瑞星一周播报（2005.07.25—2005.07.31）

慎看“伦敦爆炸视频” 新病毒借此传播

　　本周新出现了一个假借“伦敦恐怖袭击视频”传播的邮件病毒，该病毒名为“伦敦炸弹（ SpamTool.Manager.a）”，目前已经开始在国外流传。

　　本周关注病毒：  伦敦炸弹（ SpamTool.Manager.a ） 警惕程度 ★★★☆

　　该木马病毒通过电子邮件发送给用户。邮件的题目为“TERROR HITS LONDON（恐怖分子袭击伦敦）”，邮件携带的附件名为“London Terror Moovie.avi（伦敦恐怖袭击视频）”，诱骗用户进行点击。

　　由于邮件内容极具诱惑性，用户很容易受骗而打开病毒邮件的附件。一旦附件被打开，用户的计算机就会被感染。该病毒会自动向外发送大量的垃圾邮件，从而造成网络阻塞。同时染毒的计算机还可能被黑客远程控制，用来攻击第三方网站。该病毒还可能造成系统运行速度减慢、死机或者机密数据丢失等。

专家建议

　　不要随便打开陌生人发来的邮件，对于好友发来的带有附件的邮件也应确认后再打开。平时应及时升级杀毒软件，并打开杀毒软件的文件监控和邮件监控功能以防范此类病毒。

出处：瑞星公司

网络钓鱼激增226%

　　据IBM和消息过滤公司Postini发表的数据，过去两个月网络钓鱼数量激增。

　　据IBM的每月安全报告说，今年5月网络钓鱼比上月激增226%，创有史以来最高纪录，超过了今年1月创造的前最高纪录。

　　Postini在自己的恶意代码统计报告中说，网络钓鱼激增情况延续到了6月份，6月份网络钓鱼攻击比5月份的数字增加了71%。

　　Postini营销高级主管Andrew Lochart说：“在可预见的未来网络钓鱼企图会继续困扰企业用户。”

　　有关其他恶意代码类型的消息比较平淡。例如，IBM统计5月份携带病毒或蠕虫的电子邮件数量增加33%。

　　IBM说，垃圾邮件依然保持占全部电子邮件的69%左右，连续3个月几乎没有增加。

出处：网络世界

如何追查恶意邮件真凶

　　问：我们公司有个局域网，网内有近百台机器，每一位员工都有自己的登录帐号和密码，同时每个人都有以自己名字全拼为前缀的邮箱，在OUTLOOK里面设置好就可以收发邮件了。

　　前一段时间，员工A的邮箱里收到了员工B邮箱发来的邮件，是一句骂人的话。根据公司网络服务器显示，该邮件发送的时间里，员工B不在办公室内，没有发送邮件的时间。同时显示该邮件的发送IP地址并不是员工B常用的电脑IP，而是另外一台电脑的IP：192.168.1.40，此电脑的操作者在骂人邮件发送时间前后一直在正常工作。因此公司认定， IP 地址为 192.168.1.40的电脑操作员工就是邮件的发送人，并要对该员工进行惩罚。

　　我想问的就是，如果公司内某员工拥有自己所使用电脑的本机管理员权限，他有没有暂时指定自己的IP地址和计算机名并盗用其他员工邮箱密码任意发送邮件的可能？

　　另外公司在近一段时间里，内部邮箱经常收到一些病毒邮箱，都是内部员工以re开头，这是不是也说明公司的局域网有很大的安全隐患？

　　答：尽管从常理来看，公司的说法没有错，但是公司的判断还是有很大的漏洞。首先，根据邮件发送时间以及员工不在场时间来结合判断就不够合理，因为可以定时发送的Email软件有很多，甚至配合一些定时操作软件也可以实现。至于IP地址的判断，如果员工的IP地址是根据DHCP服务器分配，那么完全有网管变动的可能性。

　　此外，根据你的描述，公司服务器可能存在病毒，那么一些后门程序完全可能在后台控制这台电脑，在所有者不知情的情况下发送邮件，因此IP地址的判断方法也不够科学。更为重要的是，邮件发送者也可以通过一些“黑客软件”伪装IP，这些软件曾经被垃圾邮件制造者滥用，因此从技术角度讲并不是很难实现，因此可能性也是非常之大。

　　最后，这类问题还应该根据你们公司网络的拓扑结构以及日志来结合判断，细节方面的因素有时可能更为重要。如果公司因为这个现象而处罚“发送邮件IP电脑所有者”，是不客观的，因为显示的“邮件发送IP”并不能作为确实证据，并没有太大意义。

杀毒软件的常见问题

　　安装杀毒软件后与其他软件发生冲突怎么办？

　　•  由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的，因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙，然后尝试暂时关闭杀毒软件和防火墙的监测功能，再看看问题是否已经解决；

　　•  到杀毒软件的主页网站看看是否出了相关补丁或升级版本，有则打上补丁或升级到最新版本；


　　不能正常升级怎么办？

　　•  如果使用的是正版软件，可以先试着完全卸载旧版本，再安装新版本(为安全起见，建议卸载前先进行备份)；

　　•  检查是否安装了多种杀毒软件，卸载其他杀毒软件后再安装；

　　•  检查输入的序列号是否正确、钥匙盘(A盘)有没有损坏，有问题的请与经销商联系解决；

　　•  尝试以下操作方法：清空Temp文件夹 → 关闭打开的杀毒软件 → 换路径重新安装 → 把安装光盘中的安装目录拷贝到硬盘上，然后运行目录里的“Setup.exe”。


　　无法清除病毒怎么办？

　　•  先升级病毒库再杀毒；

　　•  用一张干净的系统引导盘启动机器后，在DOS状态下进行杀毒；

　　•  备份染毒文件并隔离，然后把病毒样本寄给作者，得到新病毒库后再杀毒。

关闭海外钓鱼式攻击网站难 时差语言是障碍

　　【eNet 硅谷动力消息】加文·里德（一家“财富 500”技术公司安全事故响应小组的领导）正在试图关闭一家钓鱼式攻击网站，然而，他发现一项给他做这项工作带来了更大难度的因素，那就是这种攻击来自印度。

　　据理德表示，到我们上班的时间时，印度的企业就已经下班了，这就为我们进行协调增加了困难。他表示，到我们与合适的联系人联系时，时间已经太晚了。三天时间已经过去了，钓鱼式攻击在第一天就造成了大量的损失。当它开始攻击来自海外时，时差和语言障碍就增加了及时解决这些问题的复杂程度。当黑客将目标指向诸如中国、韩国等国家，并将它们作为发动全球性攻击的基地时，这些障碍就会造成越来越多的问题。据专家表示，尽管安全反应小组和司法机构已经在协作作战，但仍然有许多方面的协作工作有待去做。

　　当受到诸如震荡波蠕虫感染、DoS攻击以及旨在窃取客户机密资料的钓鱼式欺诈攻击之后，企业就会发现它们的业务将会在数天内受到影响。这已经导致美国企业在经济上蒙受了巨大的损失。据计算机安全学会和联邦调查局（FBI）的调查显示，病毒攻击去年给美国企业和组织造成了5500万美元的经济损失，拒绝服务攻击造成的经济损失高达2600万美元。这些问题的起源通常是“botnets”。网络犯罪分子可以制造或雇佣“botnets”，利用它们发送大量的垃圾邮件、病毒并发动拒绝服务攻击。据电子邮件安全厂商CipherTrust公司表示，中国和美国在“botnets”领域的地位已经倒戈。上周，中国占新出现“僵尸PC”网络的21%，而美国的则是17%，韩国为6.8%。据反钓鱼式攻击工作组的主席大卫表示，在中国和韩国的宽带互联网连接的普及率都非常高，但这这两个国家的企业和消费者使用安全软件的却很少，这使得很受希望创建“botnets”的黑客的青睐。据里德表示，在发达国家，出售由4000台计算机组成的“botnets”获得200美元报酬的吸引力不大，但在发展中国家情况就不同了。安全专家也表示，高失业率再加上高素质的IT员工，使东欧成了电脑犯罪分子活动猖獗的温床。

　　另外，诸如此类的攻击活动对企业也有很大的影响，特别是对消费可信度最大的金融机构。据汇兑银行的信息安全官员鲍勃表示，他们曾经受到过钓鱼式和欺骗式攻击，而且主要来自海外。这两种类型的攻击都通过设立假冒网站获取客户的密码和其它机密资料。为了拦截这样的攻击，汇兑银行已经采取了一些诸如部署入侵探测系统、与互联网安全系统公司达成提供可管理服务的协议以及外包电子银行服务等措施。它还正在与电子银行合作伙伴谈判部署技术扫描客户的PC上是否存在恶意代码的技术。

　　据互联网安全系统公司的技术总监克里斯表示，一些公司采取了类似ISP的黑名单技术来反击电脑犯罪活动，但据大卫表示，在一些国家，让ISP关闭客户的连接是颇有困难的。据他表示，中国和韩国是ISP关闭客户连接最困难的国家。甚至在中国的一些注册机构没有联系手段，根本就无法与它们联系。因此，中国于上个月加入一项打击垃圾邮件的国际性计划的行为被认为是一个重要的步骤。

　　紧急事件响应和安全团队论坛（FIRST）发布了许多打击国际性电脑威胁的建议。里德强烈要求企业不仅仅应当及时升级系统补丁软件和反病毒软件，还应当开启路由器的数据收集功能。另外，企业还应当加入FIRST等安全组织，共享有关安全威胁的资料。

　　除此之外，司法机构也在尽力打击恶意黑客，但存在着障碍。据巴西联邦警方计算机犯罪部门的负责人保罗表示，如果巴西警方需要获得海外ISP的客户的资料，就必须借助国际条约和法院，而这一过程至少需要半年至两年的时间。因此，保罗在两年前就启动了一项旨在加快电脑犯罪活动调查和起诉的计划。巴西正在与美国和西班牙进行合作。英国也在与美国、俄罗斯等国家进行类似的合作。互联网是全球性的，谁也不能置身度外。当前，全球的司法机构、贸易集团以及企业都正在采取各种方式来减少来自海外攻击的威胁。