一、 趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | TOSHIBA-PC | 10.14.26.121 | 75217 | 玉泉-教3 |
| 2 | MBAC | 10.71.89.250 | 19016 | 紫金港-青溪 |
| 3 | WIN-98N0DLT7JH3 | 10.15.61.216 | 17322 | 玉泉-图书馆 |
| 4 | WIN-4VR05G5VPMD | 10.15.61.201 | 8042 | 玉泉-图书馆 |
| 5 | WIN-M5IP9O9VK62 | 10.15.61.220 | 7799 | 玉泉-图书馆 |
| 6 | WIN-5N55P2RA3CI | 10.15.61.218 | 7603 | 玉泉-图书馆 |
| 7 | 201-C7-3 | 10.15.61.212 | 7453 | 玉泉-图书馆 |
| 8 | 201-C7-4 | 10.15.61.213 | 6922 | 玉泉-图书馆 |
| 9 | WIN-SP4CFLNHUOF | 10.15.61.217 | 5660 | 玉泉-图书馆 |
| 10 | A2-1U-X366GH | 210.32.137.196 | 4495 | 玉泉-图书馆 |
注:经查,排行较前的玉泉-图书馆这几台设备均为学校的服务器设备,因应用的需要而开启了文件共享。因此,病毒(WORM_DOWNAD病毒)利用文件共享频繁攻击这6台主机,导致趋势杀毒系统(Officescan)大量的查杀行为。
服务器本身并未感染到病毒,而病毒也在攻击时被趋势杀毒系统(Officescan)全部查杀清除。目前,这几台服务器是安全的。
1.3受感染用户前10名(本月排行)
| 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | |
| 1 | WIN-4VR05G5VPMD | 10.15.61.201 | 2769 | 玉泉-图书馆 |
| 2 | WIN-5N55P2RA3CI | 10.15.61.218 | 2692 | 玉泉-图书馆 |
| 3 | WIN-QFL7POT58QG | 10.15.61.219 | 2623 | 玉泉-图书馆 |
| 4 | WIN-M5IP9O9VK62 | 10.15.61.220 | 2601 | 玉泉-图书馆 |
| 5 | WIN-SP4CFLNHUOF | 10.15.61.217 | 1376 | 玉泉-图书馆 |
| 6 | WIN-98N0DLT7JH3 | 10.15.61.216 | 1336 | 玉泉-图书馆 |
| 7 | LAB4051 | 10.71.149.5 | 565 | 紫金港-医学院教学中心 |
| 8 | YE-PC | 10.71.90.168 | 319 | 紫金港行政楼4-5楼 |
| 9 | MATH3 | 10.13.91.170 | 286 | 玉泉-工商管理楼 |
| 10 | MATH11 | 10.13.91.151 | 158 | 玉泉-工商管理楼 |
注:经查,排行前6位的玉泉-图书馆这6台设备均为学校的服务器设备,因应用的需要而开启了文件共享。因此,病毒(WORM_DOWNAD病毒)利用文件共享频繁攻击这6台主机,导致趋势杀毒系统(Officescan)大量的查杀行为。
服务器本身并未感染到病毒,而病毒也在攻击时被趋势杀毒系统(Officescan)全部查杀清除。目前,这6台服务器是安全的。
二、 安全简讯
2.1 10大活跃放码网站
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2013 年 122 月,趋势监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如下表所示。
2.2本周重要的安全漏洞
1、Google Chrome安全漏洞
Google Chrome是一款流行的WEB浏览器。本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可构建恶意WEB页,诱使用户解析,执行任意代码。
趋势收录的相关漏洞包括:Google Chrome文件拷贝不正确路径处理漏洞、Google Chrome媒体处理竞争条件漏洞、Google Chrome vorbis解码缓冲区溢出漏洞、Google Chrome不正确API权限授权漏洞、Google Chrome blob处理整数溢出漏洞、Google Chrome SVG参数处理内存访问漏洞、Google Chrome web音频节点内存破坏漏洞、Google Chrome IPC层处理内存漏洞等。上述漏洞的综合评级均为“高危”。厂商已发布了上述漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Adobe产品安全漏洞
Adobe Flash Player是一款Flash文件处理程序。本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可执行任意代码。
趋势收录的相关漏洞包括:Adobe Flash Player 'broker'缓冲区溢出漏洞、Adobe Flash Player 'ExternalInterface ActionScrip'远程代码执行漏洞、Adobe Flash Player任意代码执行漏洞(CNVD-2013-20343)。其中,“Adobe Flash Player 'broker'缓冲区溢出漏洞”和“Adobe Flash Player 'ExternalInterface ActionScrip'远程代码执行漏洞”的综合评级均为“高危”。厂商已发布了上述漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Cisco产品安全漏洞
Cisco Cloud Portal是一款思科公司推出的云应用解决方案;Cisco Adaptive Security Appliance是一款自适应安全设备,提供VPN服务应用模块;Cisco Prime是一款提供,管理 LAN、WAN与数据中心的解决方案;Cisco Unified Communications Manager是一款Cisco IP电话解决方案中的呼叫处理组件;Cisco Unified Presence是一款收集用户可用性和通信功能的信息,以提供统一用户在网状态的平台。本周,上述Cisco产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息,发起拒绝服务攻击。
趋势收录的相关漏洞包括:Cisco Unified Presence Server远程拒绝服务漏洞、Cisco Unified Communications Manager缓存毒药漏洞、Cisco Unified Communications Manager远程拒绝服务漏洞、Cisco Prime Central for HCS Assurance远程拒绝服务漏洞、Cisco Adaptive Security Appliances拒绝服务漏洞(CNVD-2013-20341)、Cisco Cloud Portal信息泄露漏洞。其中,除“Cisco Adaptive Security Appliances拒绝服务漏洞(CNVD-2013-20341)”和“Cisco Cloud Portal信息泄露漏洞”外,其余漏洞的综合评级均为“高危”。厂商已发布了除上述两个漏洞外,其余漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
4、IBM产品安全漏洞
IBM HTTP Server是一款基于Apache的web服务程序;IBM System Storage TS3500磁带库为IBM System z和开放式系统备份与归档提供了可扩展的自动化磁带库;IBM Lotus Domino服务器是一款基于WEB合作的应用程序架构;IBM InfoSphere Guardium解决方案主要提供企业数据中心保障服务。本周,上述IBM产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息或劫持用户会话,提升权限,发起跨站脚本攻击。
趋势收录的相关漏洞包括:IBM InfoSphere Guardium权限提升漏洞、IBM Lotus Domino存在未明开放重定向漏洞、IBM Lotus Domino存在未明跨站脚本漏洞、IBM System Storage TS3500磁带库安全绕过漏洞、IBM HTTP Server模块跨站脚本漏洞、IBM HTTP Server 'mod_proxy_balance'模块跨站脚本漏洞。其中,“IBM InfoSphere Guardium权限提升漏洞”的综合评级为“高危”。厂商已发布了上述漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
5、Brewthology 'r'参数SQL注入漏洞
Brewthology是一款基于WEB的应用程序。本周,该产品被披露存在一个综合评级为“高危”的SQL注入漏洞。由于Brewthology beerxml.php脚本未能正确过滤"r"参数,攻击者利用漏洞可进行SQL注入攻击,获得数据库敏感信息。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。
2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三、 计算机病毒常用防范知识
3.1 保障移动安全的十大诀窍
随着移动设备的普及度不断攀升,新型商务及娱乐应用也开始在市场上大规模出现。如今人们已经可以在移动设备上玩游戏、购物、支付账单并通过社交网络分享观点。
“对于消费者而言,网络犯罪似乎还是一种仅仅威胁大型企业、无暇侵犯个人权益的隐患。然而在线交易频率的持续走高已经让普通用户成为黑客的目标。移动设备如今已经开始保存大量个人重要信息,包括信用卡号码,因此高枕无忧的时代已经一去不返了,”Stonesoft公司CISO Joona Airamo表示。
恶意软件严重威胁移动设备安全,保存在手机或平板设备中的数据一旦泄露,后果也同样不堪设想。有鉴于此,本文为我们总结了保障移动安全的十大诀窍:
1.定期更新移动设备操作系统。虽然大多数系统更新都会自动完成,但大家在选购新产品时,请务必确认该设备能够正确安装全部系统更新补丁。
2.只从iTunes、Google Play或者Nokia Store等可靠来源下载并安装程序。也许某些平台上的软件更便宜,但其中更可能包含恶意软件。
3.当心应用内部的购买项目,它们很可能价格不菲。例如,孩子们可能急于让自己的游戏角色强力起来,却并不理解自己购买的游戏项目要花多少现金。在大多数设备中都可以通过选项关闭内部购买功能。
4.当心我们为应用授予的操作权限。请定期检查使用中已经接受过的权限与隐私政策。应用程序可能根据位置信息、网络连接之类项目跟踪用户的当前所在地,这可不是什么好事。
5.记得更改SIM卡的默认访问码与PIN码。别用生日或者其它一些容易被猜到的数字组合。另外务必将系统设定为每次操作都需要输入这些安全码。
6.如果设备支持数据加密功能,请一定记得开启。
7.将设备与能够远程定位失窃设备的在线服务进行绑定,并在必要时进行远程数据清除。
8.如果设备被盗,请立刻与运营商联系将手机卡锁定,并将业务转移到新卡上。
9.不打算用的旧设备必须恢复到出厂设置,并删除所有SIM卡及存储卡中保存的信息。
10.定期对设备中的数据进行备份,这方面云服务能帮上大忙。但不要未经允许就把雇主信息发送到云端。
除了上述基本诀窍,还建议大家多为组织管理者考虑。“在使用由组织或雇主提供的设备时,我们必须坚持遵循安全规则。除非事先声明,否则任何与工作有关的信息都不能保存在自己的设备中。”
3.2 常见病毒处理方法-Morphex新变种
Morphex准确的来说是某一病毒家族对代码的保护方式,用各种复杂的变换以及反调式来保护病毒代码。在对此家族代码的分析过程中我们可以发现以下字符串“My name is Morphex”,如下图所示:
在2011年早些的时候利用Morphex方式来加载的U盘病毒曾经登上了病毒排行榜的榜首,而近几天,趋势实验室也持续在国内监测到大量的利用此类方式保护的病毒样本,通过分析,此病毒注入的方式和著名的duqu病毒其中的一个组件非常相似:先是创建正常的svchost进程,利用“DONT_RESOLVE_DLL_REFERENCES”标志来加载一个空的svchost进程,并且获得目标进程代码执行的入口地址,然后向目标进程中写入恶意的代码,并且覆盖svchost进程代码的入口。
此时svchost进程将成为一个“傀儡进程”,然而在系统内存中不会存在任何病毒的进程和恶意的dll文件。用以躲避杀毒软件的扫描。
感染Morphex新变种的用户,极有可能成为僵尸网络中的一员,俗称“肉鸡”:在服务器的下载新的病毒,发起网络攻击,或者发送垃圾邮件等等。此变种会通过svchost傀儡进程和以下服务器进行(不限于以下)通讯:
·slade.safehousenumber.com
·murik.portal-protection.net.ru
·world.rickstudio.ru
·banana.cocolands.su
·portal.roomshowerbord.com
同时病毒会将自身释放到%UserProfile%目录下,病毒名称是5位的随机字符组成。并且通过以下注册表项“Taskman”实现自启动,详细情况如下图所示:
用户可以通过检查此注册表项目来确定自己是否感染了Morphex病毒。目前TrendMicro已经加入对此家族病毒最新变种的检测,TrendMicro提醒您注意:新版的Morphex病毒没有太多的华而不实行为,但总体来说潜在的威胁非常大,并且隐蔽性极强。安装TrendMicro客户端的用户能够得到及时有效的保护。
3.3 WORM_DOWNAD病毒分析和处理方法
WORM_DOWNAD(飞客病毒)及其变种是一种传播性很强的蠕虫病毒,连续几年被国家互联网计算机应急中心公布为感染数最多的病毒,是当之无愧的“毒王”。WORM_DOWNAD最早出现于2008年年底,并在2009年开始爆发,成功成为2009至2011年的毒王,时至今日其仍然存在于很多用户环境中。这支病毒的流行程度在过去的几年无“毒”能及,并且可能在未来的几年都不会被超越。
趋势科技认为,这种现象与它利用了多个目前普遍存在于网络环境中较难控制的安全弱点有很大关系。该病毒主要利用移动存储设备、漏洞、弱密码、以及网络共享进行传播。在这些传播途径中只要有任何一种途径没有进行良好的管理及控制,就会被病毒利用,从而导致病毒大肆传播。
WORM_DOWNAD病毒的传播方式有以下几种:
1.微软08-067漏洞传播
2.通过文件共享
3.移动存储方式,如U盘,移动硬盘等
4.账户密码破解
5.P2P方式(部分变种)
目前针对该病毒和该病毒的变种,趋势OFFICESCAN已经可以完全清除。而免疫病毒的方法也很简单,就是打上微软的08-067漏洞补丁。但是由于该病毒存在多种传播方式,因此会出现打上补丁后计算机还是被感染的问题:打上补丁之后,计算机本身不会通过漏洞而感染病毒,但还是会通过其他方式感染到病毒。如计算机开启文件共享时,病毒源就会利用文件共享来攻击计算机。
近期,学校频受WORM_DOWNAD及其变种WORM_DOWNAD.AD,TROJ_ DOWNADJOB.A等病毒攻击,占所有病毒查杀的70%以上。经过趋势OFFICESCAN病毒查杀日志的报表分析,该病毒查杀主要来自下列6台设备:
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | 处理结果 |
| 1 | WIN-4VR05G5VPMD | 10.15.61.201 | 2769 | 玉泉-图书馆 | 已查杀 |
| 2 | WIN-5N55P2RA3CI | 10.15.61.218 | 2692 | 玉泉-图书馆 | 已查杀 |
| 3 | WIN-QFL7POT58QG | 10.15.61.219 | 2623 | 玉泉-图书馆 | 已查杀 |
| 4 | WIN-M5IP9O9VK62 | 10.15.61.220 | 2601 | 玉泉-图书馆 | 已查杀 |
| 5 | WIN-SP4CFLNHUOF | 10.15.61.217 | 1376 | 玉泉-图书馆 | 已查杀 |
| 6 | WIN-98N0DLT7JH3 | 10.15.61.216 | 1336 | 玉泉-图书馆 | 已查杀 |
经查,这6台设备均为学校的服务器设备,因应用的需要而开启了文件共享。因此,病毒利用文件共享频繁攻击这6台主机,导致Officescan大量的查杀行为。
服务器本身并未感染到病毒,而病毒也在攻击时被Officescan全部查杀清除。目前,这6台服务器是安全的。
病毒的处理方法
该病毒的处理方案请参考:
(1)将使用趋势产品的病毒组件更新到最新版本,以确保能够有效的清除病毒
(2)在全网计算机上打好微软08-067补丁
微软08-067补丁:http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
(3)在感染计算机上使用专杀工具,专杀工具下载:
http://zuits.zju.edu.cn/wescms/sys/filebrowser/file.php?cmd=download&id=148717
(4)加强对于共享文件的管理,将非必要的共享关闭
(5)加强对于移动存储的管理
如果使用以上的方案无法解决您的问题,请检查网络内所有电脑是否打上了补丁,因为可能没打上补丁的计算机会作为攻击源攻击其他计算机,导致其他计算机反复查杀。
如果还是不能解决,请您务必收集病毒日志给我们分析。
四、 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027