瑞星一周播报（2006.10.23—2006.10.29）

多个网站用病毒推广 强制锁定IE首页

　　近期，不少上网导航网站开始采用病毒进行推广。这些病毒会锁定用户的IE首页，以提高网站访问量。目前，瑞星客户服务中心已接到不少感染该病毒的网民求助。

本周关注病毒：代理木马变种ANY（Trojan.PSW.Agent.any）警惕程度 ★★★☆

　　该病毒运行后会自动将用户的IE主页锁定为一个名叫“9505上网导航”的网站，强制用户浏览，以提高其访问量。它会试图禁止多种安全工具软件运行，并会造成一些主流杀毒软件无法正常使用，降低用户计算机的安全系数，使其更容易遭受到其它病毒的侵害。目前，该病毒已经出现多个变种，会将用户的IE主页锁定为“4199、7939上网导航”等网站。

专家建议

　　1、升级杀毒软件到最新版本，同时开启实时监控程序，防止病毒侵入；

　　2、如果发现IE浏览器的首页被莫名地设置为“9505、4199、7939上网导航”等网站，请立即使用杀毒软件查毒。

出处：瑞星公司

“僵尸网络”扎根互联网 中国1/5台式机受影响

　　受攻击的个人电脑组成的网络——被称之为“僵尸网络”（botnet）正扎根于中国的宽带网络中，影响着中国五分之一的台式电脑系统，威胁着政府、金融机构以及其他行业的计算机安全。

　　这不是危言耸听。来自全球著名反病毒软件商赛门铁克公司日前发布的《第10期互联网安全威胁报告》显示，根据今年上半年监测的数据，中国拥有的“僵尸网络”电脑数目最多，全世界共有470万台，而中国就占到了近20%。

　　黑客们正受益于国内互联网用户数连续增长的乾坤盛世。据CNNIC的统计用户数已达9400 万，在庞大的用户群中能轻松捕获那些疏于防范的用户群，一台自诞生起就没打过补丁的PC机弹指间成了危害网络安全的帮凶，而主人们正坐在屏幕前与他人神聊，丝毫不知自己在黑客眼中已与裸体无异。

　　所谓“僵尸网络”，就是黑客利用“僵尸程序”控制大量互联网用户的计算机，这些计算机就像“僵尸”一样被黑客所操纵。随时按照黑客的指令展开DoS攻击或发送垃圾信息，而真正的用户却毫不知情，就仿佛没有自主意识的僵尸一般。成千上万台被感染的计算机组成的僵尸军团，可以在统一号令下同时对网络的某个节点发动攻击，从而具备攻城拔寨的强大破坏力，成为一支网络上可以用于进行各种破坏活动的“僵尸军队”。

　　僵尸网络实际上是垃圾邮件、病毒和特洛伊木马发展的最终结果。这些自我复制的危险蠕虫在这一切的背后显然有犯罪组织在影响和操纵，通常作为网络恐怖（Cyberterrorist）或勒索攻击的手段之一。不仅会使受害的目标网站和主要应用瘫痪，而且还会显著影响受害网站运营商的服务能力和性能。

　　被黑客控制了的电脑，被称为“肉鸡”，由许多“肉鸡”组成的计算机网络“僵尸网络” ，它们被用来进行垃圾邮件发送的中继站、放置恶意网站或者发起DoS攻击敲诈企业。发起DoS 攻击敲诈企业。由于多年来网络系统累积下了无数的漏洞，网络中潜伏的好事者会以此为缺口来对系统进行攻击。一些存在安全隐患的电脑系统很容易被黑客劫持，在这些电脑上开置后门。

　　之所以“僵尸网络”成为当今网络安全五大威胁之一，主要是因为以下几点：

　　一、攻击技术不复杂。

　　黑客经常使用的方式之一是“DoS（拒绝服务）”攻击，利用一些网络通讯协议本身固有的缺陷，通过伪造超过服务器处理能力的请求数据，造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。就像一条路只能容许100人通过，黑客控制了100个木头人放在路上，其他人就不能通过了。DoS攻击并不是一种复杂的技术，具有初级安全知识的人就可以很容易策动和实施危害很大的攻击，但对其的追查却很困难，因而采用此种攻击方式的黑客手段非常隐蔽、娴熟。

　　二、与谋取经济利益有关。

　　在2005年底发布的“黑客被捕案例与网络诈骗事件”中，全球著名网络安全软件及服务提供商趋势科技发现，这些案件中的黑客已经不是像从前那样，要借助写病毒炫耀技术、扬名立万，而是几乎都与谋取经济利益有关。那些攻击网站、实施诈骗的黑客，首先要挑选出那些“值得攻击”的网站，“值得”的指标如人气旺、流量大、在业内具有一定知名度等；选定目标后，研究该网站的漏洞所在，制定攻击策略，发动攻击。目前“僵尸网络”已经越来越多地被用作敲诈工具。如果为是做“杀手”，费用也仅需每小时100美元。

　　三、网站资金匮乏难以抵御。

　　面对随时可能的黑客攻击，特别是中小网站需要加强防护，配置防火墙、黑洞及备份等重要软硬件防护设施，聘请专业的维护人员，以及增加带宽。但这意味着必须加大投入，而防范 DoS攻击最为有效的硬件防火墙—黑洞设备最便宜的一款低端百兆产品也要5万多元，资金之困，成为抵御黑客的首要难题。由于防范手段和资金的匮乏，造成了绝大多数托管网站被迫处于 “不设防”的运行状态，一旦被攻击，就会导致整个网络瘫痪。

　　四、被DoS攻击后难以追查。

　　随着技术的进步，潜心研究DoS攻击的黑客也在不断开发新的程序，因此也更加难以追查。防火墙日志可发现被攻击的原因，但这仅仅是提供一个线索。被攻击的受损害者可到当地派出所报案，如派出所提出请求，网监处可进行配合调查，但一定要有相关证据才行。但这些证据保存在软件里，可以很容易被转移或毁灭。网络犯罪环境创造了一个“第五空间”（其他空间是指领陆、领水、领空和拟制领土），证据很难收集。

　　五、网络犯罪的司法管辖权不确定。

　　传统的刑事司法管辖一般都以某种相对稳定的时空联系作为基础，像固定住所等，而这些联系却很难体现在网络活动中。就目前的情况来看，尚没有任何国家能够单独制定出好的解决方案。要想彻底改变这种被动现状，仅靠反病毒厂商自身难以做到，它与国家的政策、网络环境的净化、客户的安全意识、网络文明都有关。

　　黑客离人们的日常生活越来越近，一切似乎都是那么触目惊心。网络领域的“僵尸大军” 正以平均每天超过17.3万台的速度快速扩容，尤其值得关注的是，随着国内互联网的飞速发展，其中大约20%竟然来自中国，中国已经成为这一领域至关重要的战场。目前，在中国发现的最大的一个“僵尸网络”控制着约10万台计算机，而境外曾经出现过40多万用户被“僵尸网络 ”控制的事件。

　　统计称，中国已经成为继美国之后因特网受攻击次数第二多的地方，在赛门铁克公司全球监测到的正在发动攻击的IP地址中，中国就占到了10%。其中，北京拥有的“僵尸电脑”数目最多，今年上半年占到全球的近3%，排名在前10位的中国其他城市还包括广州、杭州、上海和台北。由于“僵尸程序”一般通过即时通讯、网络聊天等渠道传播，而网络聊天在我国网民的活动中占用非常重要的地位，因此特别值得所有人重视。

　　国家计算机网络应急技术处理协调中心（CNCERT/CC）副总工程师杜跃进博士指出，僵尸网络有进一步扩大的趋势。2005年，CNCERT/CC发现超过5000节点规模的僵尸网络143个，其中最大的单个僵尸网络节点超过15万个。2005年境外合作CERT组织发现一个超过120万个节点的僵尸网络，其中我国被控制的IP数量达到29万个。2005年CNCERT/CC掌握的资料表明，仅我国内地被各种僵尸网络控制的主机总数至少超过140万个。

　　最需要重视和防范四种网络风险之一―网络基础设施风险。其他三类风险是：通讯、交流风险，信息本身的风险和不对称性风险。由于互联网结构的缘故，一个很小的因素就可能给整个互联网带来极大的损失，而预防和解决这类风险所消耗的资源要远比造成此类风险所需资源多，这就造成了不对称的网络风险，它是危害最大，同时也是最难防范的风险。防范“僵尸网络”应从以下几方面着手：

　　个人应增强更多的安全意识和基本知识。

　　严格地说，依靠个人甚至单个的安全组织，都很难真正有效地对抗僵尸网络，这就是为什么目前国内外都在强调通过合作保障安全的原因。不过，如果个人用户具备更多的安全意识和基本知识，将有利于减少各类安全事件的威胁。

　　从主干网络上入手

　　由于僵尸网络是综合传播的结果，阻挡僵尸网络，应从主干网络上入手，才能获取最佳的效果，企业需要他们的服务供应商提供更多的抵御僵尸网络，这有助于维持客户满意度和忠诚度，同时也可以避免营收亏损。此外，在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载，从而可以大量节省成本。

　　随着网络越来越像真实的社会，黑客的攻击行为组织性更强，攻击目标已经从单纯的追求 “荣耀感”向获取多方面实际利益的方向转移，部分黑客开始成为网络中的经济罪犯，威胁并非是危言耸听，家用电脑已成为最容易被攻击的目标，而因特网服务商的预算不能再都用来发展用户上，打击僵尸网络应成为首务。

“克隆先生变种”窃密 “流氓”木马强锁主页

　　科学尖兵“克隆先生”在网上却遭到病毒“恶搞”。本周一个自称“克隆先生变种（Packed.Klone.au）”的木马病毒，从黑客指定站点下载特定文件，盗取用户机密信息，并将机密信息发送给黑客。该病毒运行后，首先隐藏自我，防止被查杀。然后连接指定站点，侦听黑客指令，盗窃电脑机密信息。同时还利用被感染计算机转发垃圾邮件，随时自升级。

　　另外一种木马病毒“代理木马变种ANY”（Trojan.PSW.Agent.any）还会通过网络从互联网上下载染毒的Riched32.dll文件覆盖系统原有文件，使用户启动QQ时自动运行病毒。这时，用户IE浏览器的主页将被锁定为一个名叫“9505上网导航”的网站，使用户访问其他网站时自动跳转到“9505上网导航”网站，给用户带来挥之不去的网络烦恼。

代理木马和啤酒变种

　　TrojanProxy.Agent.iw“代理木马”变种iw和TrojanProxy.Lager.bo“啤酒”变种bo值得关注。

　　病毒名称：TrojanProxy.Agent.iw

　　中文名：“代理木马”变种iw

　　病毒长度：21952字节

　　病毒类型：木马

　　危害等级： ★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanProxy.Agent.iw“代理木马”变种iw是一个间谍类木马，盗取用户帐号密码等机密信息，并将机密信息发送给黑客。“代理木马”变种iw运行后，在系统目录下创建病毒文件。修改注册表，实现开机自启。侦听黑客指令，在被感染的计算机上创建一个服务。黑客利用该服务来盗取用户帐户密码等机密信息，并将机密信息发送给黑客。另外，“代理木马”变种iw 还可以利用rootkit隐藏自我，防止被查杀。

　　病毒名称：TrojanProxy.Lager.bo

　　中文名：“啤酒”变种bo

　　病毒长度：可变

　　病毒类型：木马

　　危害等级： ★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanProxy.Lager.bo“啤酒”变种bo是一个木马，从黑客指定站点下载特定文件，盗取用户机密信息，并将机密信息发送给黑客。“啤酒”变种bo运行后，自我复制到系统目录下。修改注册表，实现开机自启。在系统目录下释放病毒文件，并自我注入到正在运行的进程中，隐藏自我，防止被查杀。连接指定站点，在被感染计算机上下载特定文件，侦听黑客指令，未经授权访问用户计算机，盗取用户计算机上的机密信息，并将机密信息发送到黑客指定站点。另外，“啤酒”变种bo不仅可以利用被感染计算机转发垃圾邮件，而且还可以自升级。

　　针对以上病毒，专家建议：

　　1、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

　　2、请及时升级杀毒软件病毒库，开启杀毒软件的各项监控。

　　3、请不要轻易运行从Internet下载后未经杀毒软件处理的文件，强烈建议先用最新病毒库的杀毒软件进行扫描，然后决定是否运行。

　　4、当操纵者控制用户电脑时，就可直接导致用户的信息被泄露，为了系统和个人信息的安全，专家建议用户在打开一个陌生文件时，请用最新病毒库的杀毒软件进行扫描。

对付病毒realplayer.exe的方法

　　realplayer.exe是一种木马病毒，会把IE首页修改成www.7939.com，还会盗取机器里的信息。

　　病毒名称：Win32.TrojanDownloader.Delf.NMM （avp）

　　传染方式：通过恶意网站传播，通过其它病毒、木马下载

　　解决方法：

　　1、终止%System%\Realplayer.exe进程

　　2、终止%Windows%\Explorer.exe进程

　　3、通过任务管理器→新建任务→浏览系统盘，删除病毒文件：

    %System%\Realplayer.exe
    %System%\brlmon.dll
    %System%\RavMon.dll
    %System%\Rsvtub.dll

　　4、然后在新建任务那里，运行注册表编辑器，删除病毒启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"

    5、删除病毒添加的注册表信息：

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]

    6、搜索注册表被修改的IE主页，恢复默认。