当前位置: 安全纵横 > 安全公告

一周安全动态(2011年01月14日-2011年01月19日)

来源:安恒信息 日期:2011-01

2011年1月第二周(01.14-01.19)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 黑客冒充美国总统圣诞节电子贺卡

美国政府和军方不少官员最近收到一份落款为美国总统的圣诞节电子贺卡。然而,这份电子邮件并非寄自白宫,而是意图窃取秘密文件的黑客所为。

这份电子贺卡绘有圣诞树图样,饰以红、绿两色,以“总统办公室”名义发送,收信者多为政府官员和军方人物。

然而,收信者若是点击贺卡所示链接,便会遭遇恶意软件,以致电脑内文件失窃。

网络安全研究人员认为,这份电子邮件以政府和军方官员、尤其是参与打击网络犯罪的执法人员为寄送对象,目的是窃取对方电脑所存秘密文件。

总部位于美国佐治亚州亚特兰大市的“安全工作公司”(SecureWorks)信息安全部门主管唐·杰克逊告诉美联社记者,这一轮网络攻击范围较小,可能是黑客本人发送邮件、而非远程操控大量电脑发送,因而不易为垃圾邮件过滤装置所拦截。

眼下尚不清楚共有多少人收到这份电子邮件,或共有多少秘密文件遭窃取。

白宫下属行政管理和预算局本周向联邦机构发送一份备忘录,要求各机构本月28日前评估电脑系统可能存在哪些漏洞以及如何修复这些漏洞。

1.2 2010年互联网发展回顾:全球网民接近20亿

据国外媒体报道,美国市场研究机构Royal Pingdom日前发表报告,回顾了2010年全球互联网发展状况,指出截至2010年6月,全球网民数量为19.7亿。

以下是Royal Pingdom报告摘要:

电子邮件:

全球电子邮件用户数量为18.8亿,2010年新增用户4.8亿

全球电子邮件帐户数量为29亿,其中25%为企业电子邮件帐户

2010年全球共发送电子邮件107万亿封

平均每天发送电子邮件2940亿封

其中89%为垃圾邮件

网站:

截至2010年12月,全球网站数量为2.55亿个

2010年新增2140万个

域名:

截至2010年底,.COM域名数量为8880万个;.NET域名数量为1320万个;.ORG域名数量为860万个;国家代码顶级域名,如.CN、.UK、.DE等的数量为7920万个

截至2010年10月,所有顶级域名数量为2.02亿个,较上年增长7%

网民:

截至2010年6月,全球网民数量为19.7亿,较上年增长14%

亚洲网民数量为8.251亿

欧洲网民数量为4.751亿

北美网民数量为2.662亿

拉丁美洲及加勒比海岸网民数量为2.047亿

非洲网民数量为1.109亿

中东网民数量为6320万

大洋洲及澳大利亚网民数量为2130万

社交媒体:

博客数量为1.52亿个

2010年,Twitter发送的信息为250亿条

2010年,Twitter新增账户1亿个

截至2010年9月,Twitter用户数量为1.75亿

截至2010年底,Facebook用户数量为6亿,2010年新增用户2.5亿

Facebook上每月共享的信息量为300亿条

70%的Facebook用户为美国以外的用户

每天被安装的Facebook应用为2000万个

视频:

YouTube网站每天视频浏览量20亿次

平均每分钟上传到YouTube网站上的视频时长为35小时

美国网民每月浏览在线视频的数量为186个

美国84%的网民观看在线视频

美国14%的网民上传在线视频

Facebook网站视频每月浏览量超过20亿次

每月上传到Facebook网站上的视频数量为2000万个

图片:

截至2010年9月,Flickr网站托管的图片数量为50亿张

每分钟上传到Flickr网站上的图片数量超过3000张

每月上传到Flickr网站上的图片数量为1.3亿张

每月上传到Facebook网站上的图片数量超过30亿张

每年上传到Facebook上的图片数量为360亿张。

1.3 山东开发出计算机犯罪在线取证系统 国际领先

新华网山东频道1月12日电(记者陈灏)记者12日获悉,由山东省科学院计算中心自主研发出的计算机取证产品“计算机数字证据安全备份与搜索系统”荣获 2010年度山东省科技进步一等奖。山东省科学院鉴定认为,这套系统与国际前沿研究水平同步,达到国际领先水平,在计算机网络违法犯罪行为侦查取证工作的 多个领域填补了国内空白。

在线取证是指在不关闭目标计算机的情况下,获取电子证据并进行分析呈现的技术。近年来,我国计算机网络违法犯罪呈现不断增长的趋势,利用计算机传播木马、病毒、色情、邪教,实施诈骗、盗窃,泄露国家机密等违法犯罪行为给社会造成了巨大损失。然而,在线取证难,也给这类案件定罪和量刑造成了困难。

山东省科学院开发的这套在线取证系统有效解决了取证难的问题。据山东省科学院计算中心取证与鉴定实验室主任王连海介绍,这套系统以计算机物理内存分析为突破口,通过获取目标计算机的物理内存镜像,得到计算机上系统进程、注册表、网络链接等大量信息,并可以实现电子邮件、即时通讯工具等敏感信息的提取和来源分析,从而使在线取证的可信性可以评估;同时,系统兼容了不同版本的计算机操作系统,对待机、密码锁定等状态下的目标计算机,也可以获取内存镜像,同时不影响计算机运行。系统操作简单,取证快速,实时性强,可以广泛应用于信息安全应急响应和计算机网络犯罪的在线取证。

王连海介绍,目前这套系统已经参与侦破了多起泄密和传播邪教的重大案件,并开始逐步应用到民事纠纷中。

1.4 企业老总手机号码被公开售卖 诈骗方式层出不穷

据中国之声《新闻纵横》报道,个人信息泄露、电信诈骗案例层出不穷。近日,有听众反映,一些不法分子搜集了企业老板的详细信息,集合起来公开售卖。信息泄露给这些企业老板带来了怎样的困扰?电信诈骗又出现了什么新手段,我们该怎样防范?近日有听众反映,收到的垃圾邮件里包含一幅广告图片,红底白字赫然写着“最新企业老板手机号码名录”,号称收集了全国部分企业老板的详细信息。 拨通广告上留下的广州市的固定电话,一位姓田的男士介绍,他们有专业的信息搜集团队,全国各地中小企业老板的个人信息,已经整理成Excel格式,以光盘 的形式出售。

“广东的480,北京的280每个地区的资料都不同,全国有300万信息。”

这位男士介绍,如果要一个城市的企业老板信息,需要付280元,一个省的信息要480元,980元就能买到截至去年1月份的全国各地企业老板的详细信息。像山西这样经济不太发达的省份,信息较少,可以打折出售。这项业务不接受当面预订,全国快递送货,货到付款。

记者:“我怎么知道真的假的?”

手机名录:“你要哪里的把信息发我QQ,我可以复制一段让你看看。”

记者:“那我必须一个一个试?”

手机名录:“这个没有办法一下子就证明。”

记者:“保真率有多少?”

手机名录:“准确率80%。”

“有开会的、搞什么活动的、定什么资料的,种类很多。”“拉广告的、做培训的、做保险的,这一类的。现在来电话我都不知道应该接还是不应该接,不接吧,害怕错过商业机会,接吧,那就把你烦得要命。”

除了推销业务型的电话,接到诈骗电话也是常事儿。青海缘汇木雕工艺有限公司负责人尢其红:

“冒充国税局、地税局故意说最近税务有什么新政策,让你到哪哪哪去学习这些税法,必须给你寄些资料,一千多块钱或者多少钱。但是我们到税务局一查根本没有这个人,电话也是从广东、江苏、安徽那些地方打过来的。”

北京荣泰圣华服装服饰有限公司联系人郭效宁说,他们亲身经历过好几起谎称要下订单,实际是诈骗钱财的例子。

“安徽阜阳有一个郭姓的经理,说要下订单,我们就去了。去了以后,一会儿是你等一会儿,一会儿又说他们是租的办公室,里面就有两个人一直就拖着,我们一说这儿有认识的人,我们要找谁。我们又约他中午吃饭,就不敢去了,然后就识破了。”

“有的人拿到你名片,因为工作关系和业务关系会慎重保管,有的拿到名单看,时间长了扔了。很多人去搜集这些东西,你扔了,他就捡了,那就可能都有啦。”

徐杰说,公开售卖企业老总手机名录这样的行为,不仅公安部门该管,因为涉及非法赢利,工商等部门也该监管。他强调,电信诈骗的作案手段是广撒网,包括企业老总在内的社会人都有被骗的危险,各种诈骗方式层出不穷。

“什么买房退税,退我税,这是好事儿,他就利用你这心理,退我点钱还不好啊,本身我是买车了或者买房了,赶紧就按照对方指示的去了,就让人家骗 了。还有近期有发短信的,你的中国银行网银密码到期了,要求你更改,给你个网址是假的,登陆了以后你修改就把你的东西都告诉人家了。”

仅以北京市西城区为例,公安机关这两年每年都能收到三四百起电信诈骗报案,破案却很有难度。

“真正犯罪的在境外,国内都是些马仔,让你转到账户的钱,迅速就分解了,在破获案件时,抓了一部分人抓的都是马仔。所以要冷静心态,要去核实,不要轻信于人,这样才能保护好自己。”(记者刘黎 实习记者肖源)

1.5 谷歌孟加拉国网站受黑客攻击 首页被篡改

美国科技博客网站Techcrunch报道称,消息人士透露,谷歌孟加拉国网站(Google.com.bd)短时间里受到攻击,谷歌搜索首页被篡改。不过目前网站已恢复正常。

此次事件是否可定义为谷歌孟加拉网站遇“黑客”攻击,目前尚难以定论。

被篡改之后的谷歌孟加拉国首页上写着“谷歌孟加拉共和国网站被TiGER-M@TE劫持”。据悉,TiGER-M@TE是一名非常活跃的黑客,他主要攻击一些知名公司的网站,在此之前对American Express和Airtel公司网站发起过攻击。

孟加拉国当地媒体bdnews24.com也报道了这则消息,孟加拉国互联网服务提供商ADM首席技术官普拉迪普-迪伊(Pradip Dey)也证实说:“网站显示是遭到了劫持。”

不过这起事件只影响到一部分网民,仍有少部分网民表示可以正常浏览谷歌页面和使用搜索引擎。

对于这起攻击事件,谷歌回应说,这是DNS故障导致访问Google.com.bd和其它站点的用户被重新导向至其他网站,目前问题已经得到解决。

2. 本周关注病毒

2.1 Backdoor.Win32.Koutodoor(后门病毒)
警惕程度 ★★★

该病毒某些安全软件,通过病毒驱动文件修改注册表,让IE浏览器加载指定的病毒组件并过滤注册表操作,来隐藏病毒自身,最终病毒会修改IE浏览器的默认主页、收藏夹、导航和快捷键参数,使得用户打开IE浏览器就会访问黑客指定的恶意网址。

2.2 Trojan.Win32.KillAV.cvl(木马病毒)
警惕程度 ★★★★

“云安全”系统共收到30395次用户上报。病毒运行后利用安装驱动的技术绕过了大量杀毒软件的主动防御并将它们杀掉。同时,该病毒还具有机器狗的功能,穿透还原系统替换系统文件。最后会不断在用户电脑中下载大量盗号木马,窃取用户账号密码信息。

2.3 病毒名称:Trojan.Win32.Delf.zcg(木马病毒)
警惕程度 ★★★★

“云安全”系统共收到21941次用户上报。该病毒运行后关闭多种杀毒软件和安全工具,添加注册表启动项,最终会访问黑客指定网站下载大量病毒,给用户电脑安全带来隐患。

3. 安全漏洞公告

3.1 HP OpenView Network Node Manager多个远程代码执行漏洞

HP OpenView Network Node Manager多个远程代码执行漏洞

发布时间:

2011-01-13

漏洞号:

BUGTRAQ ID: 45762

漏洞描述:

HP OpenView网络节点管理器(OV NNM)是HP公司开发和维护的网络管理系统软件,具有强大的网络节点管理功能。
HP OpenView Network Node Manager在实现上存在多个远程代码执行漏洞,远程攻击者可利用这些漏洞以用户权限执行任意代码或造成拒绝服务。
这些漏洞源于:
1)扩展SNMP数据渲染器以包含由应用程序生成器创建的类似xnmgraph应用程序的jovgraph.exe中存在特定漏洞,在处理从arg参数传递到CGI程序的畸形displayWidth选项时,此漏洞会在jovgraph中触发。
2)由ovwebsnmpsrv.exe进程加载的ovutil.dll模块中存在特定漏洞,该进程也可远程由jovgraph.exe CGI程序访问。通过向HTTP请求传递的变量发送超大值,可利用sscanf溢出静态缓冲区。
3)TCP端口80上默认监听的webserver加载的ovutil.dll组件中存在特定漏洞。处理GET请求发送的COOKIE变量时,进程盲目将用户提供的数据复制到栈上固定长度的缓冲区中。
4)TCP端口80上默认监听的webserver公开的nnmRptConfig.exe模块中存在特定漏洞。远程用户可通过POST请求发送超长的schdParams、nameParams、text1和schd_select1参数到NNM的其中一个CGI函数以触发此模块中的缓冲区溢出漏洞。
5)TCP端口80上默认监听的webserver公开的nnmRptConfig.exe模块中存在特定漏洞。在解析无效的模板名称时,应用程序使用用户提供的数据作为错误消息生成时的格式区分符。

安全建议:

HP
--
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://itrc.hp.com

 

3.2 Cisco Adaptive Security Appliances 5500系列多个安全漏洞

Cisco Adaptive Security Appliances 5500系列多个安全漏洞

发布时间:

2011-01-13

漏洞号:

BUGTRAQ ID: 45768

漏洞描述:

Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。
Cisco ASA 5500系列在实现上存在多个拒绝服务漏洞、一个安全绕过漏洞和一个信息泄露漏洞,远程攻击者可利用此漏洞绕过某些安全限制或造成拒绝服务,获取未授权访问,执行任意脚本代码或窃取Cookie验证凭证。

安全建议:

Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cisco.com/warp/public/707/advisory.html

 

3.3 Cisco IOS拒绝服务和绕过安全限制漏洞

PHP GD Extension 'imagepstext()'函数栈缓冲区溢出漏洞

发布时间:

2011-01-12

漏洞号:

BUGTRAQ ID: 45769

漏洞描述:

Cisco IOS是Cisco网络设备上所使用的互联网操作系统。

Cisco IOS在实现上存在多个拒绝服务漏洞和一个安全绕过漏洞,远程攻击者可利用此漏洞绕过某些安全限制或造成拒绝服务。

安全建议:

厂商补丁:
Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cisco.com/warp/public/707/advisory.html

 

3.4 McAfee VirusScan Command Line Updater脚本临时文件创建漏洞

McAfee VirusScan Command Line Updater脚本临时文件创建漏洞

发布时间:

2011-1-11

漏洞号:

BUGTRAQ ID: 45716
CVE ID: CVE-2010-4013

漏洞描述:

McAfee VirusScan Command Line是通过命令行具体控制的威胁检测和清除,以基于UNIX和Microsoft Windows的实用程序提供反病毒扫描技术。

McAfee VirusScan Command Line在创建临时文件时存在漏洞,本地攻击者可利用此漏洞执行符号链接攻击,覆盖受影响应用程序中的任意文件。

安全建议:

厂商补丁:
McAfee
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mcafee.com/

 

3.5 HP Data Protector Manager远程拒绝服务漏洞

HP Data Protector Manager远程拒绝服务漏洞

发布时间:

2011-1-11

漏洞号:

BUGTRAQ ID: 45725

漏洞描述:

HP Data Protector软件是企业环境中单个服务器自动备份和恢复的软件,支持磁盘存储或磁带存储目标。
HP Data Protector在实现上存在漏洞,远程攻击者可利用此漏洞使受影响的应用程序崩溃拒绝服务合法用户。

安全建议:

厂商补丁:
HP
--
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://itrc.hp.com