瑞星一周播报(2005.04.04 — 2005.04.10)

本周热门病毒:

    楚德机器人( Worm.MSN.ChodeBot.a ):警惕程度 ★★★☆ , 蠕虫病毒,通过邮件和 MSN传播,依赖系统:WIN9X/NT/2000/XP。病毒会向MSN好友自动发送带毒文件,用户运行这些文件后就会中毒。同时该病毒还会大量发送病毒邮件,严重占用网络带宽,减慢网络速度。

本周发作病毒:

    ① QQ 盗贼变种 14D ( Trojan.PSW.QQRobber.14d ):警惕程度 ★★★☆ ,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。病毒会造成多种反病毒软件无法使用,窃取用户的QQ号码和密码并发送到黑客指定的信箱中。

    ② MSN 木马变种 X ( Worm.MSN.Bropia.x ):警惕程度 ★★★☆ ,蠕虫病毒通过MSN 传播,依赖系统:WIN9X/NT/2000/XP。病毒自动向MSN好友发送带毒文件,用户运行这些文件就会中毒。感染病毒的计算机会对英国广播公司(BBC)的网站发起攻击。

本周升级版本:

    瑞星杀毒软件每个工作日常规升级三次,每周升级的新病毒总数不少于400个!遇到重大病毒第一时间提供解决方案。瑞星杀毒软件2005版、瑞星在线杀毒、瑞星杀毒软件2005“下载版”,这三款产品本周将同步升级至17.21版。


新型“钓鱼式”欺诈软件问世 打开电子邮件就中毒


    一家英国安全机构表示,欺诈犯罪分子已经开发出一种有效的新型计算机软件,能够通过诱惑用户打开一封恶意电子邮件,窃取用户的网络银行资料。

    该机构安全技术专家们担心,该软件可能成为“钓鱼式”欺诈者的最爱。过去,“钓鱼式 ”欺诈活动的受害者必须完成一个相对繁琐的过程:打开恶意电子邮件,打开其中的附件文件或URL,而现在,只要用户打开“似乎清白”的电子邮件,欺诈活动就会开始实施。

    该安全机构称,该软件指向三家巴西银行——Caixa、Unibanco、Bradesco,但令人担心的是,它能够经过修改,指向任何一家网络银行。MessageLabs公司的发言人说,我们只截获了约30份拷贝,从数量上来看是相当少的,但人们需要警惕的是,它可能成为新一轮大规模 “钓鱼式”欺诈活动的前奏。

    该安全机构还表示,一旦用户打开携带该软件的电子邮件,一个很小的脚本程序就会开始运行。它能够潜入用户的计算机,修改浏览器中“收藏”文件夹中的网站地址,或自动地将用户由正常的网络银行网站引导到与合法网站非常相似的非法网站,套取用户的网络银行资料。

    随着越来越多的人开始使用网络银行服务,在过去的18个月中,“钓鱼式”欺诈活动也越来越多了。 高级反病毒专家亚历克斯表示,大多数银行都建议用户要对要求提供银行资料的电子邮件保持警惕,但用户只要用户打开一封看似“清白的”电子邮件,这一新的恶意软件就能够窃取用户的银行资料。

    该安全机构提醒用户,只要用户禁用Windows的脚本功能,受到该恶意软件攻击的风险就会大大减少。

出处:网易科技


利用社会工程学 揭开网络钓鱼(Phishing)的秘密


    网络钓鱼(Phishing),并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,并成为近期威胁网络安全的最大危害之一。你了解Phishing吗?与传统的入侵方式相比,它有什么显著特点呢?典型的Phishing案例有哪些?如何防范被Phishing呢?

    释疑网络钓鱼

    网络钓鱼(Phishing),并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,成为近期最严重的网络威胁之一。Phishing就是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站,或诱惑受害者根据指定方法操作的email等方法,使得受害者“自愿”交出重要信息或被窃取重要信息(例如银行账户密码)的手段。入侵者并不需要主动攻击,他只需要静静等候这些钓竿的反应并提起一条又一条鱼就可以了,就好像是“姜太公钓鱼,愿者上钩 ”。

    看到这里,有些读者可能会说,这不是社会工程学吗?两者都是骗人的手段啊。不错,网络钓鱼里面的确有社会工程学的影子,但是与后者相比,网络钓鱼更趋向于技术方面,因为它不仅仅是欺骗,里面还必须掺入技术成分,否则如果连“垂钓者”自己都无法控制“钓竿”的话,又怎么可能钓到鱼呢?

    视觉陷阱:网页背后的钓竿

    警察正在分析张经理那台笔记本电脑硬盘里的数据,一个分析员无意中打开了Foxmail,发现最后一封信件是银行发送的,主题为“XX网络银行关于加强账户安全的通告”,分析员预测案件与这封信件有重大关系,马上打开阅读。这是一封HTML网页模板的信件,内容大意为银行为了加强账户安全而升级了系统,请各位客户尽快重新设置账户密码,末尾还给出了设置密码的URL链接。

    幕后黑手果然在这里!分析员马上查看信件源代码,很快就找出了其中的猫腻:正如常说的“说的一套,做的一套”,这个邮件的作者采用了“看的一套,进的一套”这种简单的欺骗手法,入侵者利用HTML语言里URL标记的特性,把它写成了这样:
    “〈A HREF="http://www.xxxbank.com.cn/account/index.asp" 〉
    http://www.xxbank.com.cn/account/index.asp〈 /A 〉”
由于心理作用,受害者潜意识里都会直接点击那个写着 “http://www.xxbank.com.cn/account/index.asp”的URL链接,然而他们并不知道,这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿!而这个所谓的更改密码页面,当然伪造得与真正的银行页面完全一致,但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者”手上,然后“垂钓者”登录上真正的网络银行改了受害者设置的密码,并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼,即使是小鱼也会让“垂钓者”在梦里发出笑声来了,即使一条太小,积累起来的数目也会变得相当可观了。在金钱的诱惑下,“垂钓者”一次又一次提竿,殊不知,他自己也是被金钱钓竿钓上的一条鱼。

    拙劣手段成功的关键

    为什么如此拙劣的技术却能频频得手呢?在你的实际生活中有没有遇到类似的情况呢?你会采取什么样的预防措施呢?

    因为网络钓鱼充分利用了人们的心理漏洞,首先,人们收到银行这类影响力很大的商务邮件时几乎都会紧张,很多人都不曾怀疑信件的真实性,更会下意识地根据要求打开邮件里面指定的URL进行操作;其次,页面打开后,我们通常都只会留意页面内容而不会注意浏览器地址栏的显示,正是这点让“垂钓者”有了可乘之机。

    其实“垂钓者”们是可以利用IE的URL欺骗漏洞把自己伪装得更像一回事似的,只是现在 IE普遍打了补丁,这种情况下还使用这个漏洞就会“不打自招”了,所以只有极少数“垂钓者 ”会采用这个方法,有的“垂钓者”根本连个看起来“比较正规”的域名都没有,而是采用IP 地址形式甚至直接光明正大把真实地址显示在浏览器的地址栏里 —— 因为他们知道,除非出现意外情况,否则大部分人根本是不会注意浏览器的地址栏的。

    借竿钓鱼:爱恨交加的搜索引擎

    由于Internet的迅速发展,信息量大爆炸时代随着网络的普及耸立在世人面前,我们可以获取信息的途径越来越多,但是查找特定的信息数据也开始变得困难,为此人们急切需要一种能尽量把各种信息统一管理并提供简便搜索功能的工具,搜索引擎因此而诞生。与此同时,搜索引擎的代表作Google由于技术的强大已经成为病毒和入侵者窥视的焦点。

    这次,依旧是Google惹的祸。很早以前,Google就“提供”了一种“搜索入侵”:入侵者通过在Google上查询某些特定的字符,可以发现甚至直接进入存在该漏洞的计算机,当年有许多存在Unicode漏洞的计算机就是被Google拎了出来 —— 只要搜索诸如 “/scripts/..% 255c ../winnt/system32/cmd.exe?/c+dir” 此类的关键字就能发现很多包含“Directory of” 字符串的IP地址,点击进去,你会发现你已经用Unicode漏洞入侵了该计算机 …… 现在虽然这个方法已经基本失效,但是Google带来的安全性问题却更值得引起所有人的重视。面对强大的Google,“垂钓者”已经不满足于仅靠Web页面钓鱼,他们还看上了Google的桌面搜索工具Desktop Search,这个工具存在一个信息泄漏的漏洞,入侵者能通过脚本程序欺骗Desktop Search提供用户信息,最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息,“垂钓者”可以伪造相关信件并建立欺骗性的电子商务网站,让用户误以为是大公司发给自己的信函而受欺骗。一些“垂钓者”用假的口令验证得以窃取用户信息,另一些则欺骗用户点击一些商品信息而被种植木马程序。


安全防护 — 让溢出攻击远离我们


  我相信但凡有接触黑客或者安全这方面的朋友,都一定有接触过溢出攻击或接触过这一类词,也就是有了溢出攻击,以及高手们所发布的溢出程序,才有了那么多的“快餐黑客”。无可否认,溢出攻击无论是对黑客,或者安全检测人员来说,都是对一台主机测试的时候所会采取的手段,因为溢出攻击如果成功的话,可以令我们迅速获取对方主机的一定权限。

  下面说说怎么防止溢出。

  首先,我们可以建立一个用户,名字就叫CmdUser,密码就设置强壮一点,而且如果你追求完美的话,可以在用户的名称前面加上一个$。按照网上所公布的方法,建立一个隐藏帐户,这样,就算给入侵了,也不会使用 net user cmduser passworld来修改这个用户的密码。

  建立了用户后,来到c:\winnt\system32,(这里系统安装在C盘)。找到cmd.exe,用右键打开属性,在安全那里,如下图所示


  我们所要做的就是把所有的用户删除,然后添加CmdUser这个用户,完成后确定就可以了,但是不要以为这样就可以了,还要找到net.exe,它可以按照cmd.exe的方法来设置,估计大家找到了net.exe的时候,发现旁边还有一个net1.exe,这个也要设置,设置好了,不要以为松了一口气,其实这样虽然可以对付一些菜鸟黑客,但是,如果对方是老鸟来的话,他可以通过tftp,或者ftp等等来传输一个本地溢出的溢出程序。

  以下说说tftp的防护方法

  进入C:\WINNT\system32\drivers\etc,用记事本打开services这个文件,如下图所示


  把tftp这个端口修改为0。这样,入侵着就不会通过使用tftp–I Host get files.exe文件来达到传输自己的工具。当然,为了更好的安全性,我们可以通过搜索tftp.exe这个文件,然后把tftp这个执行文件按照cmd.exe那样,添加成为只有cmduser这个用户才可以使用。

    从2004年8月中国科学院邮件系统正式建立至今,我们的客户服务人员一直秉承“全面细致、用户满意”的服务准则,致力于为每一位用户提供值得信赖的服务。通过对已迁移单位的定期回访、问题跟踪以及需求征集等工作,不仅加强了与用户单位的沟通和联系,同时也及时地了解到用户的意见和建议。现在,我们对在2005年2月25日至2005年3月16日进行的“院反垃圾邮件系统用户满意度调查”活动作以总结汇报。

下载调查报告


让 Foxmail 安全到底

    Foxmail凭借其强大的功能深受好评,不过在充分享受它所带来的方便与快捷的同时,它也会给你带来安全上的麻烦,例如由于Foxmail自身的安全漏洞,可能导致黑客很轻易地入侵系统,或者导致用户的邮件帐号被其他人随意盗用等。为了避免这样的安全威胁,本文特意提供了以下几则安全防范技巧,仅供参考。

•  巧妙屏蔽,切断入侵

•  清除遗忘的密码

•  压缩文件夹防破解

•  移走帐号防冒名

©1994-2005 版权所有:中国科技网网络中心 意见反馈: support@cstnet.cn