截屏视频帮助
Security Response
显示用 简体中文 发布的帖子
Livian Ge | 17 3 月 2010 06:59:35 GMT | 0 条评论
        Internet Explorer被曝出新的远程代码执行漏洞(CVE-2010-0806)后,赛门铁克安全响应中心很快检测到利用该漏洞进行攻击的恶意脚本JS.Sykipot。当用户使用IE6或IE7浏览含有此恶意脚本的网页时,将可能受到该脚本的溢出攻击。Windows 2000/XP/Vista/NT及Windows Server 2003都可能受到影响。

        如果JS.Sykipot的溢出攻击成功,一个名为Backdoor.Sykipot的后门程序就会被下载到受害用户计算机中并运行。运行时,它会首先添加注册表项以实现开机自启动,随后将反向链接到指定网站,并且监听端口以便执行收到的命令,如结束进程,下载或上传数据等。
 

        赛门铁克已经发布相应的反病毒定义及IPS特征,以抵御JS.Sykipot利用新漏洞攻击用户计算机。同时,用户浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)分析将要访问网页的安全性。
   
        微软目前尚未发布针对该漏洞的官方补丁。
 
Livian Ge | 11 3 月 2010 06:53:10 GMT
        利用USB线为自己的手机或者其他电子设备充电十分方便。不过,方便之余,用户也需要注意它其中包含的风险,因为最近赛门铁克安全响应中心就发现了一个利用USB充电程序传播的木马病毒Trojan.Arugizer。
 
        Trojan.Arugizer在运行以后会将自己拷贝到C:\WINDOWS\system32\Arucer.dll,并添加下列注册表以达到开机自启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Arucer"
= "rundll32 C:\WINDOWS\system32\Arucer.dll,Arucer"
 
        然后该木马将打开计算机后门,端口号为7777,攻击者利用这个端口达到以下目的:1.下载运行可执行程序;2.删除文件;3.发送文件到远程服务器;4.向攻击者发送计算机文件目录信息。
 
        Trojan.Arugizer通常被捆绑在USB充电软件的安装包中,以此来进行传播。如果用户下载并安装该软件安装包,计算机就可能会被Trojan.Arugizer 感染。因此,我们建议用户不要轻易从互联网下载安装来历不明的应用程序。同时,经常升级您的安全软件病毒定义库可以保护您的计算机远离最新出现的病毒威胁。
Livian Ge | 04 2 月 2010 02:45:35 GMT

         Trojan.Hydraq是一个利用Internet Explorer远程代码执行漏洞(CVE-2010-0249,俗称“Aurora”)及Adobe Acrobat Reader、Flash Player远程代码执行漏洞(CVE-2009-1862)进行传播的木马。该木马会在被攻击的计算机中打开后门来执行以下操作:

  • 调整计算机权限;查阅、控制系统进程和服务;
  • 下载文件mdm.exe到%Temp%\并执行;
  • 修改系统注册表,删除系统日志;
  • 窃取包括IP地址、计算机名及硬件信息等计算机信息。

    该木马还包括了基于VNC(Virtual Network Computing)代码的组件,使得攻击者能够以视频方式查看被攻击计算机的实时桌面信息。同时,该木马会与yahooo.8[removed]6.org, sl1.h[removed]elinux.org等网站进行通信,从这些网站获取命令并执行。

        Trojan.Hydraq的传播方式主要是向攻击目标发送带有恶意文档附件或恶意URL链接的电子邮件。如果用户使用相应的应用程序打开这些文档或者点击这些链接,就会遭到该木马的攻击。因此,我们建议用户不要轻易打开不明来历的邮件附件或点击其中的不明链接,并且及时为应用软件和操作系统安装补丁程序,将其更新至最新版本。同时,请及时升级您的赛门铁克安全软件,使您的计算机远离该病毒的威胁。

Livian Ge | 27 1 月 2010 07:49:30 GMT | 0 条评论
        W32.Ramnit是赛门铁克安全响应中心近期检测到的一类新蠕虫。它能够感染用户计算机系统中的.exe、.dll和.html文件。W32.Ramnit将自身加密以后附加到目标文件中,当被感染的文件运行时,该蠕虫会被释放到当前目录并被命名为[InfectedFilename]Srv.exe,然后执行。同时在%\ProgramFiles%\目录下增加一个MNetwork目录。感染该病毒的计算机会试图连接到网站rmnz[removed]ed.com,从该网站下载.dll文件注册到系统中。
 
        该病毒主要通过移动存储介质进行传播。传播时,它会把自己拷贝到移动存储设备根目录下面的Recycle Bin目录中,同时创建autorun文件以达到自动启动的目的。因此,我们建议用户在使用移动存储设备前先使用诺顿安全软件对其进行扫描,确认安全后再打开。及时将安全软件的病毒库升级至最新,以抵御新出现的各类安全威胁。
Livian Ge | 21 1 月 2010 06:38:00 GMT | 0 条评论

    赛门铁克安全响应中心持续追踪的木马程序Trojan.Zbot,会试图从用户计算机窃取私人数据。近期,该木马又出现新变种。

    运行时,Trojan.Zbot会首先把自身拷贝到系统目录下并伪装成一个正常文件,然后添加注册表项以达到开机自动运行的目的。此后,该木马会释放加密的配置文件,并且收集受害用户计算机的操作系统版本、语言种类等信息。Trojan.Zbot还会删除用户计算机上的Cookies信息,使得用户在访问银行网站时必须重新输入密码。接下来,该木马将恶意代码注入到除CSRSS.EXE以外的所有进程。这些恶意代码会挂钩许多与网络操作相关的函数来监控网络数据以达到盗取用户银行卡信息、电子邮箱密码等个人信息的目的。盗取到的信息会先存储在本地,随后发送到配置文件里所指定的地址。

    该木马主要通过互联网进行传播,如偷渡式下载,垃圾邮件等。因此,我们建议用户一旦发现异常应及时断开计算机的网络连接,并且使用赛门铁克安全软件对计算机进行全盘扫描和病毒查杀,这样能降低受到该木马危害的可能性,同时也避免了病毒向更多的在线电脑传播。如果确定计算机已经被该木马感染,请及时更改您的个人信息,包括登录网络的用户名、密码,邮箱密码和银行卡密码等,防止黑客利用窃取到的个人信息侵犯您的利益。

Livian Ge | 18 1 月 2010 13:58:42 GMT
        首先,用户必须提高警惕意识。如果在访问Web时,遇到了类似前面提到的可疑现象,请立刻终止浏览器。
 
        其次,目前的大部分单机版安全软件都有URL评级功能,如果访问的URL被定级为恶意,一般都会有提示,此时请不要再访问这个网站。例如Norton的Safe Web功能对SecurityToolFraud的网页会有如下提示:

                    21_NortonSafeWeb.jpg

                  22_NortonSafeWeb2.jpg

 

        另外,及时更新杀毒软件病毒库也是有效的防范措施之一。在恶意文件下载到你的机器时,杀毒软件的实时监控会将其立刻删除:

                   ...

Livian Ge | 18 1 月 2010 10:03:20 GMT
        SecurityToolFraud的源头位于http://bor[REMOVED].com 。访问该页面时,首先会遇到如下警告:

                    13_Alert.jpg

 
        与普通的浏览器提示窗口不同的是,如果使用IE 6.0,或者IE 7.0、Firefox的单页面访问这个链接时,浏览器窗口会被缩小并被放置到警告窗体之后,使人猛地以为是系统弹出的警告。其实仔细看看这个消息框的标题,依然是浏览器的。别以为点击Cancel就安全了,其实点击OK和Cancel的结果都一样 – 浏览器会被最大化,然后动态显示下面的扫描页面。注意,此时的浏览器标题已经被篡改为“My Computer Online Scan”。 网站的恶意脚本会抓住一切机会诱使或迫使用户继续下一步 -- 扫描:

                    14_Scan.jpg

 

        所谓的扫描结束后,...

Livian Ge | 18 1 月 2010 08:16:51 GMT
        几天前,PCWorld刊出一篇文章“FBI: Rogue Antivirus Scammer Have Made $150M”,所谓Rogue Antivirus Scammer,即安全业内俗称的流氓安全软件(Fake Antivirus Software),每年竟有1.5亿美元的收入!这类软件通常是在用户浏览某些问题网页时,利用弹出的虚假安全威胁提示,诱使用户点击下载并安装,其运行后会不断提示系统中毒。如果要进行查杀,必须付费激活该软件。当然这些提示都是假的,但其颇为“专业”的界面往往令人信以为真。
 
流氓安全软件之概述

      最早版本的流氓安全软件可以追溯到2006年的1stAntiVirus

             1_1stAntiVirus.jpg

 
        三年后的今天,从反馈数据来看,每天仍有几十到上百台机器中招1stAntiVirus。
 ...
Livian Ge | 18 1 月 2010 03:09:22 GMT
赛门铁克安全响应中心最近检测到一种新的蠕虫病毒--W32.Rixobot。该蠕虫会在受感染计算机中执行后门程序,通过该后门等待接收攻击者从IRC服务器发送来的命令。
 
运行后,W32.Rixobot会将自身拷贝到%SYSTEM%\目录下,命名为msnwm.exe;同时,它会释放驱动文件kernelx86.sys 到%SYSTEM%\drivers\目录下(该驱动文件被检测为Hacktool.Rootkit)。该蠕虫还会修改注册表,使自己绕过Windows防火墙检测以及阻止多种安全工具和管理员工具的运行,并劫持系统输入法程序,令系统在加载输入法程序的同时将其加载运行。
 
W32.Rixobot主要通过移动磁盘、即时通讯程序和攻击计算机漏洞进行传播。当受感染计算机后门被打开后,该蠕虫会接收攻击者发来的以下命令:
1)通过即时通讯程序传播该蠕虫;
2)通过移动媒介传播该蠕虫;
3)通过扫描主机漏洞传播该蠕虫;
4)更新该蠕虫的版本。
 
因此,我们建议用户及时为您的计算机应用软件和操作系统安装补丁程序,并将其更新至最新版本。使用移动存储设备前先对其进行安全扫描,确认安全后再打开。
Livian Ge | 07 1 月 2010 09:27:37 GMT | 0 条评论
        JS.SecurityToolFraud是赛门铁克安全响应中心最近检测到的一段恶意JavaScript代码,它藏身于http://bor[REMOVED].com这一恶意网站中。此恶意脚本会诱使用户下载并安装流氓安全软件SecurityToolFraud。
 
        当用户访问含有这段恶意脚本的网站时,JS.SecurityToolFraud会将用户浏览器窗口最小化,并弹出以下警告窗:

SecurityToolFraud_1.jpg

        由于浏览器窗口已经被缩小并被放置到警告窗体之后,用户会误以为该警告框是系统弹出的安全警告。JS.SecurityToolFraud就是以此来诱骗用户点击该警告窗。
 
        如果用户点击(无论选择点击OK还是Cancel),JS.SecurityToolFraud接下来就会显示虚假的动态扫描页面:

SecurityToolFraud_2.jpg

        该扫描界面非常逼真,可能会使很多用户信以为真。当虚假的扫描操作完成时,脚本将会向用户报告发现病毒并弹出下一个对话框继续诱骗用户点击:

...