信息搜索: 高级搜索
当前位置:首页 > 网络安全

网络信息安全简报(2012.11)

编辑:zhangqy 日期:2012-12-12 15:03

 

一、    趋势系统使用情况

1.1三台服务器统计中毒排名在前的用户:

 

1)   10.10.7.222

 

2)   10.10.2.180

 

3)   10.10.2.181

 

1.2受感染用户前10名(总排行)

序号

计算机

IP地址

病毒/恶意软件数

楼宇名

1

TOSHIBA-PC

10.14.26.121

75209

玉泉-3

2

MBAC

10.71.89.250

16744

紫金港-青溪

3

WIN-98N0DLT7JH3

10.15.61.216

14894

玉泉-图书馆

4

201-C7-3

10.15.61.212

7449

玉泉-图书馆

5

ZJU-WZZX-YHQ

10.15.65.104

4126

玉泉-图书馆

6

A2-1U-X366GH

210.32.137.196

4432

玉泉-图书馆

7

WIN-M5IP9O9VK62

10.15.61.220

3686

玉泉-图书馆

8

WIN-4VR05G5VPMD

10.15.61.201

3685

玉泉-图书馆

9

WIN-5N55P2RA3CI

10.15.61.218

3314

玉泉-图书馆

10

WIN-SP4CFLNHUOF

10.15.61.217

3196

玉泉-图书馆

1.3受感染用户前10名(本月排行)

序号

计算机

IP地址

病毒/恶意软件数

楼宇名

1

BILLGATES

10.78.17.35

1839

紫金港

2

WIN-M5IP9O9VK62

10.15.61.220

1394

玉泉-图书馆

3

WIN-4VR05G5VPMD

10.15.61.201

1388

玉泉-图书馆

4

WIN-98N0DLT7JH3

10.15.61.216

1349

玉泉-图书馆

5

WIN-5N55P2RA3CI

10.15.61.218

1069

玉泉-图书馆

6

LAB4051

10.71.149.5

619

紫金港-医学院教学中心

7

X2-204

10.78.213.10

437

紫金港西2多媒体教室

8

D1B312

10.78.211.27

263

紫金港西1

9

X2-413

10.78.213.36

207

紫金港西2多媒体教室

10

X1-215

10.78.212.16

192

紫金港西1多媒体教室

 

二、    安全简讯

 2.1 本月前Top5活跃网络病毒

本月,趋势整理发布的活跃网络病毒如下表所示。其中,利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高,病毒仍多以利用系统漏洞的方式对系统进行攻击。趋势提醒互联网用户一方面要加强系统漏洞的修补加固,安装具有主动防御功能的安全软件,开启各项监控,并及时更新;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。

名称

特点

Hack.Exploit.SWF.Binx!4896

该溢出脚本病毒通过网页挂马的方式传播,会利用 swf 漏洞 Binary convert by activeScript 构造特殊 swf 文件,触发漏洞点,执行 shellcode,下载恶意程序。

Hack.Exploit.Script.JS.Bucode.i

该溢出脚本病毒通过网页挂马的方式传播,会指向病毒网站下载其他病毒。

Trojan.Script.VBS.Dole.a

该木马病毒通过捆绑下载的方式传播,会释放 CAD 病毒脚本文件。

Hack.Exploit.Script.JS.Iframe.ac

该溢出脚本病毒通过网页挂马的方式传播,会指向病毒网站下载其他病毒。

Trojan.Win32.Generic.136A5968

该木马病毒通过捆绑下载的方式传播,会被捆绑在被修改的 qvod播放器安装软件中,主病毒程序运行后会在 C:Program FilesCommon FilesMsdown释放各种木马;创建名为“Msdiskmanage”的服务,实现服务自启动;连接后门,下载其他恶意盗号软件;加载正常的 qvod下载播放器。

 

2.2本周重要的安全漏洞

1Mozilla 产品安全漏洞

Mozilla Firefox 是一款开源的 WEB 浏览器。本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可构建恶意 WEB 页,诱使用户解析,使应用程序崩溃或执行任意代码。

趋势收录的相关漏洞包括:Mozilla Firefox osx装载HTML文件堆内存错误引用漏洞、Mozilla Firefox BuildTextRunsScanner::BreakSink::SetBreaks 堆内存错误引用漏洞、Mozilla Firefox 内存破坏漏洞(CNVD-2012-16031)、Mozilla Firefox nsEditor::FindNextLeafNode 堆内存错误引用漏洞、Mozilla Firefox nsWindow::OnExposeEvent 堆缓冲区溢出漏洞、Mozilla Firefox nsPlaintextEditor::FireClipboardEvent 内 存 错 误引 用 漏 洞 、 Mozilla Firefox nsViewManager::ProcessPendingUpdates 堆 内 存 错 误 引 用 漏 洞 、 Mozilla Firefox gfxFont::GetFontEntry 内存错误引用漏洞等。上述漏洞的综合评级均为高危。厂商已经发布了上述漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

 

2IBM 产品安全漏洞

IBM WebSphere DataPower XC10 Appliance 是一款结合 DataPower 硬件平台和 IBM 分布式缓存技术的解决方案;IBM Business Process Manager V7.5 是一款集成了以人为中心的业务流程综合 BPM 管理平台。本周,上述 IBM 产品被披露存在多个安全漏洞,攻击者利用漏洞可提升权限,执行管理员操作或注入任意 HTML 和脚本代码。

趋势收录的相关漏洞包括:IBM WebSphere DataPower XC10 未授权操作漏洞、IBM WebSphere DataPower XC10 远程拒绝服务漏洞、IBM WebSphere DataPower XC10 共享密钥漏洞、IBM Business Process Manager 跨站脚本漏洞、IBM Business Process Manager 'Coaches'跨站脚本漏洞。其中,“IBM WebSphere DataPower XC10 未授权操作漏洞“IBM WebSphere DataPower XC10 远程拒绝服务漏洞的综合评级均为高危。厂商已经发布了上述漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

 

3SINAPSI eSolar 安全漏洞

Sinapsi eSolar 是一款监控与数据采集(SCADA)产品。本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可以以管理员权限访问系统,获得数据库信息或执行任意命令。

趋势收录的相关漏洞包括:SINAPSI eSolar Light Photovoltaic System Monitor 页面访问限制漏洞、SINAPSI eSolar Light Photovoltaic System Monitor 默认密码漏洞、SINAPSI eSolar Light Photovoltaic System Monitor SQL 注入漏洞、SINAPSI eSolar Light Photovoltaic System Monitor Shell 命令注入漏洞。上述漏洞的综合评级均为高危。目前,厂商已经修复了上述漏洞,趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

 

4Novell File Reporter 安全漏洞

Novell File Reporter Novell File Management Suite 的一个组件,用于识别网络存储的文件并生成相关使用信息的报告,它由一个中央报告引擎和多个分布式代理(NFR Agent)构成。本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可读取任意文件,执行任意代码。

趋势收录的相关漏洞包括:Novell File Reporter 'NFRAgent.exe'任意文件上传漏洞、Novell File Reporter 'NFRAgent.exe' FILE 任意 文件读取漏洞、Novell File Reporter 'NFRAgent.exe'堆溢出漏洞、Novell File Reporter 'NFRAgent.exe' PATH 任意文件读取漏洞。上述漏洞的综合评级均为“高危”。目前,厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。

 

5TP-LINK TL-WR841N 路由器存在多个 HTML 注入漏洞

TP-LINK TL-WR841N router 是一款无线路由器设备。本周,该产品被披露存在多个HTML 注入漏洞。由于 TP-LINK TL-WR841N 路由器未能正确校验用户提供的输入,远程通过验证的攻击者可以利用漏洞使用 username pwd 参数注入恶意脚本代码,获得敏感信息或劫持用户会话。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。

 

2.3 截止至本月的各查杀统计表

已查杀的病毒/恶意软件数:

 

已查杀的全部病毒、恶意软件摘要:

 

传染来源摘要:(N/A表示来自外网或无法识别)

 

被感染的目标(主机)摘要:

 

处理措拖结果摘要:

 

 

三、    计算机病毒常用防范知识

3.1 计算机病毒特征

初步分析

 

引导部分的作用是将病毒主体加载到内存,为传染部分做准备(如驻留内存,修改中断,修改高端内存,保存原中断向量等操作)。

 

传染部分的作用是将病毒代码复制到传染目标上去

 

表现部分是病毒间差异最大的部分,前两个部分也是为这部分服务的,前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。

 

无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等),影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性体现了病毒设计者的真正意图。

 

特征:传染,隐蔽,破坏,衍生

 

计算机病毒的衍生性

 

由于计算机病毒本身是一段计算机系统可执行的文件(程序),所以这种程序反映了设计者的一种设计思想同时,又由于计算机病毒本身也是由几部分组成的,如安装部分,传染部分和破坏部分等,因此这些模块很容易被病毒本身或其它模仿者所修改,使之成为一种不同于原病毒的计算机病毒。

 

传染方式分类

 

引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。主引导记录病毒感染硬盘的主引导区,如大麻病毒、2708病毒、火炬病毒等;分区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、Girl病毒等。

 

文件型病毒是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。如1575/1591病毒、848病毒感染.COM.EXE等可执行文件;Macro/ConceptMacro/Atoms等宏病毒感染.DOC文件。

 

复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然好像是清除了,但还留有隐患,这种经过消毒后的洁净系统更赋有攻击性。这种病毒有Flip病毒、新世际病毒、One-half病毒等。

 

连接方式分类

 

源码型病毒:攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了,非常少见,难以编写

 

入侵型病毒:可用自身代替正常程序种的部分模块或堆栈区,难以发现,清除起来困难.这类病毒只攻击某些特定程序,针对性强。

 

操作系统型病毒:可用其自身部分加入或替代操作系统的部分功能,因其直接感染操作系统,危害性较大

 

外壳型病毒:将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳,大多数病毒属于这个类型

 

破坏性分类

 

良性病毒:仅仅显示信息、奏乐、发出声响,自我复制的

 

良性病毒是指那些只是为了表现自身,并不彻底破坏系统和数据,但会大量占用CPU时间,增加系统开销,降低系统工作效率的一类计算机病毒。这种病毒多数是恶作剧者的产物,他们的目的不是为了破坏系统和数据,而是为了让使用染有病毒的计算机用户通过显示器或扬声器看到或听到病毒设计者的编程技术。这类病毒有小球病毒、1575/1591病毒、救护车病毒、扬基病毒、Dabi病毒等等。还有一些人利用病毒的这些特点宣传自己的政治观点和主张。也有一些病毒设计者在其编制的病毒发作时进行人身攻击。

 

恶性病毒是指那些一旦发作后,就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒。这类病毒有黑色星期五病毒、火炬病毒、米开朗基罗病毒等。这种病毒危害性极大,有些病毒发作后可以给用户造成不可挽回的损失。

 

3.2 常见病毒处理方法-Crisis

npf病毒是电脑中常见的病毒种类。npf.sys(%system32drivers pf.sys)npf病毒主要文件,病毒修改注册表创建系统服务NPF实现自启动,运行ARP欺骗,在病毒机器伪造MAC地址时,不停地向各个机器发送ARP包堵塞网络,使得传输数据越来越慢,并且通过伪掉线来使用户重新登陆游戏,这样它就可以截取局域所有用户登陆游戏时的信息数据。

 

该病毒往往造成网络堵塞,严重时造成机器蓝屏。

 

开始杀毒:

1.首先 删除%system32drivers下的npf.sys文件

 

2.进入注册表删除

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf服务。

同时删除

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY-NPF

HKEY_LOCAL_MACHINESYSTEMControlSet002EnumRootLEGACY-NPF

 

3.删这两键时,会提示无法删除,便右键,权限,设everyone控制,删除。

 

手工杀毒完成。

四、    技术交流

欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。

 

咨询服务电话:87951669

邮箱: netsafe@zju.edu.cn

 

工程师联系方式:

13588277982  章荣伟

 



访问次数:19964

2009 浙江大学 版权所有 电话:0571-87951669  E-mail:xwmaster@zju.edu.cn
地址:中国·杭州 邮编:310027

访问人次:8371950