网络信息安全简报（2012.09）

 

1)       10.10.7.222

 

2)       10.10.2.180

 

3)       10.10.2.181

 

 

 

1、Apple产品安全漏洞

Apple iOS 是一款运行在苹果 iPhone 和 iPad/iPod touch 设备上的操作系统；WebKit 是一款开放源代码的浏览器引擎。本周，上述产品被披露存在多个安全漏洞，攻击者利用漏洞可伪造 SMS 消息返回地址，仿冒任意用户发送 SMS 消息；构建恶意 WEB 站点，诱使应用程序解析，执行任意代码或使应用程序崩溃。

收录的相关漏洞包括：Apple iPhone/iPad/iPod touch racoon 配置文件漏洞、Apple iPhone/iPad/iPod touch WebKit 内存破坏漏洞、Apple iPhone/iPad/iPod touch 短 消 息 伪 造 漏 洞、 Apple iTunes 内存 破 坏 漏 洞等。上述漏洞的综合评级均为“高危”。厂商已经修复了上述漏洞，趋势提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

2、 Drupal 模块安全漏洞

Drupal 是一款开源的网站内容管理系统（CMS）。本月，该产品的多个模块被披露存在多个安全漏洞，攻击者利用漏洞可获得数据库信息或劫持用户会话。

收录的相关漏洞包括：Drupal Password Policy 模块跨站脚本漏洞、Drupal Password Policy模块跨站请求伪造漏洞、Drupal Webform 模块 HTML注入漏洞、Drupal Read More Link 跨站脚本漏洞、Drupal Multisite Search 模块 SQL 注入漏洞、Drupal Block Class模块跨站脚本漏洞、Drupal Admin tools 模块跨站脚本漏洞、Drupal Admin tools 模块跨站请求伪造漏洞等。其中，“Drupal Multisite Search 模块 SQL 注入漏洞”的综合评级为“高危”。

目前，厂商已经修复了上述漏洞。趋势提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

3、Cisco 产品安全漏洞

Cisco Intrustion Prevention System (IPS)是一款入侵防御系统应用平台；Cisco IOS 是思科网络产品使用的一款 Internet 操作系统；Cisco Nexus 系列交换机是数据中心级交换机；Cisco Secure Desktop 是一款用户桌面安全管理软件。本周，上述 Cisco 产品被披露存在多个安全漏洞，攻击者利用漏洞可构建恶意 WEB 页，诱使应用程序执行 ActiveX 控件或 Java Applet，执行任意代码；使进程崩溃或者通信中断，发起拒绝服务攻击。

收 录 的 相 关 漏 洞 包 括 ： Cisco Secure Desktop 任 意 代 码 执 行 漏 洞、Cisco IPS sensorApp 内存破坏漏洞、Cisco IOS FlexVPN 拒绝服务漏洞、Cisco IOS 存在多个 IPv6 邻居拒绝服务漏洞、Cisco IOS DMVPN 通道实现拒绝服务漏洞、Cisco IOS SSL VPN 实现拒绝服务漏洞、Cisco Unity ConnectionUDP拒绝服务漏洞、Cisco NX-OS ARP 报文拒绝服务漏洞等。其中，“Cisco Secure Desktop 任意代码执行漏洞”和“Cisco IPS sensorApp 内存破坏漏洞”的综合评级均为“高危”。目前，厂商已经发布了安全公告，修复了上述漏洞。趋势提醒广大用户随时关注厂商主页以获取最新版本。

 

4、Microsoft 产品安全漏洞

Microsoft Windows Phone 7 是微软推出的一款智能手机操作系统；Microsoft Internet Explorer 是微软公司推出的一款网页浏览器。本周，上述两款微软产品被披露存在多个漏洞，攻击者利用漏洞可在手机和邮件服务器通信过程中发起中间人攻击；诱使用户访问恶意网页执行挂马攻击，从而控制用户系统。

收录的相关漏洞包括：Microsoft Windows Phone 7 SSL 证书'Common Name'校验安全绕过漏洞、Microsoft IE execCommand 内存错误引用漏洞。目前，厂商已经发布补丁信息修复 IE 漏洞。趋势提醒广大用户及时下载补丁更新。

 

5、VBulletin 'blog_plugin_useradmin.php' SQL 注入漏洞

VBulletin 是一款基于 PHP 的论坛建站软件。本月，VBulletin 被披露存在一个综合评级为“高危”的 SQL 注入漏洞。由于 VBulletin 'blog_plugin_useradmin.php'脚本未能正确过滤用户提交的输入，攻击者利用漏洞可发起 SQL 注入攻击，获得数据库信息。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。

已查杀的病毒/恶意软件数：

 

已查杀的全部病毒、恶意软件摘要：

 

传染来源摘要：（N/A表示来自外网或无法识别）

 

被感染的目标（主机）摘要：

 

处理措拖结果摘要：

 

防病毒工具是大多数防恶意软件套装的必备组件之一。它必须能够辨识已知的和未见过的恶意文件，并且在造成破坏前阻止它们。尽管这些工具在实现恶意软件侦测机制方面有所不同，但它们趋向于融合同样的病毒侦测技术。熟悉这些技术有助于你理解防病毒软件是如何工作的。

基于签名的侦测技术：使用已检查过文件的关键特征来创建已知恶意软件的静态指纹。该签名可能以文件的一系列字节来表示。它也可能是整个文件或部分文件加密后的哈希值。这个侦测恶意软件的方法，是防病毒软件工具诞生以来必要的方面之一。作为许多工具的一部分该技术保留至今，尽管它的重要性在逐渐减弱。基于签名的侦测技术的主要局限在于，从它自身来说，这个方法无法标记那些还没有开发签名的恶意文件。考虑到这点，现今的攻击者们经常通过改变文件的签名来对病毒进行变异并保留恶意的功能。

基于启发式的侦测技术：该技术目的在于通过静态地检查文件的可疑特征，来一般性地侦测新的恶意软件而无需精确的签名匹配。例如，某个防病毒工具可能在被检查的文件中寻找罕见的指令或花指令（junk code）。该工具还可能模拟运行该文件，以便确认如果执行该文件，它会在不明显拖慢系统的情况下尝试做些什么。单独的可疑属性可能还不足以把这个文件标记为恶意的。然而好几个这样的特征可能会超出期望的风险阈值，导致该工具把该文件划分为恶意软件。启发式方法最大的弊处在于它可能无意地把合法的文件标记为恶意的。

行为侦测技术：该技术观察程序如何执行，而不是仅仅模拟它的执行。这个方法尝试通过寻找可疑的行为如解压恶意代码、修改主机的文件或是进行键盘记录来辨识恶意软件。值得注意的是，这样的操作能够让防病毒工具在受保护系统上侦测到事先未见过的恶意软件。对于启发式技术来说，这些操作的每一个可能不足以划分程序为恶意软件，然而把它们一起考虑的话可能意味着是一个恶意的程序。使用基于行为技术让防病毒软件更加接近于主机入侵预防系统（host intrusion prevention systems，HIPS）的类别，后者传统上以单独的产品类别存在。

基于云的侦测技术：该技术通过从受保护的计算机上收集数据、同时在服务提供商的基础设施上分析、而不是在本地进行分析来辨识恶意软件。这通常是通过捕捉文件的相关细节和在终端上文件执行时的情境来实现，并把这些信息提供给云引擎进行处理。本地的防病毒代理只需进行最小化的处理工作。此外，厂商的云引擎能够通过关联来自多个系统的数据获取与恶意软件特征和行为相关的模式。相比之下，其它防病毒软件的组件大多数基于本地观察到的属性和行为进行决策。基于云的引擎能让使用防病毒软件的单个用户从社区的其他成员的经验中获益。

尽管根据上述各自的标题列出了这些方法，但各种技术之间的差异往往是模糊不清的。例如，术语“基于启发式”和“行为侦测”经常被交互地使用。此外，当工具融合基于云的能力时，这些方法——包括签名侦测技术——趋向于扮演活跃的角色。为了跟上不断变化的恶意软件样本，防病毒软件厂商们必须在他们的工具中融合多层防御，依赖于单个方法是不可行的。

 

autorun.inf病毒非常常见，事实上它是U盘病毒传播的途径——U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击U盘时，会根据autorun.inf中的设置去运行U盘中的病毒,我们只要可以阻止autorun.inf文件的创建，就可以阻止大部分U盘病毒的传播。