本周关注病毒：“EXE图标修改器变种AB（Harm.Win32.VB.ab）”警惕程度 ★★★

　　这是一个破坏性的病毒，该病毒由VB编写，病毒运行后会把系统所有后缀为EXE的文件的图标修改。修改图标的方式是修改注册表的EXE的图标关联实现，病毒的目录下存在文件xm.ico，那么EXE的图标就修改为相应的图标，病毒在修改注册表后，会结束掉explorer.exe,然后再次启动explorer.exe来启动修改，这个时候修改的图标就会改变了。病毒还会导致注册表编辑器无法打开，以防止手工修改注册表键值。病毒会修改注册表启动项键值，以实现开机自动启动。给用户正常使用电脑带来了很大不便。

专家建议

　　1、及时安装最新Flash Player插件，避免感染此类病毒侵害；

　　2、安装上网安全监控，可以有效防范此类木马的侵害；

　　3、养成良好的上网习惯，不打开不良网站，不随意下载安装可疑插件；

　　4、杀毒软件升级到最新版本，定时杀毒并开启实时监控功能，防止病毒感染计算机；

　　5、定时设置系统还原点和备份重要文件，防止病毒窃取自己的游戏账号、密码等私人资料。

　　僵尸网络是互联网上的毒瘤，而且还是一个难以根除的毒瘤。

　　最近，山东潍坊市公安部门成功侦破一起黑客攻击导致全市互联网大面积瘫痪的大案，此类大规模攻击网络运营商城域网的案件在全国也极为罕见。

　　今年，潍坊市公安局网警支队接到潍坊市网通公司报案，称潍坊市网通公司城域网连续遭到黑客攻击，导致两天内全市网络线路全部瘫痪。因潍坊市网通公司上网用户占全市上网用户的90%，此次攻击造成潍坊地区共40余万互联网用户受到严重影响。

　　案发后，潍坊市公安部门最终抓获了3名犯罪嫌疑人，据他们交代：为了与同行竞争，两名犯罪嫌疑人雇佣另一犯罪嫌疑人充当黑客，使用8000台被控制的傀儡机，攻击潍坊某物流园公司网站，企图使其瘫痪。因为这个网站位于潍坊市网通公司核心机房内，巨大的网络流量造成网通公司出口路由器网络阻塞，全市网络因此大面积瘫痪。

　　在这个案件里，8000台被控制的傀儡机（僵尸电脑）组成了一个僵尸网络。由于僵尸网络中PC数量众多，控制者可以利用这些PC发动“拒绝服务”攻击，或者发送海量垃圾邮件。

　　我国首例“僵尸网络”攻击案发生在2004年。当时，一个拥有超过6万台电脑的“僵尸网络”对某音乐网站发起了“拒绝服务”攻击，导致网站瘫痪。

　　僵尸网络是重大的安全威胁，但是其形成却并不困难。互联网用户不慎点击了垃圾邮件中的链接，或者访问了被植入木马的Web页面，电脑都有可能被恶意代码攻击，在不知不觉间成为僵尸电脑。

　　要想防止僵尸网络的形成，需要每个互联网用户的努力。大家都需要加强网络安全意识，安装防火墙、防病毒软件，及时给系统打补丁，不去访问有可能含有恶意代码的网页。只有保证了自己电脑的安全，才能让互联网的安全有保证。否则，僵尸网络将是互联网上空挥之不散的阴影。

　　Neosploit—一款黑客用来扫描计算机安全漏洞的臭名昭著工具，曾经被有些人认为销声匿迹了几个月。但是现在，它非但重新复活，而且还在急剧增加的攻击事件中扮演重要角色。

　　Aladdin Knowledge Systems安全主任Ian Amit说道，“Neosploit又回来了”。

　　在今年7月，RSA信息安全公司研究实验室研究员曾说过，有证据表明Neosploit作者打算放弃该项业务，他们还引用了那些作者们打算歇业的信息。而就在上个月初，Neosploit的作者已经停止销售这款黑客工具，或许是因为它的定价（3000美元）太高了，而且它的市场需求正在下降。

　　价格在1000到3000美金之间的Neosploit恶意软件套件是在2007年中出现的，和广受欢迎的MPack以及Icepack等同类软件相比，它的特色是客户支持和不断的更新，其中包括了新的JavaScript欺骗代码，以及多用户的管理和控制界面，还有改进的受感染主机数据过滤机制。

　　Neosploit是真的停止了么？RSA产品营销经理Sean Brady也曾经在7月说过，“这并不一定就代表着它的结束”。而现在看起来，Sean Brady是对的。

　　就在一个月前，Aladdin研究员就开始怀疑，Neosploit开发人员重新回到了他们的业务上。而两天前，他们就发现了确凿的证据：一名Neosploit用户在位于阿根廷的一台服务器上长时间地运行Neosploit 3.1。而在服务器上的其他数据则显示，该工具提供给了20名用户进行攻击使用，其中有7名被认为是重点关注对象，并且他们已经成功地找到数千个安全漏洞。

　　这20名黑客已经危及到200至300个网站的安全，而这些受影响网站又会波及到更多没有及时安装补丁的用户。有证据表明，超过四分之一的针对电脑攻击都来自于这些网站。

　　Neosploit的目标很明确，就是透过浏览器释放恶意代码。黑客会通过一些漏洞或者窃取网站管理密码等手段来危及网站安全。

　　另外，该套件还充当后门分析工具，它可以告诉黑客什么时候攻击最有效、哪些浏览器漏洞最多，尤其是在3.1版本的Neosploit，功能更是得到增强。

　　另外一项改进的地方就是针对软件许可。它关闭了自身软件的许可认证功能，这样就使得更多人会拥有这套软件进行黑客攻击，从而扩大攻击范围。

　　目前，Aladdin正与当地和国际执法机构协同合作，尽力搜集使用Neosploit的犯罪证据，并关闭黑客们所使用的服务器。

　　据全球最大CDN（互联网内容分发网络）服务商Akamai科技公司的一份最新研究报告显示，世界上大多数网络攻击流量都出自日、中、美三国。与恶意攻击有关的网络流量中，日、中、美三国所占超过了60%。

　　Akamai科技公司在这份《互联网现状报告》中指出，今年第二季度里全球139个国家都出现恶意网络攻击行为。而今年一季度里出现过网络攻击的国家还只有125个。

　　这份报告里还提到来自10个国家的网络攻击流量占到全球互联网总攻击流量的75%以上。尽管这一数据与一季度的并无二致，但其中能看出一些较显著的变化。其中最为明显的就是来自日本的攻击流量从今年早期的仅有3.56%陡然上升到超过30%，超过了中美二国。自从今年一季度以来，出自美国的攻击流量也增加了一半。而从中国境内发起的攻击流量则下降了大约50%。台湾从之前的攻击流量全球第三下降到第七位。

　　该公司的报告对于这些数据的急剧变化没有做出详细解释，也没有说明导致这种情形出现的原因。AKamai 科技公司管理着全球最大的CDN网络，需要与不同的服务商合作以把内容更快的传递到全球所有的电脑前。Akamai在这个庞大的内容分发网络里安装了若干台服务器以监测互联网的流量进行统计之用。

　　Akamai监测到的网络攻击出自超过400个不同应用程序调用的PC端口。虽然被用来发起攻击的端口数量众多，但有10个PC端口通过它们进行的网络攻击超过了85%。其中之一就是445端口。微软开放这个端口以便不同用户间也能共享文件和其它应用程序。它是用得最多的攻击端口，也是蠕虫和病毒的频繁攻击目标。

　　软件巨头微软产品的用户除了面临该公司本周二刚刚发布的补丁中所泄露漏洞的威胁外，现在还多了一个新问题要应付：一封看起来非常合法、但实际上是假的微软来信。

　　攻击者显然正利用微软周二补丁发布时间来向微软的客户发送貌似合法的邮件，但其中却包含了一个名为 Trojan.Backdoor.Haxdoor的木马病毒。该病毒能让攻击者执行文件并从染毒电脑中盗取资料。这封假邮件中包括了一个看起来是合法的公钥加密程序（PGP），并且伪称自己是真正的微软员工。

　　微软安全响应中心的一名安全项目经理Christopher Budd在一份公开邮件中对此事发表了自己的看法：

　　我们收到一些客户的查询，称网上流传着一份自称是来自微软的安全电邮。这份电邮中带有一个可执行文件，声称是最新的安全补丁，并鼓励收到邮件的人运行这个可执行文件以便提高系统安全性。虽然带有恶意软件的不良电邮打着微软安全通知的旗号并非什么新鲜事（过去几年中这种事情屡见不鲜），但这次的情况有点不同，因为它自称获得了我们的同事Steve Lipner的签名并且在最后还附上了一个似乎是PGP数字签章。虽然这可以说是（发送者）提高邮件可信度的很聪明的招数，但我可以肯定地告诉你们：这份邮件是非法的，它是一份有不良企图的垃圾邮件，所带附件是恶意软件。需要特别说明的是，其中包含了一个后门木马病毒 Win32/Haxdoor。

　　ZDNet的Dancho Danchev在一份报告中分析了这一波恶意邮件攻击选择这样的时间是否会大大提高其成功率。“相比一些针对美国学校的恶意软件攻击，以及利用用户客户端漏洞仿冒CNN新闻邮件的大规模攻击，这一次的成功率肯定低些—不管其选择的时间是什么，”Danchev说。

　　微软2008年10月的安全公告中共有四个被列为“危急”（critical）级别的漏洞，分别与Internet Explorer、Windows、Microsoft Host Integration Server和Microsoft Excel有关。