<首页  旧版  原网站数据  热点专栏

网络信息安全简报(2011.11)

发布者:系统管理员发布时间:2011-12-06浏览次数:23678

网络信息安全简报(2011.11)

一.         趋势系统使用情况

1.1 三台服务器统计中毒排名在前的用户:
 
1)         10.10.7.222
 
2)         10.10.2.180
 
3)         10.10.2.181
 
1.2 受感染用户前10名(总排行)
序号
计算机
IP地址
病毒/恶意软件数
楼宇名
1
SC509-B9
10.78.21.39
94616
紫金港
东4-5,东4-6
2
TOSHIBA-PC
10.14.26.121
75198
玉泉-教3
3
Lab7-00000
10.71.149.2
26055
紫金港-医学院教学中心
4
ZJU-115CF7EA3CC
222.205.1.27
22091
玉泉1舍
5
LAB4051
10.71.149.5
13882
紫金港-医学院教学中心
6
MICROSOF-5C940C
10.12.15.161
12432
玉泉-教3
7
MBAC
10.71.89.250
9119
紫金港-青溪
8
PC-200811111100
10.15.31.100
8654
玉泉-教7-新闻
9
201-C7-4
10.15.61.213
6521
图书馆
10
LENOVO-C30AB68F
10.14.32.51
4388
曹光彪楼-材化学院
 
1.3 受感染用户前10名(本月排行)
序号
计算机
IP地址
病毒/恶意软件数
楼宇名
1
X2-412
10.78.212.32
7223
紫金港西1-5F北
2
Lab7-00000
10.71.149.2
4311
紫金港-医学院教学中心
3
LAB4501
10.71.149.5
1502
紫金港-医学院教学中心
4
PC-200811111100
10.15.31.100
845
玉泉-教7-新闻
5
ZULBDZ203
10.78.86.9
260
紫金港图书馆
6
CRPE
10.214.65.225
227
玉泉-外经贸
7
2B7C9B2337CC4D9
10.71.204.1
219
紫金港医学院科研楼
8
X1-215
10.78.212.16
157
紫金港西1-5F北
9
YJXJ6
10.71.125.77
145
专业图书馆
10
ZJU-316
10.15.65.187
118
图书馆
 
二.         安全简讯
2.1  2011年11月前十大病毒警讯

排名
病毒名称
威胁类型
风险等级
病毒行为描述
1
TROJ_DOWNAD.INF
木马
★★★
DOWNAD 蠕虫关联木马
2
WORM_DOWNAD.AD
蠕虫
★★★★
该病毒会攻击未安装微软 IE 漏洞MS08-067 的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒
3
TROJ_IFRAME.CP
木马
★★★
GIFjpg SWF 文件中被插入一个恶意的iframe 标记时,趋势科技会将其判断为TROJ_IFRAME.CP 病毒。当这些
文件被执行时,会重定向到这些 URL,并下载恶意程序
4
WORM_DOWNAD
蠕虫
★★★★
该病毒会攻击未安装微软 IE 漏洞MS08-067 的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒
5
Cryp_Xed-12
木马
★★★
木马病毒,通过访问恶意站点下载感染或由其他恶意程序下载感染
6
CRCK_KEYGEN
破解程序
★★
非法破解程序
7
JS_EXPLOIT.SMAD
木马
★★★
这是使用趋势科技智能检测功能所检测出的疑似Java 脚本病毒程序
8
PAK_Generic.001
木马
★★★
加壳程序,疑似病毒文件
9
WORM_ECODE.E-CN
蠕虫
★★★★
E 语言病毒,产生与当前文件夹同名exe文件
10
TROJ_SPNR.03CG11
木马
★★★
木马病毒,通过访问恶意站点下载感染或由其他恶意程序下载感染

 
2.2 本月安全趋势分析
本月热门病毒简述- USB病毒
本月校内最流行病毒为Mal_Otorun1、Mal_Otorun2、Cryp_Xed-15等USB病毒。
USB病毒的主要入侵方式有:
1.       通过其他恶意程序下载至电脑中
2.       通过微软系统漏洞入侵电脑
3.       病毒会在U盘、移动硬盘等便携式介质中产生autorun.inf与病毒程序,通过USB自动执行功能感染其他电脑。病毒也�利用猜测系统密码的方式使用admin$尝试登录到网络中的其他电脑上并且进行感染
 
至今我们仍不断的发现新的USB变种病毒,虽然都是透过USB散播,但攻击方式不断的在改变。USB病毒一直使用不同的加壳方式�躲避防毒软件的侦测,甚至将原本USB�的档案隐藏后,用病毒档案伪装成正常程序引诱使用者点选。
 
对于此类病毒,最好的方法是做好预防工作:
1.       安装专业的防病毒软件,并开启实时防毒,防止病毒通过U盘、挂码网页或软件感染到电脑中。
2.       及时给操作系统打好补丁,以防病毒通过漏洞入侵电脑。
3.       关闭系统的自动播放功能。
2.3 2011年1-11月各查杀统计表
已查杀的病毒/恶意软件数:
 
已查杀的全部病毒、恶意软件摘要:
 
传染来源摘要:(N/A表示来自外网或无法识别)
 
被感染的目标(主机)摘要:
 
处理措拖结果摘要:
  计算机病毒常用防范知识
3.1 计算机病毒的类型与前缀
    下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
(1)系统病毒
   系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
(2)蠕虫病毒
   蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
(3)木马病毒、黑客病毒
   木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
(4)脚本病毒
   脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
(5)宏病毒
   其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
(6)后门病毒
   后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
(7)病毒种植程序病毒
   这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
(8)破坏性程序病毒
   破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
(9)玩笑病毒
   玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girl ghost)病毒。
(10)捆绑机病毒
   捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
   以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
   DoS:会针对某台主机或者服务器进行DoS攻击;
   Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
   HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
  你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
3.2 病毒防范措施小贴士
病毒总是会想方设法地入侵我们的电脑搞破坏,虽然你可以使用反病毒之类的软件,但也绝不能忽视平时的预防工作。“御敌于国门之外”是最理想的,所以建议大家应采用“防为先”的原则来对付病毒。下面的防毒、治毒观点,希望对大家有所借鉴。
 
 1.先制作一张应急盘
制作一个无毒的系统应急引导盘是非常非常必要的,可以是带有WinPE的U盘或者光盘,最好再加上一个反病毒软件和一些你认为比较实用的工具软件到这个盘上。
 
 2.谨防入口
   有了好用的东东,我们都喜欢与朋友共享,但在交换使用U盘或光盘时一定要用反病毒软件进行扫描查毒工作,建议你在扫描病毒前最好不要用它来启动系统, 90%以上的病毒是引导型病毒。也不要执行未检验的压缩文件,比如从网上下载的文件。还有,要小心电子邮件的附件(虽然有些从表面上看是文本形式的),即使是朋友发过来的也别轻易就去双击运行。
 
 3.实施备份
对于我们在日常工作中使用的文档、收集来的各种资料,这都是你的劳动成果,应该是至少每周进行一次备份,而且最好是进行异地备份(就是备份到你的电脑之外的存储设备,比如光盘或USB移动硬盘)。这样当电脑内的文件万一被病毒破坏后,它们就派上大用场了,当然在此之前一定要确认你的备份文件是“干净”的。
 
 4.“我的电脑”
你的私人电脑,最好不要让别人随便乱动,无论使用者是无意或恶意都有可能让你计算机中的资料丢失、感染病毒甚至系统崩溃,所以至少你要严防他人在你的电脑上使用他自己的U盘或光盘,不管他是有意还是无意的。
 
 5.留心异状
平时使用电脑时一定要细心加小心地注意它的表现,如果发觉有异常症状出现,比如速度慢得像蜗牛、2G的内存竟然不够、突然增加一些从未谋面的文件和进程、系统或自己熟悉的文件长度有所增减等,你的第一反应就应该是:中毒了!!!此时你务必要停下手头的工作,马上进行病毒的查杀,千万马虎不得!否则,你的损失只能是越来越严重,若等到系统崩溃、一切化为乌有的那一刻,就悔之晚矣!
 
 6.不忘升级
安装了反病毒软件并不是一劳永逸的,千万别让病毒从反病毒软件的眼皮底下溜入系统。所以你要时常关心反病毒方面的报道或常到对应的反病毒厂商的网页上溜达溜达,了解最近病毒的活动动向,更新病毒的查杀代码,升级你的反病毒软件。
3.3 常见病毒处理方法
本季度流行病毒中PE_SALITY家族病毒排名上升,趋势科技病毒实验室也接到多起关于该病毒的案件。
这只病毒的感染方式从2003年出现以来并没有什么很大的改变。这是一个混合型病毒。具有多种病毒的行为特征。会终止安全相关软件和服务,感染EXESCR文件,下载其他病毒文件进入系统。它创建自身拷贝到可移动设备或者网络共享中,以达到传播的目的。
感染了该病毒的主要特征为:
AMSINT服务被安装.
打开注册表编辑器(开始-运行输入regedit) ,检查是否有以下内容:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/amsint32
ImagePath='/??/%System%/drivers/{随机文件名}.sys'
系统无法进入安全模式.
病毒会修改以下注册表键值来禁用安全模式:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Safeboot
共享文件夹及其子文件夹下存在LNKTMP文件
最新的PE_SALITY变种会利用最新的Windows快捷方式漏洞。
另外一种可能感染此病毒的特征为在网络共享中存在恶意的LNKTMP文件:
存在恶意的AUTORUN.INF
 
PE_SALITY将创建一个病毒母体文件的拷贝和自动执行该母体文件的AUTORUN.INF至所有驱动器.
当你进入被感染驱动器后,就会自动执行病毒。
这个恶意的AUTORUN.INF包含以下内容:
 
禁用Windows安全程序和防火墙
该恶意软件也禁用安全相关的程序, 以及Windows Security和防火墙. 除此之外, 它也创建以下注册表键值来禁用Windows Security和防火墙。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center
AntiVirusDisableNotify=1
AntiVirusOverride=1
FirewallDisableNotify=1
FirewallOverride=1
UacDisableNotify=1
UpdatesDisableNotify=1
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/system
EnableLUA=0
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile
EnableFirewall=0
DoNotAllowExceptions=0
DisableNotifications=1
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List
{病毒路径以及文件名称}='{病毒路径以及文件名称}:*:Enabled:ipsec'
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings
GlobalUserOffline = dword:00000000
 
禁用任务管理器和注册表编辑器
和其他的病毒相似,PE_SALITY也会禁用任务管理器和注册表编辑器。当用户打算打开以上应用程序,将会出现以下错误信息:
 
该病毒的主要传播途径以及预防措施:
1.Windows快捷方式缺陷
微软已经发布了一个补丁来解决这个问题。
http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx
因此我们建议保持最新补丁级别。
关于此威胁的一个变通方案就是禁用显示图标。
 
2.可移动存储设备
趋势科技检测Autorun.infMal_Otorun1。以防止执行引用的文件,配置产品,执行在插入新设备后执行扫描。
 
3.被感染的文件
被感染的文件已经被趋势科技检测为PE_SALITY.RL.
请更新最新的病毒码,以保证被感染文件能够及时被检测以及清除:
 
4.网络(驱动器,共享,P2P,IM)
使用TDA/NVW并且下载最新病毒码文件。
当一台计算机有威胁,将它从网络隔离。
确保用户和程序使用最低权限来完成任务。
 
5.Internet下载
阻止相关恶意URL
使用防火墙来监视源于Internet的入站连接。
 
6. 电子邮件
避免打开不知情的附件。
配置你的电子邮件服务器阻止或清除类似vbs,bat,exe,pif,scr格式的文件。
另外,趋势科技病毒实验室提供以下专杀工具以清理该病毒:
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-PE_SALITY.zip
四 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
 
咨询服务电话:87951669
 
工程师联系方式:
13751767387 郭波
13588277982 章荣伟
 

评分: