一、         趋势系统使用情况

1.1三台服务器统计中毒排名在前的用户：

1)         10.10.7.222

2)         10.10.2.180

3)         10.10.2.181

1.2受感染用户前10名（总排行）

注：排行靠前的玉泉－图书馆这几台设备均为学校的服务器设备，因应用的需要而开启了文件共享。因此，难免病毒（WORM_DOWNAD病毒）利用文件共享频繁攻击这几台主机，导致趋势杀毒系统（Officescan）大量的查杀行为。

服务器本身并未感染到病毒，而病毒也在攻击时被趋势杀毒系统（Officescan）全部查杀清除。目前，这几台服务器是安全的。

1.3受感染用户前10名（本月排行）

注：排行靠前的玉泉－图书馆这几台设备均为学校的服务器设备，因应用的需要而开启了文件共享。因此，难免病毒（WORM_DOWNAD病毒）利用文件共享频繁攻击这几台主机，导致趋势杀毒系统（Officescan）大量的查杀行为。

服务器本身并未感染到病毒，而病毒也在攻击时被趋势杀毒系统（Officescan）全部查杀清除。目前，这几台服务器是安全的。

二、         安全简讯

2.1 10大活跃放码网站

网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2013 年 3 月，趋势监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如下表所示。

2.2 飞客蠕虫监测数据

2013 年 3 月，Trendmicro监测到全球互联网 2194 万余个主机IP 地址感染飞客蠕虫，按国家或地区分布感染数量排名前三位的分别是巴西、中国大陆、印度。

境内感染飞客蠕虫的主机 IP 为近 201 万个，按地区分布感染数量排名前三位的分别是广东省、江苏省、浙江省。

2.3本周重要的安全漏洞

1、Mozilla 产品安全漏洞

Mozilla Firefox/SeaMonkey/Thunderbird 是 Mozilla 所发布的 WEB 浏览器/新闻组客户端/邮件客户端。本周，上述产品被披露存在多个安全漏洞，攻击者利用漏洞可提升权限，导致应用程序崩溃或远程执行任意代码。

Trendmicro收录的相关漏洞包括：Mozilla 多个产品 Mesa 图形驱动 WebGL 崩溃漏洞、Mozilla 多个产品 SOW 保护绕过节点克隆漏洞、Mozilla 多个产品存在未明内存漏洞（CNVD-2013-21636、CNVD-2013-21637）、Mozilla多个产品插件存在未明栈破坏漏洞、Mozilla 多个产品 NSS 库越界读漏洞、Mozilla 多个产品 Mozilla Updater 权限提升漏洞、Mozilla 多个产品灰度模式 PNG 图像渲染内存泄露漏洞等。上述漏洞中“Mozilla 多个产品 Mesa 图形驱动 WebGL 崩溃漏洞、Mozilla 多个产品 SOW 保护绕过节点克隆漏洞、Mozilla 多个产品存在未明内存漏洞，Mozilla多个产品插件存在未明栈破坏漏洞”的综合评级均为“高危”。厂商已发布上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

2、PostgreSQL 安全漏洞

PostgreSQL 是一款对象关系型数据库管理系统，支持扩展的 SQL 标准子集。本周，该产品被披露存在多个安全漏洞，攻击者利用漏洞可绕过安全限制，修改配置，发起拒绝服务攻击或执行任意代码。

Trendmicro收录的相关漏洞包括：PostgreSQL 'contrib/pgcrypto'函数信息泄露漏洞、PostgreSQL 不安全临时文件创建漏洞、PostgreSQL 密码泄露漏洞、PostgreSQL 安全绕过漏洞、PostgreSQL 拒绝服务漏洞。上述漏洞中“PostgreSQL 'contrib/pgcrypto'函数信息泄露漏洞、PostgreSQL 不安全临时文件创建漏洞、PostgreSQL 密码泄露漏洞”的综合评级均为“高危”。厂商已发布上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

3、IBM 产品安全漏洞

IBM Lotus iNotes 是一款 Web 应用解决方案；IBM InfoSphere Replication Server 用于对系统提供数据复制、集成和同步等功能；IBM InfoSphere Information Server 是一款数据集成软件平台；IBM Netezza 是一款数据仓库应用设备。本周，上述 IBM 产品被披露存在多个安全漏洞，攻击者利用漏洞获得敏感信息，劫持用户会话，或执行任意代码。Trendmicro收录的相关漏洞包括：IBM Netezza Performance Portal 目录信息泄露漏洞、IBM InfoSphere Information Server 跨站脚本漏洞、IBM InfoSphere Replication Server 信息泄露漏洞、IBM Lotus iNotes 共享邮件文件存在多个本地跨站脚本漏洞、IBM Lotus iNotes 存在未明跨站脚本漏洞。厂商已发布上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

4、Cisco 产品安全漏洞

Cisco Connected Grid Network Management System 是一款智能电网通信网络执行生命周期管理软件。本周，上述思科产品被披露存在多个安全漏洞，攻击者利用漏洞获得敏感信息，劫持用户会话，执行数据库操作。

Trendmicro收录的相关漏洞包括： Cisco Connected Grid Network Management System (CG-NMS) SQL 注入漏洞、Cisco Connected Grid Network Management System (CG-NMS)跨站脚本漏洞。厂商已发布了上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

5、KNet Web Server 缓冲区溢出漏洞

KNet Web Server 是一款 WEB 服务程序。本周，该产品被披露存在一个综合评级为“高危”的缓冲区溢出漏洞。由于 KNet Web Server 未能正确过滤用户提交的请求，攻击者利用漏洞可提交恶意请求进行缓冲区溢出攻击，执行任意代码。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布该漏洞的修补程序。Trendmicro提醒广大用户随时关注厂商主页以获取最新版本。

 2.3 截止至本月的各查杀统计表

已查杀的病毒/恶意软件数：

已查杀的全部病毒、恶意软件摘要：

传染来源摘要：（N/A表示来自外网或无法识别）

被感染的目标（主机）摘要：

处理措拖结果摘要：

三、         计算机病毒常用防范知识

3.1 Windows安全模式的功能和作用

使用计算机的老手一定对windows安全模式不陌生，在删除病毒，卸载顽固软件，或者系统维护时，Windows的安全模式肯定会帮助很大，下面就说说Windows安全模式的作用以及用处。

windows 安全模式

首先对于不懂电脑的来说会问什么是Windows的安全模式？

安全模式值得就是系统在安全前提下的运行的模式，安全模式的工作原理是所有非系统启动项自动禁止，在不加载第三方设备驱动程序的情况下启动电脑，使电脑运行在系统最小模式，同时释放了了对Windows对这些文件的本地控制权，这样用户就可以在不受第三方程序干扰的情况下，方便地检测与修复计算机系统的错误。

那么我们应该如何进入安全模式：

答案：开机在进入Windows系统之前狂按下F8键。

安全模式的种类及功能：

1、安全模式

进入这个模式之后只有系统最基本的组件在运行，别的其他的程序驱动等的都不会运行，所以可以说，这是杀毒的最理想的环境，在这个环境下，病毒通常无法通过别的手段隐藏自己，从而暴露在你的面前。

2、带命令提示符的安全模式

进入这个模式会弹出命令提示符（CMD）窗口而已，命令提示符窗口如果你能熟练运用的话对于系统维护能提高很多效率。

3、带网络连接的安全模式

进入这个模式你可以连接到网络，拨号或者其他，其他的模式是不支持连接到网络的。

Windows安全模式的作用：

1、直接查杀病毒木马

杀毒可以说一般是普通电脑用户进入安全模式做的最多的事情，在Windows普通模式下，有些木马病毒处于运行状态，无法删除，这样，在安全模式他们并不会运行，所以可以简单的删除。

2、卸载某些程序

常常从互联网下载软件的用户可能经常会遇到流氓软件无法卸载的情况，这时你就可以到Windows安全模式毫不费劲的删除他们，因为在这里这些流氓软件么也不运行。

3、删除顽固文件

当你需要删除一些文件的时候，往往会遇到某某文件正在使用，无法删除的情况，首先你可能会启动任务管理器结束掉进程，可当你无法删除也无法结束掉进程的时候往往需要到安全模式下删除他们。

4、“安全模式”可以还原修复无法进入系统的问题

如果你的计算机无法正常启动，可以使用“安全模式”或者其它启动选项来启动计算机，进入安全模式后，点击“开始”→“所有程序”→“附件”→“系统工具” →“系统还原”，打开系统还原向导，然后选择“恢复我的计算机到一个较早的时间”选项，点击“下一步”按钮，在日历上点击黑体字显示的日期选择系统还原点，点击“下一步”按钮即可进行系统还原。

5、恢复系统设置

如果你在安装了某些不清楚的新的软件或更改了电脑的某些设置后，无法正常进入系统，那么你就可以进入安全模式，恢复你所更改的相关设置，并且卸载你已经安装的软件。

6、修复简单的系统故障

有的时候你的电脑可能会运行起来不稳定或者根本无法正常启动，这是你先不要急着从新安装系统，而是关机进入安全模式，然后再重启，也许你的问题已经解决了，这是因为，在系统进入Windows安全模式的时候会自动检测并修复注册表问题，而一旦问题被修复，你也就可以从新进入系统，有些不稳定的问题也许会得到解决，实在不行你在重装系统

7、检测网络故障

当你的电脑上不了网了，又苦于找不到解决办法的时候，你可以先切换到Windows带网络连接的安全模式看看，如果在这里可以正常的联网的话，那也许十年装的软件冲突或你的设置错误导致不能上网，从而可以逐一排查问题。

8、检测不兼容的硬件

大概自从Windows XP系统开始，Windows开始采用了数字签名式的驱动程序模式，对各种硬件的检测也变得更加严格，所以你电脑的一些设备可能在正常的Windows状态下不能驱动使用。切换到安全模式，检测新的硬件改动，从新加载硬件驱动，也许就能正常工作了，你也就知道问题出在什么地方了。

3.2 常见病毒处理方法－WORM_DOWNAD

WORM_DOWNAD（飞客病毒）及其变种是一种传播性很强的蠕虫病毒，连续几年被国家互联网计算机应急中心公布为感染数最多的病毒，是当之无愧的“毒王”。 WORM_DOWNAD最早出现于2008年年底，并在2009年开始爆发，成功成为2009至2011年的毒王，时至今日其仍然存在于很多用户环境中。这支病毒的流行程度在过去的几年无“毒”能及，并且可能在未来的几年都不会被超越。

趋势科技认为，这种现象与它利用了多个目前普遍存在于网络环境中较难控制的安全弱点有很大关系。该病毒主要利用移动存储设备、漏洞、弱密码、以及网络共享进行传播。在这些传播途径中只要有任何一种途径没有进行良好的管理及控制，就会被病毒利用，从而导致病毒大肆传播。

WORM_DOWNAD病毒的传播方式有以下几种：

1.微软08-067漏洞传播

2.通过文件共享

3.移动存储方式，如U盘，移动硬盘等

4.账户密码破解

5.P2P方式（部分变种）

目前针对该病毒和该病毒的变种，趋势OFFICESCAN已经可以完全清除。而免疫病毒的方法也很简单，就是打上微软的08-067漏洞补丁。但是由于该病毒存在多种传播方式，因此会出现打上补丁后计算机还是被感染的问题：打上补丁之后，计算机本身不会通过漏洞而感染病毒，但还是会通过其他方式感染到病毒。如计算机开启文件共享时，病毒源就会利用文件共享来攻击计算机。

近期，学校频受WORM_DOWNAD及其变种WORM_DOWNAD.AD，TROJ_ DOWNADJOB.A等病毒攻击，占所有病毒查杀的70%以上。经过趋势OFFICESCAN病毒查杀日志的报表分析，该病毒查杀主要来自下列6台设备(1-2月统计)：

经查，这6台设备均为学校的服务器设备，因应用的需要而开启了文件共享。因此，病毒利用文件共享频繁攻击这6台主机，导致Officescan大量的查杀行为。

服务器本身并未感染到病毒，而病毒也在攻击时被Officescan全部查杀清除。目前，这6台服务器是安全的。

病毒的处理方法

该病毒的处理方案请参考：

（1）将使用趋势产品的病毒组件更新到最新版本，以确保能够有效的清除病毒

（2）在全网计算机上打好微软08-067补丁

微软08-067补丁：http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx

（3）在感染计算机上使用专杀工具，专杀工具下载：

http://zuits.zju.edu.cn/wescms/sys/filebrowser/file.php?cmd=download&id=148717

（4）加强对于共享文件的管理，将非必要的共享关闭

（5）加强对于移动存储的管理

如果使用以上的方案无法解决您的问题，请检查网络内所有电脑是否打上了补丁，因为可能没打上补丁的计算机会作为攻击源攻击其他计算机，导致其他计算机反复查杀。

如果还是不能解决，请您务必收集病毒日志给我们分析。

四、         技术交流

欢迎老师和同学们前来交流问题，多提建议，希望下期简报内容更加接近大家的需求。

咨询服务电话：87951669

邮箱: netsafe@zju.edu.cn

工程师联系方式：

13588277982  章荣伟