截屏视频帮助
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
显示用 简体中文 发布的帖子
Livian Ge | 02 6 月 2010 01:59:59 GMT

        很多用户可能使用过一款名为“QVOD(快播)”的视频播放软件。近期赛门铁克安全响应中心检测到一个病毒W32.Wapomi,它将自身版本信息添加为QvodInstall Module,从而诱导用户将其误认为快播的安装程序。图一为该恶意文件的版本信息:

                                                           图一

        同时,该病毒还使用了一个与快播图标相似的图标,如图二所示:

        图二

        运行时,该病毒在系统目录下释放驱动程序并加载。该驱动会监控注册表操作,阻止用户删除它所保护的注册表键值。接下来修改host文件,以防止用户通过host文件阻止它访问恶意网址。随后修改注册表,通过映像劫持禁止安全软件运行。此外,W32....

Livian Ge | 27 5 月 2010 07:38:20 GMT

        The Pirate Bay是全球最大的BT下载网站,拥有丰富的BT资源。赛门铁克安全响应中心近期检测到的蠕虫病毒W32.Ptopirate会从该网站寻找最流行的BT种子文件名,从而冒充这些BT文件进行传播。
 
        运行后,W32.Ptopirate 会修改注册表,以实现开机自动运行。该蠕虫会访问“海盗湾”网站,从上面搜集当前流行的BT种子文件名称;接下来蠕虫还会将自身拷贝到eMule、FrostWire等流行的网络共享软件的共享目录下,并以之前收集的BT文件名称来“伪装”自己。
 
        W32.Ptopirate主要通过移动存储设备和文件共享网络进行传播。通过移动存储设备传播时,它会释放autorun文件,从而实现自动运行。因此,建议用户关闭计算机对可移动存储设备的自动播放功能;使用移动存储设备前先使用安全软件对其进行扫描,确认安全后再打开。

Livian Ge | 27 5 月 2010 06:43:05 GMT | 0 条评论

        赛门铁克安全响应中心近期检测到的Trojan.GootKit是一个木马程序。它会窃取用户计算机上的机密信息,并开启计算机后门。
 
        执行时,它会首先将恶意DLL释放到系统目录下,将其注册为COM组件并修改注册表实现随系统自动启动。接下来,它会连接到远程服务器以获取命令和控制文件。
 
        被感染计算机将执行控制文件中包含的命令,包括:

  1. 下载并执行其它恶意程序;
  2. 窃取用户计算机中的机密信息,如密码和机密文件等;
  3. 向HTML文件注入恶意脚本;
  4. 更改用户计算机中的文件及注册表;
  5. 发送邮件。

 
        Trojan.GootKit主要通过垃圾邮件或偷渡式下载来到用户计算机。因此,建议用户不要轻易查看来历不明的邮件或打开邮件附件。浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)分析将要访问网页的安全性。尽量不要访问可疑网站。

Livian Ge | 29 4 月 2010 10:10:39 GMT | 0 条评论

        Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被首次曝光后(又名“鬼影病毒”),近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。
 
        之前的Trojan.Mebratix病毒感染计算机后,会将主引导区的原代码拷贝到下一个扇区,并用恶意代码替换原引导区的代码。由此,该病毒便获取了先于操作系统的启动权,而且一般的系统重装无法彻底清除该病毒。
 
        而新变种Trojan.Mebratix.B在感染计算机的同时,更大大提升了自身的隐蔽性。分析显示,Trojan.Mebratix.B在感染系统主引导区以后,不会直接将恶意代码放置到主引导扇区,而是将其放置到主引导扇区之后的其他扇区。如下图所示:

                        图一Trojan.Mebratix.B恶意代码所在内存位置

        接下来,Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数,在主引导区内调用和执行恶意代码。如下图所示:...

Livian Ge | 29 4 月 2010 02:18:23 GMT | 0 条评论

        Trojan.Heloag是一个木马程序,它会在被感染的计算机中开启后门,并下载及执行其它恶意程序。运行时,Trojan.Heloag会添加注册表以实现开机自动运行,并在Windows目录下释放一个恶意文件。值得注意的是,Trojan.Heloag非常善于隐藏自身:它将被释放的恶意文件的属性设置为系统保护文件,并且在受害计算机的注册表中设置隐藏所有系统保护文件。下图是感染该木马后隐藏系统保护文件的设置状态:

        同时,该木马不允许用户修改计算机的该状态设置。
 
        因此,用户如果直接使用浏览器打开Windows目录则无法查看到包括该恶意文件在内的属性为系统保护文件的所有文件,只有使用专门的工具(如IceSword)才能查看到这些被隐藏的系统保护文件。下图是分别使用普通浏览器和IceSword工具查看到的Windows文件目录:

        Trojan.Heloag释放的恶意文件被命名为ThunderUpdate.exe。用户即使查看到该文件,也可能很容易被该名字所欺骗,误以为这是P2P软件“Thunder(迅雷)”的自动更新程序从而放松警惕。
 
        Trojan.Heloag还会尝试访问一些站点以试图下载更多的恶意程序到用户计算机中。Trojan.Heloag还将试图连接到另一恶意站点的8090端口。如果连接成功,该木马会在受感染计算机中开启后门,...

Livian Ge | 23 4 月 2010 09:02:18 GMT | 0 条评论

        近日,一则虚假的免费加话费的信息— “上72ub.com,有惊喜”— 通过手机QQ用户在其好友群里疯狂散布。用户点击该网址后,并不会直接登陆到72ub.com,而会被重定向至病毒制造者在新浪或163创建的博客。这些博客内容一致,均以图片形式推销假冒移动进行的查姓名送200元话费活动:

       
        如果用户出于好奇拨打该号码,企图获得免费的话费,那么“恭喜”你,您得到的不是免费话费,而将被扣费。通过我们的查询,该号码其实是一个声讯台号码,每分钟用户需付费2.2元人民币。这笔不法所得,则是病毒制造者的终极目的。
 
        赛门铁克已发布相关病毒定义,并将继续跟踪该木马的发展。

Livian Ge | 21 4 月 2010 07:13:39 GMT | 0 条评论

        QQ是一个拥有广大客户群的即时聊天工具,因此也出现了许多针对QQ的病毒攻击。赛门铁克安全响应中心近期检测到QQ盗号木马Trojan.PWS.QQPass的又一新变种。
 
        运行时,它会首先检查用户是否安装了QQ聊天工具。如果检测到有,它就会在QQ安装目录下释放一个名为qqc.dll的动态链接库文件并且选择一个会被QQ.exe加载的.dll文件进行感染,然后将感染后的该.dll文件导入qqc.dll。这样,当用户运行QQ时,qqc.dll将会被加载。qqc.dll会创建一个线程不断搜索QQ用户登录窗口,一旦找到,它会立即将真实的登录窗口隐藏起来,并抛出一个非常逼真的名为“QQ用户登录”的假冒登录窗口。图一、图二分别是假冒登录窗口与真实的QQ登录窗口:

                                   图一:假冒登录窗口

                            图二:真实的QQ登录窗口...

Livian Ge | 21 4 月 2010 07:00:32 GMT | 0 条评论

        Backdoor.Rohimafo是赛门铁克安全响应中心近期发现的一个木马病毒。它会在受感染计算机中开启后门,并窃取用户机密信息发送到以下地址:

- http://gus[REMOVED]s.com/socks.php
- http://seoz[REMOVED]ss.com/socks.php
- http://an[REMOVED]m.com/socks.php
 
        运行时,首先它将自身复制到\\?\globalroot\systemroot\system32\[RANDOMSTRING].exe,并且修改注册表以实现随Windows操作系统启动的目的。然后,该后门木马会打开计算机TCP端口15425,将被感染计算机作为代理服务器,连接到以下网站:

- http://gu[REMOVED]iss.com/knok.php
- http://se[REMOVED]sss.com/knok.php
- http://an[REMOVED]m.com/knok.php

并从这些网站获取以下命令:下载和执行文件、添加网络路由设置、关闭进程。
 
        该后门木马会关闭某些入侵检测系统及杀毒软件,同时关闭Windows系统还原功能,并将恶意代码注入到其他进程中。这些恶意代码会hook用户键盘操作,窃取用户机密信息(如键盘击键信息),然后将窃取的信息发送到:

- http://gus[REMOVED]s.com/gate.php
- http://se[REMOVED]sss.com/gate.php
- http://anal[REMOVED].com/gate.php...

Livian Ge | 08 4 月 2010 08:44:28 GMT | 0 条评论

        Backdoor.Dawcun是一个盗取计算机机密信息的后门木马病毒。如果计算机被该病毒感染,则很难彻底清除该病毒,因为它会Hook注册表访问,拒绝用户修改或者删除其添加的注册表项;它还会Hook文件操作,使得所有的防病毒软件对该病毒文件失效。
 
        运行时,Backdoor.Dawcun会创建一个系统服务并设置注册表项,使得自己能在系统正常启动或者进入安全模式的时候自动加载。该病毒会注入两个DLL文件到services.exe进程,并将其以远程线程的方式启动。
 
        注入的线程将执行以下操作:

  1. 收集并加密系统信息,将加密后的信息保存为%ALLUSERS%\AppData\mul.bin;
  2. 通过TCP端口2266将系统信息发送到远端服务器 204.12.216.50;
  3. 通过TCP端口25链接SMTP服务器smtp.mail.ru以测试连接状态;
  4. 搜索VirtualBox及wireshark.exe,如果没有发现这两款软件,病毒会通过TCP端口2266和3390链接远程服务器204.12.216.50,下载病毒更新。

        应对这类木马,用户需采用强力有效的安全软件,从一开始便将其拦截,不给木马任何入侵计算机的机会。

Ruby Yang | 07 4 月 2010 07:54:13 GMT

賽門鐵克Email Security Group部門提醒網路使用者小心國內外詐欺信,近日我們發現已有台灣民眾受騙上當。
由於最近天災人禍頻傳,這類的垃圾郵件增多。這種詐欺信又稱為Nigerian Spam 或 419 Spam, 通常是以一則不幸事件的故事為開頭,比如:智利海嘯、海地地震、飛機失事等國際災難請求捐贈,或是某人得了絕症來博取同情,並請求幫忙跨國轉帳手續等事宜,同時承諾可以繼承一筆高額款項作為報答,也可能聲稱有一筆金額龐大的基金,因某些緣故而請收信者代管,甚至利用對宗教的向心力來行使詐騙。
一旦跟詐騙集團聯繫,他們會用各種理由來騙取金錢。例如:銀行交易手續費、 快遞費、 律師費用等常見詐騙手法。跨國的金錢流向調查繁瑣難追回,賽門鐵克請網路用戶提高警覺,千萬不要因一時的貪心或好奇,造成個人資訊的流出和金錢的損失。

我們提供以下幾個範例做參考:
範例一:


 
[Details removed]

翻譯

親愛的先生女士
成千上萬的海地居民因大地震正受苦著,他們需要您的援助,目前幸運生還的人都無家可歸, 也包含了一些喪失親屬的小孩。 他們需要好的醫療照顧、食物、水、衣物和避難所。超過五十萬人在此地震失去了性命,您可以經由捐款到 Saving Lives Charity Organization為他們做一點什麼,來改善天災所造成的傷害 。聯絡我們美國和英國的辦公室,您的捐贈可以幫助海地7級強震的生還者,任何小額善款皆歡迎。

[Details removed]

範例二:
 

[Details removed]

...