截屏视频帮助
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
显示用 简体中文 发布的帖子
Livian Ge | 31 3 月 2010 09:57:33 GMT | 0 条评论

        Infostealer.Banker.G是赛门铁克安全响应中心近期检测到的Infostealer.Banker木马家族的又一新变种。其主要危害是从受害用户计算机中窃取机密信息并发送给攻击者。
 
        该木马运行后,会首先删除文件%system32%\sdra64.exe (检测为Trojan.Zbot),并释放文件
%system32%\msls50.dll 或者%system32%\msls51.dll。此后,它会关闭Windows系统文件保护功能并修改系统文件%system32%\UxTheme.dll,以使得自身释放的.dll文件在每次系统启动的时候被加载。感染后的系统文件%system32%\UxTheme.dll被检测为Trojan.Thuxeme!inf 。
 
        随后,该木马会通过TCP端口80发送HTTP POST请求到rindis.com/deus/cgi.php?i=[RANDOM]&k=43和obandis.com/4xx/ppc.php?i=[RANDOM]&k=43,从而将窃取到的信息,如操作系统版本信息、受害用户计算机的计算机名等发送给攻击者。它还会下载和运行攻击者提供的应用程序。
 
        建议用户及时更新安全软件病毒定义库以抵御最新出现的病毒威胁。

Livian Ge | 24 3 月 2010 08:10:46 GMT | 1 条评论

        Trojan.Mebratix是赛门铁克安全响应中心近期检测到的一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的下载型木马病毒。
 
        运行后它会释放以下文件至ProgramFiles目录:
%ProgramFiles%\MSDN\atixx.sys(Trojan.Mebratix);
%ProgramFiles%\MSDN\atixi.sys(Trojan.Mebratix);
%ProgramFiles%\MSDN\000000000;
%ProgramFiles%\MSDN\atixx.inf ;
 %ProgramFiles%\MSDN\atixi.inf 。
 
        接下来,它还会感染磁盘引导区(MBR),获取先于操作系统的启动权,并且在ring3层恢复内核钩子,通过Hook系统中断及操作系统关键函数等技术实现了病毒驱动的优先加载及执行。该加载操作十分隐蔽,因此使用常规的重装系统的方法无法清除该病毒。另外,该木马会从其他恶意网站下载盗号木马,并将窃取的用户信息发送到指定网站,如hxxp://ad.qvodcom.com:8881/count.aspx。
 
        该木马还会采用多种方法对抗杀毒软件以及安全软件的主动防御技术。

       ...

Livian Ge | 17 3 月 2010 06:59:35 GMT | 0 条评论
        Internet Explorer被曝出新的远程代码执行漏洞(CVE-2010-0806)后,赛门铁克安全响应中心很快检测到利用该漏洞进行攻击的恶意脚本JS.Sykipot。当用户使用IE6或IE7浏览含有此恶意脚本的网页时,将可能受到该脚本的溢出攻击。Windows 2000/XP/Vista/NT及Windows Server 2003都可能受到影响。

        如果JS.Sykipot的溢出攻击成功,一个名为Backdoor.Sykipot的后门程序就会被下载到受害用户计算机中并运行。运行时,它会首先添加注册表项以实现开机自启动,随后将反向链接到指定网站,并且监听端口以便执行收到的命令,如结束进程,下载或上传数据等。
 

        赛门铁克已经发布相应的反病毒定义及IPS特征,以抵御JS.Sykipot利用新漏洞攻击用户计算机。同时,用户浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)分析将要访问网页的安全性。
   
        微软目前尚未发布针对该漏洞的官方补丁。
 
Livian Ge | 11 3 月 2010 06:53:10 GMT
        利用USB线为自己的手机或者其他电子设备充电十分方便。不过,方便之余,用户也需要注意它其中包含的风险,因为最近赛门铁克安全响应中心就发现了一个利用USB充电程序传播的木马病毒Trojan.Arugizer。
 
        Trojan.Arugizer在运行以后会将自己拷贝到C:\WINDOWS\system32\Arucer.dll,并添加下列注册表以达到开机自启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Arucer"
= "rundll32 C:\WINDOWS\system32\Arucer.dll,Arucer"
 
        然后该木马将打开计算机后门,端口号为7777,攻击者利用这个端口达到以下目的:1.下载运行可执行程序;2.删除文件;3.发送文件到远程服务器;4.向攻击者发送计算机文件目录信息。
 
        Trojan.Arugizer通常被捆绑在USB充电软件的安装包中,以此来进行传播。如果用户下载并安装该软件安装包,计算机就可能会被Trojan.Arugizer 感染。因此,我们建议用户不要轻易从互联网下载安装来历不明的应用程序。同时,经常升级您的安全软件病毒定义库可以保护您的计算机远离最新出现的病毒威胁。
Livian Ge | 04 2 月 2010 02:45:35 GMT

         Trojan.Hydraq是一个利用Internet Explorer远程代码执行漏洞(CVE-2010-0249,俗称“Aurora”)及Adobe Acrobat Reader、Flash Player远程代码执行漏洞(CVE-2009-1862)进行传播的木马。该木马会在被攻击的计算机中打开后门来执行以下操作:

  • 调整计算机权限;查阅、控制系统进程和服务;
  • 下载文件mdm.exe到%Temp%\并执行;
  • 修改系统注册表,删除系统日志;
  • 窃取包括IP地址、计算机名及硬件信息等计算机信息。

    该木马还包括了基于VNC(Virtual Network Computing)代码的组件,使得攻击者能够以视频方式查看被攻击计算机的实时桌面信息。同时,该木马会与yahooo.8[removed]6.org, sl1.h[removed]elinux.org等网站进行通信,从这些网站获取命令并执行。

        Trojan.Hydraq的传播方式主要是向攻击目标发送带有恶意文档附件或恶意URL链接的电子邮件。如果用户使用相应的应用程序打开这些文档或者点击这些链接,就会遭到该木马的攻击。因此,我们建议用户不要轻易打开不明来历的邮件附件或点击其中的不明链接,并且及时为应用软件和操作系统安装补丁程序,将其更新至最新版本。同时,请及时升级您的赛门铁克安全软件,使您的计算机远离该病毒的威胁。

Livian Ge | 27 1 月 2010 07:49:30 GMT | 0 条评论
        W32.Ramnit是赛门铁克安全响应中心近期检测到的一类新蠕虫。它能够感染用户计算机系统中的.exe、.dll和.html文件。W32.Ramnit将自身加密以后附加到目标文件中,当被感染的文件运行时,该蠕虫会被释放到当前目录并被命名为[InfectedFilename]Srv.exe,然后执行。同时在%\ProgramFiles%\目录下增加一个MNetwork目录。感染该病毒的计算机会试图连接到网站rmnz[removed]ed.com,从该网站下载.dll文件注册到系统中。
 
        该病毒主要通过移动存储介质进行传播。传播时,它会把自己拷贝到移动存储设备根目录下面的Recycle Bin目录中,同时创建autorun文件以达到自动启动的目的。因此,我们建议用户在使用移动存储设备前先使用诺顿安全软件对其进行扫描,确认安全后再打开。及时将安全软件的病毒库升级至最新,以抵御新出现的各类安全威胁。
Livian Ge | 21 1 月 2010 06:38:00 GMT | 0 条评论

    赛门铁克安全响应中心持续追踪的木马程序Trojan.Zbot,会试图从用户计算机窃取私人数据。近期,该木马又出现新变种。

    运行时,Trojan.Zbot会首先把自身拷贝到系统目录下并伪装成一个正常文件,然后添加注册表项以达到开机自动运行的目的。此后,该木马会释放加密的配置文件,并且收集受害用户计算机的操作系统版本、语言种类等信息。Trojan.Zbot还会删除用户计算机上的Cookies信息,使得用户在访问银行网站时必须重新输入密码。接下来,该木马将恶意代码注入到除CSRSS.EXE以外的所有进程。这些恶意代码会挂钩许多与网络操作相关的函数来监控网络数据以达到盗取用户银行卡信息、电子邮箱密码等个人信息的目的。盗取到的信息会先存储在本地,随后发送到配置文件里所指定的地址。

    该木马主要通过互联网进行传播,如偷渡式下载,垃圾邮件等。因此,我们建议用户一旦发现异常应及时断开计算机的网络连接,并且使用赛门铁克安全软件对计算机进行全盘扫描和病毒查杀,这样能降低受到该木马危害的可能性,同时也避免了病毒向更多的在线电脑传播。如果确定计算机已经被该木马感染,请及时更改您的个人信息,包括登录网络的用户名、密码,邮箱密码和银行卡密码等,防止黑客利用窃取到的个人信息侵犯您的利益。

Livian Ge | 18 1 月 2010 13:58:42 GMT
        首先,用户必须提高警惕意识。如果在访问Web时,遇到了类似前面提到的可疑现象,请立刻终止浏览器。
 
        其次,目前的大部分单机版安全软件都有URL评级功能,如果访问的URL被定级为恶意,一般都会有提示,此时请不要再访问这个网站。例如Norton的Safe Web功能对SecurityToolFraud的网页会有如下提示:

                    21_NortonSafeWeb.jpg

                  22_NortonSafeWeb2.jpg

        另外,及时更新杀毒软件病毒库也是有效的防范措施之一。在恶意文件下载到你的机器时,杀毒软件的实时监控会将其立刻删除:

                   ...

Livian Ge | 18 1 月 2010 10:03:20 GMT
        SecurityToolFraud的源头位于http://bor[REMOVED].com 。访问该页面时,首先会遇到如下警告:

                    13_Alert.jpg

 
        与普通的浏览器提示窗口不同的是,如果使用IE 6.0,或者IE 7.0、Firefox的单页面访问这个链接时,浏览器窗口会被缩小并被放置到警告窗体之后,使人猛地以为是系统弹出的警告。其实仔细看看这个消息框的标题,依然是浏览器的。别以为点击Cancel就安全了,其实点击OK和Cancel的结果都一样 – 浏览器会被最大化,然后动态显示下面的扫描页面。注意,此时的浏览器标题已经被篡改为“My Computer Online Scan”。 网站的恶意脚本会抓住一切机会诱使或迫使用户继续下一步 -- 扫描:

                    14_Scan.jpg

 

        所谓的扫描结束后,...

Livian Ge | 18 1 月 2010 08:16:51 GMT
        几天前,PCWorld刊出一篇文章“FBI: Rogue Antivirus Scammer Have Made $150M”,所谓Rogue Antivirus Scammer,即安全业内俗称的流氓安全软件(Fake Antivirus Software),每年竟有1.5亿美元的收入!这类软件通常是在用户浏览某些问题网页时,利用弹出的虚假安全威胁提示,诱使用户点击下载并安装,其运行后会不断提示系统中毒。如果要进行查杀,必须付费激活该软件。当然这些提示都是假的,但其颇为“专业”的界面往往令人信以为真。
 
流氓安全软件之概述
      最早版本的流氓安全软件可以追溯到2006年的1stAntiVirus

             1_1stAntiVirus.jpg

 
        三年后的今天,从反馈数据来看,每天仍有几十到上百台机器中招1stAntiVirus。
 
...