瑞星一周播报（2008.3.24—2008.3.30）

本周关注病毒：POPHOT点击器变种JO（Trojan.Clicker.Win32.PopHot.jo）警惕程度 ★★★

　　这是一个木马病毒。病毒运行后会将自身复制到系统目录下，并释放多个病毒文件。并且，病毒会注入到系统正常进程，试图关闭多种主流杀毒软件和安全工具，以及把自身添加到防火墙信任列表，以此躲避防火墙在病毒刷新页面时的拦截。病毒还会利用浏览器频繁地刷新页面并点击页面广告等，使用户上网和计算机运行速度缓慢甚至死机，同时也造成用户宽带流量的极大浪费。

专家建议

　　1．养成良好的上网习惯，不打开不良网站，不随意下载安装可疑插件；

　　2．开启Windows安全中心、防火墙和自动更新，及时安装最新系统补丁，避免病毒通过系统漏洞入侵电脑；

　　3．将杀毒软件升级到最新版本，定时杀毒并开启实时监控功能，防止病毒感染计算机；

　　4．把网银、网游、QQ等重要软件加入到“账号保险柜”中，防止被病毒窃取。

出处：瑞星公司

暴风蠕虫形成僵尸网络　击垮顶级计算机

　　暴风蠕虫（Storm Worm）广泛传播，已经形成了数量巨大的僵尸网络。如果发起攻击，它可以轻易的摧毁世界上最顶级的超级计算机。

　　世界上的安全专家都在谈论暴风蠕虫，它在最近三个月中肆虐全球，对因特网构成了致命的打击。

　　暴风蠕虫攻击安装了微软Windows系统的机器，并把它们构建成不断扩大的僵尸网络。

　　即使最乐观的估计僵尸网络的规模，安全专家也相信暴风蠕虫网络是有史以来最庞大的网络怪兽之一，它能够造成巨大的危害。

　　MessageLabs公司首席反病毒专家Matt Sergeant在一次访谈中说，“在攻击力方面，暴风蠕虫网络能够将超级计算机击垮。如果把全球500台顶级的超级计算机都算上，暴风蠕虫网络操纵着200万台电脑，可以轻易地把这些超级计算机都摧毁。网络犯罪者能够达到如此巨大的计算能力，而我们却无法达到，这是一件非常令人恐惧的事情。”

　　Sergeant说，MessageLabs的研究人员发现200万台僵尸网络中的毒机在指定日期大量发送垃圾信息，并且他们估计这只是蠕虫网络容量的10%。

　　“我们注意到蠕虫网络的幕后控制者在控制毒机进行某种实验，这种实验性攻击通常表现为持续5到10次”，他怀疑蠕虫网络可能包括多达5000万台计算机，“这意味着他们能够为所欲为。”

　　目前还无法对蠕虫网络和顶级的超级计算机的能力进行详细和精确的比较，主要的原因在于，很难确切的知道蠕虫网络的规模以及每一个节点上计算机的能力。

　　安全公司Postini的高级官员Adam Swidler告诉《信息周刊》，虽然他认为蠕虫网络的规模仅仅在100万到200万之间，但是同时他也相信蠕虫网络能够轻易击垮主流的超级计算机。

　　“如果你计算一下纯理论意义上的吞吐量，你就会发现蠕虫网络拥有比IBM的‘深蓝’更强的计算能力，要是它们俩下象棋的话，蠕虫网络将会胜出。”

　　然而蠕虫网络并不参与超级计算机的竞赛，它的超级能力对于试图保护企业的IT行业和安全厂商有什么影响呢？

　　这意味着控制了蠕虫网络的犯罪者手中拥有极大的破坏力，今年夏天，波罗的海国家爱沙尼亚遭到网络战的沉重打击，主要以分布式的拒绝服务攻击为主，打击对象遍及爱沙尼亚的政府、银行、新闻媒体和警察机构。

　　为了保护本国的网络运行，该国只好关闭了一些关键部门的计算机系统，遭受打击的部门的网站将长期无法从境外访问。

　　Swidler说，他相信暴风蠕虫的幕后控制者肯定会对美国境内的企业、网络服务商和政府机构发起拒绝服务攻击。这种蠕虫将造成极大的危害。

　　他补充说，“毫无疑问，蠕虫将危及大量企业，不论它采用拒绝服务攻击还是垃圾信息阻塞的方式。与Yahoo和美国银行这样的大企业相比，我更担心数目众多的中小银行，因为他们的防护措施并不得力。但可以确认的一点是，这种蠕虫的危害是非常惊人的。”

　　Swidler说，蠕虫网络的泛滥将造成更严重的恶果，一些国家为了对付敌国，可能会租用这些网络来发起拒绝服务攻击，迫使敌国的政府机构、政府职能或金融中心瘫痪。

　　“这些网络拥有强大的计算能力，可能会被利用来进行巨大的破坏活动，这是网格计算的悲哀。”

社交网站对企业安全构成严重威胁

　　专家指出，Facebook等社交网站为企业用户开发新的在线应用程序，将会对企业和其它组织的安全构成威胁。

　　研究人员称，从恶意软件、垃圾邮件到网络犯罪等，都把目光盯在了社交网站身上。因此，快速发展的社交网站正在成为安全威胁的严重隐患。Michael Whitehurst组织的副总裁称： “传统的攻击是短期的，而针对社交网站的攻击却是长期的，犯罪分子利用用户向企业渗透，从而获得有价值信息和数据。鉴于此，企业需要制定政策，明确进出网站的扫描内容。”

　　最近针对MySpace发生的攻击案例表明，攻击者提示用户升级Windows系统，实际上是在用户PC上安装被感染的恶意软件，为今后的攻击留后门。企业社交网站无法制止由URL发起的攻击。即使象eBay和PayPal这种被视为拥有金融专家和技术专家的网站，也经常面临交叉脚本攻击活动。专家称，随着企业进军社交网站市场进程的加快，这种问题会进一步增加。

　　据Forrester组织发布的最新数据显示，150多名IT专家中有96%的人称，进入社交网站很有价值，但只有5%的人称他们采取的安全措施，帮助用户进行技术防范。绝大多数的受访者称，尽管存在这种潜在的安全风险，但企业不应该阻止员工接入社交网络URL和其它的Web2.0网站。如果这样做，会挫伤员工积极性，失去企业展示自身价值的机会。

　　ScanSafe组织的产品副总裁Dan Nadir称：“在全球现有1.5亿个活跃网站，MySpace有2亿张网页。这些企业面临严峻的安全挑战，没有一个安全厂商能对所有的URL进行过滤跟踪。”

　　但是，IT部门需要积极防范，应对各种针对社交网站的攻击活动。Secure Computing组织的副总裁Paul Henry称：“企业需要调整针对Web2.0网站的安全政策，需要对互联网政策进行调整。

地下网络犯罪经济将高速增长

　　网络防毒与互联网内容安全软件及服务领域专家趋势科技今日公布的《2007年威胁报告暨 2008年预测》显示，2007年金钱利益驱使的网络威胁进一步发展；2008年从安全角度看，“好坏”网站之间的差别难以区分。 趋势科技为2008年的威胁格局给出了下面的预测：

　　1．操作系统使用的遗留代码以及流行应用的漏洞将继续成为攻击对象，通过输入不断变化的恶意代码，犯罪分子将借此运行恶意软件，破坏计算机和网络安全，从而盗取机密信息和私密信息。

　　2．运行各种社会网络的高知名度网站、银行/金融机构、网络游戏、搜索引擎、旅游、商务订票、本地政府部门、新闻、就业、博客和拍卖及购物类电子商务网站将继续成为最受犯罪分子追捧的攻击载体，以保存和网络钓鱼有关的链接以及身份窃取代码。

　　3．手机、MP3播放器、数据帧、微型驱动器和游戏站点等不受管理的设备将继续为犯罪分子和恶意软件提供机会，因其在存储、计算和Wi-Fi功能性方面的能力而冲破企业的安全界限。咖啡店、书店、酒店大堂和机场等公共介入区将继续成为恶意软件的分布位置或攻击载体，被恶意实体加以利用。

　　4．电子邮件、即时通讯和文件共享等通信服务将因其吸引潜在受害者的效用而继续被图形垃圾邮件、恶意URL和附件等内容威胁借助针对性、本地化的社会工程主题而加以滥用，因为犯罪分子不断试图扩大僵尸网络的规模以偷取机密信息。

　　5．数据保护和软件安全战略将因为越来越多的重要事件而成为商业软件生命周期的标准，这也将让数据加密技术成为存储和传输过程的重点，尤其是在信息和分布链上的数据访问诊断。

3G时代手机病毒潜藏巨大风险

　　3G的脚步越来越近，但很多人并不知道，在享受科技飞跃的同时，随着3G时代的到来和智能手机的逐渐普及，手机安全问题也将日益加剧。以智能为特征的3G手机，将不得不面临病毒的侵袭。

　　手机病毒的原理其实和计算机病毒一样，它以手机网络和计算机网络为平台，通过病毒短信等形式，对手机进行攻击，从而造成手机使用异常。手机感染病毒后，突出特征是运行慢、经常出现死机或者白屏现象，并且电池消耗会特别严重，甚至还会自动根据手机上的通信记录发短信，浪费机主的话费。

　　从某种意义上说，手机病毒是手机智能化的衍生物，而3G手机的一个显著特征就是智能化。随着3G时代的到来，越来越多的手机用户将使用蓝牙及红外传输技术，手机正在成为病毒载体以及黑客和病毒制造者的攻击目标。

　　目前，国内移动电话总数已经突破五亿户，数据还显示，手机上网已经在我国渐成风气，已有27.3%的网民使用手机上网。如何预防和清除手机病毒成为人们关注的问题。

　　业内专家指出，乱码短信、彩信可能带有病毒，收到此类短信后应立即删除；利用无线传送功能比如蓝牙、红外接收信息时，一定要选择安全可靠的传送对象，如果有陌生设备请求连接时最好不要接受；使用手机下载各种资源时要确保下载站点安全可靠；选择手机自带背景，下载的漂亮背景图片与屏保往往带有病毒；不要浏览危险网站，比如一些色情网站，其中隐匿着许多病毒与木马。

　　此外，清除手机病毒最好的方法就是删除带有病毒的短信或软件。如果发现手机已经感染病毒，应立即关机，死机了，则可取下电池，然后将SIM卡取出并插入另一型号的手机中（手机品牌最好不一样），将存于SIM卡中的可疑短信删除后，重新将卡插回原手机。如果仍然无法使用，则可以与手机服务商联系，通过无线网站对手机进行杀毒。