活动的新兴威胁技术和格局。下面介绍了其中影响最大的几种威胁趋势。
在本白皮书中,我们将对其中每种趋势进行详细的说明,并分析每种趋势会给业已十分危险的新威胁格局所带来的影响。我们还将查看网站攻击通常藏身于何处,例如,您再也不能简单地认为非法网站是网站攻击的唯一藏身地 – 在当今的互联网环境下,任何网站都可能遭到攻击者的攻击,并可能被用来攻击您的计算机。我们将对用户浏览互联网时黑客用来感染其计算机的技术进行分析,并将探究恶意软件在进入用户的计算机后可能发动的一些恶意活动。另外,我们还将分析为何在面对新的威胁格局时,某些传统的防护方法(例如特征式防病毒)已不能提供充分的全面防护。最后,我们将探讨您可以采用的一些额外防护措施,以降低您或您的计算机遭受网站攻击的可能性。
...
近期备受关注的W32.Downadup病毒已出现最新变种W32.Downadup.E。赛门铁克在最近截获的新变种样本中分析到以下新的技术特点:
“愚人节”就在明天,大家可能已经做好了整人或被人整的准备。通常,恶作剧的出现都会毫无预警,令人措手不及,以达到最佳“娱乐”效果。不过,今年有人改变了策略,提前通知大家他的“愚人节”计划, 如Downadup病毒编写者宣称4月1日将对现有的Downadup病毒升级。
根据赛门铁克安全响应中心监测显示,Downadup (又名Conficker)可能于近日展开新一轮攻击。Downadup 蠕虫病毒编写者在现有的Downadup病毒脚本中表明,将于2009年4月1日将该病毒升级。
Downadup蠕虫病毒利用微软视窗的MS08-067漏洞,通过将自己复制到共享网络的共享文件夹中,或感染U盘等移动存储设备进行传播。同时, Downadup也可能利用“愚人节”主题的垃圾邮件进入用户计算机中。一旦感染成功,Downadup病毒能够在用户未知情的情况下安装并运行。自2008年11月赛门铁克发现Downadup病毒以来,该病毒已感染上千万台计算机,并利用受感染的计算机发送垃圾邮件,制造钓鱼或垃圾邮件骗局,盗取诸如用户名、密码、证件号码等私人信息,或在用户不知情的情况下运行恶意代码等。若Downadup新变种出现,将给计算机用户带来更多更棘手的安全威胁。
虽然还不能肯定Downadup病毒将在“愚人节”当日升级的消息是真实的,还是一则“愚人节”玩笑,我们仍然想提醒广大计算机用户及时更新计算机中的防病毒软件,并及时安装最新微软Windows Update,防患于未然。若新病毒一旦爆发,未安装或未及时更新防病毒软件的用户计算机系统很可能受到安全威胁的影响。
如果用户的计算机中还未安装有效的防病毒软件,赛门铁克提供诺顿网络安全特警2009和诺顿360试用版供用户下载使用(http://www.symantec.com.cn/trialware)。同时,赛门铁克也提供针对Downadup病毒的免费移除工具Symantec FixDownadup.exe,用户可前往...
当你看见一个“电影场记板”图样 的文件出现在邮件里,会不会好奇地想要点击一下这个文件,看看它到底会如何运行?如果答案是“肯定”的话,Backdoor.Tidserv木马病毒很可能就会通过这个渠道进入你的电脑。
Backdoor.Tidserv是一个非常“狡猾”的病毒,其传播渠道和隐藏技术都十分多变。从传播渠道来讲,Backdoor.Tidserv可以将自己伪装为令人好奇的图标,作为垃圾邮件的附件进入用户计算机,驱使用户点击而触发病毒的执行;它还可能通过偷渡式下载的方式,在用户浏览某些不安全网页时自动载入用户计算机中。从隐藏技术来讲,Backdoor.Tidserv通常会被加壳,如Packed.Generic.200等。而且这个“壳”变种迅速,增加了防病毒软件查杀该病毒的难度。
Backdoor.Tidserv首先检查互斥量 \TdlStartMutex以确保每次在计算机中只有一个实例在运行。 紧接着,Backdoor.Tidserv会在受感染的计算机中生成并运行以UAC开头的病毒文件。同时,病毒还会释放一个DLL文件,并通过修改msvcrt.dll入口以通过启动系统服务MSISERVER来加载这个DLL文件。该DLL文件运行后,会释放出一个驱动程序,当该驱动程序运行时,将隐藏系统中所有以UAC开头的文件—这不仅包括以UAC开头的病毒文件,还包括其他与该病毒无关却以UAC开头的干净文件。如此以来,所有和病毒命名相似的文件都将被隐藏,增加了防病毒软件对该病毒的检测难度。
以下是我们根据病毒“自我隐藏”的特性所做的演示:
图一显示病毒运行前,文件夹的病毒文件Tidserv.exe,及其他以UAC开头的干净文件:
随着网络游戏的流行,各类针对玩家的服务也应运而生,包括一些未经游戏厂商授权的服务。游戏私服就是其中一种。通常网络游戏都是付费服务,需要玩家买点卡或使用信用卡进行消费。而游戏私服最吸引人的地方就是它使用免费,并且玩家可以相对容易地练级或赚取装备。然而,由于这些游戏私服并未得到官方机构的安全认可或测试,其安全性和可靠性都非常值得怀疑。若玩家使用这类游戏私服,很可能会“引狼入室”,给电脑带来潜在的安全威胁。最近,我们就检测到一种利用游戏私服登录器,插入木马程序,盗取用户资料的新伎俩。
病毒编写者将盗取玩家游戏账户信息的Infostealer.Gampass 木马病毒同游戏私服的登录器捆绑。当玩家点击游戏文件的图标,启动该游戏时,其实他同时启动了两个程序:首先是Infostealer.Gampass木马病毒,然后才是网络游戏本身。由于执行了两个进程,用户可能会感觉到登陆窗口的出现比平时慢了一些(图一)。不过,通常用户会以为这是由于系统运行速度慢,或电脑配置不够高造成的,而不会去探究真正的原因—病毒已入侵电脑,正准备盗取用户登录名和密码。
图一
下面的截图展示了带病毒的游戏程序运行时的情况。图二是玩家点击游戏文件之前,我们可以看到文件夹中只有这个游戏文件本身。图三是玩家点击游戏文件之后,我们可以看到文件夹中立即出现了另一个神秘的文件-–这其实就是Infostealer.Gampass木马病毒所释放的盗取玩家游戏账户信息的木马程序。
赛门铁克最新监测显示,W32.Downadup家族的新变种W32.Downadup.C已出现。同W32.Downadup家族其他病毒有所不同的是,新变种的主要目的不在于扩大病毒传播范围、入侵更多计算机,而是采用了更先进的手段保护已侵入计算机的W32.Downadup病毒更好的躲避防病毒软件和安全分析工具(如进程监测工具)的检测和移除,从而延长他们在受感染计算机中的“寿命”,以帮助病毒制造者获取更多有价值的信息。
在之前针对W32.Downadup.B的分析文章《W32.Downadup蠕虫病毒及其变种正在广泛传播》中我们提到,受W32.Downadup.B感染的计算机每天会生成250个随意的伪域名,并试图连接这些地址以下载并升级病毒模块。安全软件厂商采用了反域名生成算法可以有效的主动确认和封锁这些域名。不过,这次的病毒新变种W32.Downadup.C将每天能够制造的域名数量从250个提高到50,000个,大大增加了被破解的难度。
同时,为了阻碍计算机中的防病毒软件和安全分析工具的正常运行,...
W32.Virut.CF是一个比较“棘手”的病毒。它不仅影响范围广,传播快,而且不容易从受感染的网络中移除。W32.Virut.CF变种采用了双层加密技术,将自己的内容“包装”得十分隐蔽;同时,病毒还会以不同的形态去感染文件,企图以此躲过防病毒软件的检测和移除。
W32.Virut.CF病毒会入侵计算机系统的多个进程,关闭Windows文件保护功能,并监控是否有任何进程打开新文件,以对其进行感染。常见的被感染的文件格式包括.exe可执行程序和.scr屏幕保护程序。同时,.htm .html .php .asp等网络常用文件也是病毒感染对象。在感染这类网络常用文件时,W32.Virut.CF会试图在文件中加入iframe, 通过iframe中的命令将浏览器重新定向到恶意网站。这种攻击对网站编辑或从事网络文件管理及共享的人员尤其会有很大的潜在威胁。以网站编辑为例,当编辑写好一篇网络新闻,以.htm格式保存之后,若此时该.htm文件受到病毒感染而编辑没有察觉,仍然将带病毒的.htm...
的文件出现在邮件里,会不会好奇地想要点击一下这个文件,看看它到底会如何运行?如果答案是“肯定”的话,Backdoor.Tidserv木马病毒很可能就会通过这个渠道进入你的电脑。