截屏视频帮助
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
显示用 简体中文 发布的帖子
Livian Ge | 18 5 月 2009 08:00:45 GMT | 0 条评论

    新近出现的病毒W32.Sens.A很有特点:不仅非常善于伪装自己,而且它的种种行为又同日期有很高的关联度。

 

     首先,病毒W32.Sens.A可能伪装成setup.exe文件进入用户计算机中,并利用()图标作为自己的身份“掩体”。通常用户看到这类图标,会很自然地把该文件当做安装程序使用,即使他们并不清楚文件的真实内容。

 

     病毒运行时,首先会将文件seus.dll释放到系统目录,该文件将被注册为系统服务文件

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\"ServiceDll" = "%System%\seus.dll"以实现病毒在开机时自动启动。随后,病毒将被感染计算机的时间篡改为2001年8月18日。同时,病毒会在硬盘中搜索病毒编写者感兴趣的信息,并将窃取的信息连同本机用户名、IP地址、操作系统版本和计算机名一起发送至远端的恶意服务器。另外,病毒还会试图下载并执行恶意代码。

 

     值得注意的是,病毒的其它行为还取决于计算机被感染的日期。若计算机在星期二被感染,病毒会在临时目录生成文件~DF5J4E9.tmp;若在星期三被感染,病毒会在系统目录下生成文件dx.vxd;如果在星期四被感染,病毒会感染硬盘上的文件;感染后的文件将会增大8,026字节。

 

Livian Ge | 18 5 月 2009 07:15:02 GMT | 0 条评论

    最近我们注意到了新的一轮针对Facebook用户的钓鱼欺骗。这同几个月前,某Facebook用户的登录信息被盗,导致该用户的朋友被假装使用这个账号的攻击者骗取了几千美元的案例很相似。这次攻击者依然采用非法侵入的方式盗取用户的登录信息,然后通过该账户发送恶意链接给所有的联系人。如果联系人点击该恶意链接,便会被定向至另一个看起来同Facebook官方网站很相似的登录页面。一旦联系人在这个假冒的页面上输入了用户名和密码,便可能被不法分子利用,导致无法估料的损失。

 

    我想很多人的网络习惯都是使用同样的用户名和密码登陆不同的账户(包括休闲娱乐使用的社交网站,网络购物,以及金融方面的网上支付和网络银行账户)。在这种情况下,一旦某一个账户密码被盗,如Facebook账户,那用户将可能面临多重攻击,如金融诈骗,其他在线服务的信息被盗取,或被攻击者利用来攻击其他的联系人。这样看来,一个账户的登录信息被盗,所造成的连带损失是巨大的,攻击者可以为所欲为。不过,Facebook的工作人员非常重视并正在积极地处理这起钓鱼欺骗,移除包含恶意链接的短消息,并帮助被攻击的账户恢复正常使用。

 

     所以我们应该怎样保护自己远离这些网络威胁呢?用户需要对网络社区成员传送的站内短消息,或看起来是网站自己发送的官方短消息保持警惕,尤其当其中含有链接时。如果你点击某链接后被定向到新的网页,检查浏览器地址栏里的URL是否是正确的域名、地址。当然,建议用户最好直接在浏览器地址栏中输入要访问的URL, 如http://www.facebook.com,尽可能避免直接点击链接。其他的防范措施还包括:

 

1. 尽可能使用比较复杂的密码组合,不同的网站最好设置不同的密码。有种方式是,先制定一个由字母和数字组成的通用密码,然后冠以网站名的第一个字母,作为该网站的特制密码。比如,若通用密码是“abc123$”,那么当它被用作Facebook密码时就变成了“Fabc123$”。

 

2. 及时更新浏览器程序和操作系统。使用如诺顿网络安全特警2009等有效的安全软件。浏览网页前,可使用Norton Safe Web检查网页的安全性。

3....

Livian Ge | 30 4 月 2009 06:05:04 GMT | 0 条评论

    最近关于“猪流感”的新闻报道铺天盖地。在“猪流感”成为热点话题的同时,病毒编写者也打起了它的主意。赛门铁克安全响应中心已截获以“猪流感”为主题的病毒样本。而随着大众关注度的提高,攻击者可能会继续利用该话题编写恶意程序,并借助以“猪流感”为主题的垃圾邮件对病毒进行传播。因此,大家要格外警惕。 

 

    赛门铁克截获的病毒样本是一个名为“Swine influenza frequently asked questions.pdf”(猪流感常见问题及解答)的Adobe PDF文件。下面是该文件的一段截图:

 

    当用户打开该PDF文件时,文件中所携带的恶意代码会攻击一个已知的Adobe漏洞 (BID 33751) ,并试图释放一个恶意程序。赛门铁克将此类恶意PDF文件检测为Bloodhound.Exploit.6,将释放的恶意程序检测为Infostealer。 

 

    同时,我们还发现一些关于“猪流感”话题的网站也遭到病毒攻击,访问这些网页的用户很容易中毒:

 

 

 

    如上图所示,该页面被注入了远程脚本http://[REMOVED].org/c.js。此脚本会重定向URL,最终将用户指向另一个被加密的恶意网页23ff[REMOVED]22.org/a/cnzz.htm。被加密的恶意网页脚本如下:

 

 

    解密后的脚本如下:

 

...

Livian Ge | 16 4 月 2009 03:06:04 GMT | 0 条评论

    互联网技术的发展改变了企业与消费者相互沟通及交互的方式。互联网已成为信息共享与商务交易的主要平台。同时,互联网变得日益复杂、没有界限。现在,一张网页上可能包含着来自全球许多同步数据源的信息。只要其中一个数据源遭到攻击,新的网站攻击就可能快速传播并发送给许多毫无戒心的互联网用户。网站攻击的普遍性与复杂性,加上基础设施的漏洞,使得互联网变得异常脆弱,越来越容易受到攻击。2008 年,赛门铁克发现互联网威胁的数量与复杂程度都大幅提高,全球各地的用户都受到不同程度的影响。

 

     针对这种情形,赛门铁克以“基于Web的攻击”为主题撰写了本白皮书,旨在提供有关基于Web的攻击分析的常规认识,并分析在过去一年内,造成向这种攻击类型转变的一些影响因素。从 2008 年至 2009 年初,我们对威胁趋势进行了长时间的监视,发现了许多基于互联网活动的新兴威胁技术和格局。下面介绍了其中影响最大的几种威胁趋势。 

 

  1. 来自主流网站的偷渡式下载日益增加
  2. 令人眼花缭乱、变化迅速的攻击使传统的防病毒解决方案难以招架
  3. 攻击不再只针对浏览器本身,开始指向浏览器插件
  4. 影响用户的误导应用程序日益增多
  5. SQL注入式攻击开始入侵主流网站
  6. 恶意广告将用户重定向至恶意网站
  7. 独特的、有针对性的恶意软件样本呈爆炸式增长

 

     在本白皮书中,我们将对其中每种趋势进行详细的说明,并分析每种趋势会给业已十分危险的新威胁格局所带来的影响。我们还将查看网站攻击通常藏身于何处,例如,您再也不能简单地认为非法网站是网站攻击的唯一藏身地 – 在当今的互联网环境下,任何网站都可能遭到攻击者的攻击,并可能被用来攻击您的计算机。我们将对用户浏览互联网时黑客用来感染其计算机的技术进行分析,并将探究恶意软件在进入用户的计算机后可能发动的一些恶意活动。另外,我们还将分析为何在面对新的威胁格局时,某些传统的防护方法(例如特征式防病毒)已不能提供充分的全面防护。最后,我们将探讨您可以采用的一些额外防护措施,以降低您或您的计算机遭受网站攻击的可能性。

 

...

Flora Liu | 10 4 月 2009 11:11:14 GMT | 0 条评论

      近期有几个Windows内核漏洞值得大家关注。这些漏洞可能被攻击者加以利用。截至目前,微软方面尚未发布相关的官方消息及针对这些漏洞的补丁。

 

      漏洞之一存在于Windows 2000/ Windows XP/ Windows Server 2003 平台上,由不安全的Win32系统调用导致。Windows Vista和Windows 7系统不受影响。另一个漏洞涉及Windows XP SP2的系统端口驱动文件atapi.sys。漏洞的触发基于对用户台提交数据的过滤不严格。由于存在漏洞的函数未对由用户台传入的参数进行验证,从而可能导致内核数据被覆盖,引发系统蓝屏(BSOD)和拒绝服务(DoS)攻击。

 

      我们目前尚未监测到利用此类漏洞的安全威胁。赛门铁克将对此保持紧密关注并进行进一步更新。

Message Edited by Flora Liu on 04-10-2009 07:09 AM
Livian Ge | 09 4 月 2009 14:40:55 GMT | 0 条评论

    近期备受关注的W32.Downadup病毒已出现最新变种W32.Downadup.E。赛门铁克在最近截获的新变种样本中分析到以下新的技术特点:  

 

  • W32.Downadup.E修改系统驱动文件“tcpip.sys”,使病毒可利用受感染的计算机同时建立更多的网络连接,以攻击更多的计算机。

 

  • W32.Downadup.E利用SMB协议获取目标计算机的系统信息,以更有针对性的对计算机进行攻击,提高成功机率。

 

  • W32.Downadup.E启用5114端口,利用该端口建立HTTP服务器。该服务器可能被用作下载恶意代码的通道。

 

  • W32.Downadup.E继续使用UPnP架构,并利用路由器漏洞从外部控制被感染的计算机。

 

  • W32.Downadup.E变种被重新加入利用MS08-067漏洞的恶意代码。该代码曾被用于W32.Downadup.B变种中,不过W32.Downadup.C变种将其移除,这次我们发现该代码又被重新加入W32.Downadup.E中。

 

  • W32.Downadup.E重新使用另一批网站来获取目标计算机的IP地址。

 

  • W32.Downadup.E可能与W32.Waledac存在关联:我们发现有两个名字相似的文件在受感染计算机的\Windows\temp文件夹中先后出现 — 484528750.exe 和484471375.exe。 这两个文件其实就是W32.Waledac和W32.Downadup.E病毒文件。而这两个病毒之间可能存在某种关联 ,即W32.Downadup.E被用作传播W32.Waledac病毒。W32.Waledac病毒可盗取用户计算机中的机密信息,并将计算机感染为傀儡计算机用以发送垃圾邮件,或在计算机中开启后门等。若W32.Downadup.E将W32.Waledac大规模传播,将给计算机用户带来极大的安全威胁。

 ...

Livian Ge | 31 3 月 2009 04:24:14 GMT | 0 条评论

    “愚人节”就在明天,大家可能已经做好了整人或被人整的准备。通常,恶作剧的出现都会毫无预警,令人措手不及,以达到最佳“娱乐”效果。不过,今年有人改变了策略,提前通知大家他的“愚人节”计划, 如Downadup病毒编写者宣称4月1日将对现有的Downadup病毒升级。

 

     根据赛门铁克安全响应中心监测显示,Downadup (又名Conficker)可能于近日展开新一轮攻击。Downadup 蠕虫病毒编写者在现有的Downadup病毒脚本中表明,将于2009年4月1日将该病毒升级。

 

     Downadup蠕虫病毒利用微软视窗的MS08-067漏洞,通过将自己复制到共享网络的共享文件夹中,或感染U盘等移动存储设备进行传播。同时, Downadup也可能利用“愚人节”主题的垃圾邮件进入用户计算机中。一旦感染成功,Downadup病毒能够在用户未知情的情况下安装并运行。自2008年11月赛门铁克发现Downadup病毒以来,该病毒已感染上千万台计算机,并利用受感染的计算机发送垃圾邮件,制造钓鱼或垃圾邮件骗局,盗取诸如用户名、密码、证件号码等私人信息,或在用户不知情的情况下运行恶意代码等。若Downadup新变种出现,将给计算机用户带来更多更棘手的安全威胁。

 

    虽然还不能肯定Downadup病毒将在“愚人节”当日升级的消息是真实的,还是一则“愚人节”玩笑,我们仍然想提醒广大计算机用户及时更新计算机中的防病毒软件,并及时安装最新微软Windows Update,防患于未然。若新病毒一旦爆发,未安装或未及时更新防病毒软件的用户计算机系统很可能受到安全威胁的影响。

 

    如果用户的计算机中还未安装有效的防病毒软件,赛门铁克提供诺顿网络安全特警2009和诺顿360试用版供用户下载使用(http://www.symantec.com.cn/trialware)。同时,赛门铁克也提供针对Downadup病毒的免费移除工具Symantec FixDownadup.exe,用户可前往...

Livian Ge | 27 3 月 2009 16:26:21 GMT | 0 条评论

    当你看见一个“电影场记板”图样  的文件出现在邮件里,会不会好奇地想要点击一下这个文件,看看它到底会如何运行?如果答案是“肯定”的话,Backdoor.Tidserv木马病毒很可能就会通过这个渠道进入你的电脑。

 

     Backdoor.Tidserv是一个非常“狡猾”的病毒,其传播渠道和隐藏技术都十分多变。从传播渠道来讲,Backdoor.Tidserv可以将自己伪装为令人好奇的图标,作为垃圾邮件的附件进入用户计算机,驱使用户点击而触发病毒的执行;它还可能通过偷渡式下载的方式,在用户浏览某些不安全网页时自动载入用户计算机中。从隐藏技术来讲,Backdoor.Tidserv通常会被加壳,如Packed.Generic.200等。而且这个“壳”变种迅速,增加了防病毒软件查杀该病毒的难度。

 

    Backdoor.Tidserv首先检查互斥量 \TdlStartMutex以确保每次在计算机中只有一个实例在运行。 紧接着,Backdoor.Tidserv会在受感染的计算机中生成并运行以UAC开头的病毒文件。同时,病毒还会释放一个DLL文件,并通过修改msvcrt.dll入口以通过启动系统服务MSISERVER来加载这个DLL文件。该DLL文件运行后,会释放出一个驱动程序,当该驱动程序运行时,将隐藏系统中所有以UAC开头的文件—这不仅包括以UAC开头的病毒文件,还包括其他与该病毒无关却以UAC开头的干净文件。如此以来,所有和病毒命名相似的文件都将被隐藏,增加了防病毒软件对该病毒的检测难度。

 

    以下是我们根据病毒“自我隐藏”的特性所做的演示: 

    图一显示病毒运行前,文件夹的病毒文件Tidserv.exe,及其他以UAC开头的干净文件:

 

...
Livian Ge | 12 3 月 2009 06:20:44 GMT | 0 条评论

    随着网络游戏的流行,各类针对玩家的服务也应运而生,包括一些未经游戏厂商授权的服务。游戏私服就是其中一种。通常网络游戏都是付费服务,需要玩家买点卡或使用信用卡进行消费。而游戏私服最吸引人的地方就是它使用免费,并且玩家可以相对容易地练级或赚取装备。然而,由于这些游戏私服并未得到官方机构的安全认可或测试,其安全性和可靠性都非常值得怀疑。若玩家使用这类游戏私服,很可能会“引狼入室”,给电脑带来潜在的安全威胁。最近,我们就检测到一种利用游戏私服登录器,插入木马程序,盗取用户资料的新伎俩。 

 

    病毒编写者将盗取玩家游戏账户信息的Infostealer.Gampass 木马病毒同游戏私服的登录器捆绑。当玩家点击游戏文件的图标,启动该游戏时,其实他同时启动了两个程序:首先是Infostealer.Gampass木马病毒,然后才是网络游戏本身。由于执行了两个进程,用户可能会感觉到登陆窗口的出现比平时慢了一些(图一)。不过,通常用户会以为这是由于系统运行速度慢,或电脑配置不够高造成的,而不会去探究真正的原因—病毒已入侵电脑,正准备盗取用户登录名和密码。

 

 

                                                    图一

 

    下面的截图展示了带病毒的游戏程序运行时的情况。图二是玩家点击游戏文件之前,我们可以看到文件夹中只有这个游戏文件本身。图三是玩家点击游戏文件之后,我们可以看到文件夹中立即出现了另一个神秘的文件-–这其实就是Infostealer.Gampass木马病毒所释放的盗取玩家游戏账户信息的木马程序。

 

 

...
Livian Ge | 09 3 月 2009 09:49:05 GMT | 0 条评论

    赛门铁克最新监测显示,W32.Downadup家族的新变种W32.Downadup.C已出现。同W32.Downadup家族其他病毒有所不同的是,新变种的主要目的不在于扩大病毒传播范围、入侵更多计算机,而是采用了更先进的手段保护已侵入计算机的W32.Downadup病毒更好的躲避防病毒软件和安全分析工具(如进程监测工具)的检测和移除,从而延长他们在受感染计算机中的“寿命”,以帮助病毒制造者获取更多有价值的信息。

 

     在之前针对W32.Downadup.B的分析文章《W32.Downadup蠕虫病毒及其变种正在广泛传播》中我们提到,受W32.Downadup.B感染的计算机每天会生成250个随意的伪域名,并试图连接这些地址以下载并升级病毒模块。安全软件厂商采用了反域名生成算法可以有效的主动确认和封锁这些域名。不过,这次的病毒新变种W32.Downadup.C将每天能够制造的域名数量从250个提高到50,000个,大大增加了被破解的难度。

 

     同时,为了阻碍计算机中的防病毒软件和安全分析工具的正常运行,...