瑞星一周播报（2008.1.28—2008.2.3）

VB邮件蠕虫变种EA （Worm.Mail.Win32.VB.ea） 警惕程度 ★★★

　　该病毒运行后首先会创建一封含有诱惑性内容（如好友最近照片、祝福贺卡，节日祝福贺语等）的邮件，邮件内容中包含病毒链接的网址。然后向用户所有好友发送此邮件。当收到邮件的用户打开含病毒链接的邮件时便会访问此网址，从而下载其他木马病毒到该用户计算机上。此外该病毒还会用户的MSN来向其好友发送带病毒链接的诱惑性内容，给用户带来很大的不便和计算机安全威胁。

专家建议

　　1、建立良好的安全习惯，不要轻易打开可疑的邮件以及通过QQ、MSN等传来的文件或网址。收到好友发来的文件或网址时，应先询问对方，确认后再打开；

　　2、不浏览不良网站，不随意下载安装可疑软件；

　　3、安装专业的杀毒软件升级到最新版本，并打开邮件和文件监控程序，防止病毒通过电子邮件、MSN及QQ等侵入您的计算机。

出处：瑞星公司

网络钓鱼已形成产业化

　　网络钓鱼最早现身江湖是在10年前，但是现在已成燎原之势，专业的和非专业的黑客将其作为电子犯罪的利刃。

　　网络钓鱼的最简单的形式是发送伪造的电子邮件，要求用户修改个人信息，诸如银行帐号，PIN码或是信用卡号，实际上你是在一个假冒的网站上修改信息，于是黑客就得到了你的信息。eBay的客户就深受其害。

　　网络钓鱼者转移的很快。从建立虚假网站到发送电子邮件搜集信息然后获取受害者身份，不过一个星期的时间。一些假冒站点的生命周期只是2到3天而已。专家称，实际在信息发送后的24小时之内网络钓鱼事件就已然上演。

　　巴西的网络犯罪集团更加可怕，他们一次性发送数以千记的信息给银行客户，而这些客户的地址实际上银行内鬼偷出来的。

　　一般来说，这些邮件都会告诉用户升级在线银行信用证，通常带的附件都是木马病毒。一旦用户打开附件，病毒就会修正主机文件从而将计算机引向恶意站点而不是合法站点。这样发送垃圾邮件的好处是显而易见的：只要稍微使用一些技术手段，黑客就可以冒极小的风险在短时间之内获取大量的经济利益。

　　“2003年的时候，网络钓鱼遍地开花，从那时候开始他们就已经形成了一个严密的组织和销赃渠道。”iDefense安全公司的恶意代码管理部门经理Ken Dunham说。“一些犯罪分子很专业，网络钓鱼可以说是低投入，低风险，高回报。并且一些受害者低估了其危害性，这实际上已经演变成一个巨大的产业。”

　　执法部门的官员称，在现行条件下，他们已尽最大努力。安全部门的Johnson说，“这些网站转换速度太快，我在网上都有相关人士监测攻击发生时的是信息和数据。但是很难追踪循迹。我们一直希望加强国际合作，但是并不是每个国家之间都有司法合作协议，所以实际执行效果大打折扣”。

　　最近美国马萨诸塞州的执法部门就逮捕了一名俄罗斯人，他涉嫌利用网络钓鱼从事有组织犯罪。根据官方资料披露，他一共涉嫌盗取15000美元现金，价值千美元的商品还有上百人的个人信息。

　　这些案件已经引起了立法部门的注意。有关部门正考虑对网络钓鱼犯罪立法的问题。在美国，参议员立法委员会称现有的身份盗窃法案已难以符合形势需要，因为犯罪分子一般是先进行欺诈，然后垃圾邮件进行网络钓鱼，基本上不可能有效跟踪。2005年制定的反网络钓鱼法案将网络欺诈拟制为犯罪。目前，执法部门开始与一些组织接洽以便更好更快的应对新的攻击形式。

　　目前成立的一个组织就是网络犯罪预防与控制研究中心，这一中心由Zero Spam公司和迈阿密大学合作建立。这一组织的工作人员包括迈阿密大学的本科生，研究生以及Zero Spam公司的员工。其目的在于与国家安全部门和全球的网络服务提供商合作阻止网络钓鱼的源头。

　　中心主任Bill Franklin说，他们直接与各国的紧急事件响应中心和网络服务提供商合作阻止网络钓鱼站点。合作国家包括中国，韩国和巴西。

　　阻止流量或是关闭站点是一回事，但是真正的目的是让那些制造垃圾邮件的人受到法律的惩罚，这相当困难。尽管目前网络钓鱼事件愈演愈烈，但是Johnson很乐观的说，网络钓鱼已达到顶峰，随着人们对此问题的认识，网络钓鱼将没有什么市场。

“暴风雪”袭来 蠕虫病毒泛滥

　　暴风蠕虫（Storm Worm）感染的电脑就开始发送垃圾邮件，诱惑被害人到恶意网站下载恶意软件，而那些被恶意代码感染、控制且与互联网相连接的计算机则变成了蠕虫僵尸网络（Storm botnet）的一分子。

　　那个散布恶意代码的网站为merrychristmasdude.com，其散布的恶意代码（malware）是蠕虫和木马病毒的变种。这些恶意代码已经对全世界电脑的操作系统的安全造成了巨大的威胁。

　　一旦用户点击了邮件中merrychristmasdude.com网站链接，他将会进入一个圣诞主题的网站，网站的页面上有许多衣着暴露的女子照片并提供一个免费的下载链接，据F-secure公司检测，这个免费下载到的文件实际上是worm.win32.zhelatin.pd恶意程序，该程序会自动连接到 P2P网络，并下载更多的恶意软件到被感染的计算机中。

　　暴风雪蠕虫病毒的由来是因为一些黑客受1月份欧洲遭遇暴风雨天气的启发而编写的，安全方面的专家估计在近一年的时间中受暴风雪蠕虫感染的计算机数量已经超过了1500万台。据一篇科技文章报道，暴风雪蠕虫的最新变种已经能被多种反病毒软件查杀，卡巴斯基，微软和赛门铁克都发布了相应的查杀工具或程序。

　　为了避免遭受恶意软件的攻击，希望大家不要打开任何有关Merrychristmasdude.com的链接和电子邮件。

2007安全焦点 终端web安全

　　一直以来，对终端安全的保护更多的是采取加密措施，而很少加载网络层面的安全防御。但今年出现的几起重大的由僵尸网络造成的网络安全事件后，终端的基于Web的安全防护显得空前重要。这其中既包括基于Web的互联网访问安全，也包括访问Web的终端的信息安全。

　　稍微留心都不难发现，无论是传统的老三样产品—防火墙、防病毒、入侵检测，还是身份认证、反垃圾邮件、VPN产品，甚至还有一些集合了漏洞扫描、风险评估、审计、防御及数据安全的系统解决方案，都纷纷亮出保护终端Web安全的招牌。

　　很显然，即便是传统网关级的产品，如今也不得不考虑网络内部每一个终端的Web安全。这是因为，对于外部互联网而言，终端已经和网关一样不断发生着与互联网信息交互的行为，譬如终端个人信息、网游账户及商务应用中的网银账户等。这就使得终端面临着的几乎是赤裸裸的外部网络威胁。网关除了需要在入口处对外部威胁进行防御，更需要对内部终端实现Web 安全防御和信息保护。

　　木马成为2007年病毒领域的“钉子户”，以此形成的网络钓鱼和网络间谍等恶意攻击成为反病毒任务的重中之重。而对于系统类安全解决方案和终端安全类产品而言，由于其对终端的保护更加专注，因此其上基于Web的防护更容易实现。所有这些无不昭示这样的现状：基于Web 的互联网安全时代到来了，而且它涉及每一个终端。

　　值得一提的是，2007年中国安全市场有三种理念非常盛行：SRM（安全风险管理）、DLP（数据防泄露）及Web过滤。Web过滤技术已在前两年有所提及，但是2007年随着互联网游戏和商务应用的风靡，Web访问和应用成为最强势的风险源头。因此，如反垃圾邮件、反病毒、入侵检测、防火墙等所有涉及网络防御的产品都将Web过滤视为一项关键技术，只是网页监测和拦截性能上还有待不断提升。

　　另外，安全风险管理是一种整体的安全解决方案，它的范畴从漏洞扫描、安全审计，到病毒防范、威胁防御，一直到数据防泄露。其中，数据防泄露更是填补了网络安全技术的空白，使得安全技术在抵御网络及终端威胁的同时，仍能关注并保护内部数据信息，从而实现核心的信息安全，这也正是2007年终端安全受到关注的最重要原因。

　　总体来看，今年信息安全技术与产品的趋势呈现出泛边界状态，即终端防护策略正在向传统的网关靠近，以Web防御和数据安全为核心的终端安全机制正在改变着安全产业的发展。

2008年网络安全状况堪忧

　　安全公司F-Secure和Websence分析认为，明年的恶意软件、僵尸网络攻击、QuickTime劫持和针对iPhone的病毒将会呈爆发式增加。

　　2007年初时，F-Secure公司的数据库里有大约25万个病毒定义，这是20多年来反病毒研究的成果。而现在过了不到一年，F-Secure的病毒库已经增加到50万个病毒定义。

　　F-Secure公司安全反馈主管Patrik Runald说：“今年我们发现的病毒数量相当于过去20 年的总和。”

　　根据F-Secure 2007年的总结报告，本年度的电脑安全状况并不乐观。除了恶意软件大幅度增加之外，今年还出现了暴风蠕虫，它是一系列后门木马和电子邮件蠕虫的统称，这些木马和蠕虫共同创建了大规模的分布式点对点僵尸网络。

　　简言之，F-secure认为暴风蠕虫背后的犯罪团伙将会把僵尸网络租借给其他网络犯罪团伙使用，从中获取暴利。

　　同时F-Secure的总结报告也指出，2007年盗窃网上银行登陆信息和网络游戏密码的木马越来越多，这些木马在2008年可能还将继续作恶。Runald注意到，每天F-Secure公司会发现10到 40个网银木马的新变种。

　　在2007年苹果公司的产品成为网络攻击的焦点，Runald发现QuickTime劫持正在大行其道。他说，“我们发现Macs系统上的恶意软件越来越猖獗。得益于iTunes的影响，QuickTime被安装在许多电脑上，它已经成为恶意攻击的目标。”

　　F-Secure的报告认为，Mac市场份额的不断增长、Safari兼容Windows和iPhone这两大利好刺激了网络犯罪者，例如开发Zlob间谍软件的人，促使他们试图攻击苹果公司的软件和硬件产品。

　　入侵数据库的行为在2007年危害巨大：TJX信用卡数据被盗的情况正在被不断披露，英国政府损失了大约250万公民的个人记录，还有一次钓鱼攻击获得了Saleforce.com的客户列表。

　　F-Secure的报告称：“极易被窃取的个人信息俯拾皆是。随着社交网站的流行，别有用心者想窃取别人的身份资料更加轻而易举。在2008年我们将会发现通过邮件实施的有目的攻击变得更为广泛，而数据库泄露的资料会被用于病毒提高自身的社交工程学技巧。”

　　展望2008：隐藏术和语音钓鱼

　　F-Secure公司预测，在2008年会出现更多的针对移动应用和Web应用的攻击出现。

　　Runald说：“我们将会看到更多、更先进、更强大、更快速的攻击。”

　　另一家安全公司Websense发布了一个报告，对2008年的安全形势作了相似的展望。

　　Websense公司安全研究副总裁Dan Hubbard预测，在明年的北京奥运会期间网络攻击数量将会爆增。他说，“这是一个让全球网络犯罪集团都摩拳擦掌的时刻。”

　　Hubbard认为，利用垃圾信息针对论坛和博客的攻击将会上升，部分原因在于对垃圾邮件的防护已经普遍起到了效果。垃圾信息发布者在热门博客和论坛上发布恶意网站的链接，试图使他们的站点在搜索引擎的结果列表中顺序更靠前。

　　Websense预计，攻击者将更多的利用网站在性质上的弱点，这些网站通常会包含来自广告服务、组件提供商和其他第三方资源的数据信息。在2008年，被垃圾信息利用的网站数量将超过专门传播恶意软件的网站数量。