截屏视频帮助
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
显示用 简体中文 发布的帖子
Livian Ge | 06 3 月 2009 10:10:09 GMT | 0 条评论

    W32.Virut.CF是一个比较“棘手”的病毒。它不仅影响范围广,传播快,而且不容易从受感染的网络中移除。W32.Virut.CF变种采用了双层加密技术,将自己的内容“包装”得十分隐蔽;同时,病毒还会以不同的形态去感染文件,企图以此躲过防病毒软件的检测和移除。

 

     W32.Virut.CF病毒会入侵计算机系统的多个进程,关闭Windows文件保护功能,并监控是否有任何进程打开新文件,以对其进行感染。常见的被感染的文件格式包括.exe可执行程序和.scr屏幕保护程序。同时,.htm .html .php .asp等网络常用文件也是病毒感染对象。在感染这类网络常用文件时,W32.Virut.CF会试图在文件中加入iframe, 通过iframe中的命令将浏览器重新定向到恶意网站。这种攻击对网站编辑或从事网络文件管理及共享的人员尤其会有很大的潜在威胁。以网站编辑为例,当编辑写好一篇网络新闻,以.htm格式保存之后,若此时该.htm文件受到病毒感染而编辑没有察觉,仍然将带病毒的....

Livian Ge | 24 2 月 2009 06:34:55 GMT | 0 条评论

    最近,赛门铁克安全响应中心检测到不少利用Adobe Reader漏洞的恶意PDF文件。赛门铁克防病毒软件可以通过Bloodhound.PDF.6启发式检测方式判断PDF文件是否含有此类恶意病毒。

 

     根据目前受感染的PDF文件样本看来,病毒攻击的目标人群之一很可能是各大企业公司的高层管理人员。由于他们的email地址一般可以在其所属公司的网站上查到,因此很容易被病毒制造者利用。病毒制造者将含有恶意代码的PDF附件发送至他们的邮箱中,一旦这些带病毒的文件得以运行,导致电脑中毒,那么病毒制造者就有机会盗取管理人员计算机中的机要文件。由于这些文件包含公司的重要机密信息, 丢失或被盗都可能带来巨大的经济损失,后果十分严重。除此以外,目前此病毒还并未在计算机中广泛传播开来,赛门铁克将继续监测该病毒的蔓延情况。

 

     经分析,Adobe Reader的这个漏洞是由它在解析PDF结构时产生的错误所造成的。当带毒的文件被打开时,漏洞即被触发。恶意PDF文件中的JavaScript脚本采用堆扩散技术以增加攻击代码运行的可能性。攻击代码会释放恶意文件至受感染的计算机中执行。 

 

    赛门铁克将这类恶意PDF 文件定义为Trojan.Pidief.EBloodhound.PDF.6启发式检测可以保护计算机防御这种病毒的攻击。经检测,...

Livian Ge | 10 2 月 2009 08:21:29 GMT | 0 条评论

    随着互联网的普及,无论工作,学习还是生活,人们在使用计算机的时候通常都会上网,听音乐也不例外。同网络相连的各类影音播放器会自动连接提供音乐资源或信息的服务器,获取诸如专辑介绍,演唱者,歌词等各类信息。这极大程度的方便了我们对有用信息的需求。然而,方便之门一开,必然存在被恶意利用的可能。Trojan.Brisv.A病毒的再次爆发,正是病毒编写者利用Windows Media Player网络连接的漏洞,以及自动下载信息的功能,给我们的计算机带来了极大的安全威胁。

 

     让我们来看看这个病毒是怎么运行的。首先,病毒入侵后,会在计算机中创建注册表子键HKEY_CURRENT_USER\Software\Microsoft\PIMSRV, 用以记录该病毒的运行历史。为了确保每次在计算机中只有一个实例在运行,病毒还会创建另一个互斥量PIMSRV1。

 

     同时,病毒会变更以下注册表键值从而更改Windows Media Player的设置:

 

 HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\URLAndExitCommandsEnabled = 0

 

 HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\.mp3\Permissions = 21

 

     另外,我们发现此病毒也会修改播放器其他的设置文件,以扩大病毒危害的范围和增强病毒的隐蔽性。 接下来,Trojan.Brisv.A便会在计算机中查找后缀名为.mp2 .mp3 .wma .wmv .asf 的影音文件,检查这些文件是否已被插入URLANDEXIT脚本,并感染干净文件。受Trojan.Brisv.A病毒感染的文件大小会增加1,138字节。值得注意的是,病毒感染.mp2和.mp3文件时,会先将其转换为.wma格式,之后的步骤与感染.wma .wmv及 .asf文件相同。稍后,当Windows Media Player被启动时,感染了Trojan.Brisv....

Livian Ge | 06 2 月 2009 07:36:44 GMT | 0 条评论

    MP3, 电影,视频。。。这些都是我们计算机中常有的文件。然而,这些影音文件在为我们带来欢乐的同时,也可能带来一些对电脑有潜在安全影响的“不速之客”,比如计算机病毒、恶意代码等。最近,我们就监测到一种借助影音文件发挥作用的木马病毒----Trojan.Brisv.A。

 

     此木马病毒最早出现于2008年7月,近期有重新流行的趋势。通过我们的监测发现,最近一周此病毒在用户间的传播速度非常快,受感染计算机的数量不断上升。

 

     Trojan.Brisv.A会在计算机中搜索并感染.asf, .mp2, .mp3, .wma 和 .wmv文件。当Windows Media Player播放这些受病毒感染的文件时,病毒会驱使Windows Media Player去访问某些恶意网址,并下载其他的恶意软件或代码至受病毒感染的计算机中。

 

     由于目前影音文件的下载和传播非常广泛,共享资源也非常丰富,用户在下载的过程中可能会放松对有害文件的警惕, 导致此病毒的危害范围非常大。建议用户立刻启动您的赛门铁克防病毒软件并运行LiveUpdate, 以获取最新病毒定义库,保护计算机抵御病毒攻击。

 

     若用户未安装防病毒软件,赛门铁克提供针对Trojan.Brisv.A病毒的清除工具。用户可前往http://www.symantec.com/security_response/writeup.jsp?docid=2008-072215-0522-99下载使用。

Livian Ge | 21 1 月 2009 09:46:13 GMT | 0 条评论

    根据赛门铁克的最新监测显示,W32.Downadup蠕虫病毒及其变种已在全球范围内大面积爆发。其中,中国和台湾地区,阿根廷及巴西是受影响最大的几个区域。图1显示了全球受此次病毒影响最大的十个地区:

 

 

Top 10 affected areas by W32.Downadup

 

 

1 W32.Downadup影响最大的10个地区

(图片来源:赛门铁克公司)

 

 

 

      据分析,这次W32.Downadup蠕虫病毒大规模爆发可能有2个原因:

  1. 病毒利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,需首先知晓用户计算机的操作系统版本和使用的语言。Downadup病毒通过分析用户IP地址来获取以上信息。同其他语言相比,中文和葡萄牙文的信息看起来可能更容易被Downadup病毒所识别,从而令使用这些语言版本的用户计算机更易受到攻击,如中国和巴西用户。
  2. 要防范W32.Downadup蠕虫病毒,最根本的措施是安装针对MS08-067漏洞的补丁。然而,一些Windows系统的用户选择关闭了Windows自动安全更新功能,同时W32....
Livian Ge | 13 1 月 2009 05:27:16 GMT | 0 条评论

    最近,利用MS08-067漏洞的W32.Downadup蠕虫病毒广泛传播,并已出现多种变种。    

 

   首先出现于2008年12月的W32.Downadup.A是首批成功利用MS08-067漏洞并造成大规模影响的蠕虫病毒。赛门铁克通过深入分析发现,受感染的计算机每天会生成250个随意的伪域名,并试图连接这些地址以下载并执行模块升级。这种技术目前在病毒编写者中日渐流行,因为它可以降低恶意域名和服务器被查获的几率。不过,赛门铁克采用的反域名生成算法可以有效的主动确认和封锁这些域名,从而保护用户计算机的安全。 

 

    目前,受W32.Downadup.A影响最大的操作系统是Windows XP SP1及更早版本,其次是Windows XP SP2及更新的版本。而Windows 2000, Windows 2003及其它版本所占份额较小。

 

 

Infected operating system distribution

 

 

    2008年12月30日,W32.Downadup出现变种,即W32.Downadup.B.。这个新病毒不仅可以利用微软视窗服务器的远端程序调用服务漏洞执行远程代码(Microsoft Windows Server Service RPC Handling Remote Code ExecutionVulnerability),还可以通过感染U盘等移动存储设备,以及只有弱密码保护的网络进行传播。

 

 

     W32.Downadup.B会在硬盘上新建autorun.inf文件,当用户进入硬盘空间时,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会立刻在这个新硬盘空间中建立一个autorun.inf文件。...

Livian Ge | 07 1 月 2009 07:38:09 GMT | 0 条评论

    上周去电脑城买U盘。如今小小一个U盘也能设计出各种花样:“口红”,“绒毛玩具”,“芯片”。。。各类造型真是应有尽有。我一边欣赏一边不住的提醒自己别被外型迷花了眼,质量和安全性能才是最重要的。所以最后还是买了个造型中规中矩但质量过硬的U盘,然后请店员测试一下它是否是全新的。

 

    然而,我们刚把U盘连上商店的电脑,问题就出现了-- 新的U盘里居然已经有几个文件“预先”存在。店员试着将U盘格式化后重新打开,这几个文件又立刻被自动复制回U盘中。仔细看了看,我意识到其实这是通过可移动存储设备(如U盘和移动硬盘等)传播的一种蠕虫病毒。通常它会由一个在可移动存储设备中常见的执行文件“autorun.inf”和一些其他的隐藏文件夹(例如“.trash”,“Recycled”等)组成。很明显,商店的电脑已被感染了这类蠕虫病毒,所以当新的U盘连上它以后也立刻被感染。

 

    根据赛门铁克的检测,这类通过可移动存储设备传播的蠕虫病毒在2008年度非常活跃,例如W32.SillyDC和W32.SillyFDC家族。此类病毒会自动将自己复制到连接的电脑中,并通过被感染的电脑将自己继续复制到其他连接的可移动储存设备里,繁殖速度很快。再加上如今可移动存储设备越来越普及,而用户使用时对其中的可疑文件不够留意,使得病毒传播的范围更广,影响人数更多。

 

    我们以U盘为例来看看这个蠕虫病毒是怎么运行的。当用户把U盘插入电脑后,屏幕上会出现一个自动运行的窗口。如果用户直接点击OK,用这种快捷的自动运行方式打开已受病毒感染的U盘,会发现它并非按照预想的执行。事实上,此时“autorun.inf”的运行已激发蠕虫病毒开始行动,用户电脑可能出现硬盘无法正常打开,信息被盗取等使用障碍或安全风险。

 

    听起来很容易“中招”,其实我们有很多预防手段来避免此类蠕虫病毒的发作。首先,不要从自动运行窗口中打开U盘文件,因为它会激发蠕虫病毒的运行。比较安全的做法是从“我的电脑”中或使用“Windows Explorer”浏览可移动存储设备中的文件。其次,...

Livian Ge | 18 12 月 2008 07:25:58 GMT | 0 条评论

    12月17日,微软发布Security Update for Internet Explorer (960714) 。 新发布的补丁不仅适用于近期受 IE 漏洞攻击影响最大的 Internet Explorer 7, 也同样适用于 Internet Explorer 5 和 Internet Explorer 6。因为随着针对此漏洞的病毒攻击的变种升级,其他 Internet Explorer 7 版本用户也面临着潜在的互联网病毒威胁。建议尽快运行Windows Update, 安装此补丁。

 

Message Edited by Livian Ge on 01-21-2009 01:49 AM
Livian Ge | 17 12 月 2008 04:01:31 GMT | 0 条评论

    从12月9日IE漏洞发布至今,赛门铁克密切监测可能针对此漏洞的计算机威胁,并陆续发布漏洞分析和IE zero-day漏洞警示, 帮助用户了解此漏洞的潜在威胁,提高防范意识。与此同时,赛门铁克迅速更新病毒特征库。针对此漏洞的 Bloodhound.Exploit.219 和 IPS 特征 23241 - HTTP MSIE Malformed XML BO 能够使用户计算机得到有效的安全防范。截至目前,根据赛门铁克的监测,针对此漏洞的攻击十分活跃,并已迅速跃居病毒攻击排行的前列。其中,中国用户受攻击数量居全球之首,美国,韩国和中国香港地区次之。

 

 

   

    亚洲是受此次漏洞影响的“重灾区”,因为目前利用比较广泛的针对该漏洞的SQL注入式攻击主要针对亚洲地区的用户。该攻击将计算机重新定向到含有恶意代码的网站,并自动下载 Downloader 和...

Livian Ge | 11 12 月 2008 10:32:45 GMT | 0 条评论

    继昨日微软发布Internet Explorer漏洞以后,赛门铁克立即对漏洞进行分析并为用户提出防范建议。

 

    IE7漏洞可能允许远程执行代码,并影响其XML解析功能。当用户运行某些受影响的程序时,系统便会受到恶意攻击。

  

    此漏洞源自Internet Explorer的一个设计失误。尤其当HTML代码<span>之后没有</span>做结束标志,而是紧接着开始另一个<span>段落时,容易出现问题。<span>会引用一个将XML数据和HTML代码捆绑的XML ID。如果被捆绑的XML数据中包含具有“src”属性的HTML代码,“src”属性的值可导致内存冲突。所以当漏洞被触发,一旦位于“mshtml.dll”动态链接库中的“TransferFromSrc()”函数开始执行,便会导致内存访问冲突。

  

 

 

    我们已经在一些公开网站上监测到据称是针对此漏洞的病毒,并正在对他们进行检测,初步显示这些病毒会从[http]://baik[REMOVED].cn/down/ko.exe网站下载恶意代码。然而在测试中我们也发现,这些病毒并非每次都能运行成功。    进一步调查表明,攻击代码隐藏于[http]://sllwrn[REMOVED].cn网站的“ss.html”文件中。当用户访问“[http]://taish[REMOVED].org”,“[http]://www.oiuy[REMOVED].net”,“[http]:///down.hs7[REMOVED].cn”和“[http]:///www.baik[REMOVED].cn”网站时,会被iframe重新定向到“[http]://www.laoya[REMOVED].cn”然后“[http]://sllwr[REMOVED].cn”,从而受到病毒攻击。

...