本周关注病毒：“下载器蠕虫变种IR（Worm.Win32.DownLoader.ir）”警惕程度 ★★★

　　病毒把自己伪装成一个图片的样子，名字叫“照片”并且有很长的空格，诱惑用户打开。病毒运行后会关闭大量的安全软件，以躲避对其的查杀，随后会删除dllcache中的wuauclt.exe，然后把自己复制到该目录下并且改名为wuauclt.exe，再删除system32下的wuauclt.exe，复制自己到该目录下命名为wuauclt.exe，在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF，达到再次运行和传播病毒的目的，写入注册表启动项，以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行，容易反复感染，彻底清除困难。

专家建议

　　1、及时安装最新Flash Player插件，避免感染此类病毒侵害；

　　2、安装卡卡上网安全助手6.0，可以有效防范此类木马的侵害；

　　3、养成良好的上网习惯，不打开不良网站，不随意下载安装可疑插件；

　　4、安装瑞星杀毒软件2008版升级到最新版本，定时杀毒并开启实时监控功能，防止病毒感染计算机；

　　5、定时设置系统还原点和备份重要文件，并把网银、网游、QQ等重要软件加入到“瑞星账号保险柜”中，这样就可以防止病毒窃取自己的游戏账号、密码等私人资料。

　　据国外媒体报道，俄罗斯反病毒公司卡巴斯基实验室最新公布的信息显示，在Web 2.0领域中爆发式流行开来的Twitter目前已成为了网络犯罪的最新目标。

　　卡巴斯基实验室周二对外展示了一个伪造的Twitter个人页面，这个伪造个人页面的目的就是感染用户的计算机。该个人页面的别名在西班牙语中是“漂亮的野兔”，页面提供了一个链接，向用户指明点击会观看到色情视频。但事实上，该链接中藏有一个以MP3文档形式伪装的木马，当用户点击之后，木马便会自动安装在用户电脑中，并从用户电脑中窃取用户的数据信息。

　　卡巴斯基实验室在Viruslist.com博客中写道：“如果你点击链接，便有一个窗口打开，显示正在自动下载所谓的最新版Adobe Flash，用于观看视频。最终这个虚假的Adobe Flash（实际上是木马）便会安装到了用户电脑中，这一技术目前已非常流行。”卡巴斯基实验室称，这种攻击非常危险，因为它并不需要黑客掌握编程技巧；如果在Google搜索引擎当中的排名靠前的话，还有可能轻松的被传播。这主要是因为Google索引并不会对Twitter个人页面进行防范。

　　这并不是Twitter上第一次被发现存有安全问题。上周，研究人员艾维·拉夫（Avi Raff）就开设了一家名为Twitpwn的网站，专门致力于Twitter安全问题的研究。拉夫在发布的贴子上就表示，他发现Twitter存有安全漏洞，会准许攻击者强迫他人自动跟随着他进行攻击。IE浏览器中也存在这一安全漏洞。

　　黑客攻击：Red Hat和Fedora Linux社区服务器被黑客入侵，关注指数：高

　　新闻：来自Securityfocus.com的消息，知名Linux厂商Red Hat及其社区版本Fedora发布安全警告称，来源不明的黑客成功攻击了Red Hat和Fedora社区使用的多台服务器，并迫使这些系统的管理员关闭系统一周。其中，影响最为显著的是黑客成功入侵了Fedora社区用于对产品自动升级包进行数字签名的系统，此外，黑客的攻击也影响了Fedora社区的数据库、代理服务器和协作网络，Red Hat公司的少量系统也在本次攻击受到影响。尽管目前没有证据表明黑客在入侵之后已经成功获取Fedora社区用于签名自动升级包的主密钥，但Fedora 社区仍决定重新生成并分发新的密钥，并检查现有的自动升级包集合是否有黑客故意插入的恶意代码。

　　分析：Red Hat和Fedora Linux是目前用户范围最广的Linux版本之一，尽管目前其面临来自SUSE、Ubuntu 等发行版新秀的强力挑战，但仍以其技术领先、厂商支持和用户基础雄厚等特点，广泛应用于企业中高端领域和个人领域。黑客这次对Red Hat和Fedora社区服务器的成功攻击，最大的潜在威胁在于黑客攻击的是Fedora 社区用于对自动升级包进行数字签名的系统，如果黑客成功获得进行数字签名用的主密钥，就可以将恶意的升级包签名并插入到数据库中，并在用户自动升级系统时进行感染和传播恶意代码。此外，黑客还成功攻击了 Fedora社区的数据库和代理服务器，可能已经获取Fedora用户系统的技术细节，或者用户的隐私信息。

　　电子商务安全：新版PCI DSS标准的细节被公开；关注指数：高

　　新闻：来自ITnews.com.au的消息，PCI安全标准委员会当天透露了新版PCI DSS（Payment Card Industry Data Security Standard，支付卡行业数据安全标准）标准的部分细节，它的内容及架构将和现在通行的PCI DSS 1.1版本没有太大的区别，PCI安全标准委员会更多的是根据PCI DSS在过去两年中实施的反馈进行了细节和需求上的修改，对许多细节上的定义也加入了更为清晰的描述，其中最显著的变化有两点：1.2版本要求根据行业最佳实践，更全面的在基于公共网络的无线通讯上使用更强的加密措施，此外，1.2版本还将会对能够在各操作系统平台上防御各种恶意软件的反病毒软件进行详细的定义。目前PCI DSS 1.2版本仍处于评估和建议阶段，最终版本的PCI DSS 1.2版本将于今年10月初推出。

　　分析：PCI DSS标准是一个为业界广泛接受的电子商务安全标准，主要用于规范各种电子商务企业如何安全的存储和使用用户的支付卡信息，PCI DSS最早是由两家信用卡服务商Visa和MasterCard联合推出的。在最近两年国际零售业和政府部门频繁发生严重的用户身份识别信息失窃案件之后，电子商务企业都意识到安全存储和使用支付卡信息的重要性，PCI DSS标准也逐渐成为行业内被广泛接受的最佳实践原则。PCI DSS标准在 2005 年推出第一个版本之后，根据在行业内实施的经验和反馈，1.1版本进行了较大的修改。随着电子商务企业使用的信息技术和外部信息安全威胁的不断发展，新的1.2版本在保持1.1版本的大体架构上，新增无线网络安全和反恶意软件这两个定义，显然是为了应对最近几年电子商务企业广泛使用无线网络技术，以及僵尸网络及其他恶意软件已经成为电子商务企业数据安全最大的安全威胁这两个趋势而制定的。但和国外的电子商务企业广泛遵从或准备使用PCI DSS标准的现状相比，国内只有极少几家在美国上市的电子商务公司遵从了PCI DSS 标准，而其他企业大多只经过国内非官方组织或者安全企业的检测认定，这在电子商务业务日益国际化，以及国际网络犯罪逐渐渗透国内的现状下，仍是有较多不足之处的。

　　IT安全与控制公司Sophos提醒Facebook用户要小心谨慎，黑客现在试图在几大知名SNS网站上发布包含恶意链接的信息来侵染用户电脑。

　　一些Facebook用户留言板上的信息内容，引导人们去点击链接观看视频 （链接伪装成设在Google下的网站），但是点击这些链接进入网页，会出现需要用户安装下载软件才能观看影片的提示。

　　Sophos发现，这些软件如Troj/Dloadr-BPL木马，会下载更多的恶意代码（如 Troj/Agent-HJX），并且这些恶意代码伪装成普通的小丑吐舌头的图片。

　　Sophos警告用户，Facebook上恶意信息中含有的第三方网站伪装链接通常是这样的：www.google.com.id [removed].cn/gallery.php?id=...“人们必须知道点击这些信息里的网站链接会导致恶意软件侵染，无论这些信息是在邮件里还是像在Facebook这样的网站上。近期已经有很多包含视频链接的恶意电邮引起的混乱，这样的把戏已经被黑客多次使用，实在没有理由不知道。”Sophos高级技术顾问Graham Cluley说到，“公司必须重新考虑是否需要在办公室禁用Facebook，不仅仅是为了工作效率，也是为了保护公司远离安全威胁。”

　　Sophos专家认为：公司需要制定关于Facebook的使用制度，并且部署网络安全解决方案，以抵御入侵办公系统的网络威胁。“公司必须确定自己的政策，是否允许员工在工作时间访问类似Facebook和MySpace这样的网站。如果允许员工访问这样的站点，至关重要的是确保他们不要冒着被感染的风险发布私人信息和公共信息，并且他们的访问是受到保护的。”Cluley解释道。“对于企业来说，最好的防护方法是有一套可以过滤网络接入和阻止恶意代码下载的网络安全和控制方案。”

　　上周，Sophos发布安全警报，另一种恶意软件正在利用Facebook和MySpace试图感染用户。Sophos建议公司自动更新病毒防护，并且使用综合的网络安全解决方案，以抵御病毒和间谍软件。

　　卡巴斯基实验室宣布检测到了一种新蠕虫的两个变种：Networm.Win32.Koobface.a/b，它们分别被用于攻击MySpace和Facebook。该蠕虫的一项功能，是将受害设备变成僵尸电脑从而形成僵尸网络。

　　尽管这两种蠕虫目前只感染MySpace和Facebook用户，但是卡巴斯基实验室的分析师们仍然希望广大的用户提高警惕，这些蠕虫还会通过互联网上传附加的带有其它功能的恶意模块。因而，受害者的电脑非常有可能不仅被用来在社交网站上传播恶意链接，而且形成的僵尸网络也会被用于其他恶意目的。

　　网络蠕虫Win32.Koobface.a在用户访问他/她的MySpace账户时开始传播。这种蠕虫会对朋友的账户发表一系列评论。网络蠕虫Win32.Koobface.b的目标是Facebook的用户，它能创建垃圾邮件并通过Facebook网站发送给被感染用户的朋友。这种邮件及评论包括如：Paris Hilton Tosses Dwarf On The Street; Examiners Caught Downloading Grades From The Internet; Hello; You must see it!!! LOL. My friend catched you on hidden cam; Is it really celebrity?Funny Moments，以及许多其它类似评论。

　　在MySpace和Facebook上的邮件和评论中会包含到youtube.[skip].pl的链接。如果用户点击此链接，她/ 他会被重新引导至http：//youtube.[skip].ru，这是一个看上去包含了视频片段的网站。如果用户想要观看的话，网站中会弹出一条信息，提示用户需要下载一个最新版本的Flash播放器才能观看视频。然而，用户下载的不是最新版本的Flash播放器，而是一个叫做codesetup.exe的文件，这个文件也是网络蠕虫。这样做的结果是，通过Facebook登录到这个网站的用户将会把MySpace蠕虫下载到他们的电脑上，反之亦然。

　　卡巴斯基实验室高级病毒分析师Alexander Gostev说：“不幸的是，用户非常信任‘朋友’在社交网站上留下的信息。因此，像这样的链接被点击的可能性很高。2008年初，我们发现利用MySpace，Facebook及类似的网站进行的犯罪行为有所增加并对此做出了预测。现在，我们亲眼目睹了这一切。我肯定这仅仅是个开始，病毒编写者们还会继续把目标紧紧瞄准这些资源。”