一、 趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | TOSHIBA-PC | 10.14.26.121 | 75238 | 玉泉-教3 |
| 2 | DELL1950 | 10.10.14.3 | 42190 | 紫金港IDC机房 |
| 3 | DX-LT | 10.10.14.13 | 23585 | 紫金港IDC机房 |
| 4 | IBM1 | 10.10.14.10 | 19247 | 紫金港IDC机房 |
| 5 | WIN-98N0DLT7JH3 | 10.15.61.216 | 17349 | 玉泉-图书馆 |
| 6 | WIN-5N55P2RA3CI | 10.15.61.218 | 14306 | 玉泉-图书馆 |
| 7 | SVCTAG-GTHDL2X | 10.22.23.69 | 13688 | 西溪校网中心 |
| 8 | WIN-4VR05G5VPMD | 10.15.61.201 | 9812 | 玉泉-图书馆 |
| 9 | WIN-QFL7POT58QG | 10.15.61.219 | 9505 | 玉泉-图书馆 |
| 10 | WIN-M5IP909VK62 | 10.15.61.220 | 7799 | 玉泉-图书馆 |
注:排行靠前的玉泉-图书馆,紫金港IDC机房设备均为学校的服务器设备,因应用的需要而开启了文件共享。因此,难免病毒(WORM_DOWNAD病毒)利用文件共享频繁攻击这几台主机,导致趋势杀毒系统(Officescan)大量的查杀行为。
10.10.14.3主要查杀的是WORMDOWN类似的飞客病毒,服务器补丁都打上了。服务器都开着共享,所以是由网络中其它主机攻击造成,从查杀数来看属正常范围。而病毒也在攻击时被趋势杀毒系统(Officescan)全部查杀清除。服务器本身并未感染到病毒,目前,这几台服务器是安全的。
1.3受感染用户前10名(本月排行)
| 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | 处理措施 | |
| 1 | DELL1950 | 10.10.14.3 | 7918 | 紫金港IDC机房 | 清除成功 |
| 2 | DX-LT | 10.10.14.13 | 3843 | 紫金港IDC机房 | 清除成功 |
| 3 | SVCTAG-GTHDL2X | 10.22.23.69 | 3696 | 西溪校网中心 | 清除成功 |
| 4 | LAB4051 | 10.71.149.5 | 619 | 紫金港-医学院教学中心 | 清除成功 |
| 5 | WIN-5N55P2RA3CI | 10.15.61.218 | 144 | 玉泉-图书馆 | 清除成功 |
| 6 | WIN-4VR05G5VPMD | 10.15.61.201 | 144 | 玉泉-图书馆 | 清除成功 |
| 7 | HP530 | 10.71.92.251 | 82 | 图书信息中心C楼14层 | 清除成功 |
| 8 | PC-201009091712 | 192.168.1.101 | 59 | DHCP | 清除成功 |
| 9 | 64C6244D0 | 1.1.0.79 | 37 | 公网地址 | 清除成功 |
| 10 | YE-PC | 10.71.90.127 | 37 | 紫金港-青溪 | 清除成功 |
二、 安全简讯
2.1 10大活跃放码网站
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2013 年 9 月,趋势监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如下表所示。
2.2 飞客蠕虫监测数据
2013 年 9 月,Trendmicro监测到全球互联网 1316 万余个主机IP 地址感染飞客蠕虫,按国家或地区分布感染数量排名前三位的分别是中国大陆、印度、巴西。
境内感染飞客蠕虫的主机 IP 为近 133 万个,按地区分布感染数量排名前三位的分别是广东省、浙江省、江苏省。
2.3本月重要的安全漏洞
1、Microsoft 产品安全漏洞
Microsoft Internet Explorer是一款WEB浏览器。本周,该产品被披露存在多个漏洞,攻击者利用漏洞可执行任意代码。
趋势收录的相关漏洞包括:Microsoft IE MSHTML内存破坏远程代码执行漏洞、Microsoft Internet Explorer内存破坏漏洞。上述漏洞的综合评级均为“高危”。厂商已发布了上述漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Mozilla 产品安全漏洞
Mozilla Firefox/SeaMonkey/Thunderbird是Mozilla所发布的WEB浏览器/新闻组客户端/邮件客户端。本周,上述产品被披露存在多个安全漏洞。攻击者利用漏洞可使应用程序崩溃,执行任意代码。
趋势收录的相关漏洞包括:Mozilla多个产品JS_GetGlobalForScopeChain内存错误引用漏洞、Mozilla多个产品nsGfxScrollFrameInner::IsLTR()函数内存破坏漏洞、Mozilla多个产品mozilla::layout::ScrollbarActivity 函数内存错误引用漏洞、Mozilla多个产品nsFloatManager::GetFlowArea()函数缓冲区溢出漏洞、Mozilla多个产品Select元素处理内存错误引用漏洞、Mozilla多个产品动画管理样式表克隆内存错误引用漏洞、Mozilla多个产品HTML5 Tree Builder template元素处理任意代码执行漏洞、Mozilla多个产品存在多个未明内存破坏漏洞等。上述漏洞的综合评级均为“高危”。
厂商已经发布了上述漏洞的修补程序。趋势提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Apple 产品安全漏洞
Apple Mac OS X是一款苹果公司开发的操作系统。本周,该产品被披露存在多个安全漏洞。攻击者利用漏洞可绕过安全限制,获取敏感信息,使应用程序崩溃,执行任意代码。
趋势收录的相关漏洞包括:Apple Mac OS X撤消SSL证书验证安全绕过漏洞、Apple Mac OS X Server存在多个跨站脚本漏洞、Apple Mac OS X内存破坏漏洞、Apple Mac OS X锁屏安全绕过漏洞、Apple Mac OS X Unicode字符串拒绝服务漏洞、Apple Mac OS X 'IGMP'拒绝服务漏洞、Apple Mac OS X PDF文件缓冲区溢出漏洞、Apple MAC OS X ImageIO缓冲区溢出漏洞等。其中,“Apple Mac OS X撤消SSL证书验证安全绕过漏洞”的综合评级为“高危”。厂商已经发布了上述漏洞的修补程序。趋势提醒用户及时下载补丁更新,避免引发漏洞相关的安全事件。
4、Cisco 产品安全漏洞
Cisco Unified Computing System通过将统一计算、网络、存储访问和虚拟化整合到一个系统中,简化IT 管理并提高灵活性;Cisco NX-OS软件是一个数据中心级的操作系统;Cisco Open Network Environment Platform思科开放式网络环境,是全面而广泛的网络可编程性的实现方法。本周,上述产品被披露存在多个安全漏洞。攻击者利用漏洞可查看修改数据,使应用程序崩溃。
趋势收录的相关漏洞包括:Cisco Unified Computing System私钥泄露漏洞、Cisco Unified Computing System畸形联系地址处理本地拒绝服务漏洞、Cisco Unified Computing System证书校验安全绕过漏洞、Cisco Unified Computing System证书校验安全绕过漏洞、Cisco NX-OS software BGP正则表达式拒绝服务漏洞、Cisco Open Network Environment Platform拒绝服务漏洞、多个Cisco Unified MeetingPlace产品跨站请求伪造漏洞。厂商已经发布了除“多个Cisco Unified MeetingPlace产品跨站请求伪造漏洞”外,其余漏洞的修补程序。趋势提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
5、Mitsubishi MC-WorX 'IcoLaunch.dll'' ActiveX控件远程代码执行漏洞
Mitsubishi MC-WorkX是工厂自动化应用工具。本周,该产品被披露存在一个综合评级为“高危”的远程代码执行漏洞。Mitsubishi MC-WorkX LaunchCtl ActiveX控件(IcoLaunch.dll)提供不安全的"FileName"属性,远程攻击者利用漏洞可构建恶意WEB页,诱使用户解析,执行任意程序。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。
2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三、 计算机病毒常用防范知识
3.1 一个CIO对于终端安全的五点建议
作为CIO,我最恨讨论安全的话题。我认为唯一能做的事情就是不要被人注意到。还有,比别人做得好一些,这样就可以降低被恶意攻击的可能性。在我考虑到终端的安全性之前,上述想法似乎都是合理且可行的。由于技术日益渗透到我们的日常生活中,边界的安全性变得越发重要了。从技术角度看,工作和日常生活的区隔正逐渐消亡。
为什么管理终端的安全性如此重要呢?因为,用户在事实上成为了所使用设备的管理员。他们毫无限制地访问不受监控的网络,随意下载安装各种应用,让家人和朋友使用自己的设备–而这些人基本上不可能签署相关的使用许可协议或接受安全培训。他们使用云服务传输和管理数据。总之,一旦他们离开了公司防火墙的保护,即刻进入到一个完全不受控制的世界。在设备重新进入公司防护范围之后,我们只好去挨个排查病毒或恶意软件。
这一切听起来让人泄气。但是,除非我们决定对设备的使用加以严格控制(从而使IT部门整日纠缠在可用性、可访问性和自由度这些问题上),否则就不得不接受风险存在的事实,然后采取措施来降低风险。那么,可以从哪些方面入手呢?
从政策的角度看,要确保敏感数据不在有风险的设备上出现,或者至少也应该加过密。这里就涉及到如何定义敏感数据了–也许客户名单的泄露还不是很严重,但是如果是信用卡号、社会安全号或者其他数据就麻烦了。
由于安全威胁和技术变化如此之大,对员工的沟通与培训就显得尤为重要。终端安全的管理目标并非是静止的,一年前还无需禁止的行为和习惯放到现在可能就是重大的隐患。
从技术的角度看,一定要跟上敌人的脚步。选择并部署高水平的防病毒系统,重视日常维护并进行自动升级。几年前在一次出差时,当地的一个经理对我说他的笔记本太慢了。我发现其病毒库已经18个月没更新了。检查之后才知道,原来他禁止了自动更新的功能。在他看来,每天升级太麻烦。对此我很无奈,升级一般就是一分钟的事情而已。出差回来后,我在全球所有的分支机构推行了新政策–将禁止自动更新的功能取消掉。
终端在整个安全链条中属于比较弱的一环,因此要使用任何可能的工具来进行强化。类似工具包括基于主机控制的防入侵系统,以此保护设备操作系统在网络中的独立性并在设备上设立防火墙。
对于设备管理,可以使用远程镜像和诊断、以目录策略阻止特定站点的访问以及监控和识别未授权的软件。而且,桌面虚拟化可以使终端数据在安全和数据中心专家的掌控之下。
可喜的是,随着移动性的提升,以及设备在日常生活和工作之间链条的重塑,已经有人认识到新出现的威胁,相应地开发产品或策略来降低这种威胁。
3.2 常见病毒处理方法-Android黑客工具
日前,国外安全研究者在中国的某论坛上下载了一个Android应用程序,发现该应用能够从链接的Windows机器上窃取信息。该研究者进一步分析样本(MD5:283d16309a5a35a13f8fa4c5e1ae01b1) ,当执行该样本的时候,会在移动设备上安装一个名为USBCleaver的应用程序:
当应用程序启动时,它会引导用户从远程服务器下载一个ZIP文件:
然后解压缩下载的文件到以下位置:
/mnt/sdcard/usbcleaver/system folder
当设备通过USB链接到Windows机器的时候,该文件会搜索特定的信息,如下:
浏览器(firefox、chrome、ie存储的密码)
WIFI密码
PC的网络信息
该工具能够让用户选择他们想获取的信息:
同时在运行该脚本的时候,会创建一个autorun.inf和go.bat文件在/mnt/sdcard目录,当设备连接到电脑的时候就会自动触发该脚本。所有收集的资料存储在/mnt/sdcard/usbcleaver/logs文件夹。可以通过“Log Files”查看从PC获取到的信息。
USBCleaver没有远程控制功能,但似乎它更顷向于渗透测试前期的获取信息,方便后期有针对性的攻击,同学们在了解了这款恶意软件之后,是否还会让别人通过手机连接你的电脑呢?
四、 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027