瑞星一周播报（2006.6.5—2006.6.11）

Word 新漏洞被利用 打开文档可能染毒

    本周“NCPH 后门变种E（Backdoor.NCPH.30.e）”病毒特别值得关注。该病毒利用微软 Word软件的漏洞进行传播。它会在用户的计算机上开置后门，使黑客可以对这些染毒计算机进行远程控制，如：删除文件、下载恶意程序等。

本周关注病毒： NCPH 后门变种 E （ Backdoor.NCPH.30.e ） 警惕程度 ★★★☆

　　它是一个可以在WIN9X/NT/2000/XP等操作系统上运行的后门程序，主要通过电子邮件附件的形式传播，利用微软Word软件漏洞运行。当用户开启带有后门程序的文档时，Word程序将会执行非法操作并崩溃。同时，该Word文档会释放后门程序到用户的计算机。后门程序在后台自动运行，黑客可对感染此病毒的计算机进行远程控制，如：添加删除程序，从网上下载其它的病毒、木马、恶意程序等。

专家建议

　　1、个人用户不要随便打开陌生人发来的邮件，特别是邮件的附件。平时应开启杀毒软件的邮件监控功能防范此类病毒。

　　2、企业用户应安装网络版杀毒软件进行全网保护，防止此类病毒影响正常的网络应用。

　　3、及时安装最新的系统和软件补丁。

出处：瑞星公司

网络钓鱼手段揭秘—电子邮件欺诈

　　毫无戒心的网络用户经常会受到欺骗性电子邮件的欺骗和骚扰。这些电子邮件往往借知名网站或公司之名，通过中奖、顾问、对帐等内容，引诱用户在邮件中填入金融账号和密码，或是以一些警告、紧迫的口吻，要求收件人到某个网站确认自己的用户名、密码、身份证号、电话号码、居住地址、信用卡号等信息，以此来窃取用户的真实身份信息。

　　诈骗手法：利用电子邮件诈骗

　　危害程度： ★★★☆

　　迷惑指数： ★★★☆

　　警惕指数： ★★★☆


　　防范欺诈邮件的方法：

　　
　　识别欺诈邮件其实很容易，如果您收到了看似来自某知名网站或公司的邮件，要求您提供个人信息或处理账户问题，您可以通过以下几个方面来判断，收到的邮件是否属于欺诈邮件。

 　　① 发件人地址：垃圾邮件一般采用了群发软件发送，发信人的地址是可以任意伪造的，因此千万不能全凭“发件人”来判断电子邮件的真实性。遇到这种情况，您可以通过查看信头的方法，找到邮件的真正发件人。


　　查看信头的方法是：

　　＊如果您是登陆web页面来查看邮件的，可以直接打开邮件，点击信件菜单中的“原文”，就可以看到信头了。

　　＊如果您是用OE（Outlook Express）来收信的话，用鼠标右键单击邮件，选择信件的属性，再点击详细资料，就可以看到信头了。

　　信头的原文中如果有sender的话，sender后面就是真正的发件人；如果没有，最后一个 received from就是发件人所用的SMTP服务器。Receive语句的基本表达格式是：from Server A by Server B，其中Server A就是发送服务器，Server B则是接收服务器。一般来说最后一句Receive中的Server A就是发信人的地址，Server B是他所用的发件服务器，而第一句Receive中的Server B就是您自己的邮件接收服务器。

　　② 账户状态威胁：许多欺骗性电子邮件都以类似“目前数据库正在进行资料更新，您的账户正处于冻结状态，如果您不立即登陆确认，将会丢失账户资料，对此造成的损失，您需要自行承担”的方式增加用户的危机感。不过您不要担心，一般来说知名的网站或公司都不太可能丢失资料，如果出现了系统问题造成一部分资料损失也有备份文件可以恢复。

　　③ 要求用户提供信息：更多的情况是欺诈性电子邮件中都包含了很多伪造的链接，要求用户通过点击链接或填写电子邮件中的表格输入敏感的用户信息，例如用户名、密码或银行帐号等等。这是欺骗性电子邮件的一个明显的特征。

　　写在最后：

　　除了要提高警惕应对可能到来的网络钓鱼意外，建议经常上网的用户及时升级防火墙和防病毒软件，注意经常给系统打补丁，堵塞软件漏洞。尽量不要浏览那些不了解的网站，不要轻信来历不明的通讯信息，也不要执行从网上下载的不明软件。妥善保管自己的私人信息，避免在公共场所使用网上电子银行、电子证券等服务，只有这样，才能保证远离网络里的鱼钩。

新木马程序通过邮件附件传播

　　据国外媒体报道，安全厂商McAfee本周四发出警告，微软办公软件Word存在一未经修补的安全漏洞，有可能会被恶意黑客用来引诱用户安装木马程序。

　　McAfee将该木马程序命名为BackDoor-CKB!cfaae1e6，它可以在用户完全不知情的情况下在其电脑上安装程序，但事实必须得诱骗用户打开一个包含恶意程序的Word文档。

　　McAfee警告称，一旦用户的电脑安装了上述木马程序，黑客可远程指令木马执行外部指令，有可能对用户的操作进行监督，并记录用户的敏感信息。与蠕虫或其它病毒有所不同，木马程序一般不能自我复制传播，而是由黑客直接散布，木马程序通常被伪装成实用程序或游戏等容易吸引用户注意的下载包。

　　另一家安全厂商赛门铁克也进行证实，黑客们正通过向电子邮件附件中添加包含恶意代码的Word文档来散布上述木马，因此目前只限于向特定目标群体发动攻击。赛门铁克称，上述木马程序可在Word 2003上运行，它会导致Word 2000崩溃，但无法在该环境下安装。

　　对于McAfee发出的警告，微软未进行任何回应。

利用IRC控制用户PC的黑客病毒泛滥

　　“P波特”（Hack.PoeBot.c）黑客病毒，通过 IRC 聊天频道接受黑客远程控制计算机。

　　“Zyklobot 变种 c”（Hack.Zyklobot.c）黑客病毒，开启IRC后门，试图拷贝自身到其他主机，从而快速传播。

　　一、“P波特”（Hack.PoeBot.c）

　　 病毒特征：这是一个黑客后门病毒。

　　发作症状：病毒在目标系统中生成病毒文件%system%\iexplore.exe，并在注册表中添加特定键值。该病毒通过 IRC 聊天频道接受黑客远程控制计算机，使用户中毒主机成为ftp服务器，供黑客下载上传执行文件。同时，该病毒还将通过ftp匿名帐户以及网络共享进行传播。

　　二、“Zyklobot 变种 c”（Hack.Zyklobot.c）

　　病毒特征：这是一个可开启IRC后门并试图拷贝自身到其他主机的黑客病毒。

　　发作症状：该病毒试图用登陆局域网内的其他主机，如果成功，使用下列账号和密码登陆：Administrator、Administrador、Admonistrateur等，给用户正常工作和学习带来一定的影响。

网络安全：只有制度不行 要有安全意识

　　上周杂志社有半天不能上网，邮件收不到、MSN上不了、网页打不开，所有的人都炸了，一时间好像与外界失去了联系，有人找人维修，有人疯狂点击见无效重装系统，还有人打电话诉苦，办公室时像一锅煮沸了的水。这就是网络，它在改变人们生活方式的同时也使人们不自觉地依附于它，不仅是工作，还有生活。因此网络安全不仅仅是今年世界电信日的主题，从现在起也将是一个长期的主题。

　　制度层面的安全是由监管部门来构建的，技术层面的安全有运营商和技术厂商来把关，但是说到安全更重要的是全民都要有安全意识。就拿垃圾邮件为例，境外有关机构反映，我国已经成为垃圾邮件的源头之一，据说我国用户收到的垃圾邮件数量已经占到总邮件数量的60%。其实，信产部从2003年就开始治理垃圾邮件了，除了出台法规、制定标准之外，还成立了互联网电子邮件举报受理中心。在实际生活中，几乎每个人都收到过垃圾邮件，每天早上办公室里对垃圾邮件的抱怨声不绝于耳，却没有听说过谁去举报过垃圾邮件，这就说明安全的观念还没有深入人心。

　　说到全民的网络安全意识，当然还需要各监管部门的配合，只有信产部出台一些制度，要求电信运营检查与拨测还远远不够。工商部门也要打击虚假广告，公安部门要大力查处短信欺诈行为，还有网络暴力游戏、网络色情内容等等，每个环节都不可缺少，只有各部委协同作战，才能从根本上切断有害的信息源，同时，也只有每一个公民应该提高警惕，才有可能彻底断绝非法信息的传播渠道，创建一个安全的信息环境。