瑞星一周播报（2008.3.3—2008.3.9）

本周关注病毒：反病毒终结者变种AA（Trojan.Win32.AntiAV.aa） 警惕程度 ★★★

　　这是一个木马病毒。病毒运行后会在系统目录下保存病毒文件本身，并更改注册表信息以实现随系统自启动。它会破坏计算机的还原功能和常用的还原类软件，使用户（特别是网吧用户）无法还原系统。该病毒还试图关闭多种主流杀毒软件及安全工具，给用户计算机安全带来威胁。该病毒还会从黑客指定的网站下载木马病毒，这些病毒会窃取用户的网游帐号、密码等信息，给玩家带来损失。

专家建议

　　1、养成良好的上网习惯，不打开不良网站，不随意下载安装可以插件；

　　2、开启Windows安全中心、防火墙和自动更新，及时安装最新系统补丁，避免病毒通过系统漏洞入侵电脑；

　　3、安装杀毒软件2008版升级到最新版本，定时杀毒并开启实时监控功能，防止病毒感染计算机；

　　4、定时设置系统还原点和备份重要文件。

出处：瑞星公司

2007年全球安全报告

　　全球网络设备领导厂商思科（Cisco）于日前宣布，为使各界进一步了解全球各地安全威胁的发展趋势，以及强化网络使用者使用安全信心，Cisco Security Center特别针对全球安全情况首度发表 “2007年思科全球年度安全报告”，精辟分析网络7大安全威胁，包括弱点、实体、法律、信赖、身份、人员、以及地域等，内容涉及防御恶意程序、防范数据外泄、企业风险管理、灾害规划等议题，其中更有许多超出独立内容安全问题之范畴，详尽地介绍企业、政府机构、以及消费者所面临之挑战，并提出因应方针以积极进行防御，以促进电子商务与网络服务蓬勃发展。

　　“2007年思科全球年度安全报告”中强调，现今的威胁与攻击渐趋全球化与复杂化，此趋势更将延至2008年。数年前的病毒与蠕虫攻击以渐为各种混合型安全威胁，如：经由垃圾邮件散布的网络钓鱼、殭尸网络等威胁所取代，发动攻击的目的也由破坏系统与博取名气转变为窃取金钱与个人信息。此种“窃取后致富”模式已是全球化现象，其破坏性甚至还超越了网络7 大安全威胁。此外，信息安全也不再只是单纯地对抗病毒或垃圾邮件，通常还涉及法律、身份、以及政治等因素。例如俄罗斯黑客帮派分子在2007年春天向邻国爱沙尼亚发动阻断服务攻击，起因于爱沙尼亚当局决定拆除设在公园的苏维埃时代战争纪念碑，而导致黑客攻击该国的许多政府网站。

　　思科安全长John Stewart表示：“网络犯罪不断持续演进，通常使用以往仅可能以电子形式出现过的知名技术。信息安全威胁已非对抗独立的病毒或网络钓鱼攻击，现在想要保护企业、个人身分、以及国家，就必须结合以往没有参与的人士，共同协调、密切地合作。IT安全团队、企业、政府、执法者、消费者、以及民众等，虽然都是攻击的目标，但却也是盟友。国家、企业、以及个人的安全性，有赖所有相关人士的紧密合作与联系才有可能维护。”

　　John Stewart与技术支持部门副总裁Dave Goddard均认为，合作防御安全威胁的关键在于教育。思科的报告针对网络7大安全威胁类别列出多项建议，主要包括：

　　定期监控易受攻击的组织，并评估各种可能的攻击管道。由于没有基本的安全策略，攻击往往很容易得手，必须以安全修补软件与定期监视，进行以主机为基础的入侵防御、修补或升级。

　　了解安全威胁会随使用模式演进，每当有新应用或装置问市时，新的安全威胁就会浮现。IT组织应主动协助员工、消费者与民众改变心态，大家必须一同迎战安全威胁，没有人再只是无辜的旁观者，必须共同积极地面对安全问题。

　　安全教育视为优先考虑。企业、安全解决方案厂商、以及政府机构必须投入资源以推动安全教育、建立防范意识。合作伙伴与竞争对手更需一起推动涵盖整个产业的合作。

　　透过教育机构推动安全教育，融入学校课程。

　　在建构安全网络时，考虑的范围应延伸至效能之外，注意网络是否能以端对端的模式，透过分工、检测、调适等功能来解决各项安全问题－涵盖网关器、服务器、桌上型计算机、以及行动装置。

　　厂商必须提供更全面的安全解决方案，能涵盖整个网络基础建设、应用环境、以及数据本身。

当心鱼叉式网络钓鱼变身成国际间谍行为

　　Spear Phishing，鱼叉式网络钓鱼，指的是针对特定的对象进行攻击，利用社交工程的方式取信于收件者，诱使他们开启电子邮件，以趁机植入木马到受害者的计算机中，窃取个人银行账号、公司商业机密甚至成为发送垃圾邮件的跳板等。原本鱼叉式钓鱼仅限于针对金融业或一些上市公司的业余黑客行为，但近来美国系统网络安全协会（SANS Institute）提出警讯，鱼叉式的网络钓鱼有可能变成国际间谍情报活动的一种方式，因为美国发现了许多的专业钓鱼邮件攻击模式，看起来一点都不像是业余黑客有办法独力完成的，这是非常有组织的攻击，所以他们怀疑动机并不单纯，幕后可能有黑手操纵，先不论目的为何，也许是商业机密或是更严重的国防机密，但这一切都会对公司或是公众甚至国家造成无法弥补的伤害，由于黑客躲在暗处防不胜防，目前除了消极的预防及保护的措施，更重要的是，要对私人公司或公众组织的进出数据进行稽核监控，除了实体的数据控管外，当中尤以最普遍的邮件内容的过滤最为重要，不论寄内或寄外的电子邮件，都必须经过邮件防火墙的扫描，确认内容无敏感的机密后才予以放行，这样一来即使个人的计算机不慎被植入木马，数据也不会因此而外泄。

　　Cellopoint实验室建议，面对这些网络威胁，首先要做的当然是制订一套完整的资安监控政策，强制组织内部定期更新系统补丁及控制员工上网行为，做好预防，但除了预防外，也必须针对万一还是有计算机不慎感染，做出及时的应对措施，例如加上一道邮件安全的监控稽核机制，在出公司网络的最后一关，这样一来即使员工计算机不慎被黑客占领，也可以在发现到被植入木马前的这段空窗期间，先行阻止机密资料的外泄，就像多了一把钥匙一样，多一层的防护，避免憾事发生。

网络犯罪进入2.0时代

　　“在刚刚过去的2007年，有组织的网络犯罪者开始认真对待他们的市场策略，经过精心设计的犯罪阴谋以更加复杂和隐蔽的方式进行。网络犯罪由此进入了2.0时代。”在总结2007年位于信息安全编年史上的标志性意义时，一家国外媒体得出了这样的结论。来自政府部门和杀毒厂商的信息安全专家也对此深表认同。他们认为，2007年中国的互联网犯罪行为具有了更多的隐蔽性，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。2008年，网络犯罪的势头会更加猛烈。

　　数据窃取事件飙升

　　2007年10月底，美国新英格兰地区300多家银行在对全球折扣零售业巨头TJX公司提出起诉的文件中称，由于没有采取必要的安全措施，该公司在黑客的攻击下发生了严重的数据泄露事件，导致9400多万用户的账户受到影响，并由此引发了至少13个国家发生大量信用卡和借记卡诈骗案件，仅Visa卡用户的损失就超过6800万美元。

　　国家计算机网络应急技术处理协调中心副总工程师杜跃进博士告诉记者，2007年中国也发生了大量的互联网泄密事件，给国家造成了严重的损失。

　　同样是2007年10月，我国相关部门发现了境外间谍机关实施的一次大规模网络窃密行动，攻击对象全是中国政府、军队和国防科研机构、军工企业网络，受到攻击的单位遍及我国绝大部分省、自治区、直辖市，甚至还包括我国十几个驻外机构。据悉，在该案中被境外情报部门控制的电脑和网络达数百个，窃密内容涉及政治、军事、外交、经济、医疗卫生等多个领域。而此次活动的具体执行者就是一位名叫李芳荣的台湾间谍。他利用黑客技术，控制了多个服务器，又通过这些服务器将木马植入其感兴趣的电脑，然后实施网络窃密等破坏活动。杜跃进表示，公开报道的这起事件应该只是2007年我国网络泄密事件的冰山一角。

　　除了更加猖狂的态势之外，杜跃进表示，网络犯罪者发起攻击时目标更加明确是2007年信息安全领域的又一特点。他举例说，有些人很少上网，但就在他非常短暂的上网时间里，其秘密信息已经被人窃取；有些机构为了安全起见，实行了内外网隔离。可是，犯罪者还是能够通过精巧的设计将数据从内网上窃取出去。

　　由于数据窃取事件急剧飙升，互联网安全公司赛门铁克在其日前评出的2007年十大互联网安全事件中，将数据窃取列在了首位。

　　隐蔽性更强

　　“实际上，数据泄密事件频发只是网络攻击向趋利性发展的结果之一。”杜跃进说。网络攻击的趋利性特点在2006年就已经初露端倪，不过2007年这一趋势表现得更加明显，犯罪行为也更加隐蔽。

　　他打了个比喻：如果一个街头阿飞为了炫耀他的厉害，他会将自己的种种凶恶之处赤裸裸地表现出来；而如果一个小偷的目的只是为了窃取财物，那他就想藏得越隐蔽越好。

　　由于攻击行为日益趋利化，其直接结果是，截至2007年11月，我国大陆地区被木马秘密控制的主机IP已超过了100万，比以前有了大量增长。

　　金山反病毒工程师李铁军对此也表示认同。自2006年起，盗号木马、黑客后门病毒已经成为大多数职业病毒作者的生财工具。木马病毒背后巨大的灰色“产业链”给整个互联网带来了更加严峻的考验。不管是网银中真实的钱还是虚拟财产，制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，网络犯罪团体已经形成了一个分工明确、非常完善的流水性作业程序。

　　更可怕的是，即便是一台无任何木马和病毒的电脑，在安全措施非常严密的情况下，也有可能成为攻击的对象。据杜跃进介绍，2007年6月，国家计算机网络应急技术处理协调中心先后收到IBM应急响应小组、Brandprotect公司、CastleCops PIRT反欺诈组织、RSA Cyota反欺诈安全公司等多个国外安全组织的投诉，称位于我国大陆的两个IP地址自6月6日起为大量从事网络仿冒活动的域名提供域名解析服务。在此事件中，被犯罪分子入侵的主机向大量仿冒网站提供域名解析服务，其危害比单独一台运行一个仿冒网站的主机更为严重。互联网用户会在毫不知情的情况下掉入网络犯罪者精心设计的陷阱中。

　　势头会更加猛烈

　　杜跃进和李铁军都表示，2008年我国的互联网安全形势会更加严峻，犯罪者在网上的攻击能力会进一步增强。

　　杜跃进认为，2008年，各种形式的恶意代码数量会极大地翻番。恶意代码侧重于控制用户系统并进而组成僵尸网络或者窃取用户敏感信息等，主要有后门、邮件蠕虫、木马、间谍软件以及利用MS Windows系统漏洞和通过即时通讯软件、网络共享进行传播的蠕虫，而以破坏用户数据或影响系统正常使用为主要目标的病毒数量所占比例相对较少。

　　据国家计算机网络应急技术处理协调中心对互联网业务流量的抽样统计显示，在TCP协议中，占用带宽最多的网络应用有4类：Web浏览、P2P下载、电子邮件和即时聊天工具。电子邮件协议使用TCP 25号端口，除正常使用外，该端口还充斥着大量的蠕虫和垃圾邮件流量。P2P 软件（例如eMule、clubox、迅雷等）已成为目前最流行的下载工具，受到大量用户的青睐。李铁军表示，目前正在出现的一个新趋势是，利用P2P及暴风影音等一些流行软件进行恶意代码传播的事件日益增多。因此，新型应用服务的安全应当引起充分的注意。网民们应充分意识到该类软件的安全问题。同时，防止利用即时聊天类工具（如MSN和QQ软件）对重要信息的泄密行为。

企业用户应提防僵尸网络的致命攻击

　　一旦某台计算机被感染上，它就会等候为非作歹的僵尸网络操纵者（bot herder）下达的命令，这些人把这些僵尸计算机变成了庞大的僵尸网络，然后在互联网上制造大量的垃圾邮件及其他恶意软件。

　　痛击僵尸网络

　　因为僵尸网络操纵者显然把大量资源花在了管理及运行各自的僵尸网络上，于是他们对于增加自己管理的网络数量的兴趣有所减弱。赛门铁克声称，在2006年下半年，指挥控制型服务器的数量减少了25%。该公司声称，这表明僵尸网络操纵者正在巩固及壮大每个网络。

　　各种新新的攻击手法使得安全研究人士猜测：僵尸网络操纵者正在争夺地盘、相互攻击对方。有些恶意软件的目的可能是摧毁竞争对手的僵尸网络；同时，大肆破坏普通网络。举例说，最近一种蠕虫就是针对访问过恶意的炒股诈骗网站的机器。网络监控公司Websense声称，它会使机器感染上一种病毒，从而导致机器不断重新启动，结果无法用于正常工作（及非法使用）。

　　因为僵尸网络操纵者更加感兴趣的是让成千上万台受到感染的机器处于秘密状态，所以他们会激活某台机器，发送大量垃圾邮件，或者施展点击欺诈把戏，然后迅速关闭连接。

　　rootkit感染过程对操作系统来说是看不见的。而僵尸网络操纵者可以通过HTTP（不一定依靠IRC）来控制机器。这意味着你很难查出网络上的僵尸机器。

　　社交网络呈现诸多安全隐患

　　不过更令人担忧的是，如今的僵尸网络操纵者开始采用诸如带毒博客、跨站脚本攻击和 iFrame攻击之类的手法，这些不需要用户采取任何动作（比如点击电子邮件的附件）就可以使用户受到感染。如果一台操作系统或者浏览器存在安全漏洞的个人电脑访问了某个含有恶意代码的网站或者博客，可能不知不觉就会遭到感染。有时出现在广告软件中的恶意JavaScript脚本会自动下载到个人电脑上，然后电脑被引到其他恶意网站来接收恶意脚本的命令，僵尸电脑就这样形成了。由于基于共享服务器的成本低廉的主机托管服务非常流行，黑客只要单单利用某个操作系统的漏洞，就能访问众多Web服务器。

　　带毒博客和跨站脚本攻击存在已有好些年了，它们就是在原本合法的网站中植入恶意代码。不过，僵尸网络操纵者找到了新的方法来利用它们。比较臭名昭著的一个例子是，就在全美橄榄球决赛前夕—这时候成千上万的人想设法买到门票，僵尸网络操纵者入侵了决赛场地海豚球场的网站。

　　社交网络也有可能成为恶意软件藏污纳垢之地，因为这些网络允许用户上传及共享文件、数据及其他可能有害的代码。借助iFrame攻击，看不见的框架就可以用来把没有被检测出来的恶意软件自动下载到众多网站和社交网络上。