瑞星一周播报（2005.08.22—2005.08.28）

U 盘杀手惊现 公共场合谨慎用U盘

    本周应特别注意一个专门窃取U盘资料的木马病毒“闪盘窃密者（Trojan.UdiskThief）” ，用户在公共场合应谨慎使用U盘。

本周关注病毒：闪盘窃密者（Trojan.UdiskThief） 警惕程度 ★★★☆

　　“闪盘窃密者”是一个专门窃取U盘资料的木马病毒，它不会主动传播，但会在中毒电脑的C盘下建立一个名为“test”的文件夹，并在系统后台隐蔽运行。当用户在中毒电脑上使用 U盘时，它就会偷偷把其中的所有文件都复制到“test”文件夹里，从而可能造成用户U盘中储存的资料泄漏。

　　由于电脑被该病毒感染后，表面上没有明显的异常，因此，在学校里的公用机房、网吧等特定公共场所使用U盘的用户，就会面临资料失窃的风险。

专家建议：

　　1、在U盘里存储的重要文件资料应进行加密处理，以免泄漏。

　　2、在有多个人使用的公共电脑上用U盘时，最好事先应对电脑进行彻底的病毒扫描。

出处：瑞星公司

网络蠕虫大爆发 引起安全专家密切关注

　　据一些安全专家表示，最近计算机网络“蠕虫”的大爆发可能会是为了用于电脑犯罪活动而挟持PC进行的地下战的一部分，但也有一些人对此持不同的看法。

　　据一家芬兰安全软件厂商F-Secure公司的首席研究人员米科表示，电脑犯罪分子之间圈地战的这一征兆是从本周日已经开始出现的蠕虫行为中显示出来的。据他表示，十几种蠕虫和蠕虫变种都一起利用了Windows 2000操作系统“即插即用”功能中出现的一个安全漏洞，但其中一些蠕虫变种能够清除早些时候的一些蠕虫变种，使它们失去作用。据米科表示，这一迹象表明蠕虫病毒作者正在与其同行进行一场争夺控制计算机的大战。他于本周三表示，似乎有三个不同的病毒编写团伙正在以令人惊讶的速度发布新病毒，好象他们正在竞争着建立一个最大的感染计算机网络。

　　在上周日，一种被称为Zotob的第一种蠕虫病毒出现了，但在本周一已经消退。然而，一些诸如Zotob变种和名为Bozori的另一种新蠕虫等病毒随后就出现了，新版的Rbot、Sdbot、CodBot、IRCBot也开始陆续登场。CNN、ABC、《纽约时报》的计算机也受到了攻击。这些蠕虫中包含有能够使病毒作者进行远程控制被感染的计算机系统的“bot”代码。犯罪分子通常将这些被控制的计算机组织称之为“botnet”的网络，botnet被租借出去发送垃圾邮件和发动钓鱼式欺诈攻击。

　　据基于英国Abingdon的一家反病毒厂商Sophos公司表示，这次计算机网络蠕虫病毒的大爆发存在一个经济上的动机。据这一公司的高级技术顾问克鲁利表示，有组织的犯罪团伙是这类攻击活动的幕后策划者，他们的动机就是为了赚钱。对这些犯罪分子来说，大规模的botnets 就是一笔可观的经济来源。

　　然而，这并非所有人都认为这是恶意代码作者之间爆发的圈地战。据冠群公司威胁管理部门的一位主管表示，冠群公司还没有发现一种试图探测或删除其它蠕虫的病毒或蠕虫。而且安全软件厂商McAfee公司的病毒研究工程师莉萨也认为，目前还没有能够表明病毒作者正在为控制botnet而战的真正的迹象出现。

出处：计世网

“狙击波”惊现新变种 通过邮件传播威胁更大

　　继“狙击波（Worm.Zotob.A）”病毒及变种“Worm.Zotob.B”之后，金山毒霸反病毒中心在8月16日又率先截获了其最新变种“Worm.Zotob.C”。

　　新的变种除了通过MS05-039漏洞外，还可利用微软去年公布的“MS04-007”漏洞进行攻击，并可通过邮件进行广泛地传播，其危害程度与当年的“震荡波”相似，中毒用户的电脑将会出现不断重启、系统不稳定等情况，严重的甚至导致系统崩溃。

　　据金山公司反病毒专家介绍，该新变种可通过主题为“Warning!!、**Warning**、Hello、Confirmed、Important!”的邮件传播病毒，邮件内容为：We found a photo of youin ...;Thats your photo!!? ;0K hereisit!......等，不明真相的用户极易中招!从而使黑客达到远程控制用户电脑的目的。

　　金山公司反病毒专家提醒广大用户，该“狙击波”变种病毒对用户计算机安全的威胁比源病毒更甚，若收到上述可疑邮件一定要谨慎对待。同时应及时下载最新的系统安全补丁，切实做好防范工作，金山毒霸2005的主动漏洞修复功能可扫描操作系统及各种应用软件的漏洞，当新的安全漏洞出现时，金山毒霸会下载漏洞信息和补丁，经扫描程序检查后自动帮助用户修复。没有安装金山毒霸的用户，可以登陆db.kingsoft.com免费下载最新版金山毒霸2005组合装，也可使用金山毒霸在线的查毒、杀毒功能。

出处：天极网

KILL过滤网关成功截获Zotob蠕虫及其新变种

　　“KILL安全中心”今天发出紧急预警，发现了比“冲击波”和“震荡波”更加疯狂且更具有破坏性的Win32.Zotob.A蠕虫及其变种蠕虫Win32.Peabot.A。

　　据“KILL安全专家”介绍，刚刚捕获的Win32.Zotob.A及其变种Win32.Peabot.A蠕虫同属于专门通过Microsoft Windows Plug and Play service缓冲器溢出漏洞（MS05-039）进行传播的蠕虫，它们可利用一个IRC控制后门，允许黑客非法的侵入被感染的用户计算机。 另据了解，继8月9日微软发布了6个安全漏洞补丁之后，国内外已有很多黑客纷纷公布了可利用这些最新漏洞对计算机系统进行攻击的非法程序。

　　KILL专家建议用户：

　　1，在网关处部署KILL过滤网关（KSG），利用KSG的入侵阻断功能将蠕虫彻底阻挡在公司内部网络之外。冠群金辰公司的研发人员在捕获Zotob病毒后，迅速升级了蠕虫库，所有正在使用KILL过滤网关的用户只要更新入侵阻断库，KSG就可以有效拦截zotob病毒的入侵。据介绍，KILL过滤网关是冠群金辰完全自主研发的网络过滤专用设备，其凭借防病毒、防蠕虫、防垃圾三大自有技术曾在2004荣获了公安部“反防垃圾邮件检测认证”和“反病毒认证”的双重认证。另据赛迪顾问《2004年中国安全网关产品市场研究报告》的调查显示，KILL过滤网关在2004年中国安全网关产品市场实现销售额0.34亿元，占中国安全网关市场18.7%的份额，位居市场销售额排名第一位。

　　2，对于使用微软Win2000sp4、Winxp sp1、winxp sp2和Win2003操作系统的用户，建议您立刻登录微软官方网站（http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx）下载并安装相关的系统补丁，以确保主机系统不受非法入侵和破坏。

　　3，使用终端安全防护产品，如：冠群金辰公司的KILL终端管理系统（KSMS），在企业网络终端上统一设置网络访问控制规则，对 TCP 端口 139 和 445 的网络连接进行应急控制。

　　4，使用KILL防病毒系统实时检测并清除病毒。

　　“KILL安全专家”最后还表示，已感染Win32.Zotob.A蠕虫及其变种Win32.Peabot.A蠕虫的用户可通过拨打“KILL”服务热线8008100412寻求帮助，如发现可疑文件还可到KILL的站点（http://vir.ca-jc.com/index.jsp）提交，“KILL安全中心”将会及时对新型病毒进行处理。

出处：搜狐

网站注册与密码提醒机制 诈骗趋专门化

　　国际报道，为了更好的实施他们的攻击，垃圾邮件发送者与网络骗子越来越多的了解受害人的个人情况了。

　　安全专家本周公布报告称，那些使用了电子邮件作为密码找回以及注册申请选项的网站正在被网络骗子们所利用，骗子用这种机制去了解用户的详细背景情况。

　　据包括称，垃圾邮件发送者与网上骗子通过网站注册以及密码提醒工具自动发送成千上万的电子邮件地址。原因是，许多网站在收到用户注册的电子邮件地址时，会发送一封确认信，攻击者能够了解一个地址是否对应一个真实的用户。

　　通过从一系列的网站收集到的信息，骗子们能够对收信人制定专门的欺诈电子邮件。这就增加了用户将欺诈信同有用信件区别开来的难度。并且，专家们还表示，专门定制的邮件很不容易被垃圾邮件过滤器捕获。  

　　反钓鱼式攻击工作组织的主席Dave Jevans说：“钓鱼式攻击最近明显开始变得个人化了，它们具有很强的针对性。”Jevans认为，包含有收信人的姓名或者电子邮件地址的信息都是漏洞的根源。  

　　钓鱼式攻击（Phishing）是一种典型的网络欺诈方式，它主要想偷取敏感信息，比如用户名，密码以及信用卡号码等等。然后，小偷会将这些信息出售，或者直接假冒别人的身份进行犯罪。常见的钓鱼式攻击的手段包括发送垃圾邮件，制作貌似正规的虚假网页等等。  

　　网上骗子通常都有自己的一个电子邮件列表，这些地址可能是自己捏造的，也可能是购买到的或者利用工具从网上收集而来的。  

　　利用注册或者密码提醒机制进行攻击的关键在于获得回应。许多网站在一个电子邮件地址被注册的时候，会向用户发送这样的讯息：本地址已经被注册。如果攻击者填送的地址获得了这样的的回应，那么他们就知道这个地址是真实有效的邮件地址。  

　　利用这种原理，网络罪犯能够了解用户的性别，性倾向，政治立场，地理位置，爱好，以及在网上商店使用的电子邮件地址等等。  

　　安全专家说：“想象一下，有人清楚所有你曾经注册过的网站，想象一下有人能够从这些机制中发现你的个人信息。所有这些信息能够勾画出个人的详细背景资料。” 

　　这样一来，攻击者得手的机率会大大的增加，原因是欺诈信中的语句会包含很多精确的信息，使得它看上去是一封正常的邮件。比如，一封自称来自银行或者信用卡公司的电子邮件中可能出现用户曾经消费过的网络商店名字。  

　　安全专家已经发现，绝大多数美国受欢迎的网站允许钓鱼式攻击者，垃圾邮件发送者进行这样的“恶意信息探询”活动。另外，很多小网站，包括网上商店，球队的网站，组织组织等团体的网站都存在这样的漏洞。  

　　但是，安全专家的报告也发现，这样的“恶意信息探询”活动还没有蔓延开来。  

　　有些网站，比如大银行的网站对这个问题明显的比较重视。这些网站不允许人们用电子邮件作为他们的登陆名。这些网站还要求用户提供另外的注册信息，或者使用企业的安全检测手段。  

　　eBay也不允许注册与密码提醒式攻击。在钓鱼式攻击泛滥之前，eBay已经停止使用电子邮件作为用户的登陆身份。  

　　恶意信息探询让钓鱼式攻击变得更有针对性。本月初，安全人员报告说，有人窃取了消费者的数据，然后用这些信息抹掉了受害人的银行帐户。