最近,我们继续观察到了许多VBScript病毒的变种,但是,7月份我们也发现了一些不同和近乎有趣的病毒威胁,其中有一种病毒是专门针对苹果机的,而此前对苹果机的恶意攻击非常少。W32.Leave病毒造成了一定程度的关注。有报告显示,主要在家庭或终端机上有成千上万的该病毒感染案例,但是,我们仍需等待主要的防病毒厂商在这方面的情况汇总。
美国国家基础设施保护局(NIPC)已在
http://www.nipc.gov/warnings/advisories/2001/01-014.htm上发布了相关忠告。
7月,赛门铁克发表了作者Eric Chien撰写的极其简短的题为<<针对端对端网络的恶意攻击>>的文章,Eric对微软的.Net安全问题也有撰文。我们会在8月发表。
以下是过去的一个月中赛门铁克各分公司和办事处接到举报最多的病毒:
具有头号威胁的10大病毒:
W95.Hybris - www.sarc.com/avcenter/venc/data/w95.hybris.gen.html
W32.Magistr.24876@mm -www.sarc.com/avcenter/venc/data/w32.magistr.24876@mm.html
W95.MTX - www.sarc.com/avcenter/venc/data/w95.mtx.html
Backdoor.Sadmind - www.symantec.com/avcenter/venc/data/sadmind-iis.html
Wscript.KakWorm - www.sarc.com/avcenter/venc/data/wscript.kakworm.html
VBS.Haptime.A@mm - www.symantec.com/avcenter/venc/data/vbs.haptime.a@mm.html
W32.HLLW.Bymer - www.sarc.com/avcenter/venc/data/w32.hllw.bymer.html
W32.Badtrans.13312@mm - www.sarc.com/avcenter/venc/data/w32.badtrans.13312@mm.html
JS.Seeker - www.sarc.com/avcenter/venc/data/js.seeker.html
W32.Choke.Worm - www.symantec.com/avcenter/venc/data/w32.choke.worm.html
--------------------------------------------------------------------------------------------------------
蠕虫病毒
W32.Leave.B.蠕虫 危害中等(等级2) 主要感染Win32
这种蠕虫从网站下载元素并含有可接受来自IRC的指令。它与W32.Leave.蠕虫的唯一区别是它们下载网站不尽相同,而且新变形的蠕虫伪装成看似来自微软的安全公告。
这种蠕虫以电子邮件的形式出现,用以下的标题,从而看似来自微软的安全公告。
标题:Microsoft Security Bulletin MS01-037
详细情况可从http://www.sarc.com/avcenter/venc/data/w32.leave.b.worm.html得到。
由美国赛门铁克病毒防治研究中心(SARC)提供
--------------------------------------------------------------------------------------------------------
Mac.Simpsons@mm 危害较小(等级2) 主要感染苹果机
Mac.Simpsons@mm是一种AppleScript蠕虫,专门袭击苹果平台。它可能打开Microsoft Outlook Express或Entourage, 并将自己复制一份,携原信给计算机地址簿中的每一个人发送一遍。邮件的主题是“Simpsons Episodes”(辛普生的插曲)。该蠕虫看似并不特别凶悍,并且与其他感染Windows计算机中群发邮件的蠕虫,如VBS.LoveLetter相似。美国赛门铁克病毒防治研究中心收到的病毒举报相对较少。
详细情况可从http://www.sarc.com/avcenter/venc/data/mac.simpsons@mm.html得到。
由美国赛门铁克病毒防治研究中心(SARC)提供
--------------------------------------------------------------------------------------------------------
病毒
W95.BlueCorners.2049 危害很小(等级1)主要感染Win95
这种病毒相对简单但传播极快,它只感染运行Windows 9x的计算机,在运行Windows NT的计算机上就会受挫。
一旦运行,该病毒有如下行动:
1、 它由运行主机程序开始,但是使用一个独立的进程。
2、 接下来,它感染同一驱动器下或C盘(如果该病毒位于其它驱动器)下所有.exe文档。
注:
该病毒不驻留在内存中,但它通过使用操作系统内存相关位置来标明是否对该系统进行感染。这表明该病毒只会在该计算机系统重新启动时感染文件一次。
因为该内存位置有可能被系统使用,一些计算机系统会随机崩溃。该病毒运用内存位置的方式有些独特,如果有四个以上相关的驱动器连接在系统上,它就会在每次被激活时企图感染文件。当它完成感染文件的同时,它会检查该文件的日期是否是如下的任何一个:
1月1日
2月14日
4月1日
5月4日
10月1日
12月25日
如果日期相符,它就会激活其有效载荷计划任务,以激活计算机屏幕四角的一些小蓝球。有效载荷会认为屏幕的分辨率是800 x 600,所以,根据分辨率的不同,屏幕左右下角和右上角的球就会在其它地方显示。
详细情况可从http://www.sarc.com/avcenter/venc/data/w95.bluecorners.2049.html 得到。
由中东地区赛门铁克病毒防治研究中心(SARC)提供
--------------------------------------------------------------------------------------------------------
特洛伊
Backdoor.Bionet.318 危害极小(等级1)感染Win32
Backdoor.Bionet.318是一个恶意的后门特洛伊,其表现与SubSeven、Netbus和BackOrifice相似。
该特洛伊作为服务器应用程序允许远程用户控制并从用户的计算机中提取信息。它能够查找、提取信息、发送文档、窃取口令、改变屏幕色彩和分辨率、制造声音、并改变日期和时间。
第一次运行时,该程序会将自己以一个不固定名称安装到Windows下的系统文件夹下。以下的注册表键值也同时被加入到多个地方:
HKEY_LOCAL_MACHINE\Software\GCI\BioNet 3
服务器程序安装完毕后,客户机程序便可在事先设定、可配置的端口上访问该服务器。远程用户可获得通知得知服务器应用已经在其计算机中安装好。服务器可用ICQ发送一个页面、用IRC发送通知或发送电子邮件。
缺省的服务器程序是用UPX打包的,所以由于型号和版本的不同,服务器可以在容量上有所变化。
当Windows启动时,服务器就开始运行。Windows Registry、Win.ini或System.ini 会被修改,以便自动运行程序。
详细情况可从http://www.sarc.com/avcenter/venc/data/backdoor.bionet.318.html得到。
由美国赛门铁克病毒防治研究中心(SARC)提供
请访问赛门铁克企业安全网站:http://enterprisesecurity.symantec.com/
--------------------------------------------------------------------------------------------------------
最近有关企业安全的消息有:
利用微软新bug的攻击性程序,来自Newsbytes
http://enterprisesecurity.symantec.com/content.cfm?articleid=791
不是玩笑:电子邮件玩笑越来越多,来自National Post
http://enterprisesecurity.symantec.com/content.cfm?articleid=784
请查阅我们最新的通讯类文章:“无线威胁:是假想还是现实?”
http://enterprisesecurity.symantec.com/article.cfm?articleid=778
“分层安全的重要性”
http://enterprisesecurity.symantec.com/article.cfm?articleid=767
如需使最新的企业安全消息直达你的邮箱,请通过
https://enterprisesecurity.symantec.com/Content/Subscribe.cfm订阅赛门铁克的免费企业安全通讯。
--------------------------------------------------------------------------------------------------------
针对端对端网络的恶意攻击
端对端网络大大方便了两个系统间的通讯,而这两个系统是平等的。它是客户机/服务器模式的另一个选择,在端对端网络中,每个端既是服务器又是客户机,也就是人们通常说的客户服务器。
最近,端对端网络越来越走红,因为它具有可查询的端到端网络文件数据库、增强的联网和内容共享等优势。
文中讨论的恶意攻击包括恶意攻击如何可能危及网络,端对端网络如何可能提供额外的(潜在、未有保护的)传播源,致使恶意代码得到传播。
新的传播源
过去,病毒最主要通过软盘传播。现在,病毒的主要媒介是电子邮件的附件。
使用端对端网络后,人们其实创造了一个新的将恶意代码传播到计算机系统上的方式。目前,这个简单的新传播源构成了端对端网络最大的威胁。
典型的端对端病毒如今可以通过端对端网络轻而易举的传播。另外,病毒也可以利用当端对端网络的正常使用时而有机可乘。
例如,病毒可以在共享的端对端网络空间中复制自己或感染文档。
最早被发现的叫做VBS.GWV.A的Gnutella蠕虫,是通过将自己作为一个常用的文件名拷贝到Gnutella共享目录中实现复制的。 例如,该蠕虫将自己命名为“Pamela Anderson movie listing.vbs”将自己复制到Gnutella共享目录中,目的是要使人们相信该文件真是Pamela Anderson的电影,并诱惑他们下载、执行该文件。
另外,病毒还可以利用现有的端对端网络基础构架复制自己。举例来说,一个蠕虫可以在一个被感染的系统上建立一个客户服务器系统。而被感染的用户无需一定是该端到端网络的成员。该客户服务器可以针对外来的查询发出完全匹配的回复,而被下载和执行的文档就会被感染。典型的案例就是W32.Gnuman。
针对端对端网络的恶意使用
端对端软件一般是不受防火墙阻挡的,因为它们为中央目录服务或其他客户服务器建立对外的联系。而对外联络一般是不应该阻挡的,因为当一个对外联络建立后,中央目录服务或其他客户服务器就可以向客户机发送信息了。
目前,绝大多数的后门Trojan不安排类似的对外联络因为它们需要与指定的待机状态的服务器连接,一旦被察觉可以定位恶意黑客。一些后门Trojans为避免这种情况的发生,通过IRC或其它类似的中央服务获取对外联系。W32.PrettyPark是利用IRC获得对外联系的典型蠕虫。一旦联网的黑客能够加入同一个通道,他们就能够发出远程访问的指令。
这种方式也可用端对端网络实现。例如,一个恶意的攻击可以通过Napster 的中央服务器,传输一个特定的、特别的文件清单。一个黑客然后就可以在这些特别的文件中发起查询,吻合的文件就能够对被感染的病毒定位。一个查询特定文件的请求可以指令被感染的计算机完成一项特定的任务,如做一个电脑屏幕的截屏
信息和对系统的控制都可以如法炮制,而且可以绕过防火墙并保证黑客匿名访问。
对威胁的侦破
由于端对端的恶意攻击仍然需要依赖计算机系统现有的台式机扫描构架来防御病毒。
但是,像使用网关和电子邮件服务器扫描一样,台式机保护并不一定是未来最好的方式。
将来,如果端对端网络在家庭和企业中成为标准构架,网络扫描将变得非常理想。 这种扫描并不是无足轻重的,端对端的数据传输在设计时就不会经过中央服务器,如电子邮件服务器。
类似基于网络的IDS(入侵侦破系统)可能是非常有效的。在防止来自端对端网络中因机构内部和外部连接产生的恶意攻击,它可能会与网关和代理扫描一样有效。
但是,类似Freenet的端对端网络模式会使网络扫描无用武之地,因为所有数据都是加密的。人们甚至不可能扫描自己计算机中存储的数据。通过Freenet模式只可能侦破存在于台式机中的病毒威胁,且这些文件必须是未加密且在运行前才行。加密使基于台式机的防病毒扫描变得尤为重要。
未来
来自类似W32.FunLove的病毒会感染共享的网络系统,它们让使用中央文档服务器(同时也使用个人文档共享)的环境更加难于控制。融合了上载和下载功能的端对端网络模式只会扩大病毒传播、增加网络病毒感染的机会。
另外,这样的模式使恶意攻击中的双向通讯变得更为简便。一个病毒撰写者可以通过端对端网络更新其程序。如,一个受感染的计算机可以在端对端网络上向其他邻近端口发送更新的程序。
小结
端对端网络作为新的病毒传播源,显然造成更大的威胁,它对网络安全的作用将很大程度上取决于人们是否在标准的计算环境中采用端对端网络。如果人们只是象今天使用电子邮件系统一样使用端对端网络,那么,端对端网络将成为传播恶意编码的重要方式。
另外,双向的网络沟通使计算机系统暴露在潜在的远程控制下,会在防火墙上制造一个洞,最终导致私人或保密信息的外泄。
因此,今天的系统管理员应该开始分析其网络在端对端中的应用,并相应采取防火墙等措施限制或防止病毒的发作。
作者:Eric Chien
中东地区赛门铁克病毒防治研究中心(SARC)
--------------------------------------------------------------------------------------------------------
赛门铁克防病毒研究中心各地接到举报最多的病毒、特洛伊和蠕虫
- 亚太区
W95.Hybris
Backdoor.Sadmind
W32.Magistr.24876@mm
W95.MTX
VBS.Haptime.A@mm
Wscript.KakWorm
W32.HLLW.Bymer
W32.Badtrans.13312@mm
W32.Blebla.B
W32.FunLove.4099
- 欧洲
W95.Hybris
W32.Magistr.24876@mm
W95.MTX
Wscript.KakWorm
W32.HLLW.Bymer
W32.Badtrans.13312@mm
JS.Seeker
VBS.Haptime.A@mm
VBS.Tam.A
W32.Choke.Worm
- 日本
W95.Hybris
W95.MTX
W32.Magistr.24876@mm
Backdoor.Sadmind
W32.HLLW.Bymer
W97.Melissa.A
VBS.Haptime.A@mm
Happy99.Worm
VBS.Companion
W32.HLLW.Qaz
- 美国
W95.Hybris
Backdoor.Sadmind
W32.Magistr.24876@mm
Wscript.KakWorm
W32.Badtrans.13312@mm
W32.HLLW.Bymer
W95.MTX
W32.Choke.Worm
JS.Seeker
VBS.VBSWG2.X@mm
--------------------------------------------------------------------------------------------------------
可以从以下URL查询到向赛门铁克举报的谎报病毒:
http://www.sarc.com/avcenter/hoax.html
7月赛门铁克没有得到新的玩笑程序,详情见:
http://www.sarc.com/avcenter/jokes.html
安全网站列出的全球前20位的病毒:
http://securityportal.com/research/virus/virustop20.html
VBS.LoveLetter系列
W32.Magistr@MM
W32.Funlove
W32.BadTrans.A@MM
W32.Hybris
W32.Ska (aka Happy.99)
VBS.Kakworm
W32.Navidad
VBS.Haptime@MM
VBS.VBSWG.X@mm (别名 Homepage)
PWSteal.Trojan
W32.Choke.worm
W95.MTX
O97M.Tristate.C
W97M.Marker系列
W97M.Melissa.BG
W97M.Ethan系列
X97M.Divi
X97M.Laroux
VBS.Stages
--------------------------------------------------------------------------------------------------------
赛门铁克防病毒研治中心在以下网址,对以下的病毒提供清除工具:
http://www.sarc.com/avcenter/tools.list.html
W32.HybrisF
W32.Kriz
W32.Navidad
W32.HLLW.QAZ.A
W95.MTX
W32.FunLove.4099
Wscript.Kakworm
Wscript.Kakworm.B
Happy99.Worm
VBS.Loveletter
PrettyPark.Worm
VBS.Stages.A
W2K.Stream
AOL.Trojan.32512
W95.CIH
Worm.ExploreZip
如需查看病毒、特洛伊木马和其他术语的定义,请参阅赛门铁克防病毒中心的参考网页http://www.sarc.com/avcenter/refa.html。
