瑞星一周播报(2007.10.29—2007.11.4)

本周关注病毒:VB邮件蠕虫变种CC(Worm.Mail.Win32.VB.cc) 警惕程度 ★★★

  病毒运行后将自身复制到优盘、移动硬盘等移动存储设备中,文件名为KAV32.exe,试图通过它们进行传播。该病毒会向本地Outlook邮箱中的联系人发送带有病毒链接的邮件,其他用户打开邮件中的链接就可能被病毒感染。该病毒会修改多项系统设置,并将用户的IE浏览器主页设置为HTTP//KEN23409.****.ORG,并禁止用户修改,给用户日常使用计算机带来不便。

专家建议

  1、建立良好的安全习惯,不打开可疑邮件和可疑网站;

  2、很多病毒利用漏洞传播,一定要及时给系统打补丁;

  3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;

  4、开启瑞星杀毒软件2008的“系统加固”功能,防止IE主页设置等系统关键部位被病毒攻击。

出处:瑞星公司


暴风蠕虫形成僵尸网络 击垮顶级计算机


  暴风蠕虫(Storm Worm)广泛传播,已经形成了数量巨大的僵尸网络。如果发起攻击,它可以轻易的摧毁世界上最顶级的超级计算机。

  世界上的安全专家都在谈论暴风蠕虫,它在最近三个月中肆虐全球,对因特网构成了致命的打击。暴风蠕虫攻击安装了微软Windows系统的机器,并把它们构建成不断扩大的僵尸网络。

  即使最乐观的估计僵尸网络的规模,安全专家也相信暴风蠕虫网络是有史以来最庞大的网络怪兽之一,它能够造成巨大的危害。

  MessageLabs公司首席反病毒专家Matt Sergeant在一次访谈中说,“在攻击力方面,暴风蠕虫网络能够将超级计算机击垮。如果把全球500台顶级的超级计算机都算上,暴风蠕虫网络操纵着200万台电脑,可以轻易地把这些超级计算机都摧毁。网络犯罪者能够达到如此巨大的计算能力,而我们却无法达到,这是一件非常令人恐惧的事情。”

  Sergeant说,MessageLabs的研究人员发现200万台僵尸网络中的毒机在指定日期大量发送垃圾信息,并且他们估计这只是蠕虫网络容量的10%。

  “我们注意到蠕虫网络的幕后控制者在控制毒机进行某种实验,这种实验性攻击通常表现为持续5到10次”,他怀疑蠕虫网络可能包括多达5000万台计算机,“这意味着他们能够为所欲为。”

  目前还无法对蠕虫网络和顶级的超级计算机的能力进行详细和精确的比较,主要的原因在于,很难确切的知道蠕虫网络的规模以及每一个节点上计算机的能力。

  安全公司Postini的高级官员Adam Swidler告诉《信息周刊》,虽然他认为蠕虫网络的规模仅仅在100万到200万之间,但是同时他也相信蠕虫网络能够轻易击垮主流的超级计算机。

  “如果你计算一下纯理论意义上的吞吐量,你就会发现蠕虫网络拥有比IBM的'深蓝'更强的计算能力,要是它们俩下象棋的话,蠕虫网络将会胜出。”

  然而蠕虫网络并不参与超级计算机的竞赛,它的超级能力对于试图保护企业的IT行业和安全厂商有什么影响呢?

  这意味着控制了蠕虫网络的犯罪者手中拥有极大的破坏力,今年夏天,波罗的海国家爱沙尼亚遭到网络战的沉重打击,主要以分布式的拒绝服务攻击为主,打击对象遍及爱沙尼亚的政府、银行、新闻媒体和警察机构。

  为了保护本国的网络运行,该国只好关闭了一些关键部门的计算机系统,遭受打击的部门的网站将长期无法从境外访问。

  Swidler说,他相信暴风蠕虫的幕后控制者肯定会对美国境内的企业、网络服务商和政府机构发起拒绝服务攻击。这种蠕虫将造成极大的危害。

  他补充说,“毫无疑问,蠕虫将危及大量企业,不论它采用拒绝服务攻击还是垃圾信息阻塞的方式。与Yahoo和美国银行这样的大企业相比,我更担心数目众多的中小银行,因为他们的防护措施并不得力。但可以确认的一点是,这种蠕虫的危害是非常惊人的。”

  Swidler说,蠕虫网络的泛滥将造成更严重的恶果,一些国家为了对付敌国,可能会租用这些网络来发起拒绝服务攻击,迫使敌国的政府机构、政府职能或金融中心瘫痪。“这些网络拥有强大的计算能力,可能会被利用来进行巨大的破坏活动,这是网格计算的悲哀。”

  信息共享教研与分析中心(Ren-Isac)发出警告,他们发现暴风蠕虫还有另外一条毒计,它们会主动攻击试图清除病毒的计算机。蠕虫网络会对扫描网络病毒或漏洞的计算机发起分布式拒绝服务攻击。

  这条警告表明,研究者近期已经发现了大量与暴风蠕虫相关的拒绝服务攻击。

  MessageLabs公司的Sergeant说,蠕虫也会对反垃圾信息组织发起拒绝服务攻击,甚至会攻击以个人身份调查它的研究者。

  “如果一名研究人员反复的试图清除蠕虫,暴风网络就会确认这名研究人员的身份,进而对他发起攻击。”

  MyNetWatchman.com网站的CFO Lawrence Baldwin说,他无法准确地掌握整个蠕虫网络的规模,但是据他计算,仅仅用于放置木马网页的计算机就有5000至6000台,暴风蠕虫会在垃圾邮件里诱惑用户点击这些网页。蠕虫作者使用电子贺卡和伪装新闻等惯用手段劫持计算机,不断扩大蠕虫网络的规模,然后通过 “ 拉高倒货 ” 的招数骗取钱财。

  “这太可怕了”,Lawrence Baldwin说,“日积月累,暴风蠕虫一天可以发送上亿条垃圾信息,它的发送能力能够轻易的以亿级翻倍。”

  Baldwin 说,根据Postini公司的研究人员的记录,自7月中旬以来,暴风蠕虫网络已经发送了1.2亿封e-mail。8月22日公司在网络上捕获了5700万封包含病毒的邮件,其中99%来自暴风蠕虫,这个数目也创造了纪录。

  根据SecureWorks公司的研究人员的观察,6月份暴风蠕虫网络向该公司的1800名客户发送了6927封e-mail,而在7月份,这个数字激增至20193134。自8月8日以来,垃圾邮件数累计达到10218196封。


黑莓电子邮件服务再次中断


  据外电报道,RIM的黑莓电子邮件服务又出现了故障。这个故障发生在星期五晚上。同以往一样,RIM没有在公司网站上发表任何信息。

  RIM向一些新闻社发表了声明。据美联社称,RIM表示它要继续监视这种情况并且对于故障给用户带来的不便表示道歉。不过,美联社称,甚至在电子邮件服务恢复之后,由于积压了大量要发出的邮件,服务速度减慢的状况到星期五深夜才恢复。

  好消息是这次的服务中断仅影响到了通过电信运营商提供的BIS(黑莓互联网服务),而没有影响到企业支持的BES(黑莓企业服务器)服务。

  黑莓用户的不信任已经导致法国政府命令总统和总理办公室的工作人员不得使用黑莓设备,因为担心外国人对这种设备采取间谍活动。

  不仅是法国这样。有报道说,美国国家安全委员会表示美国政府已经建立一个特别工作组研究美国政府是否应该限制使用黑莓设备以防止被人采取间谍活动。


蠕虫Win32/Checkout.M通过MSN发送


  病毒名称:Win32.Checkout.M

  疯狂性:低

  破坏性:中

  普及度:中

  Win32.Checkout.M 病毒描述:

  
Win32/Checkout.M是一种包含基于IRC后门的蠕虫。Checkout通过MSN Messenger发送病毒到用户的联系人。蠕虫还会下载并运行任意文件。

  Win32/Checkout.M复制到%System%\msnfix.exe,并生成%System%\libweb.dll文件。

  Win32.Checkout.M 病毒危害:

  
从某个URL下载并运行任意文件。

  建议:

  
不要随意运行exe文件。

  不要随意打开MSN发送的链接。

  不要随意运行邮件的附件,尤其是英文邮件。

  最好及时升级病毒代码库。

  建议企业级用户使用网关型产品。

  关闭共享目录并为管理员账户设置强口令,不要将管理员口令设置为过于简单的密码。


恶意软件中特洛伊木马占主流


  在一份报告中,安全软件厂商CA预测,今年全球恶意软件数量将比去年增长132%左右。

  据CA称,从今年1月至6月,全球已发现的恶意软件中,约有65%为特洛伊木马程序。另一份Secure Computing公司发布的安全报告得出了类似的结论。这家安全公司发现,8月份新发现的恶意软件中,78%的为特洛伊木马程序。

  近期由于Storm Worm蠕虫病毒的死灰复燃而再次泛滥成灾的垃圾邮件,被认为是恶意软件大量繁殖的一个重要原因。Storm Worm蠕虫发送大量伪造贺卡和YouTube视频邮件消息,消息中带有指向含有恶意木马程序的网站的链接。一旦用户点击该恶意链接之后,系统中将被自动下载并植入特意木马。

  Secure Computing估计,全球约有50000多个恶意网站被Storm Worm用来托管Mpack攻击程序,比如最近我们所报道的印度银行网站被攻击挂马一事就与此有关。

  如今,诱使用户访问恶意网站的攻击模式似乎非常流行。据Secure Computing称,到8月底,Storm Worm已经不再选择通过PDF垃圾邮件传播。

  CA预言,在间谍软件编写者中,特洛伊木马正在逐渐收到欢迎。“特洛伊木马的多功能性使其逐渐成为恶意软件作者的首选。”

  CA风险研究部们副总裁布莱恩·格雷提醒用户警惕那些貌似无危险的活动,如访问社会化网络站点等,因为在这类站点中,嵌入恶意软件的现象频频出现。

  
  本栏目是我们将用户反馈至院邮件系统技术支持邮箱中的问题进行筛选,将其中具有代表性的问题及其解决方法刊登出来,希望在与您共享信息的同时,也能够使您有所收获。

1、为什么我收不到给自己发送的邮件?

  答:如果您只是无法收到自己给自己发送的邮件,请您登陆网站邮箱,点击“设置”链接,系统会显示“设置”界面,点击界面中的“拒收(黑名单)”,察看是否误将自己的邮件地址放入到邮箱的黑名单中,使得从自己邮箱发送的邮件被拒收。

2、邮件被拒收应如何处理?

  答:如果您的邮件被拒收,大致有两种情况:

(1)收件人误将您的邮箱加入“黑名单”中,使得您发送的邮件被拒收。如果是这种情况,请您采用其他方式联系收件人,请他将您的邮箱从黑名单中删除。

(2)您邮件中的某些关键字触犯了对方邮件系统的过滤规则,使得邮件被拒收。如果是这种情况,请您修改邮件主题或正文后,再发送邮件试一试。



拦截垃圾邮件的常用技术


  随着电子邮件的使用日趋广泛,垃圾邮件的数量也逐渐增多,本文介绍一些在工作中常用的拦截垃圾邮件的技术,与大家探讨。

一、反向DNS解析

二、黑名单、白名单、实时黑名单

三、灰名单

四、贝叶斯智能分析

五、验证电子邮件发件人地址技术SPF

六、减少无效过滤



©1994-2007 版权所有:中国科技网网络中心 意见反馈: support@cstnet.cn