瑞星一周播报（2007.8.27—2007.9.2）

本周关注病毒

魔兽世界木马变种TP（Trojan.PSW.Win32.Wowar.tp） 警惕程度 ★★★

　　它是一个能在WIN9X/NT/2000/XP系统上运行的木马病毒。该病毒运行后会释放wodoor0.dll文件到系统文件目录下（默认为C:\Windows\system32），同时修改注册表，实现随系统启动自动运行。它会自动在后台对用户进行监视，当发现用户运行“魔兽世界”游戏时，自动记录用户的帐号、密码等信息，并把这些信息发送给黑客，从而给用户带来损失。

专家建议

　　1、很多病毒利用漏洞传播，一定要及时给系统打补丁；

　　2、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

　　3、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

出处：瑞星公司

僵尸网络日益剧烈 企业需保持高度警惕

　　专家称对于现在的企业来说，对僵尸网络造成的日益剧烈的和增加的威胁保持清醒是很有必要的，并且应该在为时未晚的时候采取果断的和有效的措施。但是这种事情是说起来容易做起来难的，因为僵尸网络往往是很狡诈的，并且以秘密行动作为他们的关键手段。Bot是Robot 的简称，也就是一台被僵尸网络感染的计算机，当然了，僵尸网络就是由这些被感染的计算机组成的。一旦这些僵尸计算机被控制，这些计算机就会被用于一些罪恶的目的中，包括扫描其他网络的易受攻击的系统，利用DoS攻击一个特定的目标，发送垃圾邮件，记录键盘使用记录来为以后的ID和密码盗取做备。

　　僵尸网络一般是通过垃圾邮件或是广告软件背后的软件代理商创造的，有时也被叫做“僵尸”。被俘获的或是被僵尸化的机器受恶意软件的创造者远程控制，他们被称作僵尸主人。

　　“如果不得不通过附加的软件下载来完成这一过程的话，僵尸计算机首先可能会利用一些机制—FTP，PFTP，HTTP—来安装这种软件。”网络安全公司Global Crossing的信息安全主管 Jim Lippard解释说，这家公司的客户包括世界500强中的35%，还有700家电信运营商和因特网服务的提供赏。

　　僵尸计算机做的下一步叫做呼叫主机。它会经常通过一个有僵尸主人命名的特殊的名称作出DNS查找，然后它就会找到特定名字的主机，并且利用一个标准的IRC协议来连接它。

　　僵尸网络的规模越大，它所造成的危害的也就越可怕。比如说，当一个僵尸网络连接了数以千计的计算机来发动DoS攻击的话，后果将是不堪设想的。

　　绝大多数僵尸网络的操控者所追求的是经济利益。僵尸网络有时候出租给垃圾邮件的制造者，引起网络恐慌的造谣者和其他一些犯罪分子。Lippard将僵尸软件看作是“Internet犯罪中的瑞士军刀。”他说，“在僵尸网络经济中有3个功能性的角色。例如，有僵尸网络的操纵者—就是控制僵尸电脑的人。Lippard谈到了2种普遍的僵尸主人赚钱的方法，第一种就是在他所控制的系统中安装广告软件或是免费软件。然后他们就利用这些程序在系统的所有者中发布广告，或者是通过点击广告来获取来自于某个会员联盟所给予的钱财。”

　　第二种获取利润的方式就是将僵尸网络的使用权租用给垃圾邮件的制造者。“他们并不是以僵尸网络作为广告词，而是一种垃圾邮件的制造者可以利用的代理服务。僵尸网络的所有者每天将根据代理名单的数量收取费用，有时甚至是按小时计费。”

　　Lippard说他曾经听说过有些僵尸网络的所有者一个月就通过广告软件或是出售代理赚取高达10000美圆的报酬。

　　利用僵尸网络发动DoS攻击攻击的行为也上升了，Lippard说，这些攻击的最早的目标只是宣传非法经营赌博网站，还有为这些网站进行信用卡处理的网站。但是僵尸网络现在已经试着去尽量减少攻击其它的商业网站，因为僵尸网络的攻击也要依赖这些网站来运行。一些僵尸网络变体，也被叫做Rinbot，被用来偷盗游戏的注册密码。

　　尽管Christopher Maxwell的案件已经众所周知，专家估计现在仍然有很多未被发现的僵尸网络。因为僵尸网络的交易行为相当秘密，很难对他们的日益增加的威胁作一个精确的数量统计。

　　在2007年三月，Symantec在它的半年度互联网安全报告中发布了一些令人相当担忧的数据。根据这份报告，僵尸网络行为相比过去一年增加了10%，并且其中40%的控制接点是在美国。

　　因为大多数僵尸网络的控制者所追求的是经济利益，所以他们很热衷于被感染的系统并且被感染的用户并没有发现和修正这些问题。正如很多专家所指出的，僵尸网络为了防止被发现一直在花费时间传播，他们的创造者与其他的恶意代码的作者不同，他们不需要急于在尽可能短的时间里交出数以千计的被感染计算机。

　　唯一一个能够相对快速的检测出僵尸网络的方法就是，如果僵尸网络的所有者走的过于极端，安装了如此多的恶意软件以至于系统变的相当的慢—到达了难以利用的程度。

　　Lippard的同事Bob Hagen在他的博客中指出，现行的侦察和根除僵尸网络的控制者的方法和机制正在失去效用。

　　“历史上，绝大多数的僵尸网络利用在线聊天系统（IRC）作为僵尸计算机和控制者之间交流的机制，”Hagen指出，他现在是Global Crossing的安全发展部门的主管。“僵尸计算机会持久的与一台IRC服务器相连并且通过一个指定的渠道聆听命令。”他说侵入侦察技术能够很轻易的检查到这个交流渠道。

　　HTTP（超文本传输协议），就不同了，它很少被阻止。因此，HTTP渠道现在在僵尸网络的交流中越来越受欢迎。更加恐慌的是，中心僵尸网络的控制者正逐渐开始利用分散的对等网络模式，比如说文件传输网络Gnutella和BitTorrent，来控制僵尸计算机。

　　专家建议道，阻止这些新的策略需要方法上的改变，需要网络的创建者和运营者之间共同的努力。

　　“电信运营商的网络必须在它们的核心设备中建立智能的，以流量为基础的传感器，这样就可以不间断的侦察到分布式的DoS攻击，并且采取有效的措施减少攻击的影响。”矫正措施应该包括在路由器上应用配置限速访问列表或者甚至是通过外在闸道通信协议发送广告。更重要的是，这些流量数据会被这些监控器收集整理从而可以对这种分布式的DoS攻击有一个全面的了解，这样就能使僵尸计算机被发现并且告之受感染者。

　　最后，Hagen说传感器同样应该与网络管理系统连为一体，这样行动小组就能在DoS攻击被发现的时候警惕起来。虽然这种防御态势看起来是一个倒退，但是却会使网络安全集团开发出更加有效的策略从而使僵尸计算机和僵尸网络减少。

恶意软件成为网络最大威胁

　　据国外媒体报道，散布病毒已经不仅仅是少年黑客们干的事啦，因为网络罪犯们寻求利用病毒窃取信息从而谋取收入。

　　Sophos公司上周公布了它的安全报告，报告的主要内容是今年上半年病毒和垃圾邮件的发展趋势。调查发现基于互联网的恶意软件攻击明显增加，侦测到的新恶意软件占到24%达到49629种。

　　包含恶意附件的电子邮件比例明显下降了，但Sophos公司的技术主管保罗·达克林说上半年互联网上的恶意软件攻击却增加了近六倍。

　　他还说：“一月份我们发现有5000个新网址每天散发恶意软件，而6月份前就达到了几乎每天30000个。对网络犯罪分子来说，这绝对是一个潜力无限的巨型产业”。

　　达克林先生说未来的一个问题是可移动设备的感染，例如通过USB棒，照相机和手机。但是要想验证这一点尚需更多的证据。

　　另一个主要发现是针对商用非windows服务器的，因为一半的恶意软件寄生在阿帕奇服务器上，而它们中的多数运行的是Linux或UNIX平台。

　　Sophos公司还发现有70%的散布恶意内容的服务器并非由网络罪犯们拥有或直接管理。

　　调查发现中国是世界上最大的恶意软件寄主，占到59%，已经从美国那里夺得这一头衔，现在美国占27.2%。俄罗斯排在第三，占4.5%，而澳大利亚则排在第三十位。

　　达克林先生说因为在澳大利亚有很多中国人，访问中国的网站时当地的商业用户要很小心才行。有很多人说中文并且读写中文，不管在家里还是工作时，这意味着他们不可避免地会浏览.cn的站点，这是自然的，也是可以理解的。

　　Sophos公司发现，对一些人来说散发垃圾邮件能增加收入，一个网络调查发现垃圾信息有 5%的成功几率。

　　网络罪犯们通常会使用电子邮件把一些文件传送到网站，这些站点被恶意软件感染了，那些文件也貌似对用户有用，例如传送看上去合法的未感染的PDF文件，而它的链接则指向被恶意软件感染的站点。

　　由于散布病毒越来越成为有利可图的事情，达克林先生说：“我们很难看到过去的大规模攻击，因为网络罪犯会让人们放松警惕，不至于产生对病毒的恐慌。”

　　达克林先生也指出，针对MySpace和Facebook等大众网站的攻击与日俱增，企业要倍加小心当允许员工在工作中进入这些站点时。

谨防“尼拉葛”变种窃取网络游戏的装备

　　病毒名称：Trojan/PSW.Nilage.asr

　　中 文 名：“尼拉葛”变种 asr

　　病毒长度：10240字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.Nilage.asr“尼拉葛”变种asr是“尼拉葛”木马家族最新成员之一，经过加壳处理。“尼拉葛”变种asr运行后，修改注册表，实现木马开机自启动。将病毒主程序自我加载到“explorer.exe”系统进程中运行，非法窃取网络游戏玩家的帐号、密码、金钱、装备、角色名称、人物等级等信息，并在后台将窃取的玩家信息发送到骇客指定的远程服务器上，给玩家带来损失。

　　病毒名称：Trojan/PSW.GamePass.tim

　　中 文 名：“网游大盗”变种 tim

　　病毒长度：8192字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.GamePass.tim“网游大盗”变种tim是“网游大盗”木马家族最新成员之一，经过加壳处理。“网游大盗”变种tim运行后，修改注册表，实现木马开机自启动。将病毒主程序自我加载到“explorer.exe”系统进程中运行，在后台秘密监视用户打开的窗口标题，一旦发现用户打开网络游戏《武林外传》的登陆窗口，便窃取玩家帐号、密码、装备等信息，并在后台将窃取的玩家信息发送到骇客指定的服务器上，给玩家带来经济损失。

　　建议广大电脑用户

　　1、请立即升级杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请及时升级控制中心，建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

PDF不能完全信任 包含不少安全问题

　　安全人员警告用户在接收E-Mail时一定要注意所包含的PDF文件，近期发现潜伏在PDF文档中的恶意代码可能会对系统造成危害。

　　他们相信，攻击者利用PDF文档主要是为了让文件绕过反病毒和反垃圾邮件软件的追踪，并且利用用户对PDF的普遍信任。

　　“人们有一种错觉，认为PDF文件是锁定的。”安全人员Andrew Antal说道，其实PDF和Word，PowerPoint一样是可以被打开并修改的。当然也完全可以利用已知的阅读器漏洞加入恶意代码。

　　另外，利用PDF文件格式传播的Spam也开始增多，PDF是一种电子文档的标准，你一定不会希望电子邮箱里塞满看上去很正式的电子公文。并且PDF对文中的超级链接并没有做到有效的防护，您的电脑完全有可能因为在PDF中的一个点击而中招。