信息搜索: 高级搜索
当前位置:首页 > 网络安全

网络信息安全简报(2012.07-08)

编辑:zhangqy 日期:2012-09-10 08:08

 

一、         趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
 
1)       10.10.7.222
 
2)       10.10.2.180
 
3)       10.10.2.181
 
1.2受感染用户前10名(总排行)
序号
计算机
IP地址
病毒/恶意软件数
楼宇名
1
SC509-B9
10.78.21.39
95534
紫金港-东4-5,东4-6
2
TOSHIBA-PC
10.14.26.121
75203
玉泉-教3
3
Lab7-00000
10.71.149.2
35171
紫金港-医学院教学中心
4
LAB4051
10.71.149.5
19894
紫金港-医学院教学中心
5
MBAC
10.71.89.250
16022
紫金港-青溪
6
WIN-98N0DLT7JH3
10.15.61.216
10846
玉泉-图书馆
7
201-C7-3
10.15.61.212
7449
玉泉-图书馆
8
A2-1U-X366GH
210.32.137.196
4423
玉泉-图书馆
9
ZJU-WZZX-YHQ
10.15.65.104
4122
玉泉-图书馆
10
E1F0661DB2A34F2
10.72.32.63
2938
紫金港启真酒店12,13层(西部研究卡特)
1.3受感染用户前10名(本月排行)
计算机
IP地址
病毒/恶意软件数
楼宇名
1
WIN-98N0DLT7JH3
10.15.61.216
10629
玉泉-图书馆
2
PC-20091013JWMJ
10.212.45.32
1108
玉泉-生医新
3
LAB4051
10.71.149.5
619
紫金港-医学院教学中心
4
WIN-QFL7POT58QG
10.15.61.219
140
玉泉-图书馆
5
127-PC
210.32.172.246
129
玉泉-图书馆
6
OLDBME068
10.12.45.68
122
玉泉-生医新
7
PC-201003131541
10.12.77.10
119
玉泉-军工大楼
8
W609
10.48.11.63
113
华家池-教学楼
9
GRACEWANG-PC
210.32.186.34
77
VPN用户
10
PC-201208161256
192.168.1.100
68
推测为无线用户
 
二、         安全简讯
 2.1 本月前Top5活跃网络病毒
本周活跃网络病毒如下表所示。其中,利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高,病毒仍多以利用系统漏洞的方式对系统进行攻击。趋势提醒互联网用户一方面要加强系统漏洞的修补加固,安装具有主动防御功能的安全软件,开启各项监控,并及时更新;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。

名称
特点
Hack.Exploit.Script.JS.Bucode.i
该溢出脚本病毒通过网页挂马的方式传播,会指向病毒网站下载其他病毒。
Trojan.Win32.FakeIME.d
该恶意广告病毒通过捆绑下载的方式传播,其恶意程序安装包会在桌面上建立该病毒传播网站的假IE 快捷方式,并且通过修改注册表,让该假IE 快捷方式不容易删除,不经用户同意将网址释放到IE 收藏夹目录中。
Trojan.Script.JS.Pop.a
该主页劫持脚本病毒通过捆绑下载的方式传播,会修改用户主页。
Hack.Exploit.SWF.Binx!48 96
该溢出脚本病毒通过网页挂马的方式传播,会利用swf 漏洞Binaryconvert byactiveScript构造特殊swf 文件,触发漏洞点,执行shellcode,下载恶意程序。
Trojan.Script.VBS.Dole.a
该木马通过捆绑下载的方式传播,会释放CAD 病毒脚本文件。

 
2.2本周重要的安全漏洞
1、Adobe产品安全漏洞
Adobe Flash Player是一款Flash文件处理程序;Adobe Shockwave Player是用于播放Director Shockwave Studio网页的插件。本周,上述Adobe产品被披露存在多个安全漏洞,攻击者利用漏洞可执行任意代码或发起拒绝服务攻击。
相关漏洞包括:Adobe Flash Player/AIR整数溢出漏洞、Adobe Flash Player/AIR 存在未明漏洞(CNVD-2012-13723、CNVD-2012-13725、CNVD-2012-13721、CNVD-2012-13719)、Adobe Shockwave Player远程内存破坏漏洞(CNVD-2012-13676、CNVD-2012-13690、CNVD-2012-13691)等。上述漏洞的综合评级均为“高危”,厂商已经修复了上述漏洞,趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
2、 IBM产品安全漏洞
IBM Lotus Domino 服务器是一款基于WEB合作的应用程序架构。本周,该产品被披露存在多个安全漏洞,攻击者可利用漏洞获得敏感信息或劫持用户会话。相关漏洞包括:IBM Lotus Domino HTTP 应答分片漏洞、IBM Lotus Domino跨站脚本漏洞(CNVD-2012-13698、CNVD-2012-13697)。其中,“IBM Lotus Domino HTTP应答分片漏洞”的综合评级为“高危”。目前,厂商已经修复了上述漏洞。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
3、SAP产品安全漏洞
SAP Business Objects Financial Consolidation是一款企业绩效管理产品;SAP Crystal Reports Server是一款报表解决方案产品,主要通过网络或嵌入企业应用程序来创建、管理和交付报表;SAP NetWeaver是一款SAP业务套件解决方案产品。本周,上述产品被披露存在多个安全漏洞,远程攻击者利用漏洞可执行任意代码。相关漏洞包括:SAP Business Objects Financial Consolidation 'CtAppReg.dll'远程代码执行漏洞、SAP Crystal Reports 'ebus-3-3-2-7.dll'远程代码执行漏洞、SAP Netweaver 'SAPHostControl'服务远程代码执行漏洞。上述漏洞的综合评级均为“高危”,厂商已经修复了上述漏洞,趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
4、HP产品安全漏洞
HP Serviceguard是惠普针对HP-UX和Linux操作系统提供的应用程序保护解决方案;
Hewlett-Packard Virtual SAN Appliance则是用于转换服务器磁盘驱动器和外部原有存储到虚拟iSCSI SAN 的软件产品。本周,上述产品被披露存在多个漏洞,攻击者利用漏洞发起拒绝服务攻击,执行任意命令。相关漏洞包括:HP Serviceguard存在未明拒绝服务漏洞、HP SAN/iQ任意SHELL命令执行漏洞、HP SAN/iQ未文档化账户漏洞。上述漏洞的综合评级均为“高危”,其中,厂商已经修复了“HP Serviceguard存在未明拒绝服务漏洞”。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
5、Mozilla Firefox远程拒绝服务漏洞
Mozilla Firefox是一款开源的WEB浏览器。本周,Mozilla Firefox被披露存在一个远程拒绝服务漏洞。由于Mozilla Firefox未能正确处理特制的HTML代码,攻击者可以利用漏洞构建恶意WEB页,诱使用户解析,使应用程序崩溃。目前,互联网上已经出现了针
对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂
商主页以获取最新版本。
 
2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
 
已查杀的全部病毒、恶意软件摘要:
 
传染来源摘要:(N/A表示来自外网或无法识别)
 
被感染的目标(主机)摘要:
 
处理措拖结果摘要:
 
 
三、         计算机病毒常用防范知识
3.1 10个可被简单解决的安全疏漏
比遭遇安全漏洞更糟糕的是什么?是这个漏洞本应该被及时弥补但却没有。
不论我们做多大的努力,终端用户甚至是企业的IT部门,仍然会忽视那些本来很容易被纠正的安全疏漏。本文将与大家讨论10个可以被避免的安全疏漏,并告诉大家该如何纠正这种疏忽。
 
1:使用脆弱的密码
曾经有段时间,有些人自作聪明的用“password”作为密码,用来愚弄那些千方百计猜测密码的黑客和其它恶意分子。毕竟很多人都不会用这么明显的词语作为密码。如今,很多人意识到了用这种密码所能实现的安全性实在是脆弱,但仍然有很多人乐意使用这种简单易猜的密码,尤其是在如今高度社交化的网络中。比如,有人会用自己的名字缩写加上生日作为密码,而这方面的信息数据很容易通过Facebook或其它渠道获取,有心的黑客只要将少量的信息组合一下就能破解这种密码了。而就算是在一些拥有强力密码策略的企业中,只要有人存在,就会有这种脆弱的密码存在。
解决方案: 不要用明显的模式来设置密码。将各种因素混杂起来,比如用感叹号代替数字1,&标记代替数字8。密码设置的越复杂,被破解的几率就越小。如果你在为企业设置密码策略,应该要求密码中使用多个字符集。
 
2:从来不改密码
这种情况我见得次数太多了。很多人多年来一直不曾更改密码,而且这个密码还被用于多个网站。这是一个很大的安全漏洞。在企业里,就算有密码修改的策略,但是很多员工还是能找到办法绕过这种强制策略。比如,我的公司里曾经有一个拥有域管理员权限的员工,他将自己的账户排除在了密码策略之外。发现后我严厉的批评了他,并让他将自己的账户至于密码策略规范之内(后来我觉得真的应该开除这个人,因为他滥用了自己的权利)。当然,我说的情况可能比较特殊,但是我们可以想想,有多少人在使用相同或近似的密码来访问不同的网站呢?而到了必须修改密码的时候,是不是有很多人只改掉一个字符来应付密码策略的强制要求呢?
解决方案: 对员工或用户进行培训,让他们知道一个强壮的密码有多么重要,以及为什么要定期更换密码。作为密码策略的一部分,你也可以考虑采用第三方软件来禁止用户使用类似的密码应付密码策略的强制要求。
 
3: 不安装杀毒软件
这个疏忽是完全可以避免的。如果你的工作环境中没有安装反病毒软件,那么你真的是大错特错了。就算有最好的防火墙,仍然要记住安全屏障的层次概念。一旦防火墙没有成功拦截恶意代码,反病毒软件将成为终端系统上最后的屏障。
解决方案: 马上安装杀毒软件。
 
4: 不使用防火墙或设置不严谨
 
不论是在家还是在企业IT环境中,都应该使用防火墙设备。虽然Windows和其它操作系统现在都自带有内置的防火墙,我仍然建议大家购置一部硬件防火墙设备,或类似的设备,硬件防火墙与软件防火墙相配合,是最好的安全方案。另外,如果使用防火墙,就要对其进行严谨的设置。
解决方案: 有条件就在家或在企业环境都配备上防火墙硬件设备。确保防火墙不会允许不必要的数据从外部流入内网环境。
 
5: 从不给系统打补丁
操作系统开发商和应用程序开发商定期推出补丁程序是有其原因的。虽然很多升级或更新都是为了增加新功能,但仍然有不少更新是纯粹为了弥补系统和软件的安全漏洞的。我见过很多家用电脑系统中,用户都将系统自动更新选项关闭了。而在企业环境,很多时候人们觉得网络边缘有了防火墙,就不需要再为系统安装升级补丁了。这并不正确,因为很多攻击代码会通过防火墙的防护进入企业内网。
解决方案: 为系统打补丁!打开系统和软件的自动更新功能,并立即为企业建立补丁管理策略并实施。
 
6: 不安全的数据存储
你将多少敏感数据(比如个人信息,公司业务数据等)存放在了U盘里?你是不是曾经带着这种存有敏感信息的U盘外出过?我见过很多人将U盘作为钥匙链,带在身上到处走动。有的时候,U盘就和钥匙一起放在了食堂的饭桌上忘记拿走。
现在,还有多少人会将企业数据备份在磁带上?这些磁带是否会被搬离备份场所,这个过程是否处于你的控制之中?
不受保护的数据是安全的一大问题。一次简单的丢失U盘、笔记本、iPad或备份磁带的事件,就会让企业面临财务、司法以及公共关系上的巨大挑战。
解决方案: 对任何可移动的存储数据进行加密保存。大多数备份软件都支持对备份数据进行加密,比如BitLocker以及 BitLocker To Go可以用来保护笔记本设备和U盘。对于其他设备,比如iPad,可以考虑使用移动安全管理软件对其中的数据进行加密保存。
 
7: 过于慷慨的权限
在企业环境中,权限决定了一个用户能做什么不能做什么。要让员工顺利工作,最简单的方式是给他们赋予管理员权限,以便让他们能够访问企业网络的所有内容。但是这种方式很快就会带来混乱。因此大多数公司都会根据员工的工作关系,通过权限策略为其赋予适当的权限。不幸的是,就算有这种策略,还是会发生权限蔓延的情况。比如员工从一个岗位调换到另一个岗位,而之前的权限并没有被移除。
解决方案: Make 确保企业应用了明确的权限管理策略。企业的权限管理策略和实施方法应该定期的进行审视和调整,以便适应企业当前的需求。不需要的权限要及时清除。
 
8: 薄弱的或没有 Wi-Fi安全设置
就算现在很多人都知道开放的Wi-Fi网络具有很大安全风险,仍然有很多家庭或企业让自己的无线网络保持开放和不安全的状态。另外,由于WEP加密方式的普及,仍然有很多网络在使用这种加密验证方式,但是这种方式已经很不安全了,甚至四秒钟就可以破解WEP密码。不过就算如此,这样比完全开放的无线网络要安全一些。
解决方案: 使用WPA 或者更高级的WPA2加密验证措施。 WPA2是目前流行的无线网络安全标准,多数操作系统都支持这个标准。另外,在采用WPA2标准后,还要设置一个足够强壮的密码,这个密码应该是不容易被猜测出的,或者不容易被暴力破解的,否则再好的加密标准也是虚设。WPA2加密也有可能被破解,但是破解WPA2的难度要远高于破解WEP或WPA。
 
9: 忽视简单的移动设备安全措施
未来几年,移动设备将成为黑客们的天堂。很多人随身携带的移动数码设备都存储有未加密的个人信息,这些设备中存储的信息可以在短时间内被黑客获取。而且这种设备很容易被盗或丢失。前面我提到过,你应该留意该在移动设备中存储什么样的信息,并将敏感的信息删除或加密。但是利用移动设备的联网功能进入企业网络并窃取信息的情况还是会出现的。
解决方案: 虽然很简单,但是非常必要,即当移动设备试图访问企业网络时,要求使用密码登录。虽然这种方式不能跟不上杜绝移动设备窃取企业网络数据的情况发生,但是会让那些偶尔获得移动设备的人知难而退。
 
10: 从来不检查备份
让我们假设一种情景,企业的所有安全机制都失效了,企业数据和网络已经遭到了严重的入侵和破坏,系统和数据都已经不再可靠了。这时候,可能唯一能做的就是通过备份数据来回复整个环境。但是,如果遇到如下几种情况,对于企业来说,就真的是无可挽回了:
· 备份数据损坏。
· 备份磁带有损伤。
· 虽然每晚备份系统都在向磁带上记录备份数据,但实际上没有任何数据被备份。
以上任何一条出现,对企业来说都是致命的打击。
解决方案: 立即制定和实施相应的策略和工作程序,定期检查备份数据。另外,考虑添加额外的备份系统,将备份数据进行再次备份,并存储在与网络隔离的环境中,防止备份数据在企业网络遭遇黑客攻击时被一起破坏。
 
3.2 常见病毒处理方法-PE_PARITE.A
此病毒为7-8月在学校大量感染的病毒,感染数量达10759个,在此介绍此病毒的概况和处理办法
 
病毒名:PE_PARITE.A
 
别名: Virus:Win32/Parite.B (Microsoft), W32.Pinfi (Symantec), W32/Pate.b (McAfee), Virus.Win32.Parite.b (Kaspersky), W32/Parite-B (Sophos), Win32.Parite.b (Sunbelt)
感染途徑: 文件感染
它可能是由远程站点的其他恶意软件/灰色软件/间谍软件下载而来。
它通过在目标主机文件中附加自己的代码来感染文件。
文件大小: Varies
报告日期: EXE
内存驻留: 是的

 
病毒详细信息
它可能是由下列恶意软件/灰色软件/间谍软件从远程站点下载而来:HTML_SHELLCOD.SM
它添加下列注册表键值作为其安装例程的一部分:
文件感染
.EXE
.SCR
它通过在目标主机文件中附加自己的代码来感染文件。
 
植入例程
它植入下列文件:
%User Temp%{random file name}.tmp - detected as PE_PARITE.A-O
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:Documents and Settings{user name}Local SettingsTemp (Windows 2000、XP 和 Server 2003)。)
 
 
趋势:
最小扫描引擎: 8.900
VSAPI OPR样式版本: 5.883.00
VSAPI OPR样式发布日期: 4月 2008年
 
使用趋势科技产品扫描计算机,并清除检测到的PE_PARITE.A文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。
 
手动删除方法:
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
删除该注册表键值:
In HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
 
打开注册表编辑器。依次单击开始>运行,输入REGEDIT,然后回车确认。
在左侧窗格中,双击下列各项:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer
继续在左侧窗格中找到和删除键值:
PINF
关闭注册表编辑器。
 
四、         技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
 
咨询服务电话:87951669
 
工程师联系方式:
13751767387 郭波
13588277982 章荣伟
 


访问次数:22286

2009 浙江大学 版权所有 电话:0571-87951669  E-mail:xwmaster@zju.edu.cn
地址:中国·杭州 邮编:310027

访问人次:8371950