一、 趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | SC509-B9 | 10.78.21.39 | 95534 | 紫金港-东4-5,东4-6 |
| 2 | TOSHIBA-PC | 10.14.26.121 | 75203 | 玉泉-教3 |
| 3 | HP-BLADE-U2 | 210.32.137.181 | 63200 | 玉泉-图书馆 |
| 4 | Lab7-00000 | 10.71.149.2 | 35168 | 紫金港-医学院教学中心 |
| 5 | LAB4051 | 10.71.149.5 | 19894 | 紫金港-医学院教学中心 |
| 6 | MBAC | 10.71.89.250 | 15820 | 紫金港-青溪 |
| 7 | 201-C7-3 | 10.15.61.212 | 7449 | 玉泉-图书馆 |
| 8 | A2-1U-X366GH | 210.32.137.196 | 3978 | 玉泉-图书馆 |
| 9 | ZJU-WZZX-YHQ | 10.15.65.104 | 4118 | 玉泉-图书馆 |
| 10 | E1F0661DB2A34F2 | 10.72.32.63 | 2934 | 紫金港启真酒店12,13层(西部研究卡特) |
1.3受感染用户前10名(本月排行)
| 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | |
| 1 | LAB4051 | 10.71.149.5 | 2741 | 紫金港-医学院教学中心 |
| 2 | X2-204 | 10.78.213.10 | 169 | 紫金港西2多媒体教室 |
| 3 | LI | 未知 | 160 | |
| 4 | LAB6-00 | 10.71.149.66 | 114 | 医学院教学中心 |
| 5 | USER-98AE72489B | 10.21.101.225 | 111 | 西溪-历史楼 |
| 6 | D1B312 | 10.78.211.27 | 104 | 紫金港西1 |
| 7 | CHINA-FDCCB8C82 | 10.171.44.242 | 77 | 紫金港-碧峰 |
| 8 | GHLAB2-2 | 10.79.18.21 | 77 | 紫金港-西4 |
| 9 | OLDBME068 | 10.12.45.68 | 70 | 玉泉-生医新 |
| 10 | XP-201008310943 | 10.78.21.55 | 65 | 紫金港-东4-5,东4-6 |
二、 安全简讯
2.1 本月前Top活跃网络病毒
本月最活跃网络病毒如下表所示。其中,利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高,病毒仍多以利用系统漏洞的方式对系统进行攻击。趋势提醒互联网用户一方面要加强系统漏洞的修补加固,安装具有主动防御功能的安全软件,开启各项监控,并及时更新;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。
| 名称 | 特点 |
| Hack.Exploit.Script.JS.Agent.ji | 该脚本病毒为脚本利用工具,通过网页挂马的方式传播,当用户访问该网页时,会判断浏览器是否为 MSIE,并判断IE版本是否为IE7,是的话才会攻击,病毒网页利用mshtml.dll模块对xml对象解析的漏洞,执行汇编代码,下载病毒作者指定的病毒。 |
| Trojan.Script.JS.Pop.a | 该脚本病毒为JS语言编写,通过网页挂马的方式传播,会生成恶意弹窗。 |
| Trojan.Win32.FakeIME.d | 该下载器病毒通过网页挂马的方式传播,下载其他病毒,劫持杀毒软件。 |
| Trojan.Win32.Generic.12C199AC | 该木马病毒捆绑在被修改的qvod播放器上进行传播,运行后首先释放后门文件services.exe、csboyDvd.ocx、csboyDVD.dll、csboyAuto.dll,添加 diskservice服务,挂载csboyAuTo.dll,实现病毒自启动,连接远程服务器,之后运行正常的qovd播放器下载模块,下载qvod 播放器。 |
| Worm.Win32.FakeFolder.c | 该蠕虫病毒通过网页挂马的方式传播,在桌面释放lnk文件指向恶意网址,检测杀毒软件的存在并进行破坏,释放autorun.inf文件。 |
2.2本周重要的安全漏洞
1、Google Chrome 安全漏洞
Google Chrome 是一款开源的 WEB 浏览器。本周,Google Chrome 被披露存在多个安全漏洞,攻击者可以利用漏洞,发起拒绝服务攻击或执行任意代码。趋势科技收录的相关漏洞包括:Google Chrome v8 垃圾收集拒绝服务漏洞、Google Chrome first-letter 处理内存错误引用漏洞、Google Chrome websocket 处理内存破坏漏洞、Google Chrome PDF 处理越界写漏洞、Google Chrome PDF 色彩空间处理漏洞、Google Chrome PDF 函数缓冲区溢出漏洞、Google Chrome 插件 Javascript 绑定漏洞、Google Chrome V8 类型破坏漏洞等。上述漏洞的综合评级均为“高危”。目前,厂商已经发布这些漏洞的修补程序。趋势科技提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
2、 Moodle 安全漏洞
Moodle 是一款开源的网络教学应用程序。本周,Moodle 被披露存在多个安全漏洞,攻击者可以利用漏洞窃取敏感信息或控制应用系统。趋势科技收录的相关漏洞包括:Moodle SQL 注入漏洞、Moodle 跨站脚本漏洞、Moodle 安全绕过漏洞、Moodle 隐藏信息泄露漏洞、Moodle 测验权限检查漏洞、Moodle题库访问漏洞、Moodle 用户权限修改漏洞、Moodle 数据库活动模块写访问漏洞等。其中,“Moodle SQL 注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。趋势科技提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件
3、Request Tracker 安全漏洞
Request Tracker(RT)是一款企业级的问题跟踪系统。本周,该产品被披露存在多个安全漏洞,攻击者可以利用漏洞构建恶意链接,执行任意代码或控制应用系统。趋势科技收录的相关漏洞包括:RT 信息泄露漏洞、RT SQL 注入漏洞、RT ticket 信息泄露漏洞、RT 跨站脚本漏洞、RT 权限提升漏洞、RT 任意代码执行漏洞、RT 跨站请求伪造漏洞。其中,“RT SQL 注入漏洞”的综合评级为“高危”。目前,厂商已经发布这些漏洞的修补程序。趋势科技提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
4、IBM 产品安全漏洞
IBM Lotus Quickr 是一款 IBM 开发的协同文档工具;IBM Rational Change 是一款基于Web 的整合式变更控制和管理解决方案。本周,上述产品被披露存在多个安全漏洞,攻击者可以利用漏洞获取敏感信息,执行任意代码。趋势科技收录的相关漏洞包括:IBM Lotus Quickr 'qp2.cab' ActiveX 控件栈缓冲区溢出漏洞、IBM Rational Change 跨站脚本漏洞。其中,“IBM Lotus Quickr 'qp2.cab' ActiveX 控件栈缓冲区溢出漏洞”的综合评级为“高危”。目前,厂商已经发布上述漏洞的修补程序。趋势科技提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
5、FreeNAC SQL 注入漏洞
FreeNAS 是一套免费的 NAS 服务软件。本周,FreeNAS 被披露存在一个综合评级为“高危”的 SQL 注入漏洞,主要影响 3.02 版本。攻击者可利用此漏洞在受影响的系统中发起注入攻击,获得后台数据库信息或执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。趋势科技提醒广大用户随时关注厂商主页以获取最新版本。
2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三、 计算机病毒常用防范知识
3.1 计算机病毒术语解释
l 信息系统
信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。
l 漏洞
漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
l 恶意程序
恶意程序是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。恶意代码分类说明如下:
1. 特洛伊木马(Trojan Horse)
特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中的“木马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其它木马六类。
2. 僵尸程序(Bot)
僵尸程序是用于构建大规模攻击平台的恶意代码。按照使用的通信协议,僵尸程序可进一步分为:IRC 僵尸程序、Http 僵尸程序、P2P 僵尸程序和其它僵尸程序四类。
3. 蠕虫(Worm)
蠕虫是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码。按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕虫、U 盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。
4. 病毒(Virus)
病毒是通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码。
5. 其它
上述分类未包含的其它恶意代码。
随着黑客地下产业链的发展,互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点,并不断发展。对此,我们将按照恶意代码的主要用途参照上述定义进行归类。
l 僵尸网络
僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件等。
l 拒绝服务攻击
拒绝服务攻击是向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务。
l 网页篡改
网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。
l 网页仿冒
网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码)。
l 网页挂马
网页挂马是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码。
l 网站后门
网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件。国家互联网应急中心。
l 垃圾邮件
垃圾邮件是将不需要的消息(通常是未经请求的广告)发送给众多收件人。包括:(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(二)收件人无法拒收的电子邮件;(三)隐藏发件人身份、地址、标题等信息的电子邮件;(四)含有虚假的信息源、发件人、路由等信息的电子邮件。
l 域名劫持
域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据,使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败。
l 非授权访问
非授权访问是没有访问权限的用户以非正当的手段访问数据信息。非授权访问事件一般发生在存在漏洞的信息系统中,黑客利用专门的漏洞利用程序(Exploit)来获取信息系统访问权限。
l 路由劫持
路由劫持是通过欺骗方式更改路由信息,以导致用户无法访问正确的目标,或导致用户的访问流量绕行黑客设定的路径,以达到不正当的目的。
3.2 常见病毒处理方法-毒媒(DuMusicPlay)手机木马
“毒媒(DuMusicPlay)”是一种针对Symbian S60系统的手机木马程序,会影响Symbian S60系列第3版和第5版操作系统的手机(诺基亚大部份智能手机都使用该操作系统)。
手机感染“毒媒”木马后,会自动连接互联网,向网上特定的控制服务器上传本机手机号、手机型号、IMEI号码、IMSI号码、信息中心号码等,同时会接受来自该服务器的指令,实现删除指定手机软件的功能,包括关闭和删除各类手机杀毒软件。
如果用户发现手机自动连接互联网,以及各类应用程序无法正常启动,手机程序卸载功能无法使用,那么有可能已经感染该木马。
根据CNCERT的监测,发现全国已经有近一百万部智能手机被该木马控制。为了避免受控手机进一步遭受黑客侵害, CNCERT已协调相关域名注册机构停止了该控制服务器所使用的恶意域名,并正在积极协调相关运营商研究针对受控手机的恢复方案。
处理建议:
发现手机感染该木马以后,用户应尽快备份重要数据,然后选择通过如下两种方式进行处置:
1、向手机厂商的售后服务部门寻求帮助,重新安装手机操作系统。
2、选择使用手机安全软件进行查杀。
防范建议:
建议不要轻信所谓绿色软件和轻易下载不明手机应用程序。如需各类手机应用程序和安全工具,应尽可能去手机官方网站进行下载。广大用户如发现传播手机木马、病毒的网站,请向中国反网络病毒联盟受理中心举报。
四、 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13751767387 郭波
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027