 9 H8 }2 `7 W: [$ `( z; D* c
- s/ k5 ^3 b; \9 D8 D1 E* C) w
声明:本帖为每周病毒播报,所有内容来自国家计算机应急处理中心,如发现您的系统感染如下病毒的任何一种,请升级卡巴斯基到最新版本后查杀。6 y ^+ y7 z2 ?9 h" C
- J& ~1 p, O* r& M# m7 I
温馨提示:请于每月的第二个星期二更新微软系统补丁,以便更好的保护您的信息和系统安全。新装系统的用户,可以到 点这里 一次性下载补丁集不联网安装。9 ?: r7 W+ H: v+ x; h
4 V$ A. H. }. a3 a! H% i
********************************************************************************************************************
, ~) K7 M5 {$ _/ D3 q2 w [+ e3 H2007.5.21-2007.5.27 值得关注的病毒
近期,国家计算机病毒应急处理中心通过互联网络监测发现,大多数恶意攻击者入侵计算机操作系统都是利用微软IE浏览器的一些错误漏洞,致使计算机用户在不知情的情况下,受到入侵攻击。很多计算机用户的操作系统在受到攻击后,会出现诸如:自动篡改浏览器预设的首页地址、任意添加恶意程序、不时地跳出各类广告信息网页等现象,严重地会造成计算机用户系统中的数据被窃取或是丢失。这些恶意攻击者能够成功地入侵破坏计算机系统,都是利用IE浏览器中存在的各种错误漏洞,给计算机用户带来了很多的损失。4 J9 p- g+ {" y4 J+ J; E# C
$ `! m& o# X1 t; d3 S
恶意攻击者还会利用特制的网页,对入侵的计算机系统进行破坏。这些特制的网页也是利用IE浏览器存在的各种错误漏洞,在网页中加入一些针对漏洞的恶意代码信息(比如:链接的网址、数据文件下载地址等),致使浏览这些网页的计算机用户的系统受到入侵感染而使系统无法正常使用。6 l% K1 Q( |' f) O
5 A; N9 ?' I+ C8 E& w4 t& l& z" m专家提醒:
4 x" m, k0 S5 ~: C8 f 1 W8 J. L- x, P0 R4 {- S- G9 a
针对上述情况,我们提醒广大计算机用户,特别是没有下载安装的操作系统,要尽快下载安装IE浏览器漏洞补丁程序,防止利用IE浏览器存在的各种错误漏洞进行恶意攻击现象的发生,避免不必要的损失。
 ; c. d) [( c V
& l2 N* w$ [! Y2 @- N/ Y# }* R" v3 n2007.5.15-2007.5.20 值得关注的病毒 近期,微软公司发布了今年5月份的七个系统漏洞补丁程序,修复包括浏览器IE7.0、办公文字处理软件Office 2007和邮件服务程序Exchange 2007等新软件在内的一些产品中存在的多个错误漏洞。其中修复了IE浏览器中的6个错误漏洞,修复了包括Office 2007在内的办公文字处理软件Office中的3个错误漏洞,还有修复了包括Exchange 2007在内的邮件服务系统Exchang中的4个错误漏洞。' o+ t1 I- V U5 K
, h8 e8 `9 y% z2 t 国家计算机病毒应急处理中心建议广大计算机用户注意七个漏洞补丁程序中的以下四个,它们分别是:
" y( x% [0 h& u& A6 c i, P6 Z3 z7 k1 E
(一) MS07-023:Microsoft Excel 过滤记录远程代码执行漏洞,Excel在处理Excel电子表格文件中的自动过滤记录时存在输入验证错误,如果计算机用户被诱骗打开了包含有畸形过滤记录的特制文档,计算机系统就可能会出错,甚至恶意攻击者在受入侵的计算机系统上执行恶意代码操作。9 h8 q; _ s* ^
\- l' }3 _% L- S- u6 Z% Q9 U0 ^
(二) MS07-024:Microsoft Word文档流远程代码执行漏洞,Microsoft Word在处理畸形格式数据文档时存在漏洞,恶意攻击者可能利用此漏洞通过诱使计算机用户打开恶意文件来远程控制计算机系统。
- t; c- s; E4 L5 a9 Z3 V& W9 i! E/ \- E
(三) MS07-026:Microsoft Exchange 远程代码执行漏洞,Microsoft Exchange是一款企业级的邮件服务程序。它在处理特定的畸形编码数据时存在漏洞,恶意攻击者可能利用此漏洞来远程控制邮件服务器。
; s" s0 N/ I1 p; G( L* b9 w- ]- _) ~0 }% t
(四) MS07-027:Microsoft Explorer积累性漏洞补定,Microsoft Explorer出现多处漏洞,如果恶意攻击者通过构建特制的网页来利用这些存在的漏洞,那么一旦计算机用户打开这些网页,这些漏洞可能允许恶意攻击远程执行任意代码。成功利用这些漏洞的攻击者可以完全控制受影响的计算机系统。6 X8 ?6 Y; p% K K
1 B, W* @$ i3 d3 z3 c本周发作:( u; r. v) ^- h% f% Z, ^( d
8 u3 I5 Y& t1 o$ u' a: |" k+ b病毒名称:“生日快乐” (Troj_YerHS)- u) u. i7 o" ?4 e. _+ U
病毒类型:木马程序 - {# q0 K) _% I9 q* I: A
发作日期:5月20日9 k. [3 ^5 C# h# K* w3 v9 ]% p
危害程度:当日,木马程序会在受入侵感染的计算机系统中弹出一个对话框,对话框的标题为 “You are my Best Friend”(你是我最好的朋友),内容为“Happy Birthday Dear”(生日快乐,亲爱的)。% _" Q' K+ W) g% e
/ `7 Q# S" ?% t T专家提醒:
: V7 m2 I0 O. H `! j. o0 r9 v+ F/ K 4 o8 L! H+ p1 l! e7 o
根据以往的经验来看,我们提到的上述那些应注意的漏洞补丁程序很可能会被恶意攻击者利用来进行病毒传播。用户不可以忽视它们,大家要根据自己的系统情况尽快地下载安装这个补丁程序,防止类似的利用系统漏洞进行恶意攻击现象的发生。
% Y1 v* _3 [. C) g 9 H! {- T% T8 ^8 r5 s; }
% z1 L! ^/ ~1 e5 Y9 ^! W1 Y2007.5.7-2007.5.14 值得关注的病毒 近期内病毒疫情发生状况一直比较平稳,危害性很大的病毒疫情也没有出现。但是在这里提醒计算机用户,由于正逢五一长假期间,这个时段很有可能是一些网络安全事件发生比较频繁的时期,特别是各种盗窃用户帐号和密码的木马程序的活跃期,我们建议计算机用户要及时为系统升级补丁,定时升级防病毒软件和防火墙。防止前一段比较流行的敲诈者、艾妮等复合型病毒,造成更大的危害。特别是一些大中型企业用户,要对自己单位内部的局域网在长假期间增派人员加强对网络的维护和管理。1 `, l+ F, l0 H3 h
% X8 |8 ]* h3 }0 {# [( u
本周发作:5 P1 Q# R0 \+ B- V. G& t
病毒名称:Worm_Klez.C. q/ i& [1 Z5 r
病毒类型:电子邮件蠕虫病毒
, o. W( k& k" N% I( X发作日期:5月13日; J% F! p3 ^( j3 j- ~7 s+ x
危害程度:该蠕虫会自动向外发送带毒邮件,终止反病毒软件的运行,并在13日用垃圾数据覆盖电脑中的有效数据。 W' l$ N3 T# B/ V6 a/ n/ w% F
6 y( a ~" J8 ]. g/ t4 N7 a专家提醒:
0 _: o a2 f& B& i8 p9 g# {! m: P- j
1、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。5 t8 K9 P" {. O6 @. ~. I
( p5 J1 a* I1 i5 U0 Q2、提醒广大计算机用户升级杀毒软件,启动“实时监控”和“个人防火墙”,做好预防工作。5 D2 q1 X* M3 ?( N2 w" s
- h6 S( l2 f, Q/ i0 q% n
3、各政^*>%府部门和企事业单位应在假期后,在开始其它工作之前,应先对杀毒软件和防火墙进行升级,对系统进行更新。然后对系统进行全面的病毒清查。
! W9 ^7 z* w3 L8 t1 g3 ^2007.4.23-2007.4.29 值得关注的病毒 & c% S2 h. \5 b5 L
国家计算机病毒应急处理中心通过对互联网的监测发现,微软公司的Windows DNS服务器系统出现一个新的漏洞,该漏洞会使Windows 2000 Server和Windows 2003 Server系统受到恶意攻击影响。
6 w& R# |6 L) Z5 ?; i
! I$ ?* ]0 {- o1 x, ~ 如果该漏洞被恶意攻击者利用,那么存在Windows 2000 Server和Windows 2003 Server系统的局域网络中计算机系统就会受到攻击。恶意攻击者可以发送特制的RPC(远端程序呼叫)封包程序到受攻击的局域网络系统中,最终导致局域网络中计算机用户的操作系统被恶意控制,而无法正常使用。
8 G1 y$ F1 G" h7 [1 `$ u' f, J
' b' a! y! k: X" H0 k) X! {+ n本周发作: Z$ x7 K5 o- b9 u% y
病毒名称:CIH1.22 P4 E: C ^ R: r5 Y
病毒类型:文件型病毒
. X% l( p7 C1 P发作日期:4月26日
' y8 g+ L2 U2 [8 a( V危害程度:病毒感染操作系统中的EXE可执行文件。26日将尝试用随机的数据重写系统硬盘,并通过破坏Flash BIOS的数据存储对系统进行永久性的破坏,被该病毒破坏后的数据恢复是十分困难, I/ p0 f* w8 z0 y) J' C
6 w# m$ Q' M) l8 k. |+ |
专家提醒:
' u o; a$ ]+ Q* U7 m
) B( Z+ B: ~, p5 |. o2 E; Y 目前,微软公司还未对这一新出现的漏洞发布补丁程序。在漏洞补丁程序发布前,我们建广大局域网络管理员可以先禁用Windows 2000 Server和Windows 2003 Server系统的DNS RPC(域名解析 远端程序呼叫)功能,并及时升级局域网络中防病毒软件和防火墙。 病毒疫情周报表 计算机病毒疫情监测周报
; b0 i% y- ]4 J& @2 j( A8 a | 序号 | 病毒名称
+ U2 X- p) }1 L | 病毒特点 | | 1 |
Worm_Mytob.X | 4 z5 Q, M2 y- j P. t3 ^% y
该病毒是Worm_Mytob变种,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序。 2 u- f/ f! g6 U5 Z" O
| | 2 | “网络天空”变种(Worm_Netsky.D) |
# `; q) r+ ^& h+ n. X& S, s5 E该病毒通过邮件传播,使用UPX压缩。运行后,在%Win dows%目录下生成自身的拷贝,名称为Winlogon.exe。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。7 Y# n+ y; V. E1 m- ^4 z" [
! t1 ?6 ^7 e# M) J
| | 3 | “高波”(Worm_AgoBot)! X; l( k- E$ E+ c- _3 l
|
3 U! }7 \( d4 y0 t0 g& \5 [该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe。添加注册表项,使得自身能够在系统启动时自动运行。 - M( w' l8 |6 F& B7 c% ?7 J' u
: `6 I& g* n) B& c | | 4 | “威金”(Worm_Viking)
4 ~/ m3 s: r- h( n, o% v! ]8 F. Y
| : ] m0 F. K# ?1 g
它主要通过网络共享进行传播,会感染计算机系统中所有文件后缀名为.EXE的可执行文件,导致可执行文件无法正常启动运行,这当中也包括计算机系统中防病毒软件,蠕虫变种会终止防病毒软件,进而导致其无法正常工作。其传播速度十分迅速,一旦进入局域网络,很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后,会修改系统注册表的自启动项,以使蠕虫随计算机系统启动而自动运行。 . y4 T7 p8 a* U9 `+ B
|
二、本周病毒动态分析
& t0 q& k1 B9 _' d: T! w
) W+ z, t3 [) d, T1 x 通过对以上监测结果分析,这周上榜的病毒排位情况没有变化,和上周基本一样。这些上榜的病毒连续几周的时间对计算机用户造成一定的破坏,因此用户还需加强对这些病毒的防范和清除。
; d8 W: c0 \6 w l9 y
* g0 D. P' b, l Q& g( Z2 Y 微软公司的Windows DNS服务器系统出现一个新的漏洞,该漏洞会使Windows 2000 Server和Windows 2003 Server系统受到恶意攻击影响。恶意攻击者可以发送特制的RPC(远端程序呼叫)封包程序到受攻击的局域网络系统中,最终导致局域网络中计算机用户的操作系统被恶意控制,而无法正常使用。
" x+ R5 u8 c8 i6 A3 R
3 o- M, `2 f Q* A; C+ n% h三、建议可以采用以下病毒防范措施:
& }/ Q. W ^3 h$ h# D; |1 X5 [$ U3 y8 @
* ^8 o$ A, l& e& a7 c- Y. l$ R 2007.4.16-2007.4.22 值得关注的病毒 1 m) T. q G6 W1 E" m; _
近期,微软公司的办公文字处理软件Office Word 2007出现三个新的漏洞。其中有两个若被恶意攻击者利用,很有可能会对受攻击的计算机系统产生类似于拒绝服务式攻击的恶果,例如:受攻击计算机系统的CPU占用量会达到100%,造成系统无法正常使用。同时,第三个漏洞可能会使恶意攻击在远程对受攻击的计算机系统执行任意代码,最终导致系统瘫痪。 目前,微软公司尚未发布针对这三个漏洞的补丁程序。恶意攻击者很有可能会利用这些漏洞来对存在漏洞的计算机系统发起恶意攻击,例如:用一个含有恶意代码的Word文档,诱使计算机用户下载或打开这个文件。一旦文件被打开,攻击者就可以对计算机系统进行一些远程控制,进行一系列的破坏。 专家提醒: 在微软公司没有发布针对这三个漏洞的补丁程序之前,我们建议广大计算机用户在使用办公文字处理软件Office Word 2007的时候注意,不要随意打开陌生的Word文档,对不熟悉的文档最好立即删除掉。 本周发作: 4 A$ m6 F; [8 T6 A
病毒名称:"木桶"病毒(Worm_Firkin.A)
3 N9 @# q z1 g4 Z 病毒类型:蠕虫
1 y- q! ^: j. H* h5 {/ N. b发作日期:4月19日
" k% }4 n! G6 H$ @8 g2 I3 w3 \6 |
& ^. q/ d* a. J) z; D! S9 B危害程度:该蠕虫会在这一天在受感染的计算机系统中删除下列文件夹中的文件:C:\ 、C:\Windows、C:\Windows\System、C:\Windows\Command,并显示如下字符"You Have Been Infected By Chode You may now turn this piece of shit off!"
! K: L- ~: M8 F: R附:病毒监测周报 (2007.4.7-2007.4.13) |
* R" ?( J3 l( R0 D- x# ` | 计算机病毒疫情周报表 | | 序 号 | 病毒名称 | 病毒特点 | | 1 | Worm_Mytob.X | 该病毒是Worm_Mytob变种,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序。 | | 2 | “网络天空”变种(Worm_Netsky.D) | 该病毒通过邮件传播,使用UPX压缩。运行后,在%Win dows%目录下生成自身的拷贝,名称为Winlogon.exe。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。 | | 3 | “高波”(Worm_AgoBot) | 该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe。添加注册表项,使得自身能够在系统启动时自动运行。 | | 4 | “威金”(Worm_Viking) | 它主要通过网络共享进行传播,会感染计算机系统中所有文件后缀名为.EXE的可执行文件,导致可执行文件无法正常启动运行,这当中也包括计算机系统中防病毒软件,蠕虫变种会终止防病毒软件,进而导致其无法正常工作。其传播速度十分迅速,一旦进入局域网络,很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后,会修改系统注册表的自启动项,以使蠕虫随计算机系统启动而自动运行。 |
本周病毒动态分析 4 O( t: z! D# G. Y/ [! `0 Q
通过对以上监测结果分析,这周上榜的病毒排位情况没有变化,和上周基本一样。这些上榜的病毒连续几周的时间对计算机用户造成一定的破坏,因此用户还需加强对这些病毒的防范和清除。
5 d; r: O3 v% v9 L 本周微软公司的办公文字处理软件Office Word 2007出现三个新的漏洞。其中有两个若被恶意攻击者利用,很有可能会对受攻击的计算机系统产生类似于拒绝服务式攻击的恶果,例如:受攻击计算机系统的CPU占用量会达到100%,造成系统无法正常使用。同时,第三个漏洞可能会使恶意攻击在远程对受攻击的计算机系统执行任意代码,最终导致系统瘫痪。
- I' J7 f0 R/ B! i, v 建议可以采用以下病毒防范措施:
& O! }: N7 v' [$ v# L1、在微软公司没有发布针对这三个漏洞的补丁程序之前,我们建议广大计算机用户在使用办公文字处理软件Office Word 2007的时候注意,不要随意打开陌生的Word文档,对不熟悉的文档最好立即删除掉。 + H6 r: X% q2 d5 z
2、针对感染新病毒“艾妮”的计算机用户,建议尽快下载专杀工具进行查杀修复工 作。并安装微软公司最新操作系统补丁(KB925902)。 1 h M/ F& c4 ^/ o
( P9 ^" h: b% A6 b) e( \, K, |3 v" [! N- { w, N8 G
6 L$ ~; E0 ^8 }! B( V6 i, h& _' u! e' _; ^7 t
7、发现网络和系统异常,及时与国家计算机病毒应急处理中心或防病毒厂家联系。
, o! s8 H! V8 c" j- t0 a6 B: O$ u
% ^% o5 A Y8 h r6 Z/ C2007.4.9-2007.4.15 值得关注的病毒 4 P9 g* S4 i; i0 `: }- Z3 a+ J8 t
国家计算机病毒应急处理中心通过对互联网的监测发现“艾妮”复合型病毒。该病毒通过微软Windows系统动态光标文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强。并且感染该病毒后,会自动下载运行大量木马程序,造成较大危害。特别是目前动态光标文件处理的漏洞微软刚刚发布官方补丁,因此该病毒可能会感染大量用户。
U+ Z, o' q5 y / h; V+ B) u+ _: _! T: B9 A
专家提醒:, c) n# Q; t0 ^) c/ P; O5 j+ F
" u7 Y, }& t6 W- J: D' T9 j* L
针对上述情况,我们建议广大计算机用户采取如下方法进行防范: l/ C/ R& f* e
1.对没有遭受感染的计算机用户,应该尽快安装微软公司最新操作系统补丁(KB925902),并及时升级系统中的防病毒软件,同时打开防病毒软件的“实时监控”功能。5 Q* r5 v- \7 t" @ w' h, ]+ a
2.对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工 作。并安装微软公司最新操作系统补丁(KB925902)。/ a9 @2 f4 B% i
, k( Q2 D6 N$ H0 A; @
微软公司相关补丁下载地址:
- [) d& [/ Q, ^ http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx$ L4 j7 A3 O, g( e' t7 i2 ^
! D1 e7 Y7 {2 s8 Z6 o4 Z2 M, u
另外,我们建议广大计算机用户在日常采取如下方法措施:
# j# n0 f% q& F) w4 o0 a9 T, _/ n) w/ Y
1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。! K% d/ P# _4 X4 h! F2 u
2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置复杂的密码。! j' i( ^: }: q" }7 S4 i
3、及时安装微软的安全更新,不要随意访问来源不明的网站。5 k* K( U8 q) x
4、计算机系统安装防病毒软件,并及时升级病毒定义库。
$ G* A& ^' ?; L' g6 r4 j" v5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。: P* m, z8 a0 F# x
6、用户应慎用操作系统默认提供的“自动播放”功能,防止在使用移动存储介质过程中受到感染。- Y$ p- T4 s! C: |- U" @5 n) Q2 y" [
7 B2 {* B( b0 a. l" U2007年常用病毒防范知识(由以下杀毒软件公司提供) ' [% R4 _! |$ b& k! r+ k8 n
全球顶级杀毒公司在线杀毒、查毒界面
9 P/ n4 e: Y6 z; o5 F% y7 G注:本论坛只提供各大公司连接,旨在方便没有安装杀毒软件或暂时不方便使用杀毒软件的用户。在线杀毒代表可以通过联网在线模式进行病毒的清除,在线查毒代表在联网模式下,可以在线发现病毒,不具备清除能力。请各位自己选择。根据运行模块的不同,相应网站可能要求您安装某个插件或程序,请自行斟酌。 安博士公司 ) ~# t% M E! `% [, V1 ~
飞塔公司
" k6 n! E( e: M/ v4 t$ a1 [冠群金辰
% V2 c* G1 e7 `# T P0 T) D江民公司
. S1 x* _: `! _, I. v8 w; ~金山毒霸 ' ~5 Z Y$ x: W. N8 _8 d% ~
卡巴斯基 # ~$ D5 V6 x8 I+ y9 n# p
方正熊猫 & U3 \! _ _% y& _' E
瑞星公司 ) z' E; p" a# H/ S0 |! J
赛门铁克 + @2 Z5 B. ^ ~8 {) ]
趋势科技 6 P( R0 C0 E# s" u0 \( Y5 ?+ V4 S
: p' `5 x M* Q- ^( c" T
来自-360安全论坛 | 
发表于 2007-6-1 23:00:52
