[互联网通信]2005年8月份信息安全分析与回顾

楼主:我也是矿工 时间:2005-09-02 11:28:00 点击:133 回复:0
脱水 打赏 看楼主 设置

字体:

边距:

背景:

还原:

【焦点新闻】
  
   本月最热点的新闻莫过于微软在8月10日发布的8月份的例行安全公告,以及紧接着出现的利用此安全公告中所公布漏洞进行攻击的“极速波”病毒。安全公告共有六项(MS05-038---MS05-043),其中三项为“严重”级 (MS05-038、MS05-039、MS05-043),这些新发现的漏洞影响Windows操作系统和微软因特网探索浏览器 。不到两天,8月12日,国内一些反病毒中心就监测到国内外黑客利用这些最新漏洞的攻击程序,其中利用Windows即插即用远程代码执行漏洞(MS05-039)的程序潜在威胁更大,如果成功利用该漏洞,甚至可能出现具有像冲击波和震荡波病毒一样的传播能力的恶意蠕虫病毒。8月15日,此病毒正式现身,这就是“极速波”病毒I-Worm/Zotob(其它名称:“贼头病毒”WORM_ZOTOB.A-趋势、“狙击波”Worm.Zotob.A-金山、Worm.Zotob-瑞星),它利用(MS05-039)漏洞主动传播,对于个人电脑的危害非常大,其危害程度与当年的震荡波相似,病毒制造者还公然向反病毒厂商叫阵,声称第一个查杀该病毒的安全厂商将会在24小时之内遭到报复。一旦被攻击,用户的电脑将会出现不断重启、系统不稳定等情况。就在此病毒爆发的很短的时间里,许多单位的电脑都接二连三的受到了不同程度的攻击,部分网络瘫痪,美国国会、VISA总部、CNN、ABC、纽约时报等。国内外各个安全机构也做出了相应的对策,纷纷升级病毒库并推出专杀工具对其进行剿杀,目前此病毒在中国大陆的疫情趋于缓和,受的影响不是很大……
   最近相信大家对“超级女生”不会陌生,就在“超级女生”热火朝天的时候,黑客们也没闲着,利用“超级女声”相关的论坛、聊天室传播木马病毒的情况日益增多,很多病毒都会窃取用户的QQ密码和网络游戏密码。 “我在一个论坛看到有人在发‘超级女声’视频下载的链接,也没多想就去看了,结果被人种了木马,QQ号被人偷了。”这样的事情时有发生……
   月初,一个专门窃取《传奇》游戏密码的木马病毒,突然出现两个新变种离奇爆发,在网络上疯狂泛滥。中毒电脑上会出现莫名其妙的文件夹,网络游戏用户的账号可能被窃取。喜欢玩《传奇》游戏的朋友可要注意安全了……
   据有关媒体报道报道,微软曾表示Update Rollup将是推出了5年之久的Windows 2000操作系统的最后一次重要升级,并于6月份推出了这个升级包。但该公司已注意到一些用户在使用这个补丁包时遇到了兼容性问题。看样子,微软的下一代操作系统将会取代现在Windows 2000,大家正在拭目以待。
  ……
  
  【热门病毒】
  
  1、“极速波”病毒I-Worm/Zotob
   8月15日,一个利用微软最新漏洞传播的蠕虫病毒(I-Worm/Zotob)开始在网上大肆传播,在最开始几天给整个网络带来较大威胁。截止到16日下午2点,已有数十个企业网络被感染的报告,其中部分网络已经瘫痪,另外,还有数百名个人用户被感染。
  该病毒会在被感染的电脑上开设后门,黑客可以通过这些后门对其进行远程控制。另外,部分被感染电脑将出现反复重启的现象。根据反病毒机构提供的资料,目前已经确认被感染的电脑和企业网络,使用的全部是Win2000操作系统。
  根据专家的分析,Worm.Zotob 利用了微软在8月9日公布的MS05-039漏洞传播,该漏洞存在于Windows系统的即插即用服务中,所以用户一旦受到病毒攻击,就有可能造成系统重启。
  针对该病毒的防治,专家介绍,第一,用户应该及时打好MS05-039补丁,尤其是Win2000用户更应该及时弥补系统漏洞;第二,在个人防火墙上添加新规则,阻止TCP 端口 139 和 445;第三,上网的时候应该打开杀毒软件的即时监控功能,升级杀毒软件版本可以彻底清除这两个病毒,请用户注意及时升级。
  
  2、利用“超女”传播的病毒
   根据安全机构提供的资料,近来利用“超级女声”相关的论坛、聊天室传播木马和病毒的情况日益增多,很多病毒都会窃取用户的 QQ密码和网络游戏密码。在浏览了国内多个人气很旺的论坛后,记者发现有关“超女”的帖子人气非常旺,一般都有数百个人浏览、回复。
   在反病毒专家的指点下,先打开杀毒软件,再去浏览那些题目十分诱人的帖子,任意点击那些帖子里公布的链接,不一会儿就发现了题目叫做“李宇春和女友的亲密录像在线看”的帖子里含有病毒网址。如果没有打开杀毒软件的即时监控功能,就已经中毒了。这是一个窃取用户QQ号码的木马病毒,名字叫做“QQ盗贼变种N(Trojan.PSW.QQRobber.n)”。这样的木马病毒在运行后一般没有任何异常,只有当QQ号码丢了只有才被用户发觉。尽管这个病毒早在6月底就被瑞星截获,但对于没有打开杀毒软件就上网的用户仍然有很大威胁。
   在某论坛的“超级女声”专区中,“快来看周笔畅的生活照片,http://*****”、“张靓颖在更衣室里的手机照片,http://*****”等帖子比比皆是。根据专家介绍,这些帖子中很大一部分含有病毒网址,或本身就带有病毒。瑞星公司曾经对一个热门论坛进行统计,有关“超女”的帖子链接中,有将近45%含有病毒或木马。
   反病毒专家介绍说,第一,上网的时候一定要打开杀毒软件的实时监控功能,并及时对杀毒软件进行升级。第二,利用杀毒软件里的“漏洞扫描功能”对系统进行扫描,根据软件的提示弥补系统漏洞。第三,在浏览网络论坛的时候,不要轻易浏览那些诱惑性很强的帖子或网站链接,那些很可能就带有病毒。
  
  3、“闪盘窃密者”木马
   随着网络的发展和U盘的普及,很多人喜欢把重要资料备份在U盘里,像QQ文件夹、个人通讯录等,有些老师也喜欢把试题、讲课的PPT等放在U盘里,在学校机房使用。病毒作者们开始窥测这些爱用U盘的人,一个被叫做“闪盘窃密者(Trojan.UdiskThief)”的木马病毒出现了,专家介绍说,这个木马病毒会判定电脑上移动设备的类型,自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。
   此病毒不会自动传播,但它会在中毒电脑上潜伏下来,表面看不出任何异常,如果有人在中毒电脑上使用U盘,则会偷偷把U盘里的资料都复制下来。这样,在学校里的公用机房、网吧等特定公共场所使用U盘的用户就会面临资料失窃的风险。
  反病毒专家提醒广大U盘用户,目前以窃取资料为目的的木马病毒越来越多,而U盘、移动硬盘等移动存储设备的逐步普及,也加剧了人们资料失窃的危险。因此,在公用电脑上使用有重要资料的U盘应特别谨慎,最好事先对电脑进行病毒扫描,以免造成不必要的损失。
  
  【漏洞聚焦】
  
  1、微软安全公告
   微软在8月初发布了8月份的例行安全公告,共有六项(MS05-038---MS05-043),这些新发现的漏洞影响窗口操作系统和微软因特网探索浏览器 。 其中三项为“严重”级 (MS05-038、MS05-039、MS05-043), 这三个安全漏洞包括一个能让攻击者完全控制用户的计算机的漏洞,并推出了相关的补丁。
  1)、Microsoft 安全公告 MS05-038:Internet Explorer 的累积性安全更新 (896727)
  最高严重等级: 严重。
  2)、Microsoft 安全公告 MS05-039:即插即用中的漏洞可能允许远程执行代码和特权提升 (899588)
  最高严重等级: 严重
  3)、Microsoft 安全公告 MS05-040:Telephony 服务中的漏洞可能允许远程执行代码 (893756)
  最高严重等级: 重要
  4)、Microsoft 安全公告 MS05-041:远程桌面协议中的漏洞可能允许拒绝服务 (899591)
  最高严重等级: 中等
  5)、Microsoft 安全公告 MS05-042:Kerberos 中的漏洞可能允许拒绝服务、信息泄露和欺骗 (899587)
  最高严重等级: 中等
  6)、Microsoft 安全公告 MS05-043:Print Spooler 服务中的漏洞可能允许远程执行代码 (896423)
  最高严重等级: 严重
   计算机安全专家敦促用户下载和安装补丁, 下载补丁的网址为:
  http://bjcert.bnii.gov.cn/2j/yjxz/bdgj.jsp?softWareID=289&sortID=9
  
  2、Windows XP漏洞
   微软公司称,在Windows 2000操作系统上肆虐的Zotob蠕虫病毒,也可能会利用Windows XP系统某一配置的漏洞。在发布的“澄清”(clarification)计划中,微软表示如果激活“Simple File Sharing and ForceGuest”文件共享功能,运行Windows XP Service Pack 1的电脑也将处于危险之中。不过截止当日微软并未看到试图利用这个漏洞的任何攻击。
  反病毒专家认为,由于大多数Windows XP的用户可能都已经安装了Service Pack 2,因此被攻击的可能性不大。不过他也担心,狙击波有12个以上的变种,至少有一种是通过电子邮件传播的,它可绕过防火墙感染电脑。专家们建议电脑用户安装微软在两周前发布的补丁,并更新他们的病毒数据库。
  
  3、Adobe漏洞
   8月份有关安全专家报道,Adobe流行的Acrobat 和Reader软件中的一处安全缺陷可能被用来关闭或挟持存在缺陷的PC。 在8月中旬发布的一则安全公告中,Adobe 表示,通过设计一个恶意的PDF 文件,远程黑客能够使这两个软件崩溃,或者 “霸占”被攻击的PC。Adobe已经发布升级版软件修正了这一缺陷。这一安全问题影响在Windows 、Mac OS、Linux 、Solaris上运行的Adobe Reader,以及在Windows 、Mac OS上运行的Adobe Acrobat。据发布的公告称,这一缺陷被安全监测专家评定为“高危”。 Adobe表示,这一缺陷是所谓的缓冲区溢出缺陷,它存在于是Adobe Acrobat和AdobeReader一部分的一个核心应用程序插件中。这一缺陷是由Adobe自己发现的。
  
  【安全话题】
  
  1、明确立法打击黑客 破坏互联网将受到治安管理处罚
   针对破坏互联网及计算机信息系统的违法行为日渐增多,中国拟通过立法,对上述行为给予刑罚或者治安管理处罚。破坏互联网及计算机信息系统的违法犯罪行为,对国家安全和社会治安秩序危害严重。其中,构成犯罪的,刑法已有规定;尚未构成犯罪的,应当给予治安管理处罚。 因此,治安管理处罚法草案增加了一条规定,即有下列行为之一的,处五日以下拘留;情节严重的,处五日以上十日以下拘留:
  ●违反国家规定,侵入计算机信息系统,造成危害的;
  ●违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;
  ●违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;
  ●故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。
   针对草案二次审议稿所规定的“法律没有规定治安管理处罚的,不予处罚。相关人员指出,这样规定,体现了治安管理处罚法定原则,是正确的。但是,考虑到行政处罚的法定原则在行政处罚法中已有明确规定;涉及限制人身自由的处罚,立法也已明确只能由法律规定,治安管理处罚法可以不作重复规定。
  
  2、网络钓鱼式攻击已无所不在 可让用户传真机密资料
   8月12日国际报道,钓鱼式欺诈攻击者又新增加一种新的诱惑手段:要求人们将他们的机密资料传真给恶意安全调查人员的电子邮件。安全专家表示,在一次新的欺诈攻击中,黑客发送了一份伪装为来自PayPal的电子邮件警告。这些电子邮件声称有人企业重新设置收件人的密码,要求收件人参与调查。
   该电子邮件将用户引导到托管在一个网站上的一份Word文档,并要求他们下载、填写该表格,并将它传真给一个免费号码。该表格要求用户填写有关信用卡的资料。
   安全专家格雷厄姆•克鲁利说,这种新策略的出现正值人们对要求他们泄露个人资料的电子邮件日益警惕之际。他说,在过去数天内,我们已经发现了一些这样的企图,钓鱼式攻击者正在对已经对在网站上透露个人信息持有戒心的用户试用一种新技术,他们希望人们感觉向对方发送传真更安全一些。
   基于电子邮件的钓鱼式攻击的效果已经大打折扣,用户对此已经非常警惕了。特洛伊木马和蠕虫正在变得更加流行,因为信息是秘密地获得的。这是目前的趋势所在。
  
  3、DNS服务器成为互联网软肋 遭到攻击可被窃取资料
   据8月初的有关报道,数十万台互联网服务器可能受到了攻击,能够将毫不知情的互联网用户由合法的网站引导到恶意网站。通过对250万台所谓的域名系统(DNS)服务器进行扫描,安全研究人员发现,约23万台DNS服务器可能受到名为“DNS缓存中毒”的攻击。这约占被扫描系统的10%。
   在“DNS缓存中毒”攻击中,黑客将存储在DNS服务器上的流行网站的IP地址更换为恶意网站的IP地址。这种攻击能够将人们引导到来意网站,要求用户透露机密信息或安装恶意软件。专家表示,这种技术还可以用来改变电子邮件的邮寄地址。
   由于每台DNS服务器都向数以千计的互联网用户提供服务,这一问题可能会影响数以百万计的互联网用户。
   专家指出,容易受到攻击的服务器以一种不安全的方式运行Berkeley Internet Name Domain软件,应当进行升级。
   在过去的二年中,人们对这类攻击的了解也越来越多了。互联网上仍然存在大量容易受到“DNS缓存中毒”攻击的服务器。
  
  ……
  
   详细情况及相应解决方案请参阅北京市计算机病毒预警及应急处理平台(http://bjcert.bnii.gov.cn)相关内容。
  原帖来自于网易社区:http://p5.club.163.com/viewArticleByWWW.m?boardId=security&articleId=security_10614dc6ef1014b

打赏

0 点赞

主帖获得的天涯分:0
举报 | 楼主 | 埋红包
楼主发言:1次 发图:0张 | 添加到话题 |
发表回复

请遵守天涯社区公约言论规则,不得违反国家法律法规