网络信息安全简报(2012.04)
一、 趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | SC509-B9 | 10.78.21.39 | 95534 | 紫金港-东4-5,东4-6 |
| 2 | TOSHIBA-PC | 10.14.26.121 | 75203 | 玉泉-教3 |
| 3 | Lab7-00000 | 10.71.149.2 | 35114 | 紫金港-医学院教学中心 |
| 4 | LAB4051 | 10.71.149.5 | 16534 | 紫金港-医学院教学中心 |
| 5 | MBAC | 10.71.89.250 | 13955 | 紫金港-青溪 |
| 6 | PC-200811111100 | 10.15.31.100 | 8715 | 玉泉-教7-新闻 |
| 7 | 201-C7-3 | 10.15.61.212 | 7081 | 玉泉-图书馆 |
| 8 | LENOVO-C30AB68F | 10.14.32.51 | 4388 | 曹光彪楼-材化学院 |
| 9 | ZJU-WZZX-YHQ | 10.15.65.104 | 3278 | 玉泉-图书馆 |
| 10 | A2-1U-X366GH | 210.32.137.196 | 3065 | 玉泉图书馆 |
1.3受感染用户前10名(本月排行)
| 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | |
| 1 | 10.15.65.104 | 2903 | 玉泉-图书馆 | |
| 2 | 10.15.43.76 | 561 | 玉泉-热能所 | |
| 3 | SC509-C7 | 10.78.21.70 | 357 | 紫金港-东 |
| 4 | USER17 | 10.71.124.28 | 354 | 紫金港-专业图书馆 |
| 5 | SC509-B9 | 10.78.21.39 | 341 | 紫金港-东4-5,东4-6 |
| 6 | X2-204 | 10.78.213.10 | 334 | 紫金港西2多媒体教室 |
| 7 | ZD-A130755ED0A9 | 10.71.89.72 | 238 | 紫金港行政3楼 |
| 8 | WANGPENG | 192.168.6.103 | 179 | |
| 9 | 6-226 | 10.71.68.194 | 123 | |
| 10 | X1-215 | 10.78.212.16 | 112 | 紫金港西1多媒体教室 |
二、 安全简讯
2.1 本月前十大病毒警讯
| 排名 | 病毒名称 | 威胁类型 | 风险等级 | 病毒行为描述 |
| 1 | WORM_DOWNAD.AD | 蠕虫 | ★★★★ | 该病毒会攻击未安装微软 IE 漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒 |
| 2 | TROJ_DOWNAD.INF | 木马 | ★★★ | DOWNAD蠕虫关联木马 |
| 3 | WORM_DOWNAD | 蠕虫 | ★★★★ | 该病毒会攻击未安装微软 IE 漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒 |
| 4 | TROJ_IFRAME.CP | 木马 | ★★★ | GIF、jpg和SWF 文件中被插入一个恶意的iframe 标记时,趋势科技会将其判断为TROJ_IFRAME.CP 病毒。当这些文件被执行时,会重定向到这些 URL,并下载恶意程序 |
| 5 | Cryp_Xed-12 | 疑似病毒 | ★★★★ | 木马病毒,通过访问恶意站点下载感染或由其他恶意程序下载感染 |
| 6 | CRCK_KEYGEN | 黑客程序 | ★★ | 非法破解程序 |
| 7 | PAK_Generic.001 | 加壳文件 | ★★ | 经过加壳技术加密的文件 |
| 8 | Adware_Adplus | 灰色软件 | ★★ | 广告软件 |
| 9 | Downloader_Agent | 灰色软件 | ★★ | 这灰色软件下载器会自动下载并安装额外的其他的灰色软件,如广告软件和间谍软件。 |
| 10 | JS_OBFUSCATED.FI | 脚本病毒 | ★★ | 当用户访问包含此脚本的网站时,会 自动运行此此脚本,并被重定向到其 他包含恶意代码的站点。 |
2.2本月安全趋势分析
趋势科技热门病毒综述 -- ANDROIDOS_ROOTSMART.A
| | ||
| 被该恶意软件感染的手机数量大幅上升。该木马可能在受感染的设备上安装后执行恶意操作。 它会收集特定信息并发送给远程服务器。 该木马通过其它恶意软件释放到系统上或当用户浏览恶意网站时被下载。 它会连接网站收发信息。 | ||
| ||
| | ||
| ||
2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三、 计算机病毒常用防范知识
3.1智能手机安全防范知识
随着现代通信手段的进步,使用智能手机的用户也越来越多。然而,智能手机不仅仅是一部手机,它还有可能是一台GPS设备、高清摄像机、游戏机、Web入口等等。更确切地说,它就是一台与互联网连接的掌上电脑。
由于这种手机还有可能存储着个人信息、联系人信息、照片、视频,甚至还有一些企业的敏感信息等,因而确保其安全至关重要。员工可能已经使用了多种手机安全软件的保护,并确保可以防止病毒、木马,甚至还可以准确拦截垃圾短信,而且还有可能采用多种拒绝方式,有的手机安全软件还允许用户可自定义黑白名单。但是,在安装了安全软件后,用户的手机安全就固若金汤了吗?非也!用户还需要遵守“三大纪律”并高度“注意”两个问题,采取必要的防范措施,才能真正保障手机上的数据安全。
先说“三大纪律”:
一、保障口令的安全
关于创建安全口令的文章已经铺天盖地,必须引起智能手机用户的足够重视。因为这是其保护信息安全、挫败黑客攻击的最简单方法。此外,如果智能手机的用户账户没有及时从网上银行、社交网站和其它应用程序中退出,就会给网络窃贼窃取包括口令在内的所有机密信息的机会。因而,在用户完成网上银行的交易之后,务必正常退出。
二、在下载之前要调查应用程序
仅仅因为在手机软件市场上发现一个看似有趣或有用的应用程序,并不意味着该程序就可以安全地下载使用。用户应当进行一下调研,查看评论和其它用户在使用此软件时是否遇到过什么问题。将同样的程序比较一下,看看哪一个更可信。应用程序是病毒和其它的恶意代码进入智能手机的主要途径之一,所以在用户下载一个应用程序之前,应当多一份警惕。
三、不要试图破解自己的手机
在用户破解手机时,特别是在破解iPhone这种设备时,目的往往是为了让第三方的应用程序可以下载并安装到手机上。要注意,破解会清除或破坏手机的安全功能。例如,苹果公司要求所有的应用程序在被苹果的应用程序商店接受之前都要经过严格的审查。这会在很大程度上保障应用程序的安全性,因而不会损害用户的手机及数据的安全性。
此外,还有“两项注意”:
一、要注意在公共wi-fi网络上的安全性:
使用公共的免费wi-fi当然是件乐事,但是,使用公共wi-fi容易遭遇钓鱼wi-fi,用户密码和个人信息很容易被攻击者截获。此外,许多商家自己建立的wi-fi,大多使用非企业级设备,有的还没有加密,这正是黑客访问用户智能手机上的机密信息的主要领域,无论哪个方面都为用户埋下了祸根,因为使用者的数据很容易被人窃取。如果此时用户正在访问任何个人或企业信息,如银行账户、社交网站的网页、电子邮件的账户等,必须当心。如果有可能尽量避免打开可以识别用户身份的任何网页或应用程序。
二、在使用网上银行时要注意安全
太便捷的工具往往隐藏着巨大的安全风险。能够在旅途中检查银行帐户或支付账单是祸兮?福兮?虽然网上银行都使用加密技术来确保数据的安全性,但黑客和窃贼仍有办法访问用户的信息。如果用户的手机收到了来自银行的邮件或短信,应当在阅读后立即删除。此外,如果用户开通使用了智能手机的移动银行业务,在手机丢失或被窃后应当立即通知银行。银行可以监视用户的账户,防止他人利用手机实施非法交易。
显然,智能手机的便捷性隐藏着的风险已经不言而喻,其风险包括软件风险、数据风险和硬件风险三个方面。如果用户丢失了“爱机”,损失的将不仅是硬件,更重大的损失来自于其中的信息。因而,想方设法确保手机不落于贼手至关重要。
。
3.2 常见病毒处理方法-AUTO病毒详细解析和处理办法
病毒全名 Win32.Troj.AutoRun.te.v
病毒长度 89280
威胁级别 ★★
中文名称 AUTO特务89280
病毒类型 木马下载器
病毒简介
这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。
标志:AUTO病毒、隐藏文件、破坏安全模式、ARP欺骗。
病毒行为
1.病毒运行后,生成以下病毒文件
| %temp%/RarSFX0 (系统临时文件,开始、运行、输入%temp%可打开该文件夹, 可使用清理专家的垃圾文件清理功能删除,删除不掉的文件, 可能是正在运行中。) %windows%/system32/Com/LSASS.EXE %windows%/system32/Com/netcfg.000 %windows%/system32/Com/netcfg.dll %windows%/system32/Com/SMSS.EXE %Local Settings%/Temporary Internet Files/Content.IE5/EC5UKR17/r[1].htm %Local Settings%/Temporary Internet Files/Content.IE5/GR8I0NOH/CAYNKA2Y.HTM |
2.在各盘中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf辅助文件,都具有隐藏属性。
3.病毒会修改注册表,使系统的隐藏功能失效,用户无法操控,只要具有隐藏属性的文件将无法显示。
4.查看启动项,异常的发现启动项中许多系统启动项都被自动删除,包括毒霸的启动项。
5.由于启动项被删除,再使用反间谍的隐蔽软件扫描,也就可以看到有两个隐蔽软件,分别是:"异常的autorun.inf"和"Broken SafeBoot",Broken SafeBoot很明显是破坏安全模式的,这样会使用户中了该病毒以后无法进入安全模式。
6.该病毒还会引发ARP欺骗,导致在同一局域望网内的机器都有被欺骗的可能,明显的症状是:网络时常断开,会有病毒下载到总ARP的机器。
解决方案:
1.将以下文件使用清理专家彻底删除
| %temp%/RarSFX0(系统临时文件,开始、运行、输入%temp%可打开该文件夹, 可使用清理专家的垃圾文件清理功能删除,删除不掉的文件,可能是正在运行中。) %windows%/system32/Com/LSASS.EXE(下面这4个文件可以用清理专家的粉碎器搞定) %windows%/system32/Com/netcfg.000 %windows%/system32/Com/netcfg.dll %windows%/system32/Com/SMSS.EXE %Local Settings%/Temporary Internet Files/Content.IE5/EC5UKR17/r[1].htm (病毒藏在IE缓存文件夹中,清理专家清理垃圾文件或删除隐 私信息的功能也可以快速清空该文件夹) %Local Settings%/Temporary Internet Files/Content.IE5/GR8I0NOH/CAYNKA2Y.HTM |
2.重启电脑,再运行清理专家,在系统修复中,把引用以上几个文件的加载项全部清除。
3.清理专家的恶意软件查杀功能,可以同时修复被破坏的安全模式。
预防措施:
1.AUTO类病毒,都是利用移动存储介质的自动播放功能传播的。强烈建议使用金山清理专家或毒霸禁用自动播放功能。
2.修补操作系统漏洞、IE漏洞、常用播放器的漏洞,防止病毒通过系统漏洞入侵。
3.及时升级杀毒软件。
四、 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13751767387 郭波
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027