<首页  旧版  原网站数据  网络安全

网络信息安全简报(2013.5-6)

发布者:系统管理员发布时间:2013-07-08浏览次数:9516

 

一、         趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
 
1)         10.10.7.222
 
2)         10.10.2.180
 
3)         10.10.2.181
 
1.2受感染用户前10名(总排行)
序号
计算机
IP地址
病毒/恶意软件数
楼宇名
1
TOSHIBA-PC
10.14.26.121
75236
玉泉-教3
2
SVCTAG-FTHDL2X
10.10.14.2
54364
紫金港IDC机房
3
MBAC
10.71.89.250
19866
紫金港-青溪
4
WIN-98N0DLT7JH3
10.15.61.216
17324
玉泉-图书馆
5
DELL1950
10.10.14.3
14600
紫金港IDC机房
6
IBM1
10.10.14.10
13601
紫金港IDC机房
7
WIN-5N55P2RA3CI
10.15.61.218
12004
玉泉-图书馆
8
DX-LT
10.10.14.13
10694
紫金港IDC机房
9
SVCTAG-GTHDL2X
10.22.23.69
8572
西溪校网中心
10
WIN-4VR05G5VPMD
10.15.61.201
8044
玉泉-图书馆
注:排行靠前的玉泉-图书馆,紫金港IDC机房设备均为学校的服务器设备,因应用的需要而开启了文件共享。因此,难免病毒(WORM_DOWNAD病毒)利用文件共享频繁攻击这几台主机,导致趋势杀毒系统(Officescan)大量的查杀行为。
 
10.10.14.2是感染最严重的主机。主要查杀的病毒是PE_PARITE.A和TROJ_CORELINK.D。不过最大规模的病毒爆发是发生在5月26日之前,而在这之后可能是因为服务器自动升级了补丁,使得PE_PARITE.A的重复感染停止了。而TROJ_CORELINK.D是因为服务器开着共享,由网络中的其它主机攻击造成,属于正常范围内。
 
10.10.14.3和10.10.14.13主要查杀的是WORMDOWN类似的飞客病毒,服务器补丁都打上了。两台服务器都开着共享,所以是由网络中其它主机攻击造成,从查杀数来看属正常范围。而病毒也在攻击时被趋势杀毒系统(Officescan)全部查杀清除。服务器本身并未感染到病毒,目前,这几台服务器是安全的。
1.3受感染用户前10名(本月排行)
计算机
IP地址
病毒/恶意软件数
楼宇名
处理措施
1
SVCTAG-FTHDL2X
10.10.14.2
40568
紫金港IDC机房
清除成功
2
DELL1950
10.10.14.3
5665
紫金港IDC机房
清除成功
3
DX-LT
10.10.14.13
4711
紫金港IDC机房
清除成功
4
SUNNYE-7A56C801
10.12.211.36
3972
玉泉电工厂
清除成功
5
WIN-5N55P2RA3CI
10.15.61.218
2435
玉泉-图书馆
清除成功
6
X2-314
10.78.213.28
1294
紫金港西2多媒体教室
清除成功
7
D1B312
10.78.211.27
662
紫金港西1
清除成功
8
WIN-QFL7POT58QG
10.15.61.219
592
玉泉-图书馆
清除成功
9
X2-204
10.78.213.10
407
紫金港西2多媒体教室
清除成功
10
IBM1
10.10.14.10
377
紫金港IDC机房
清除成功
 
二、         安全简讯
2.1 10大活跃放码网站
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2013 年 6 月,趋势监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如下表所示。
 
2.2 飞客蠕虫监测数据
2013 年 6 月,Trendmicro监测到全球互联网 1963 万余个主机IP 地址感染飞客蠕虫,按国家或地区分布感染数量排名前三位的分别是中国大陆、巴西、印度。
境内感染飞客蠕虫的主机 IP 为近 201 万个,按地区分布感染数量排名前三位的分别是广东省、江苏省、浙江省。
2.3本月重要的安全漏洞
1、Microsoft 产品安全漏洞
Microsoft Internet Explorer 是一款流行的 WEB 浏览器;Microsoft Windows 是一款流行的操作系统;Microsoft Office 是基于 Windows 操作系统的办公软件套装。本周,上述微软产品被披露存在多个安全漏洞,远程攻击者利用漏洞可导致应用程序崩溃,执行任意代码。Trendmicro 收 录 的 相 关 漏 洞 包 括 : Microsoft Internet Explorer 内 存 破 坏 漏 洞、Microsoft Windows TCP/IP Driver 畸形报文处理远程拒绝服务漏洞、Microsoft Office PNG File 缓冲区溢出漏洞、Microsoft Internet Explorer 存在未明内存破坏漏洞(CNVD-2013-26553、CNVD-2013-26552、CNVD-2013-26549)、Microsoft Internet Explorer WEB 页脚本调试内存破坏漏洞、Microsoft Internet Explorer 存在未明内存破坏漏洞等。上述漏洞的综合评级均为“高危”。厂商已发布上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
2、Oracle 产品安全漏洞
Oracle Java Runtime Environment 是一款为 JAVA 应用程序提供运行环境的解决方案。本周,该产品被披露存在安全漏洞,攻击者利用漏洞可执行任意代码。Trendmicro收录的相关漏洞包括:Oracle Java JDK / JRE 2D 子件存在未明任意代码执行漏洞、Oracle Java JDK / JRE Deployment 子件存在未明任意代码执行漏洞、Oracle Java JDK / JRE Libraries 子件存在未明漏洞、Oracle Java JDK / JRE Serviceability 子件存在未明任意代码执行漏洞、Oracle Java JDK / JRE AWT 子件存在未明任意代码执行漏洞(CNVD-2013-26938)、Oracle Java JDK / JRE Sound 子件存在未明任意代码执行漏洞、Oracle Java JDK / JRE HotSpot 子件存在未明拒绝服务漏洞等。上述漏洞的综合评级均为“高危”。厂商已发布上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
3、Siemens 产品安全漏洞
Siemens SIMATIC WinCC 是工业控制领域监测控制和数据采集及人机界面 HMI 系统;Siemens SIMATIC PCS 是工业控制领域过程控制系统;Siemens OpenScape 是一款统一通信软件平台;Siemens COMOS 是一体化软件解决方案,用于工厂及机械设备资产的整个生命周期内对其进行全盘设计和管理。本周,上述产品被披露存在多个安全漏洞。攻击者利用漏洞或绕过安全限制,获得未授权的访问获取敏感信息,或执行 SQL查询或 OS 命令。Trendmicro收录的相关漏洞包括:Siemens SIMATIC WinCC/PCS 7 硬编码凭证安全绕过漏洞、Siemens SIMATIC WinCC/PCS 7 SQL 注入漏洞、Siemens OpenScape 产品 OS 命令注入漏洞、Siemens COMOS 本地安全绕过漏洞、Siemens OpenScape 产品敏感信息泄漏漏洞、Siemens OpenScape 产品文件泄漏漏洞、Siemens OpenScape 产品跨站脚本漏洞、Siemens SIMATIC WinCC/PCS 7 用户名枚举漏洞等。其中,“Siemens SIMATIC WinCC/PCS 7 硬编码凭证安全绕过漏洞、Siemens SIMATIC WinCC/PCS 7 SQL 注入漏洞、Siemens OpenScape 产品 OS 命令注入漏洞”的综合评级均为“高危”。厂商已发布上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
4、Apache 产品安全漏洞
Apache Santuario 是实现 XML 的安全标准组件;OpenJPA 是 Apache 组织提供的开源项目,实现了 EJB 3.0 中的 JPA 标准,提供数据管理框架。本周,上述产品被披露存在多个安全漏洞,远程攻击者利用漏洞可导致应用程序崩溃,执行任意代码。Trendmicro收录的相关漏洞包括:Apache Santuario XML Security for C++远程堆缓冲区溢出漏洞、Apache Santuario XML Security for C++远程栈缓冲区溢出漏洞、Apache Santuario XML Security for C++远程拒绝服务漏洞、Apache Santuario XML Security for C++签名绕过漏洞、Apache OpenJPA 对象反序列化任意文件创建或覆盖漏洞。其中,“Apache Santuario XML Security for C++远程堆缓冲区溢出漏洞、Apache Santuario XML Security for C++远程栈缓冲区溢出漏洞”的综合评级均为“高危”。厂商已发布上述漏洞的修补程序。Trendmicro提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
5、Fobuc Guestbook 'index.php' SQL 注入漏洞
Fobuc Guestbook 是一款基于 WEB 的留言本系统。本周,该产品被披露存在一个综合评级为“高危”的 SQL 注入漏洞。通过"category" GET 参数传递给 index.php 的输入在用于 SQL 查询之前缺少过滤,远程攻击者利用漏洞可注执行恶意 SQL 查询,获取数据库信息或控制应用系统。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。Trendmicro提醒广大用户随时关注厂商主页以获取最新版本。
 2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
 
已查杀的全部病毒、恶意软件摘要:
 
传染来源摘要:(N/A表示来自外网或无法识别)
 
被感染的目标(主机)摘要:
 
处理措拖结果摘要:
 
三、         计算机病毒常用防范知识
3.1 手机病毒简单防范措施
近几年手机已经成为我们生活的必需品,特别是智能手机的出现与普及,手机病毒也必然会越来越泛滥、猖獗。下面来介绍一下手机病毒的防范措施。
手机厂商环节措施:手机病毒存在的一种情况就是利用手机的先天漏洞。所以手机的生产商应该在手机的研制阶段,尽量的减少避免手机漏洞的出现,从根本上杜绝手机病毒。
通讯网络运营商环节措施:手机的大部分数据是通过运营商的网关进行传送。通讯运营商在核心网关进行杀毒和防毒可以有效的阻止手机病毒的扩散。所以通讯运营商应该加强网络服务器及网关上的杀毒软件和防火墙的设置,对过往数据进行筛选,把手机病毒扼杀在“摇篮”中。
手机用户环节措施:①使用正版手机,正版手机的安全认证更加严密。市场中智能手机的操作系统各异,防毒能力不同,需要在手机上安装第三方应用软件时尽量去官方网站下载,因为官方网站对软件安全性的检查是非常谨慎的。这样可以大大减少手机由于软件下载造成的中毒现象。
②安装合适的手机杀毒软件,杀毒软件可以实时监测手机用户的数据流量,及时查杀异常数据。
③慎重对待陌生信息。当收到陌生的短信或彩信,最好不查看直接删除,避免被不法分子植入恶意软件;谨慎未知电话,当来电号码显示为乱码时,尽量不接听或者立即把电话关闭;不要随便接受陌生蓝牙请求,特别是是接收蓝牙传送文件时要谨慎对待,以免收到病毒文件。手机要经常杀毒。
注意事项:
蓝牙设备在不用时要关闭。
遇到陌生彩信,最好不要查看,直接删除处理。
3.2 常见病毒处理方法-PE_Parite.A
病毒描述:
病毒执行后,会在Windows下的Temp目录中以随机文件名生成一个.TMP文件,该文件包含了主要的恶意代码,并被检测为PE_PARITE.A。该文件中有两个导出的函数:AttachHookInitiate。使用AttachHook功能,它会将自身插入到shell进程或Explorer.exe进程中,从而无法在内在中检测到此病毒。而Initiate则是它用以传播的代码。
该病毒会创建以下注册表项:
HKEY_CURRENT_UESESoftwaremicrosoftwindowsCurrentVersionExplorerPINF
该病毒感染随机数量的.EXE.SCR文件,会在受感染文件代码中以随机间隔加入新的区段。它还会使用随机端口来访问网络共享,并在它所访问的共享目录中继续实现传播。
 
清除方法:
自动清除:
该病毒可使用趋势科技Officescan损害清除服务清除。请使用较新版本的Officescan,执行清除后请使用手动扫描系统,彻底清除感染病毒的文件。
手动清除:
1.       重启计算机,进入安全模式
2.       打开注册表编辑器,在左侧面板找到并删除以下主键:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer
在右侧窗口中删除以下键值:
PINF
3.       使用手动扫描扫描系统,清除所有病毒文件
4.       重新启动进入正常模式,再次扫描系统,检查病毒是否被完全清除
四、         技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
 
咨询服务电话:87951669
 
工程师联系方式:
13588277982 章荣伟
 
 
评分: