截屏视频帮助
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
显示用 简体中文 发布的帖子
Livian Ge | 05 8 月 2010 03:59:02 GMT

        近日微软被曝出的新零日漏洞Microsoft Windows Shortcut 'LNK' Files Automatic File Execution Vulnerability (BID 41732),目前尚无官方补丁。而攻击该漏洞的威胁却层出不穷,W32.Changeup.C 就是其中一例。

        运行时,W32.Changeup.C首先会把自身拷贝到UserProfile 目录下,并重命名为一个任意文件名。同时,蠕虫会修改拷贝后的文件以躲避安全软件的检测。该蠕虫还会添加注册表以实现开机自动运行。

        W32.Changeup.C 主要通过移动存储设备(如U盘,移动硬盘)和网络共享进行传播。它将自身拷贝到移动存储设备和网络共享并添加相应的autorun.inf。此外,该蠕虫还会在这些地方释放一个恶意的.dll 文件,并添加许多.lnk 文件指向恶意的.dll 文件。这样,即便用户禁用了自动播放,在打开被W32.Changeup.C 感染的移动存储设备或网络共享时,恶意的.dll 文件也会被系统加载,它将下载后门程序到用户计算机中并运行。
 
        因此,建议用户在使用移动存储设备时先对其进行安全扫描,确认安全后再打开。尽量不要开启计算机的网络共享功能。一旦微软发布针对该漏洞的补丁,请及时下载并安装。赛门铁克已经发布针对此类病毒的病毒特征,请用户及时升级您的安全软件病毒定义库以抵御该蠕虫威胁。

Livian Ge | 19 7 月 2010 09:19:03 GMT

        近日,微软被曝出一个新的零日漏洞(BID 41732)。攻击者利用该漏洞中Windows操作系统解析快捷方式文件时的一个错误进行攻击。当用户访问存有攻击者精心构造的快捷方式的目录时,其包含的恶意代码便会被触发执行。赛门铁克已于7月13日发布针对此类攻击的病毒定义,将其检测为W32.Stuxnet。主要受其影响的系统包括:

        W32.Stuxnet主要通过USB移动存储设备进行传播。由于USB设备使用十分广泛,因此通过此类USB设备(如U盘、移动硬盘)进行传播的病毒可能在很短时间内爆发。目前,赛门铁克已检测到 W32.Stuxnet 在全球范围内的感染数量急速增长。
 
        运行后,W32.Stuxnet 会释放一些快捷方式文件,并将其拷贝至相连的移动存储设备中。无论操作系统的 AutoPlay 功能是否打开,在用户打开U盘时,该蠕虫病毒都可主动运行。W32.Stuxnet 还会结束某些安全软件的进程,利用 Rootkit 技术隐藏自己释放出的、或拷贝到移动存储设备中的快捷方式文件等,使用户无法察觉病毒的存在。
 
        W32.Stuxnet 还会尝试使用不同的用户名和密码组合以试图进入特定数据库,并在其中搜索和窃取信息。
 
       ...

Livian Ge | 12 7 月 2010 09:24:33 GMT

        Trojan.Dysflink是一种盗取QQ用户信息的木马。该木马会监控系统特定文件夹(STARTMENU, COMMON_STARTMENU, DESKTOP, COMMON_DESKTOPDIRECTORY, PROGRAM_FILES, PERSONAL)中后缀名为.lnk的文件,也就是我们常说的快捷方式,并替换这些.lnk文件。

        .lnk文件被替换前后的截图:

        被替换的快捷方式使木马在系统重启后仍然可以有机会被运行。同时,木马运行后依然会将原始的目标程序打开,令用户不容易察觉到中毒。

        病毒运行后,会在系统中添加如下文件:
ROOT:\Program Files\qcat\
ROOT:\Program Files\qcat\qcat.ini
ROOT:\Program Files\qcat\qsetup.exe
ROOT:\Program Files\qcat\tmpdata\
ROOT:\Program Files\qcat\tmpdata\*.lnk

        同时,该木马会在qcat.ini中记录被替换修改的.lnk文件的信息。tmpdata中存放的则是原始的被替换的.lnk文件,如下图所示:...

Livian Ge | 08 7 月 2010 09:52:23 GMT

        上周,Adobe发布了安全更新(APSB10-15),可防范之前利用PDF进行的社会工程学攻击(CVE-2010-1240)。不过,随着补丁的发布,攻击者再次聚焦这类攻击,并研究补丁的破解方式。因此,我们担心类似攻击有可能再次发生。
 
        大家知道我们常用的PDF文档阅读软件Adobe Reader包含了很多强大的功能,其中之一便是令PDF可以执行或者打开一个目标文件,包括可执行文件(.exe)。但为了防止恶意程序乘虚而入,文件只有在用户许可的情况下才能打开或运行。如图一:
 

                                                           (图一)
 
        然而,这样一个防范功能竟也被攻击者所利用。开头提到的基于社会工程学的攻击便是其中一种。攻击者会构造一份特别的PDF文件,其内容可能包括用户感兴趣的话题。当PDF文件被打开时,会跳出一个窗口,提示这是一个加密的文档,需要点击窗口中的“打开(open)”才能阅读(...

Livian Ge | 07 7 月 2010 09:27:13 GMT

        上网搜索信息使我们日常生活中经常使用的功能。互联网快捷的速度、全面的知识,令我们在弹指间便能找到需要的答案。而针对搜索的木马也应运而生,Trojan.Bamital就是赛门铁克安全响应中心近期检测到的此类木马病毒。用户如果使用被其感染的计算机对网络内容进行搜索,该木马会篡改搜索引擎的返回结果。
 
        运行后,Trojan.Bamital首先会释放一个DLL文件%UserProfile%\Local Settings\Application Data\Windows Server\<random 6 letters>.dll,并且创建注册表键值HKEY_CURRENT_USER\Software\<random 10 letters>\"<random 10 letters>" = "[BINARY DATA]"。被释放的DLL文件从该注册表键值读取有害的代码来运行。同时,它还会关闭计算机的系统还原功能,并且将有害代码注入到多个进程,这些进程包括:cmdagent.exe,fssm32.exe,fsorsp.exe,avp.exe,iexplore.exe,firefox.exe,opera.exe
explorer.exe等。被注入的恶意代码会挂钩系统函数,监视浏览器向搜索引擎发送的数据包,修改搜索引擎的返回结果,并将一些广告链接添加到搜索结果中。
 
        该木马通过偷渡式下载进行传播。因此,建议用户不要轻易访问可疑网站;浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)分析将要访问网页的安全性。赛门铁克安全响应中心已发布针对该病毒的病毒库定义,请用户及时更新您的安全软件病毒定义库以抵御该病毒威胁。

Livian Ge | 07 7 月 2010 09:20:57 GMT

        W32.Mabezat.B是一种蠕虫病毒,其最大的特点是传播方式多种多样,用户稍有不慎就可能使计算机受到该蠕虫感染。运行时,该蠕虫首先会开启用户计算机中的自动播放功能,并且设置隐藏系统属性文件以避免被用户发现。
 
        W32.Mabezat.B主要通过以下方式进行传播:

  1. 拷贝自身到移动存储设备并写入autorun.inf;
  2. 把自身拷贝到开有网络共享的计算机,并重命名为一些大家熟悉的文件名,如My documents.exe,Readme.doc.exe等;
  3. 把自己作为附件通过垃圾邮件发送出去,并将附件命名为office_crack.rar、RecycleBinProtect.exe等以诱使用户点击;
  4. 把自身拷贝到%UserProfile%\Local Settings\Application Data\Microsoft\CD Burning目录,这样用户在做刻录操作时就会自动把病毒刻录到光盘上;
  5. 感染用户计算机中的可执行程序。感染后的文件被检测为W32.Mabezat.B!inf。

        因此,建议用户关闭计算机的自动播放功能;在打开移动存储设备前先对其进行安全扫描;尽量不要使用网络共享;不要轻易打开来历不明的邮件及其附件;及时更新安全软件病毒定义库以抵御该蠕虫病毒的威胁。
 

Livian Ge | 24 6 月 2010 09:09:08 GMT

        最近,在众多球迷时刻关注南非世界杯战况的同时,也出现了一些利用此契机进行传播的病毒。Trojan.Malscript!html就是其中一例。
 
        该木马主要通过垃圾邮件进行传播。攻击者将邮件主题设为“FIFA World Cup South Africa… bad news(南非世界杯…坏消息)”等,以此来吸引并诱骗用户查看这些邮件。邮件正文可能为:

Hello!!
FIFA World Cup 2010 scandal news, read attached document

        这些邮件中通常包含着一个附件,如:news.html,open.html,index.html等。这些html文件就是Trojan.Malscript!html病毒。这些html文件包含着一段恶意script代码,一旦用户点击打开这些html文件,其包含的script代码就会将浏览器重定向到某些包含不可见iframe的网站;这些不可见的iframe最终将用户导向到可能利用浏览器漏洞来攻击用户计算机的恶意web网站。因此,建议用户不要轻易打开来历不明的邮件及其附件以避免受到该病毒威胁。
 

Livian Ge | 22 6 月 2010 07:31:44 GMT

        W32.Aemrant是一个蠕虫病毒,它会将自身拷贝到%PROGRAMFILESDIR%\My Documents\My Videos\目录下并伪装成多个多媒体文件。一旦用户双击播放其中任意一个文件,该蠕虫就会被运行,并且随即启动Windows Media Player以掩饰自身、麻痹用户。

        运行后,该蠕虫在%UserProfile%\Start Menu\Programs\Startup\目录下创建多个文件达到开机自启动的目的。它还会修改注册表,关闭和禁止一些安全软件的运行,并且关闭计算机的系统还原功能。

        W32.Aemrant主要通过移动存储设备进行传播。它将自己命名为%DriveLetter%\Thumbs.sdb并拷贝到移动存储设备,同时创建autorun文件%DriveLetter%\autorun.inf以实现自动运行的目的。因此,建议用户关闭计算机的自动播放功能;使用移动存储设备时先对其进行安全扫描,确认安全后再打开。

Livian Ge | 11 6 月 2010 09:40:01 GMT

        最近,Adobe曝出一个针对Adobe Flash Player, Adobe Reader 和Acrobat的零日漏洞(CVE-2010-1297),而针对该漏洞执行远程代码的攻击也很快出现,被检测为Trojan.Pidief.J。到目前为止,Adobe尚未发布该零日漏洞的官方补丁。

        如上图所示,Trojan.Pidief.J便是利用了Adobe Flash Player中该段存在漏洞的代码进行攻击。

        Trojan.Pidief.J运行后,将试图从指定URL下载恶意文件:

        下载的文件中包含了一个加密的后门病毒,此病毒将会被释放到%TEMP%upt.exe然后执行;同时,该后门病毒还将与网站http://google-analytics.d[REMOVED]as.org/ddr/ddrh.ashx进行通信并且会释放多个其他恶意文件到受感染的计算机中。
 
  ...

Livian Ge | 03 6 月 2010 04:58:42 GMT

        近期出现的蠕虫W32.Expichu会将自身拷贝到%PROGRAMEFILES%目录,并释放假的字体文件到%windows%\fonts\目录下。该蠕虫还会添加注册表项的方式实现开机自启动。
 
        运行后,W32.Expichu会试图连接http://www.ba[REMOVED].com/Count/Count.asp以验证网络是否连通。如果成功,该蠕虫会修改Internet Explorer首页,并访问http://www.h[REMOVED]f.cn/1004.txt来下载更多的恶意代码到被感染的用户计算机。

        W32.Expichu还会通过破坏Windows文件保护来替换操作系统文件,并采用映像劫持的方法试图使防毒软件运行失效,如下图所示。

        W32.Expichu主要通过将SysLive.exe和antorun.inf这两个文件拷贝到可移动存储设备来进行传播。

        因此,建议用户关闭计算机的自动播放功能。使用可移动存储设备时先对其进行安全扫描,确认安全后再打开。同时,...