瑞星一周播报(2006.9.25—2006.10.1)

“死神”病毒乱发邮件 可导致网络崩溃

  本周,一个名为“死神变种C(Worm.Stration.c)”的病毒特别值得关注。该病毒通过电子邮件传播,用户打开病毒邮件的附件就会被感染。该病毒大量发送垃圾邮件会造成用户计算机速度减慢,网络带宽被严重占用,甚至造成企业局域网络崩溃。

本周关注病毒 : 死神变种 C ( Worm.Stration.c ) 警惕程度 ★★★☆

  它是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒。该病毒会自动搜索用户计算机上多种格式的文件,从中提取电子邮件地址,并向这些地址发送病毒邮件。其他用户打开这些邮件的附件,就会被病毒感染。它还会造成多种国外杀毒软件无法升级,降低用户计算机的安全系数,使其更容易遭受其它病毒攻击。该病毒大量发送垃圾邮件会造成用户计算机速度减慢,网络带宽被严重占用,甚至会造成一些局域网络崩溃。目前,国内已有部分网民感染此病毒。

专家建议

  1、个人用户不要随便打开陌生人发来的邮件,特别是邮件的附件。平时应开启杀毒软件的邮件监控功能防范此类病毒。

  2、企业用户应安装网络版杀毒软件进行全网保护,防止此类病毒影响正常的网络应用。

出处:瑞星公司


移动硬盘成病毒传播新途径


  反病毒软件厂商金山在京宣布正式启动“移动杀毒”普及风暴行动,此举意味着刚刚兴起的移动杀毒市场正在成为各杀毒厂商的必争之地。

  随着移动存储设备的逐步普及,移动存储已经成为病毒传播的重要途径。  

  公安部2006年全国信息网络安全状况暨计算机病毒疫情调查结果发布:“通过U盘等移动存储介质传播病毒的比率明显增加。因此,对移动存储介质的管理有待加强。”需求催生市场,随着金山杀毒U盘、趋势维C片、昂达杀毒MP3等软硬件结合的杀毒产品相继上市,移动杀毒市场风生水起。金山更是打出了“用任何品牌的U盘来折旧换新”的促销计划来占领市场。


三分之一的恶意电子邮件是网络钓鱼病毒攻击


  MessageLabs的报告显示,没有了以往的大规模病毒的爆发,而是出现了网络钓鱼病毒攻击和其他更有目的性的攻击。

  随着网络犯罪的不断发展,出现了成熟的网络钓鱼病毒以及利用操作系统缺陷(比如 ms06-040)的木马病毒。英国管理事务所报告显示,即时通信工具和公众网站同电子商务网站一样,在上个月也成为病毒攻击的目标。

  作为一种木马病毒,网络钓鱼病毒攻击在2006年八月份的所有安全威胁中几乎占三分之一,而这个比例在上个月中只有五分之一。

  MessageLabs指出,自2005年以来,网络钓鱼病毒攻击的数量不断提高。目前,30.7%的恶意电子邮件是网络钓鱼病毒攻击。同时,使用网络钓鱼病毒的攻击者们也不断扩大他们的攻击范围,不仅仅只是像原来一样针对网上银行的网站,还对一些公众网站发起攻击。

  针对Windows Server services中MS06-040漏洞的木马攻击已经相当常见了。例如,一个俄罗斯的邮件病毒可以利用Pro Mailer DMS病毒软件及其“spam-cannon”技术自动检测出没有打过补丁的服务器。使用这种技术,可以使垃圾邮件发送者使用一台电脑在一个小时内产生和发送数以百万计的垃圾邮件。

  根据MessageLabs的报告,全球范围内垃圾邮件的比例占64.5%,比七月份增加了1.8个百分点,造成增长的部分原因便是出现大量利用“spam-cannon”技术的攻击。

  与垃圾邮件数量增多的趋势相反的是,邮件中的大范围的病毒攻击趋于减少。在八月份中,平均每98.4封邮件中有一封包含病毒,而在七月份,平均每96.6封邮件中有一封包含病毒。 MessageLabs用这些统计数据指出,网络犯罪正在走出原来依靠散播病毒的模式,而慢慢开始集中力量发起更有针对性(主要针对经济利益)的网络钓鱼病毒欺诈性攻击。

  丹麦安全管理公司SoftScan也指出,在上个月中网络钓鱼病毒相关的恶意软件占有的比例有所增加,在SoftScan公布的恶意程序中,有89.5%都属于网络钓鱼病毒相关的恶意软件。但是SoftScan把这归因于由于病毒监测技术的提高,而并不是因为网络钓鱼病毒数量的增加。

  SoftScan公司的技术总监Diego d'Ambra说:“八月,我们发现了一些worm.stration病毒的变种,但是没有重大的活动,一般病毒继续保持低调的趋势。由于病毒检测技术的提高,能够准确查出网络钓鱼病毒,而它一度仅仅被认为是垃圾邮件。表面上这这给人的印象是网络钓鱼病毒大增,但实际上是因为分类的方式变化了,原来它属于垃圾邮件现在则划归到恶意软件类型中。”

  反网络钓鱼病毒工作组(APWG)在七月份共发现了130种类型的9255个网络钓鱼病毒网站,这些站点的平均生命周期是4.8天。

  APWG报告显示,很多网络钓鱼病毒攻击的手法都是企图诱骗使用者登入感染病毒的网站。这类网站的数量在2005年6月到2006年6月之间激增了40%,这样的增长要归因于大量能够方便获得的“网络钓鱼工具”,这个工具能够将恶意代码添加到被感染的网站中。


安全专家发现垃圾电邮已成传播木马主要工具


  据外电报道,安全公司Sophos近日指出,通过垃圾电邮发送的木马程序在8月占到了新发现病毒的70%。

  位于英国的安全公司Sophos称,8月发现的新恶意软件中有71.8%是木马程序,该公司在8 月发现了近2000个木马程序。

  安全公司McAfee证实了一次性木马的发展趋势—这种木马不是依靠自身复制,而是通过新的恶意电邮感染其他系统。McAfee公司还发现,传统蠕虫传播木马的做法正在减少。

  与蠕虫缓慢的传播方式不同,木马正越来越多地采用大容量、短时间的垃圾电邮来发送。 McAfee公司在线研究报告称,垃圾邮件传送木马程序仅需要一天,最多两天。这就使垃圾电邮发送者有足够时间在绝大多数安全公司发出鉴别新病毒的过滤程序之前把木马程序传送到很多信箱,这个时间足够用了。

  安全公司强调了三种最新的木马程序:Yabe.r,Dloader.dhx,Haxdoor.il。

  安全专家指出,通过垃圾电邮发送的恶意程序正在成为当前病毒威胁的主流,随着群发电邮业者数量的的增长,人们将看到越来越多的通过垃圾电邮发送的木马程序。


用电子邮件和网络传播的蠕虫病毒


  “WuKill变种afd”(Worm.WuKill.fd)蠕虫病毒,通过邮件和网络传播,将其自身以邮件附件形式发送出去,感染更多用户电脑。

  “工银大盗变种fe”(Troj.ICBC.fe)木马病毒,监控IE浏览窗口并盗窃工行网上银行密码。

  一、“WuKill变种afd”(Worm.WuKill.fd)威胁级别:中

  病毒特征:这是一个通过邮件和网络传播的蠕虫病毒。

  发作症状:该病毒在系统中生成以下病毒文件:%WINNT%\Fonts\F 409A.com,并添加注册表起始项使病毒开机自运行。该病毒利用文件夹图标,运行后出现一个类似文件夹窗口,诱使用户误认为打开另一新文件夹。同时,该病毒尝试将其自身复制到其他机器的启动文件夹中,搜索Microsoft Outlook地址薄里的所有邮件地址,将带毒自身以邮件附件形式发送,试图感染更多用户电脑。

  二、“工银大盗变种 fe”(Troj.ICBC.fe)威胁级别:低

  病毒特征:这是一个盗窃工行网上银行密码的木马病毒。

  发作症状:该病毒在系统中生成以下病毒文件:svchost.exe,并添加注册表起始项。该病毒还将监控特定页面,并将用户切换到特定地址;一旦用户浏览工行网上银行的窗口时,则盗窃工行网上银行密码。

  反病毒工程师建议:

  1.请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。

  2.当操纵者控制用户电脑时,就可直接导致用户的信息被泄露,为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。


  本栏目是我们将用户反馈至院邮件系统技术支持邮箱中的问题进行筛选,将其中具有代表性的问题及其解决方法刊登出来,希望在与您共享信息的同时,也能够使您有所收获。

1、如果在收到的系统退信中,退信提示为“用户拒绝收信”,是什么意思?

  答:如果退信提示为“用户拒绝收信”,则说明收件人在邮箱中设置了过滤规则,误将您的邮件地址列入了“黑名单”,从而拒绝接收从您的邮箱发送给他的邮件。如果遇到这种情况,应采用其他方式与收件人联系,请他将您的邮件地址从他邮箱中设置的“黑名单”中删除。

2、如果在收到的系统退信中,退信提示为“user unknow”,是什么意思?

  答:如果退信提示为“user unknow”,则说明收件人地址不正确,使得邮件无法成功投递而被退信。如果遇到这种情况,请您先确认收件人地址的正确性,修改收件人地址后,再发送邮件试一下。



网络前沿技术

  
  大学和实验室是很多网络新概念和新技术的发源地,虽然这些概念和技术还不太可能很快进入眼下的企业网络,但是其中有些东西是企业在制定长期发展计划时应该加以考虑的。

一,主动Cookie。

二,共享Wi-Fi。

三,光网络图像处理。

四,无线流量加速。

五,VoIP安全。

六,对抗“垃圾僵尸”。

七,虚拟社会人。

八,自旋电子芯片。

九,DWT搜索。

十,新一代互联网。



©1994-2006 版权所有:中国科技网网络中心 意见反馈: support@cstnet.cn