当前位置: 安全纵横 > 安全公告

一周安全动态(2012年3月22日-2012年3月29日)

来源:安恒信息 日期:2012-3

2012年3月第四周(3.22-3.29)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 黑客攻破香港金银业贸易场勒索 警方介入调查

据香港文汇报报道,香港金银业贸易场(下称“金银场”)的网站及计算机系统,近月接连遭有组织的黑客攻击及刻意破坏其交易讯息及电子程序买卖,藉此向受影响的金银场行员勒索金钱,该场已就事件报警,警方证实已接获11宗举报,部分涉及勒索,鉴于事态严重,已交商罪科调查。

金银场指出,黑客对该场及其行员所造成的滋扰,已引致交易市场信息混乱,及不寻常与不公正的电子程序买卖,令公众人士蒙受损失。该场认为有责任维护行业及公众人士的利益,及维护香港作为一个国际性金融中心之声誉。

金银场重申,直至目前为止,并没有该场行员的业务因黑客滋扰事件而停顿,该场及该场行员严正谴责黑客的卑劣行为。金银场又指出,该场是香港特区政府唯一认可的黄金交易所,并无在其他地方设立办事处。

今年2月下旬,行员第一亚洲商人金银业有限公司(简称“第一金”)曾报警。警方料与黑客入侵有关,列作勒索案,交商业罪案调查科的科技罪案组追查。

消息称,第一金平日会透过QQ平台跟内地客户对话,一名负责人早前接获一个来自Jack的信息,声言如该公司不将10万元人民币存入一个位于湖南的中国银行户口,便会攻击其计算机系统。翌日凌晨该公司网页运作即出现问题,于是报警求助。

警方相信案件可能跟“分布式阻断服务攻击”有关,跟去年攻击港交所“披露易”网站属同类手法,亦不排除入侵计算机系统的黑客来自境外。

 

1.2 黑客频伸贼手网络银行堪忧

近来,银行客户信息泄密事件层出不穷,信息安全成为银行业面对的紧迫话题,银行网络安全越来越成为银行业界和民众关心的问题,银行业为维护网络安全迅速行动起来。

网络盗窃案急剧增加

普华永道咨询部一份最新调查显示,过去两年,网络攻击案例急剧增加,金融机构成为主要的攻击对象。有分析师认为,金融类公司在欺诈检测和用户认证系统领域的资金投入比例在今后两年中将增加12%,有望达到创纪录的10亿美元。

为应对日益严峻的网络安全威胁,美国金融业的同行们尽管竞争激烈,还是逐渐转变了观念,打算联合起来共同对抗网络盗窃行为。这些曾经最注重保密的机构开始向自己的竞争对手“敞开心扉”——相互间共享一些各自内部的信息,以保证面临黑客发动的突然袭击之时互相通气,有所防备。这一做法在以前是不可能出现的。

有消息人士称,美国金融机构开始每季度邀请各大主要银行的专家召开非正式圆桌会议,在会议上这些竞争对手交流经验,寻求解决方案以共同应对网络安全的威胁。

美国银行业的这项新倡议旨在鼓励银行间共同努力以更好地防御黑客。黑客干扰银行电子系统运作并偷盗钱币和客户数据的行为引起了整个美国银行业的关注。过去一年中,索尼公司和花旗集团等著名机构都成为黑客网络犯罪的目标。

虽然很多银行管理人员原则上同意信息共享,也有一部分人担心这么做会给竞争对手机会,了解自己的商业信息。

但是,银行高管们也不得不承认,黑客的攻击迫使他们必须改变单枪匹马独自作战的心态,从而转向一种更加包容、开放和合作的做法。

美国银行一名负责安全的高级副总裁说:“我们已经意识到了这个事实,就像诈骗犯和网络攻击者彼此之间联合起来一样,我们金融行业内的机构也必须联合起来一起想办法应对日趋严重的网络安全威胁。”

各大银行同互联网服务提供商的合作也上了一个层次,银行在客户认证和监测电子邮件流量方面做得更为认真,努力防止黑客冒充员工以进入客户信息通道并窃取数据。一家数据清算所的工程师说,银行过去不愿意向互联网服务商提供详细数据,却要求他们凭经验认定可疑邮件,现在银行开始为服务商提供往来数据以助其更好地验证信息。

美国银行业联手应对

2010年,美国主要金融公司的安全专员曾在旧金山开会研讨金融业网络安全相关形势和对策。说明当时美国银行业遭受黑客攻击的脆弱性和受威胁的紧迫性。

正当这些安全专员们接连召开小组会议讨论网络威胁和如何防御应对之时,黑客发动了一场实实在在的攻击,他们使用现在已广为人知的ZeuS木马侵入银行电脑系统,暗中追踪键盘击键的情况,然后盗取个人信息,最后从银行客户那里盗取了数百万美元。

当时在会议现场的人表示,出席会议的安全专家们忙碌地用他们的黑莓(微博)手机互发邮件,同意亲自碰面研讨面临的威胁和可能的对策。“这是我印象中人们第一次开始有意识地公开讨论这类威胁。”这位消息人士说。

去年夏末,美国银行在其纽约总部主持召开的一次会议上,银行高管们就开始深入讨论涉及长期持续性黑客攻击模式的网上间谍活动,关注网络威胁的预先防范和长期防御。

熟悉美国银行业内部情况的消息人士称,最近,包括摩根斯坦利和高盛集团在内的华尔街主要金融机构负责安全的高管一起,会见了纽约大学理工学院的专家,讨论创建一个新型数据中心,以通过筛选大量的银行数据以探测可能遭受的潜在攻击。

事实上,1998年以来,信息共享就已经开始在网络安全方面授权施行了。当时的美国总统比尔·克林顿颁布了一条法令,要求公众和私人机构共同努力保护关键部门尤其是金融体系的数据安全。作为对这一条法令的回应,各金融机构共同创建了一个名为金融服务信息共享及分析中心的行业性组织,促进银行间进一步协同合作。

由于受反托拉斯法的限制,美国银行业界目前只接受网络安全这一领域的数据分享,其他业务板块暂时不会有共享信息的可能。

一位研究人员指出:“银行的心态很简单,就是想把所有的事情都揽在内部解决,因为他们不想自己的任何数据外泄。”

截至目前,美国银行、摩根斯坦利和高盛的代表拒绝就网络安全方面信息共享相关事项公开发表评论意见。

 

1.3 CSDN泄密门黑客落网 警方称泄露与实名制无关

据中国网消息,“CSDN泄密门”事件昨日传出最新消息,两名涉案黑客已经被抓,还有部分人员尚未落网。

日前,CSDN网站数据库遭黑客入侵,600万用户注册邮箱和密码被泄露。此后人人网、天涯社区、百合网等众多知名网站数千万网友个人信息相继被泄露,更有人将其做成压缩包,上传至网络供人下载。国内网站纷纷“沦陷”,大有“裸奔”之势。

北京市公安局外宣处工作人员则表示,目前已有两名涉案黑客被抓,由于部分涉案人员没有归案,具体案情尚不便向外界透露。该相关负责人表示,此次泄密与实名制无关。

尽管黑客落网,但泄密门背后的深层问题也不容忽视,若网站能加大在安全上的投入,堵住黑客的入侵之门,那么“泄密门”事件也将不会发生。

一直以来,互联网的发展都以扩张效率为主导,激烈的竞争让互联网企业不得不争分夺秒地争抢发展速度,这个时候,安全很容易被视为降低开发效率的影响因素而被忽略。

有报道称,瑞星公司信息安全专家唐威曾透露,以一家中型网站为例,部署应有的安全防护措施每年只需投入十几万元到几十万元,这对于那些已经融资正在“烧钱”发展的互联网企业而言其实是很容易实现。然而,有些企业即便是对安全公司提供的免费安全服务也很少用。

据一家券商调研数据显示,目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%,而对安全性要求比较高的金融行业为10%。欧美互联网公司的安全支出占比普遍为8%~10%。

 

1.4 与全球为敌?黑客放言3.31瘫痪全球网络

著名黑客组织匿名者(Anonymous)近日对外宣称,将于3月31日攻击13个DNS根服务器,已达到让全球互联网瘫痪的目的,此次攻击作为其发起的“Operation Global Blackout”行动的一部分,是为了抗议“SOPA(美国《网络反盗版法案》)和为了一己私利而置世界于饥饿之中的华尔街银行家与资本家们”。

SOPA/PIPA法案希望进一步强化保护知识产权的力度,当版权方发现侵犯版权内容时,可以要求网站(包括搜索引擎、支付平台、广告平台等)屏蔽所 有内容,甚至可以要求互联网接入服务商(ISP)停止向网站提供服务,随后再进行司法程序。并且它规定如果没有"事先采取防盗版的措施",也就是事先自我 审查,就不能免责。

同样,该法案的施行也会拥有全球性的影响,打个比方,华纳兄弟电影公司发现了在意大利某网站上有《黑暗骑士》的种子下载,他们就可以要求谷歌迅速在其 搜索引擎中移除这个网站的所有内容,PayPal也会立即停止接受对该网站的一切支付行为,也就意味着此网站离关站不远了。

Anonymous已经列出了13个DNS根服务器的IP地址,并表示通过切断互联网,人们就无法进行域名查询,从而使得HTTP互联网服务瘫痪,因 为“HTTP毕竟是整个网络功能中使用最为广泛的形式”,如此一来,任何人输入“http://www.google.com”或任何其他的URL,都将 会得到一个错误页面。Anonymous表示他们并非真的要切断互联网,只是暂时采用一种最极端的方式来表示他们的抗议。

虽然很多人表示不相信Anonymous能够做到让根服务器下线,指出他们根本就不清楚DNS根服务器的工作原理,但该组织表示已经编制出了一个强大 的DDoS攻击工具,让人们了解虽然说互联网不能轻易被攻破,但他们完全有信心摧毁某些站点来引起大家对互联网安全的足够重视。

据悉,“Anonymous”是一个组织松散的全球黑客组织,该组织最初由于对科学教网站的攻击而受到关注。在维基解密的泄密事件中,该组织由于支持 维基解密,攻击维基解密的“敌人”而成为关注焦点。2012年2月1日,因欧盟支持反仿冒贸易协定(ACTA),国际黑客组织Anonymous开始入侵 欧盟多家网站,其中包括欧洲议会 (European Parliament)的网站。近日继戏弄FBI(美国联邦调查局)后,该组织又已经攻破CIA(美国中央情报局)网站,Anonymous发布信息称, 已窃取阿拉巴马州警方和政府服务器数据,攻击墨西哥参议院和内务部网站,并已暴露墨西哥矿业商会的邮件地址,目的是抗议阿拉巴马州去年制定的House Bill 56移民法。

 

1.5 85后黑客团队亿元敛财记:专门攻击网游私服

“1月15日,已经开过一次庭了,现在还在等待第二次开庭。” 重庆欣力律师事务所伍继军律师目前代理一桩网游私服案,一帮“85后”的年轻人组建一个外号“骑士攻击小组”的黑客团伙,在10个月内通过攻击私服服务器,拿下广告代理权的方式获利1亿元。

媒体获悉的案件卷宗显示,“骑士攻击小组”攻击对象为《传奇》网游私服。据了解,2002年《传奇》源代码泄漏,同年9月该游戏的私服在中国迅速蔓延,半年间,500多家私服同时运营瓜分《传奇》市场。

私服是未经版权拥有者授权,非法获得服务器端安装程序之后设立的网络服务器,本质上属于网络盗版。

据易观国际的网游市场调查报告称,2012年,中国网游市场规模将达557亿元。该机构分析师玉轶透露,2011年,私服分割掉正版游戏市场七分之一的份额。

根据“骑士攻击小组”核心成员供述,他们通过攻击私服服务器的方式,迫使私服将大量的广告代理权交给他们,最疯狂的时候甚至联手服务器托管商,直接拔掉私服的网线,迫使私服就范,逐渐形成了“黑吃黑”的利益链。著名私服案代理律师认为,目前司法打击私服仅是私服市场冰山一角。

85后逃犯千万身价

山城上演“骑士”风云

2007年3月,一名高中毕业两年后一直处于失业状态的“85后”小伙子从私服行业发现商机。他叫蔡文,时年22岁,对计算机知识一知半解,做不了私服内容,便想到做私服广告代理。

他拉来同乡邵哲宇,两人的共同理想是赚钱。在家里的清水房,蔡文迈开了他“进军”网游江湖的第一步。一个月后,蔡文发现,即便代理一条广告有2块钱利润,但他还是亏本了。

蔡文将原因归结于广告数量太少以及利润太低。“要增加广告数量,必须设法拿到私服广告发布站的广告代理权,并压低经营权收购价格。”他是这么想的,也是这么做的。

三个月后,他在专门做服务器托管业务的“数据中国”机房租用了五六十台服务器,用流量攻击的方式进攻不愿意为自己提供广告代理权的发布站。

据“数据中国”总经理高云伍介绍,这些服务器可产生6G的流量,当它们同时访问一个网站时,被访问的网站会卡死“掉线”,“蔡文租用的服务器数量,高峰期时超过200台。”高云伍说。

蔡文急于打开局面,为迅速积累江湖名声。他借当时一个很火的私服“骑士”,对外攻击时,他便自称是“新骑士”,一段时间过后,业内都以为他们攻击能力很强。

蔡文继而取得“haosf”、“zhaosf”、“xp13”、“wg999”、“30000k”、“SF123”等13家传奇私服广告发布站的广告代理权,并取得总代理资格。这一资格意味着发布站所发布的广告,只能由他一人提供。而其下游还有二级、三级代理,成金字塔结构。仅一年半后的2008年年底,蔡文便从中获利1000万元。此时,蔡文也因涉嫌非法经营罪,被湖北省仙桃市公安局网上通缉。

2009年初,蔡文逃到重庆准备东山再起。他找到了出生于1985年的合作伙伴胡小伟,重庆大学计算机专业硕士。有着过硬的计算机知识和技能,被称为“天才玩家”和“超级黑客”。

两人开始合伙在渝经营传奇私服游戏广告业务,先后开设了包括www.40aa.com在内的4家传奇私服广告发布站,并陆续招揽了许炜、杨俊、姚建、傅家凯在内的多名“85后”、“90后”人员入伙。

“发布站每天能发布1000条广告,我们收入七八万元。”蔡文说。

时年24岁的蔡文和胡小伟颇具反侦查头脑,他们从不在网站上留下电话和办公地点。小组也建立了严密的内部规则,成员与下级代理的业务联系只能通过代理服务器登录QQ进行,不许对外公布联系方式。

然而,比做“业务”更为严苛的是收款时的“流水线”作业。

胡小伟购买了大批量的银行卡,每十天更新一批。银行卡又细分为收款卡和取款卡。下级代理将广告费打入收款卡之后,胡小伟安排姚建把收款卡里的钱转到取款卡中,同时将资金数额报给蔡文的专职下属许炜,许炜记账后将资金总额向蔡文汇报。得到蔡文的同意后,许炜即安排另外两位伙计——杨俊和傅家凯负责取款。

而取款的地点则散布在全国各地,“我们每天的入账金额很大,固定一个地方取款容易被公安盯上。”蔡文说,为此他专门给杨俊和傅家凯配了一部车子,以便装载钞票。

杨俊和傅家凯把钱取出来后,将现金交给许炜,许炜再把钱存入银行,继而转到胡小伟提供的最终收款卡。

由此,一道历经11个环节的取款流程才宣告完成。

黑客敛财有术

百万勾结托管商

蔡文供述,遇到不服从收编的发布站,他便安排手下发动进攻,使其网络无法访问,继而使站长妥协。

2009年中旬至2010年5月的十个月时间里,“骑士攻击小组”将整个私服市场的广告代理搅得血雨腥风,私服界都相信其有超强的攻击能力。而出人意料的是,这19名“骑士”竟是一群文化程度普遍只有初高中学历的“85后”、“90后”。

而他们敛财的方式竟简单得出奇。

蔡文将租用来的服务器全部通过一个黑客软件进行后台总控制,每次进攻时,蔡文就联系邵哲宇,将需要攻击的网站IP地址发给他。“每次攻击时,先控制一台服务器进攻目标网站,再根据被攻击网站的抵御情况来决定是否增加攻击服务器的数量。”蔡文供述,将攻击服务器的数量逐渐增加,即可致目标网站“卡死”。

“后台控制的黑客软件是网上下载的,我在百度(微博)输入DDOS攻击器搜索,软件的名字全英文的,我看不懂。”蔡文供述称,“骑士攻击小组”的绝活并不是进行流量攻击,这样的技术活有点“落伍”。

“发布站的站长们不会想到,我直接让人到他们服务器机房里将网线拔掉。”蔡文的供述显示,他一度为自己的“高招”洋洋得意。

据业内人士透露,私服的利润非常高,但自我防护能力较弱,易受同行攻击。因此需要将服务器托管到抗攻击能力较强的机房里。而内地目前仅“数据中国”和“群英网络”等少数机房具备这种能力。

“我和这两个机房的主管谈判,给他们钱,叫他们把我指定的服务器的网线拔掉。”蔡文供述称,每拔一根网线付给对方100元,后来“业务量”膨胀,就采取包月的形式,一个月付给对方20万元。

高云伍证实,在2009年一年的时间里,因为协助蔡文封IP拔网线,共获利900万元。而蔡文也自称给了“群英网络”100多万元。

采取超常规的“攻击”方式,“骑士攻击小组”在半年的时间里就垄断了他们想拿到的发布站的代理权。

高云伍曾拒绝充当蔡文的“打手”,高云伍供述称,“每次都只是断网几分钟,时间不会太长,不会损失客户。”但这几分钟,对于被断网的发布站则是致命性打击。

私服经营者陈浩(化名)告诉媒体记者,在私服游戏行业,过硬的技术和流畅的流量是支撑私服营运的关键,私服发布站如果遭遇断网,半小时便可能损失百万的游戏流量,游戏迷和广告授权商则会另投别处。

私服“黑”吃“黑”

公安部电令重庆收网

“2009年8月,我和胡小伟投资1000万元成立了一个公司。到2010年5月,除去开支,我已经赚了6000多万元。”蔡文的供词显示,短短两年时间,蔡文从一名无业人员摇身一变成千万富翁。据该案代理律师伍继军介绍,“骑士攻击小组”19名成员涉案总金额接近一亿元。

“我赚的钱和胡小伟五五开,”蔡文供述称,他给许炜每月5万元的高薪,对负责到全国各地取款的杨俊和傅家凯每月给一两万的工资,其他成员的工资均在5000元以上。

蔡文江湖“一哥”的地位日益巩固时,也进了警方的视线。

记者掌握的一份公安部电文资料显示,2010年9月6日,公安部网络安全保卫局专门就“骑士攻击小组”非法入侵计算机系统案电令重庆网监大队,并将其列为公安部挂牌督办案件。同年12月,以蔡文为首、除胡伟以外的绝大部分犯罪嫌疑人,均被重庆网警捉拿归案。

专案组民警对蔡文违法所得进行清缴时发现,光涉案豪车就有7台,总价约600万元,除了两部奥迪轿车,还有尼桑天籁轿车、保时捷卡宴越野车、玛莎拉蒂、宾利、宝马轿车各一台。

此外,重庆警方还查获该团伙的两处房产:一处是位于渝北区回兴镇的别墅,套内面积507平米,2009年11月购买成交价为540万元;另一处位于渝北区某商住楼盘的一层写字楼,占地面积约为1300平方米,2009年的购买成交价为1590万元。

重庆市渝北区检察院起诉书显示,“骑士攻击小组”涉嫌非法经营数额达4900万元,将于近期在重庆市江北区法院再次开庭审理。

“骑士攻击小组”疯狂敛财的背后,为何被攻击、被断网的私服经营者选择忍气吞声呢?

“私服经营者本身就做贼心虚,”国内著名知识产权律师斯伟江解释称,从事私服经营是侵犯知识产权的行为,兼有非法经营的特点,一般涉案金额在3万元以上都够得上刑法规定的入罪标准。由于私服游戏的暴利性,私服经营者很容易就能达到违法所得数额巨大的标准,应当判处3年以上有期徒刑。他们本身干的就是违法犯罪的行为,自身的权益受到侵害时,当然不敢维权,斯伟江说,“哪有毒贩敢报警说自己的毒品被抢了的?”

易观国际分析师玉轶告诉记者,去年中国的网游私服市场规模估计在50亿元人民币(约合7.76亿美元)左右,约是当年正版网游市场七分之一的规模。“私服圈内有一条明规则,惹谁都不要去惹黑客,就算被黑客敲诈勒索了,也只能咬咬牙作罢。私服本就是一条黑色产业,经营者利益受侵害时只能选择沉默。”玉轶说。

而伍继军律师则认为,该案中有多名团伙曾被公安机关列为网上通缉犯,但分别交了1000万元的保证金后便“相安无事”,这才使得蔡文“黑”吃“黑”的生意做得风生水起。“公安机关失职,”伍继军说。

私服生意一本万利

司法打击仅为冰山一角

本刊记者获得的一份易观国际的市场报告显示,2012年中国网游市场规模将达557亿元,该机构一名分析师称,私服的市场规模约占七分之一。

有业内人士以某款网络游戏为例算了一笔账:一台服务器可以支持1.2万名玩家同时在线,一般就可以注册4-5万名玩家,如果每个玩家的包月费是20元的话,一台私服一个月就可以净收近100万元。如果再多架几个私服,或者多做几款游戏的私服,轻轻松松一年就可挣到上千万元。暴利诱惑之下,私服如同病菌般疯长。

网友玩家刘威(化名)认为,私服在很大程度上满足游戏运营商不能满足的需求,比如在官服玩花了几百元才冲到个初级阶段,可是在私服可能一上线就是高级玩家了。另一方面,私服和单纯的盗版不同,它给玩家带来的价值,并非只是单纯的消费成本的降低,而是真正帮助玩家享受玩游戏的乐趣。所以,尽管私服质量明显不能和官方服务器相比,但是私服还是受到玩家的欢迎。

江苏省律师石广认为,从事私服经营是件“一本万利”的事情,而私服广告代理更是“旱涝保收”。自2010年7月公安部打击网络侵权盗版专项行动以来,石广共代理了十余起“私服”类案件,涉案总金额近亿元。

“私服游戏的经营,收益不亚于贩卖毒品。”石广说,私服游戏的经营,不受地域限制。即使深处偏远的小山坳,只要有网络信号,你就可以通过虚拟的网络空间24小时地向全球的私服玩家出售自己的产品。

据记者调查,私服经营者的运作模式一般分三步走:第一步,建站。私服经营者将正版的网游源代码文件做简单修改,变成自己的网游,然后注册个域名,租几个服务器,私服就架设好了;第二步,找个支付平台合作。私服玩家通过此支付平台购买游戏币玩游戏,支付平台收取约定的提成后将款项转给私服经营者;第三步,宣传,私服的盈利主要取决于玩家的数量,因此,为了吸引玩家,一般私服经营者会寻找私服广告发布站做广告,以提高点击率。

石广说,这条利益链中网站的经营者、支付平台经营商、广告代理商、广告发布商、搜索引擎代理商,都属于“一本万利”的生意。

为规范网游市场,文化部于2010年出台《网络游戏管理暂行办法》。易观国际网游市场分析师孙梦子观察称,自从《办法》实施后,私服类侵权现象有所收敛,但仍占据大量市场份额。“太多了,怎么查?”孙梦子说,对于网友公司来说,清理私服的成本非常大,还不如将这部分钱投入产品研发更易获得效益。

孙梦子的说法得到石广的呼应,“私服游戏的参与者和运营者在网上都是用的假名,无法和现实中的人物对应。其次,是管辖权异议。盗版网络游戏的私服一般不在经营者所在地,有的甚至租赁国外的服务器,支付平台也都是外地的。同时,办案机关的调查取证困难,很多案件查处的犯罪数额,只是当事人盈利数额的冰山一角。”

 

2. 本周关注病毒

2.1 病毒名称:Backdoor.Win32.Fednu.qw(后门病毒)
警惕程度★★★

该病毒运行后,删除Windows自动更新的服务,将自身添加为"Microsoft Windows Uqdatemts Service",实现开机启动。随后,黑客会自动收集用户电脑的系统版本、磁盘等信息。病毒最终可实现利用IE浏览器访问黑客指定网站、下载大量盗号木马、盗取用户电脑中的隐私文件等恶意行为。

 

2.2 病毒名称:Dropper.Win32.Undef.cfb(木马病毒)
警惕程度★★★

该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。

 

2.3 病毒名称:Worm.Win32.Ngrbot.a(Ngrbot蠕虫后门)
警惕程度★★★★

这是一个蠕虫类型的后门病毒,病毒代码经过加密,病毒运行后,首先会进行解密,然后将其代码注入到新启动的进程中,是病毒代码得以运行。首先,病毒把原病毒体复制到用户数据目录中,随后通过篡改注册表的方式实现开机自动运行。病毒会结束9种国际知名杀毒软件,避免遭受查杀。病毒通过在文件夹内创建autorun文件的方式,实现不断运行和扩散。最终开启黑客后门功能,让黑客可以远程控制用户电脑,不断在用户电脑中植入盗号木马,窃取隐私。

 

3. 安全漏洞公告

3.1 IBM DB2安全漏洞

IBM DB2安全漏洞

发布时间:

2012-03-21

漏洞号:

CVE-2012-1797

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。
IBM DB2 9.5版本中存在漏洞,该漏洞源于对nodes.reg使用了world-writable权限。攻击者可利用该漏洞造成未明影响或者攻击向量。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?crawler=1&uid=swg1IC79518

 

3.2 IBM DB2 ‘XMLPARSE’函数拒绝服务漏洞

IBM DB2 ‘XMLPARSE’函数拒绝服务漏洞

发布时间:

2012-03-21

漏洞号:

CVE-2012-0712

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。
IBM DB2 FP9之前的9.5版本,9.7至FP5版本及9.8至FP4版本中的XML功能中存在漏洞。远程认证用户可通过调用具有特制字符串表达式的XMLPARSE函数,导致拒绝服务(无限循环)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21588098

 

3.3 IBM DB2 ‘db2dasrrm’ 整数符号错误漏洞

IBM DB2 ‘db2dasrrm’ 整数符号错误漏洞

发布时间:

2012-03-21

漏洞号:

CVE-2012-0711

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。
基于UNIX平台上的IBM DB2 9.1至FP11版本,FP9之前的9.5版本,9.7至FP5版本中的DB2 Administration Server (DAS)中的db2dasrrm进程中存在整数符号错误漏洞。远程攻击者可利用该漏洞借助触发基于堆缓冲区溢出的特制请求执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21588093

 

3.4 Apache HTTP Server ‘fcgid_spawn_ctl.c’ 内存破坏漏洞

Apache HTTP Server ‘fcgid_spawn_ctl.c’ 内存破坏漏洞

发布时间:

2012-03-20

漏洞号:

CVE-2012-1181

漏洞描述:

Apache HTTP服务器是流行的开源WEB服务器程序,可使用在Unix和Windows操作系统下。
Apache HTTP Server的mod_fcgid模块2.3.6版本的fcgid_spawn_ctl.c中存在漏洞,该漏洞源于未识别虚拟主机的FcgidMaxProcessesPerClass指令。远程攻击者可利用该漏洞借助一系列触发进程数高于预期限制的HTTP请求,导致拒绝服务(内存破坏)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://issues.apache.org/bugzilla/show_bug.cgi?id=49902

 

3.5 Cisco ASA 5500缓冲区溢出漏洞

Cisco ASA 5500缓冲区溢出漏洞

发布时间:

2012-3-20

漏洞号:

CVE-2012-0358

漏洞描述:

Cisco Adaptive Security Appliances是可提供安全和VPN服务的模块化平台。
Cisco ASA 5500 Series Adaptive Security Appliances部署的Cisco Clientless VPN解决方案使用客户端系统上的控件执行端口转发操作。如果系统连接到运行VPN解决方案的设备,则运行支持Microsoft ActiveX技术的IE或其他浏览器的Windows系统可能会受到影响。远程未验证的攻击者诱使用户连接到恶意网站后会利用此漏洞执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asaclient