一、 趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | TOSHIBA-PC | 10.14.26.121 | 75215 | 玉泉-教3 |
| 2 | MBAC | 10.71.89.250 | 17842 | 紫金港-青溪 |
| 3 | WIN-98N0DLT7JH3 | 10.15.61.216 | 16310 | 玉泉-图书馆 |
| 4 | 201-C7-3 | 10.15.61.212 | 7449 | 玉泉-图书馆 |
| 5 | WIN-M5IP9O9VK62 | 10.15.61.220 | 5114 | 玉泉-图书馆 |
| 6 | WIN-4VR05G5VPMD | 10.15.61.201 | 5113 | 玉泉-图书馆 |
| 7 | WIN-5N55P2RA3CI | 10.15.61.218 | 4739 | 玉泉-图书馆 |
| 8 | WIN-SP4CFLNHUOF | 10.15.61.217 | 4624 | 玉泉-图书馆 |
| 9 | A2-1U-X366GH | 210.32.137.196 | 4476 | 玉泉-图书馆 |
| 10 | ZJU-WZZX-YHQ | 10.15.65.104 | 4127 | 玉泉-图书馆 |
1.3受感染用户前10名(本月排行)
| 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | |
| 1 | WIN-SP4CFLNHUOF | 10.15.61.217 | 3153 | 玉泉-图书馆 |
| 2 | BILLGATES | 10.78.17.35 | 1674 | 紫金港东4-5,东4-6 |
| 3 | WIN-98N0DLT7JH3 | 10.15.61.216 | 1513 | 玉泉-图书馆 |
| 4 | WIN-M5IP9O9VK62 | 10.15.61.220 | 1510 | 玉泉-图书馆 |
| 5 | WIN-5N55P2RA3CI | 10.15.61.218 | 1509 | 玉泉-图书馆 |
| 6 | WIN-4VR05G5VPMD | 10.15.61.201 | 1508 | 玉泉-图书馆 |
| 7 | LAB4051 | 10.71.149.5 | 725 | 紫金港-医学院教学中心 |
| 8 | D1B312 | 10.78.211.27 | 363 | 紫金港西1 |
| 9 | X2-204 | 10.78.213.10 | 349 | 紫金港西2多媒体教室 |
| 10 | X2-413 | 10.78.213.36 | 315 | 紫金港西2多媒体教室 |
二、 安全简讯
2.1 本月前Top5活跃网络病毒
本月,趋势整理发布的活跃网络病毒如下表所示。其中,利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高,病毒仍多以利用系统漏洞的方式对系统进行攻击。趋势提醒互联网用户一方面要加强系统漏洞的修补加固,安装具有主动防御功能的安全软件,开启各项监控,并及时更新;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。
| 名称 | 特点 |
| Trojan.Script.VBS.Dole.g | 该恶意脚本病毒通过文档捆绑的方式传播,会释放脚本,感染Normal.dot模块文件。 |
| Hack.Exploit.Script.JS.Bucode.i | 该溢出脚本病毒通过网页挂马的方式传播,会指向病毒网站下载其他病毒。 |
| Trojan.Script.VBS.Dole.a | 该木马病毒通过捆绑下载的方式传播,会释放 CAD 病毒脚本文件。 |
| Hack.Exploit.Script.JS.Iframe.ac | 该溢出脚本病毒通过网页挂马的方式传播,会指向病毒网站下载其他病毒。 |
| Trojan.Win32.FakeIME.d | 该广告病毒通过捆绑下载的方式传播,其恶意程序安装包会在桌面上建立该病毒传播网站的假ie 快捷方式,并且通过修改注册表,让该假ie 快捷方式不容易删除,不经用户同意释放网址到ie 收藏夹目录中。 |
2.2本周重要的安全漏洞
1、Adobe产品安全漏洞
Adobe Flash Player是一款Flash文件处理程序;Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的软件。本周,上述Adobe产品被披露存在多个安全漏洞,攻击者利用漏洞可使应用程序崩溃,执行任意代码。
趋势收录的相关漏洞包括:Adobe Shockwave Player 'Xtra'远程代码执行漏洞、Adobe
Shockwave Player远程代码执行漏洞、Adobe Shockwave Player ActiveX控件安全等级下降漏洞、Adobe Flash Player内存破坏拒绝服务漏洞。厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。
2、IBM 产品安全漏洞
IBM Rational ClearQuest 是一款软件变更、追踪管理解决方案;IBM Lotus Notes服务器是一款基于WEB协同工作的应用程序架构;IBM Intelligent Operations Center是一款智能运行中心软件;IBM InfoSphere Information Server是一款数据集成软件平台;IBM Tivoli Storage Manager是一款遵循ANSI SAN标准的可扩展解决方案,用于发现、监控和管理企业SAN架构组件,并可分配和自动操纵企业的附加磁盘存储资源。本周,上述IBM 产品被披露存在多个安全漏洞,攻击者利用漏洞可绕过安全限制,获得服务器或数据库敏感信息。
趋势收录的相关漏洞包括:IBM Tivoli Storage Manager for Space Management 本地未授权访问漏洞、IBM Tivoli Storage Manager for Space Management远程未授权访问漏洞、IBM Intelligent Operations Center HTML注入漏洞、IBM InfoSphere Information Server InfoCenter组件安全绕过漏洞、IBM InfoSphere Information Server Java 组件安全绕过漏洞、IBM InfoSphere Information Server Web控制台组件安全绕过漏洞、IBM Lotus Notes Web应用跨站脚本漏洞、IBM Rational ClearQuest SQL错误消息攻击漏洞等。其中,“IBM Tivoli Storage Manager for Space Management本地未授权访问漏洞”的综合评级为“高危”。目前,厂商已发布了上述漏洞修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Drupal模块安全漏洞
Drupal是一款基于PHP的内容管理系统。本周,该产品的多个模块被披露存在多个安
全漏洞,攻击者利用漏洞可提交特殊请求绕过安全限制获得对未授权内容的访问。
趋势收录的相关漏洞包括:Drupal Core任意PHP代码执行漏洞、Drupal Context模块信息泄露漏洞、Drupal Core访问绕过漏洞(CNVD-2012-16949)、Drupal Core访问绕过信息泄露漏洞、Drupal CAPTCHA模块访问绕过漏洞、Drupal Apache Solr Autocomplete模块跨站脚本漏洞。其中,“Drupal Core任意PHP代码执行漏洞”的综合评级为“高危”。目前,厂商已发布了上述漏洞修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
4、WordPress插件安全漏洞
WordPress是一款基于PHP的内容管理系统。本周,该产品的多个插件被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息,上传任意文件,执行任意代码。
趋势收录的相关漏洞包括:WordPress插件PDW File Browser 'upload.php'任意文件上传漏洞、WordPress插件Hungred Post Thumbnail 'hpt_file_upload.php'任意文件上传漏洞、WordPress多个CMSMasters主题'upload.php'任意文件上传漏洞、WordPress插件TimThumb跨站脚本漏洞、WordPress插件TimThumb 存在多个安全绕过漏洞、WordPress插件TimThumb任意文件上传漏洞、WordPress插件TimThumb信息泄露漏洞、WordPress插件TimThumb拒绝服务漏洞等。其中,“WordPress插件PDW File Browser 'upload.php'任意文件上传漏洞”和“WordPress插件Hungred Post Thumbnail 'hpt_file_upload.php'任意文件上传漏洞”的综合评级均为“高危”,厂商尚未发布了上述漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。
5、Kiwi Syslog Web Access SQL注入漏洞
Kiwi Syslog是一款用于集中管理的日志服务器。本周,该产品被披露存在一个综合评级为“高危”的SQL 注入漏洞。由于Kiwi Syslog Web Access多个脚本未能正确处理_TSM_HiddenField_和TSM_CombinedScripts_参数数据,攻击者利用漏洞可获得敏感数据库信息或控制应用系统。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。
2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三、 计算机病毒常用防范知识
3.1 什么是木马及其6个特性
什么是特洛伊木马
木马,其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务 (服务器),另一台主机接受服务 (客户机)。作为服务器的主机一般会打开一个默认的端口开进行监听(Listen),如果有客户机间服务器的这一端口提出连接请求 (Connect Request),服务器上的相应程序就会自动运行,应答客户机的请求,这个程序我们称为守护进程。就我们前面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
木马具有以下6个特性:
1.包含干正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性
由于木马所从事的是 "地下工作",因此它必须隐藏起来,它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清,还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时,客户端与服务器端连接成功后,客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题,把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程序,可以让人在使用绑定的程序时,木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定,在你看图片的时候,木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面:
(1)不产生图标
木马虽然在你系统启动时会自动运行,但它不会在 "任务栏"中产生一个图标,这是容易理解的,不然的话,你看到任务栏中出现一个来历不明的图标,你不起疑心才怪呢!
(2)木马程序自动在任务管理器中隐藏,并以"系统服务"的方式欺骗操作系统。
2.具有自动运行性。
木马为了控制服务端。它必须在系统启动时即跟随启动,所以它必须潜人在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3.包含具有未公开并且可能产生危险后果的功能的程序。
4.具备自动恢复功能。
现在很多的木马程序中的功能模块巴不再由单一的文件组成,而是具有多重备份,可以相互恢复。当你删除了其中的一个,以为万事大吉又运行了其他程序的时候,谁知它又悄然出现。像幽灵一样,防不胜防。
5.能自动打开特别的端口。
木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统,而是为了获取你的系统中有用的信息,当你上网时能与远端客户进行通讯,这样木马程序就会用服务器尸客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施进一步的人侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议,每台电脑可以有256乘以256个端口,也即从0到65535号 "门",但我们常用的只有少数几个,木马经常利用我们不大用的这些端口进行连接,大开方便之 "门"。
6、功能的特殊性。
通常的木马功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
3.2 常见病毒处理方法-教你三招防范元旦春节网购陷阱
2013年元旦购物狂欢季已经来临,网络消费再度升温,而采用手机等设备进行移动购物更是成为一种时尚。IDC最近一项调查指出:超过33%的受访者表示,其移动购物额较去年增加了两倍。在我国,2012年第三季度移动购物和去年同期相比更是飙升了400%。由于消费者越来越青睐使用轻便、灵活的移动设备进行购物,致使很多不法分子借机利用移动网购的安全漏洞设置陷阱,窃取消费者个人信息和资产。全球服务器安全、虚拟化及云计算安全厂商趋势科技提醒消费者,在使用移动设备进行网购时,切记防范相关风险;消费者可以选择能够对Windows、Mac和Android多平台施行全面云防护的PC-cillin 2013云安全软件作为上网购物的最佳安全助手。
伴随近期移动网络购物的流行,相关安全问题也逐渐凸显:截至2012年10月,趋势科技已发现175,000个恶意、高风险的Android App程序,这使得移动网络购物的风险陡然攀升。据趋势科技(中国区)网络安全检测实验室的分析表明,不法分子主要通过以下几种方式入侵用户移动设备,盗取隐私信息并诈骗财产:
一、不安全的Wi-Fi连接
开放的Wi-Fi连接是把双刃剑,虽然它可以满足用户的上网需求,但同时也给恶意程序提供了入侵的机会,消费者如果通过安全防护性较差的Wi-Fi上网购物,不法分子在连线阶段就可能通过挟持的方式,取得信用卡号码等机密的个人信息,进而非法牟利。
二、移动广告程序
在移动设备特别是Android平台上,很多号称"免费"的移动APP应用都内置了广告程序,并常以通知的形式弹出网购信息。这些移动广告程序不仅占用资源,还会搜集用户移动设备中的个人信息,增加信息泄露的风险。
三、假冒的网购APP程序
当用户选择安装和使用网购APP程序时,请务必小心,因为有很多APP程序都是假冒的,。这些假冒的APP程序不仅广泛存在搜集用户个人隐私信息的行为,更可能会骗取用户高额的服务资费。
趋势科技(中国区)产品经理申鹤介绍:"移动安全的最大风险往往不在于恶意程序本身,而在于用户的长期忽视。很多用户依然认为,只有在PC上才需要进行安全防护,移动设备则无需安全防护措施,这无疑给不法分子带来了可乘之机。"要想避开移动网购风险,享受其带来的便利,趋势科技建议消费者可以采取以下三个措施:
一、谨慎使用开放性 Wi-Fi 网络
由于使用开放性Wi-Fi 网络容易使个人资料暴露,因此,用户务必要谨慎。如果必须使用开放性Wi-Fi服务,请尽量选择具有良好加密机制的无线网络服务,并避免进行网上购物、支付等涉及个人机密信息的行为。
二、避免下载不明第三方应用程序商店中的 APP程序
在Android平台上存在很多第三方应用程序商店,这些应用程序商店往往并没有对APP程序进行严格的审核,导致一些恶意的程序混杂其中,用户应尽量避免选择这类不安全的下载渠道。
三、安装移动安全防护软件
为了使得移动网购更加便捷、安全,趋势科技建议消费者选择安装趋势科技PC-cillin 2013云安全软件。PC-cillin 2013是首款可以实现Windows、Mac和Android多平台防护的安全软件,具有"安全、轻快、周全"的特性,可主动侦测、封锁恶意程序与网页,有效阻挡恶意程序入侵移动平台,保护移动设备免受恶意程序威胁。
此外,针对国内快速增加的移动设备用户群,趋势科技特别推出了移动安全个人版软件TMMS,该软件具备移动应用信誉评估服务(MARS)技术,可以利用病毒分析引擎以及动态分析技术、云安全关联技术,从而获得最新、最全面的防护信息,让用户更清楚地了解到手机应用的安全性。同时,为了保证用户对APP应用的知情权,趋势科技移动安全个人版软件在后台扫描所提供的安全检测分析报告中,包含了是否存在病毒、吸费、隐私泄露等检测内容,让移动设备用户获得最完备的安全体验。
四、 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027