SUCOP 超级巡警

警惕新的WEB攻击模式：劫持剪贴板

yzh — Wed, 20 Aug 2008 17:33:51 +0800 GMT

      最近国外开始有一种新的WEB攻击模式被利用。很多人反映浏览一些网站后剪贴板的内容被恶意篡改。虽然目前在国内尚未发现利用该方法进行攻击的事件，但是我们提醒大家，不要随意点击可疑链接，建议大家安装畅游巡警来防御网络上的恶意攻击。

一、事件分析

   国外有网民反映浏览一些网站后剪贴板被恶意篡改为：http://xp-vista-update.net/?id=xx，导致在粘贴时写入钓鱼网站网址。攻击者利用这种方法来传播钓鱼网站。目前该攻击方法的具体细节还未得知，但是有人怀疑该攻击行为是利用flash中的功能并结合javascript脚本来实施的，并成功重现，提出的解决方案为使用firefox中的noscript或者FlashBlock插件禁用 javascript或者flash的运行来防御这种攻击行为。

   剪贴板被恶意写入的网址为 http://xp-vista-update.net/?id=xx，根据id=XX的不同会转到不同的网站。从目前我们搜集到的网址来看，部分id被转向到了google，另外一部分转向了一个钓鱼网站，这个钓鱼网站是攻击者的真正意图所在。

   钓鱼网站伪装为一个杀毒软件的网站，并在打开后会提示你“如果计算机被病毒感染，会丢失数据，是否在感染前杀死病毒。Antivirus2009可以为你的系统提供一个快速免费的病毒木马扫描，你是否现在需要下载并安装Antivirus2009”

如果你选择是的话会提示“Antivirus2009会立刻扫描你系统可能面临的威胁并根据威胁程序标示显示出来”

确定后就会显示网站页面并进行虚假的扫描，然后显示预定的病毒列表。

点击清除病毒后会提示你下载并安装AV2009Install_77011807.exe（大小152 KB），安装后会显示一个虚假的安全中心。

然后会提示机器内有病毒，点击清除的话会要求注册，以此来骗取网民的钱财。

二、解决方案

1，建议大家安装畅游巡警来应对此类网络威胁。
2，不要点击可疑链接。

Trojan.Win32.Agent.yak(mttwfh.dll,wyhesm.dll,hhrdxd.dll)分析报告

yzh — Mon, 18 Aug 2008 14:12:06 +0800 GMT

　　超级巡警团队提醒广大用户，如果在系统的system32目录中发现mttwfh.dll,wyhesm.dll等其他若干非windows系统文件、而原有的安全工具又都打不开，则表明该系统已经被恶意程序Trojan.Win32.Agent.yak或其相关变种侵入。请使用超级巡警，并升级到最新病毒库，对其进行有效查杀。

一、病毒相关分析：

      　病毒名称：Trojan.Win32.Agent.yak
   　  病毒类型：木马
  　    危害级别：3
  　    感染平台：Windows
   　病毒大小：52,580(字节)
  　    S H A 1  ：adf8c8b35f6453645e46a02c3ac320571d48917d
   　加壳类型：Upack
   　开发工具： Microsoft Visual C++

   病毒行为：
         1、文件运行后释放以下文件：
　　　　　　%system%/******(84,054 字节)　　　　//******代表随机的6位字母，例：oooooo
　　　　　　%system%/******.tmp(3,328 字节)       //******代表随机的6位字母，例：qqqqqq.tmp
　　　　　　文件******会通过创建.PHYSICALDRIVE0直接读写磁盘，使用还原相关工具失效
　　　　　　*.tmp会以驱动形式加载为系统服务，并恢复SSDT，使部份安全工具的主动防御功能失效。

           2、映像劫持大量安全工具及调试工具：
　　　　　　DrvAnti.exe、 avp.com、avp.exe、runiep.exe、PFW.exe、FYFireWall.exe、
　　　　　　rfwmain.exerfwsrv.exe、 KAVPF.exe、KPFW32.exe、nod32kui.exe、nod32.exe、
　　　　　　Navapsvc.exe、Navapw32.exe、 avconsol.exe、webscanx.exe、drwebscd.exe、
　　　　　　NPFMntor.exe、vsstat.exe、 KPfwSvc.exe、Ras.exe、RavMonD.exe、mmsk.exe、
　　　　　　WoptiClean.exe、QQKav.exe、 spiderui.exe、QQDoctor.exe、EGHOST.exe、
　　　　　　360Safe.exe、iparmo.exe、adam.exe、 IceSword.exe、360rpt.exe、360tray.exe、
　　　　　　AgentSvr.exe、AppSvc32.exe、 autoruns.exe、avgrssvc.exe、AvMonitor.exe、
　　　　　　CCenter.execcSvcHst.exe、 drwadins.exe、FileDsty.exe、FTCleanerShell.exe、
　　　　　　HijackThis.exe、Iparmor.exe、 isPwdSvc.exe、kabaload.exe、drwebscd.exe、
　　　　　　spiderml.exe、KaScrScn.SCR、 KASMain.exe、KASTask.exe、KAVDX.exe、
　　　　　　KAVPFW.exe、KAVSetup.exe、KAVStart.exe、 drwebupw.exe、spidernt.exe、
　　　　　　KISLnchr.exe、KMailMon.exe、KMFilter.exe、 KPFW32.exe、KPFW32X.exe、
　　　　　　KPFWSvc.exe、KRegEx.exe、spml_set.exe、KRepair.com、 KsLoader.exe、
　　　　　　KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、 KVMonXP_1.kxp、
　　　　　　kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、 KVStub.kxp、
　　　　　　kvupload.exe、nod32krn.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、 KWatch.exe、
　　　　　　KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、 mmqczj.exe、
　　　　　　KAV32.exe、nod32krn.exe、PFWLiveUpdate.exe、QHSET.exe、 RavMon.exe、
　　　　　　RavStub.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwsrv.exe、 RsAgent.exe、
　　　　　　Rsaupd.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、 SREng.EXE、
　　　　　　symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、 TrojDie.kxp、
　　　　　　UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、 UmxFwHlp.exe、
　　　　　　UmxPol.exe、UpLive.exe、procexp.exe、OllyDBG.EXE、OllyICE.EXE、 rfwstub.exe、
　　　　　　RegTool.exe、rfwProxy.exe、RawCopy.exe、CCenter.exe、 regedit.exe、
　　　　　　filemon.exe、regmon.exe、AntiArp.exe、taskmgar.exe、GFUpd.exe、 GFRing3.exe、
　　　　　　GuardField.exe、RavTask.exe、RavCopy.exe、RavXP.exe、 CCenter.exe、
　　　　　　ravstub.exe、ravcopy.exe、rsaupd.exe、sunesnk.exe

           3、测试网络，并从以下地址下载最新程序
　　　　　　http://www.*****.com/max.exe
　　　　　　http://www.*****.com/max1.exe
　　　　　　从根据以下文件中的地址下载其他恶意程序：
　　　　　　http://www.mj5640i**.com/praasd.txt
　　　　　　http://www.dvgdfg46**.com/pradaq.txt

           4、其他恶意程序程序运行后会释放以下文件到system32目录下：
　　　　　　apsghjba.dll、 cmonos.dll、crtnumo.dll、ddserh.dll、dearnts.dll、eoceps.dll、
　　　　　　fmcvxy.dll、 follwel.dll、hhrdxd.dll、jacknove.dll、jdsaex.dll、jolinos.dll、keyiftp.dll、
　　　　　　lenowos.dll、manleu.dll、mttwfh.dll、rdmsgl.dll、rmbsony.dll、therbrek.dll、
　　　　　　wklsdd.dll、wrm32.dll、wrqszl.dll、wyhesm.dll、xpsbos.dll、zgtwfx.dll
　　　　　以上文件大部份为游戏盗号木马程序

二、解决方案

   推荐方案：
　　  　  　  由于以上提到大量木马程序，手工查杀会相对烦琐，建议使用巡警自动查杀。
　　  　  　  安超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　　  　  　  超级巡警下载地址：http://www.sucop.com/download/16.html

三、安全建议

　　    1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　    2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　    3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　    4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设  置为可写或可控制。
　　    5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　    6、禁用不必要的服务。
　　    7、及时更新常用软件，尤其是聊天工具。
　　    8、不要使用IE内核的浏览器。
　　    9、不要随便打开不明来历的电子邮件，尤其是邮件附件。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
　　    %SystemDrive% 　　    　　           系统安装的磁盘分区
　　    %SystemRoot% = %Windir% 　　 WINDODWS系统目录
　　    %ProgramFiles%　　　　　　       应用程序默认安装目录
　　    %AppData% 　　    　　                 应用程序数据目录
　　    %CommonProgramFiles%　　        公用文件目录
　　    %HomePath% 　　    　　              当前活动用户目录
　　    %Temp% =%Tmp% 　　    　　      当前活动用户临时目录
　　    %DriveLetter% 　　    　　             逻辑驱动器分区
　　    %HomeDrive% 　　　    　　          当前用户系统所在分区

“傀儡”让电脑变成傀儡网银卡成了别人提款机

wulujia — Sat, 16 Aug 2008 02:28:40 +0800 GMT

去年7月13日，侯先生发现自己的网上银行卡内只剩下6元钱了，万元不知去向。他立即到银行查询，发现自己的网银卡内的钱在一天内，分别以7次被人转账，总计金额达到10600元。

侯先生奇怪：自己明明没有消费，谁把钱取走了？卡在手里，怎么取走的？

发生类似情形的，还有两位网银使用者。陆先生在去年7月1日发现自己的农业银行网银卡内少了14100元。一个月后，盛先生的建设银行网银卡里少了近3万元。

很快，这一谜团慢慢展开。原来幕后有“傀儡”作怪。

“傀儡”是被告人关晓宇的网名，和他一起盗用的还有5人，但这个6人团队，直到归案才相互谋面，之前都是“网上之交”。

曾经的网络安全专家

他的软件窥视你的网银信息

昨天，西湖法庭，6名被告人站成一排，他们都是网络高手。其中的第五被告雷涛更是一流大学毕业的硕士，曾在微软就职，现在在趋势科技(中国)网络有限公司从事网络安全工作。他的女朋友、第六被告封潇，大学本科毕业。两人一个负责开发，一个负责联系。

正是这个网络安全的维护者，雷涛，如今破坏了网络安全不说，还成了协助盗窃的罪人。去年他在blog上发帖，说他可以辅助开发软件。不久，有人找上门了。女朋友封潇长期QQ在线，成了联系人。找上门的就是“傀儡”，他要求雷涛制作一个软件，此软件可以看到别人网银上的信息。

他们的手法看似复杂。雷涛开发的软件类似木马，它可以截取被感染电脑上的信息。“傀儡”和他的同伙购买了这个软件之后，把它和其他程序和文件捆绑在一起，发布到网上，供人下载。表面上，这些软件是图片或者正常程序，有点“姜太公钓鱼”的意思。

这时就等“愿者上钩”。操作者只要一不小心点击了那些被捆绑的图片或程序，雷涛的软件程序也跟着运行了。可是此时，作为一般的操作者，根本无法发现有一个程序正悄无声息地盗取他电脑上的信息。

那些被盗用的信息随后自动被发送到设计好的ftp空间上，通过登录名、密码，再经过对盗用信息的破译，被害人的网银信息一览无遗。

3名被害人总计5万多元，都是通过这种方式被盗取。本案当庭未判。

被盗的都是没有使用U盾的

网上银行已经广泛地被人们使用，它的方便、快捷一度让人倾心。网银的安全性已成为个人和企业消费者最为关心的问题，也成为网上银行发展的主要瓶颈。

但雷涛的一番话还是让人心里踏实了点：“至少我制作出的软件，现如今无法盗取网银账号和密码。很多银行都采用U盾和K盾，这些技术很完善，就我的技术而言，即使光知道网上银行的账号和密码，也无法实施盗窃。”

中信银行杭州分行的网银安全专家说，在推出网上银行后，他们银行就配套推出了“USBkey”，它的功能类似于一些银行的U盾和K盾，像平时使用的USB插口(U盘)，主要是将客户的网银信息存在里面，待要使用时将它插入电脑即可。

“网上银行都有认证书，是为了保护交易安全。一般的认证书都是软证书，也就是文件证书，而USBkey相当于是一个硬证书，也叫移动证书。”中信银行的网银安全专家详细介绍了这两类证书的区别，“文件证书是把个人信息放在了网页上，关机以后，别人可以通过木马等程序侵入窃取；而移动证书只能读取，不能拷贝，相当于写保护，所以很难侵入。”

目前杭州包括工行、中信银行等在内的多家银行已经向客户推荐采用移动证书，客户可以购买，如果再到银行开通一个银行卡余额变动短信通知的业务，每笔金额的变动都通过短信通知客户。网银大盗即使获取了你的网银信息，只要没有偷得你的移动证书(即U盾K盾)等，你的网银资金就不可能被盗走。

目前使用U盾的网银很安全

但也要记得用后即拔

很多小偷固然掌握了专业技术，但“姜太公”一招也引上可是“愿者”。连雷涛自己也承认，现有的技术还很难攻破现在网银防护。

在使用网银时怎样防小偷？中信银行网银安全专家给我们支招：“首先，客户的电脑最好要设置防火墙；其次，上网时要注意，不要浏览不健康网页；再次，最好每次交易都使用自己的电脑，最好不选择在网吧等公共场所的机器上使用网银；最重要的是，使用完了USBkey之后一定记得拔掉，千万别一直插着上网。”

这位安全专家最后还表示，网上银行的推出，需要技术方面的不断完善，同时也需要客户的积极配合。良好的使用习惯是网银安全不可或缺的保证，要从平时的细节做起。本案中侯先生的被盗经过值得一提。这些网银大盗在得知他的农行卡的交易信息之后，转而了解到了他在另外一家银行的网银卡的卡号，糟糕的是，侯先生两张网银卡的密码竟然是一样的，网银大盗不费吹灰之力就试了出来，轻松盗走了另外一张网银卡里的1万多元。所以人们在拥有多张网银卡时，最好能设置不同的密码，虽然有点麻烦，但可以防止小偷一箭“多”雕。客户们最好定期能查看交易明细，下载并安装客户端安全控件。在每次使用网上银行后，点击“退出登录”结束使用。同时要为电脑安装防病毒软件并定期升级。

作者：西法王哲君

【转】 IT168《免费全面超级巡警V4正式版试用》

果果 — Thu, 14 Aug 2008 17:17:29 +0800 GMT

【IT168 专稿】现在来自网络的安全威胁正在呈现出多元化的趋势，除了提高自身安全意识、养成安全习惯之外，安全防护软件自然也是不可缺少的，毕竟很多病毒、木马都是不请自来，让你防不胜防。安全软件作为最后一道安全防线，自然作用不可小视，最近新版超级巡警V4正式版正式推出，今天和IT168的读者共同体验一下。

　　与最近热炒的360杀毒软件有些类似，超级巡警也是一款综合性安全防护软件，集病毒查杀、木马查杀、流氓软件批量清理、实时安全保护防火墙、自动清除各类恶意插件、智能安全漏洞修复、未知病毒主动防御、IE浏览器自动修复等数十项安全防御功能于一身，并且首创应用程序补丁检查并修复，可以在官方正式补丁前直接关闭存在漏洞。下面我们来具体看一下它的表现如何。

　　超级巡警V4分为安装版和绿色版供用户选择，安装版的安装过程非常简单，绿色版无需安装，下载解压缩后即可运行。

　　一、系统状态一目了然

　　启动超级巡警后，该软件会自动对用户系统的安全状态进行扫描，例如系统和应用程序存在的安全漏洞、实时保护是否已经开启和系统是否进行过扫描等，并将扫描结果以醒目的方式告知用户，点击扫描结果会进入相应功能页面。

图1、系统当前状态

　　另外，从状态标签中用户还可以直接运行一些常用的功能，例如设置预警级别、定义病毒库升级方式和其它一些常用的功能。

二、杀毒功能不比商业软件差

　　进入超级巡警的杀毒功能模块，我们可以看到这款软件提供四种模式的扫描：快速扫描、全盘扫描、目录扫描和内存扫描，分别满足不同的应用需求。

图2、四种扫描模式

　　从右侧的扫描报告中可以看到，超级巡警的病毒库记录数为680642个，笔者进行快速扫描所花费的时间为16分钟46秒，总共扫描了35734个文件和118个包裹，并发现了1个木马病毒。

　　从设置方式中，用户可以方便的设置需要扫描的目标文件类型及病毒的处理方式，另外还可以启用一些特殊功能模块，例如你可以选择启用签名扫描，以识别那些伪造系统文件的木马，加快扫描速度。

图3、杀毒设置

　　值得一提的是笔者的计算机安装的赛门铁克企业版反病毒软件和360安全卫士均未能发现这一木马，超级巡警的杀毒功能看来也不弱于大名鼎鼎的赛门铁克啊。

三、实时监控主动防御

　　除了是一款杀毒软件之外，超级巡警同时还是一款防火墙，在其“保护”面板中我们可以看到，通过它的实时保护功能，用户可以全面保护电脑安全，清楚病毒和拦截未知木马的非法操作，这个功能有点类似360安全卫士的保护功能模块，不过要更加强大一些。

　　其实时保护功能分为五个模块，分别是实时监控、网页防漏、启发预警、主动防御和反ARP欺骗。

图4、实时保护功能

　　点击每个模块后面的详细设置，用户可以根据需要来定制相应模块的功能，例如在启发预警中，你可以通过设置来自定义预警类型，以及对预警进行过滤，以减少预警报警次数。

图5、设置启发预警

　　另外针对现在局域网ARP攻击越来越多的现状，超级巡警的反ARP欺骗功能也非常实用，在这个功能中你可以指定正确的网关MAC地址，以免遭到恶意欺骗。

图6、反ARP欺骗设置

四、清理插件优化上网速度

经常上网的朋友通常有这种经历，系统刚装完后上网速度很快，用的时间长了以后却越来越慢，其中一个可能的因就是你的系统和浏览器上被悄悄插入了太多东西，超级巡警可以帮助我们对它们进行“净化”。

　　点击导航条中的上网标签，从界面左侧可以看到超级巡警能帮助我们对系统和浏览器中的插件进行管理和清理。

图7、清理系统插件

图8、IE设置

图9、管理IE插件

图10、屏蔽恶意网站

图11、弹出插件免疫

　　超级巡警的上网优化功能感觉从360也学了不少一些挺有用的东西，比如点击某个插件你可以查看该插件的信息，还可以通过点击一个按钮就实现从百度搜索引擎中查看该插件相关的信息，从而判断该插件是否安全，是否需要删除。

五、分析功能让你过一下高手瘾

　　对于一些计算机老手来说，在计算机出问题的时候解决办法之一就是查看启动项、分析服务端口等，让一些菜鸟们感觉莫测高深，其实通过使用超级巡警的分析面板，你也可以当一回高手。

图12、启动项管理

图13、进程管理

图14、服务管理

图15、SSDT

　　超级巡警的分析功能让用户可以从一个更深层次上来分析系统内的进程、服务、端口等内容，对一些比较狡猾的病毒木马来说，这是一个比较有效的办法。

六、漏洞修补对黑客说不

　　当前网络中安全事件的激增，一方面原因是黑客和病毒作者们攻击技术在不断提高，另一方面原因是网民打补丁修漏洞的意识不强。很多黑客之所以能成功入侵，并不是他本身技术有多么高超，只是他利用了你的系统和软件中的漏洞，而这些漏洞其实早已经有了修复的补丁。超级巡警可以帮助用户扫描这些漏洞并提供相关补丁进行修复。

　　用户将软件界面切换到“工具”面板，在软件的“补丁检查”子功能中，软件通过自动检测会会自动给出用户系统存在各种安全漏洞类型，包括Windows中的所有已知漏洞、Office及其它第三方应用程序的已经安全漏洞等。

图16、补丁检查

　　对于相应的安全漏洞，用户只要在软件中选中所有漏洞选项，然后单击“下载安装补丁”按钮，软件即可自动下载和安装对应的所有安全补丁。

　　通过系统修复功能，超级巡警为用户提供了多个修复项和修复文件关联功能。

图17、系统修复

　　这样一旦你的机器不幸被木马进行修改，可以轻松把它们修复回来。

七、资源占用情况评测

　　最后让我们来看一下超级巡警在资源占用方面的表示，我们分两种情况来对其测试，一个种情况在它不做任何动作时占用资源情况;另一种情况是在其进行病毒扫描过程中的资源占用情况。

图18、静态资源占用

图19、动态资源占用

　　从数据来看，超级巡警在资源占用方面表现还不错。

评测总结

　　经过对超级巡警V4正式版的试用，笔者认为该软件功能比较强大、使用起来非常简单，能为用户提供全方位、立体化的安全防护，虽然是一款完全免费的软件，与某些商业版安全软件相比毫不逊色，在很多方面甚至还要更强大一些，例如其应用软件漏洞扫描功能算是一个比较实用的功能，另外它在防Root kit和木马查杀方面也表现不错。

　　不过超级巡警在病毒库的升级频率方面感觉有些欠缺，对于新病毒木马变种速度快的今天来说，无疑是一个比较大的缺点，另外超级巡警在很多方面感觉像是360安全卫士的一个影子，希望它能推出更多更强大的功能，为网民提供更好的保护。

美国队离开奥运会？警惕借奥运之名的病毒网站

yzh — Thu, 14 Aug 2008 13:43:08 +0800 GMT

近日大家都在关注奥运会。病毒作者自然不会放过这个大好时机，我们就捕获了一些利用奥运会来挂马的网站，在这曝光一下，提醒大家在关注奥运会的时候不要忘记网络安全。对于网络上的挂马行为，我们建议用户安装畅游巡警来避免受到影响。

一、事件分析

近日我们在蜜罐信箱内捕获到了一些利用奥运会来传播木马病毒的网站，比如下面这封信：

美国队离开奥运会？看到这封信或许你想打开查看视频吧。打开链接，会提示你浏览器没有播放视频的ActiveX控件需要安装相关软件。如果点击继续的话就会弹出一个名为install.exe的文件让用户下载，其实install.exe是一个病毒。不只install.exe这个一个陷阱，当你打开这个链接时该页面内还会自动打开内嵌的网页木马，利用了Microsoft Access快照查看器ActiveX控件任意文件下载漏洞在内的几个漏洞在后台自动下载木马并运行。

二、解决方案

1，建议安装畅游巡警来避免受到网页木马的影响，下载地址：http://www.sucop.com/download/secplugin.html
2，不要点击可疑链接。

谷歌称7月带毒垃圾邮件创新高最高一天1千万

wulujia — Wed, 13 Aug 2008 13:40:01 +0800 GMT

谷歌本周二在该公司博客上披露,7月份带毒垃圾邮件数量创下了今年以来的新记录.
谷歌Postini企业电邮安全服务收集的数据显示,7月24日电子邮件病毒攻击数量最高达到了约1千万次.谷歌安全业务部门的一名营销经理桑达·拉哈万 (Sundar Raghavan)表示,数量如此之大的电子邮件病毒攻击数量意味着垃圾邮件能够通过用户的安全系统,并使用户的PC成为了“僵尸”(能够自动攻击其他用户的计算机).

拉哈万表示,反垃圾邮件硬件产品没有及时更新是恶意电子邮件攻击迅猛增长的原因之一.

谷歌发现,大多数带毒垃圾邮件并没有利用操作系统或浏览器的安全缺陷,而是利用了人们的好奇心理.拉哈万说,带毒垃圾邮件通常使用很有吸引力的主题——例如“苹果老板史蒂夫·乔布斯(Steve Jobs)在家中使用Windows Vista”、“谷歌向美国国家安全局(NSA)提供实时搜索资料”,用户点击这类垃圾邮件中的链接可能使自己的计算机感染恶意件.

电子邮件安全厂商Marshal在本周二发表的一份报告中表示,今年上半年垃圾邮件数量翻了一番.

奥运期间需提高警惕

yzh — Wed, 13 Aug 2008 10:46:47 +0800 GMT

奥运的时候很多人会通过网络浏览的方式来观看比赛或者了解比赛.

其中sina新浪是一个国内著名的站点,会有很多人去通过他了解奥运相关,这其中可能会有一小部分人在打域名的时候没有注意,不小心拼错了域名.一般来说可能会返回一个404页面,但是现在拼错了sina 就有可能导致系统被攻击从而被黑客入侵.

事件:

仿新浪域名进行挂马:

hXXp://www.sian.com.cn

该域名目前仍然在危害网络,其首页包含一个不可见框架,将连接到一些漏洞攻击页面,其中包含以下漏洞:

ms06-014

Access快照工具漏洞

flash漏洞

联众游戏漏洞

realplayer漏洞

暴风播放器漏洞

请网友上网及时安装好防护软件,杀毒软件以免遭受攻击.

另外近期还有部分病毒利用奥运来进行欺骗和传播:

该病毒伪装成福娃形象来引诱用户执行.

网友需特别注意奥运期间的安全防护意识.

Worm.Win32.Downloader.pu(第五代机器狗)分析与解决方案

yzh — Tue, 12 Aug 2008 11:00:25 +0800 GMT

       该病毒为第五代机器狗，可穿透还原系统，使还原系统失效。巡警团队在捕获该样本后，对样本进行了分析。该病毒运行后释放一个tmp文件到临时文件夹下，该文件实际上是驱动文件，可以使主动防御和还原系统失效，修改系统时间，对安全软件进行映像劫持，链接网络下载病毒，严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。

一、病毒相关分析：
      病毒标签：
            病毒名称：Worm.Win32.Downloader.pu
            病毒类型：第五代机器狗
            危害级别：5
            感染平台：Windows
            病毒大小：36,792字节
            SHA1　：  D38CF55F30A15EDD9C11F66DECA70FB1D364C74F
            加壳类型：WinUpack
            开发工具：Microsoft Visual C++

      病毒行为：
            1、病毒运行以后释放文件，该文件加载之后被自删除：
                  %Temp%\~wxp2ins.171.tmp(随机名)

            2、遍历当前进程，如发现avp.exe进程，就调用SetSystemTime函数将系统时间修改为2001，使衍生文件的创建时间都为2001年，衍生病毒文件不容易被用户察觉。

            3、添加注册表映像劫持，导致用户运行安全软件，实际运行的是病毒程序，被劫持的安全软件如下：
                  360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe

            4、创建进程svchost.exe，然后将恶意代码写入进程。

            5、添加注册表项，创建服务加载驱动，驱动的作用是使主动防御和还原保护失效。

            6、下载病毒文件，文件列表可更新：
                  http://www.dfhtn.cn/baibai.txt[链接已失效]
                  http://www.recgt.cn/google.exe[链接已失效]

二、解决方案

   推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
                    超级巡警下载地址：http://www.sucop.com/download/16.html
   手工清除方法：
            1、结束病毒进程。打开超级巡警ToolsLoader.exe工具（此工具在超级巡警安装目录下），选择进程管理功能，终止svchost.exe进程。
            2、修复安全模式启动/映象劫持。打开超级巡警，点安全优化，选择系统修复，选中修复安全模式启动/映象劫持，修复即可。

三、安全建议
   1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
   2、禁用不必要的服务。
   3、不要随便打开不明来历的电子邮件，尤其是邮件附件。
   4、不要随意下载不安全网站的文件并运行。
   5、下载和新拷贝的文件要首先进行查毒。
   6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
   7、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它：
%SystemDrive%                                                       系统安装的磁盘分区
%SystemRoot% = %Windir%                                     WINDODWS系统目录
%ProgramFiles%　                                                    应用程序默认安装目录
%AppData%                                                             应用程序数据目录
%CommonProgramFiles%　                                      公用文件目录
%HomePath%                                                          当前活动用户目录
%Temp% =%Tmp%                                                     当前活动用户临时目录
%DriveLetter%                                                          逻辑驱动器分区
%HomeDrive%                                                          当前用户系统所在分区

Defcon：万事达卡通万家

yzh — Sat, 09 Aug 2008 16:40:39 +0800 GMT

在昨天的Defcon大会上，马克和他的同事们向人们展示了如何利用万事达卡制作卡片钥匙打开美迪高等高级锁具。这些锁具甚至在白宫、五角大楼和大使馆中都被广泛的使用。（下有样图见）据马克的介绍，不仅是万事达卡，各种塑制的银行卡，信用卡都可以用来制作卡片钥匙并且理论上，几乎所有基于同一原理的机械锁具都面临这一威胁。马克还向记者展示了制作过程，首先扫描或拍摄所要复制的钥匙，然后制片，最后将制好的贴片贴在万事达卡上用美工刀进行加工即告完成。整个过程极为简单。
（我想即使是四棱的高级安全锁只要将两张卡片对拼在一起应该同样适用，发这篇新闻只想提醒大家，自己的钥匙千万不可交给陌生人，慎防钥匙被别人拍到。）

互联网年初发现漏洞后黑客已成功发动一次袭击

yzh — Thu, 07 Aug 2008 16:21:15 +0800 GMT

　　中新网8月7日电美国IOActive网络安全公司今年初发现，互联网域名服务器(DNS)有重大漏洞，黑客可以利用此一漏洞设置假网站，把一些企业网站(包括银行)的用户转接过来，从中盗取这些用户的密码资料。虽然各大电脑公司已在上月发布了补丁软件，但是一些网络安全专家担心，新一波的病毒袭击和网上欺骗会到来。目前也难估计，该问题的范围有多大，多少用户还处于危险中。

　　据新加坡《联合早报》7日报道，DNS的此一重大漏洞上月披露以后，黑客至少成功发起了一次袭击，引导得克萨斯州一些美国电信公司的互联网用户进入一个假冒谷歌网站。此一假网站还有自动点击机制，用户被引进来后都会点击广告，用户点击量带来利润就进了黑客腰包。

　　网络安全检测工具Metasploit的开发者摩尔指出，可能还有其他互联网服务供应商受害，一些自己还不知道，一些则不愿意公开。

　　上个月8日，微软等电脑业巨头已经发布，针对该DNS漏洞的补丁软件。

　　网络安全专家表示，如果某个互联网供应商没有安装补丁程序，黑客就可以对使用他服务的普通网民发起“网络钓鱼”攻击，而网民根本无法觉察到任何异常。

　　IOActive网络安全公司的卡明斯基建议，网络供应商及大型企业用户，赶快安装DNS漏洞补丁程序。

熊猫第二发布季度报告

yzh — Wed, 06 Aug 2008 09:34:00 +0800 GMT

熊猫软件（西班牙）发布季度（4、5、6月）报告

以下为统计贴图：

用户电脑中感染运行中的恶意软件的比率：

2008年上半年网银木马家族的分布

详细报告白皮书下载
Quartely_Report_Q2_PandaLabs_2008.pdf (918.56 KB)

一幅图片便可窃取在线资料

wulujia — Mon, 04 Aug 2008 11:04:47 +0800 GMT

将要在本周举行的拉斯维加斯Black Hat安全会议上,研究人员将会演示他们开发的一种可以从诸如Facebook、eBay和Google等流行网站窃取用户资料的软件技术.

据称攻击使用一种新型的混合类型文件GIFAR,这种文件是GIF和JAR两种类型文件的混合体,假如恶意将这种文件存放至可上传图片的网站上,GIFAR可以绕过安全系统,窃取浏览该图片用户的资料.在Black Hat大会上研究人员将演示如何制作这种GIFAR文件,但是将略过某些关键细节以防止其近期被用于大规模攻击.

对于Web服务器来说,这种文件就像是单纯的.gif图片,但是浏览器的Java虚拟机则会将其视为可运行的Java程序,这时攻击者便有机会在受害者的浏览器上运行恶意代码,而不会被发觉.通过将这种“图片”上传至流行的合法Web站点,就能窃取大量浏览者的账号等个人信息.

研究人员表示,制止这种攻击可以依靠Web站点加装新的文件过滤器或者通过限制Java虚拟机实现,不过要所有的网站做到万无一失恐怕还需要很长一段时间.

Norton Safe Web 网页病毒防患未然

wulujia — Sun, 03 Aug 2008 09:46:25 +0800 GMT

Norton Safe Web是杀毒巨头Symantec新近推出的网页病毒查找工具，目前尚处于beta阶段。简单键入网站地址，Safe Web将会提供该网站的安全评级信息，包括Warning，Caution，Safe和Untested，对于含有病毒的网站，Safe Web会详细列出病毒类型，危险等级及含有病毒的页面地址。该项服务将整合到Norton Toolar中，以方便使用。

我用搜狐做了个测试，Safe Web共发现19个高危等级的网页木马，全部位于图片区。

调查:欧洲游客每周丢失3300台笔记本电脑

wulujia — Sat, 02 Aug 2008 14:26:17 +0800 GMT

由戴尔公司委托市场调研机构Ponemon Institute展开的一项调查显示,在欧洲、中东和非洲(EMEA)地区的八家最繁忙的机场上,每周被盗或丢失的笔记本电脑数量超过了3300台.
Ponemon Institute公司在这份题为“笔记本丢失及追踪调查”的报告中称,在所有被盗或丢失的笔记本电脑当中,将近60%不能被找回.

英国伦敦希斯罗(Heathrow)机场每周丢失的笔记本电脑数量最多,平均900台;其次是荷兰阿姆斯特丹史基浦机场(Schiphol),每周被盗或丢失的笔记本电脑在750台,法国戴高乐机场位居第三,每周丢失733台笔记本.

Ponemon Institute表示,这样的问题不仅仅局限于欧洲,在美国,平均每周丢失或者被盗的电脑大约在12000台左右.比丢失笔记本电脑本身更焦虑的是,在这些丢失电脑当中,将近一半以上的电脑都含有机密信息,而且有超过半数以上的电脑都没有采取保护措施.

Ponemon Institute的负责人Larry Ponemon表示,“在欧洲机场,每年都有超过17.5万台笔记本被盗,其中大多数电脑上都保存有机密信息.商务企业必须对部分工作环节进行重新评估,以封堵这样的漏洞”.

戴尔警告称,许多公司的隐私数据都是通过这种途径外泄的.尽管人们知道笔记本电脑很容易被盗或者丢失,但他们似乎对这一威胁依旧存有对立情绪.

为此,戴尔公司曾推出了戴尔移动设备专业支持服务(ProSupport Mobility Services),包括笔记本跟踪和恢复,硬盘文件还原和修复,以及远程数据删除、硬盘数据恢复等.

Trojan-Downloader.Win32.Small.hlw(kkk.exe,setup.exe,sss.exe)病毒分析

yzh — Fri, 01 Aug 2008 14:52:03 +0800 GMT

超级巡警团队监控数据表明，很多恶意挂马网站会链接该恶意程序。该恶意程序会映像劫持大量安全工具及部份恶意程序，还会下载大量盗取帐号、密码的恶意程序。超级巡警团队提示广大用户及时更新病毒库，以便更好的防御或查杀此类恶意程序。

一、病毒相关分析：

        病毒标签：
        病毒名称：Trojan-Downloader.Win32.Small.hlw
        病毒类型：木马
        危害级别：3
        感染平台：Windows
        病毒大小：44,936(字节)
        SHA1　　：8fe3bc254f62bd38ac4379e66186e8378c4204b3
        加壳类型：Upack
        开发工具：Delphi

        病毒行为：
        1、程序运行后以NTDUBECT.EXE为文件名复制自身到各系统磁盘根目录并释放setup.exe(2,041 字节)到%temp%目录。

2、调用taskkill.exe结束进程nod32krn.exe、egui.exe、ekrn.exe，调用sc.exe设置服务ekrn、NOD32krn为禁用，调用net stop结束以下服务：
　　　　　 "Security Center"
　　　　　 "Windows Firewall/Internet Connection Sharing (ICS)"
　　　　　 "System Restore Service"

3、执行setup.exe后，下载文件http://www.*****.net.cn/sss.exe。(Trojan-Downloader.Win32.Losabel.abn)。

        4、执行sss.exe后，映像劫持以下文件
　　　   //其中不仅会劫持大量安全工具，也会一些恶意程序进行劫持，防止其他恶意程序干扰其工作
　　　   shadowservice.exe、shadowtip.exe、avp.exe、360rpt.exe、360Safe.exe、
　　　   360tray.exe、 adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、
　　　   AvMonitor.exe、avp.exe、CCenter.exe、ccSvcHst.exe、FileDsty.exe、
　　　   HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、
　　　   KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、
　　　   KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、
　　　   KPFWSvc.exe、KRegEx.exe、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、
　　　   kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KWatch.exe、KWatch9x.exe、
　　　   KWatchX.exe、loaddll.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、
　　　   NAVSetup.exe、nod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、
　　　   Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、 RavStub.exe、RavTask.exe、
　　　   RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwProxy.exe、rfwsrv.exe、RsAgent.exe、
　　　   Rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
　　　   SREng.exe、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、
　　　   UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、
　　　   UpLive.EXE、WoptiClean.exe、zxsweep.exe、sos.exe、auto.exe、UFO.exe、
　　　   XP.exe、taskmgr.exe、guangd.exe、appdllman.exe、kernelwind32.exe、logogo.exe、
　　　   TNT.Exe、SDGames.exe、TxoMoU.Exe、cross.exe、regedit.Exe、regedit32.Exe、
　　　   Wsyscheck.exe、servet.exe、Discovery.exe、pagefile.exe、niu.exe、~.exe、AoYun.exe、
　　　   StopAorw.exe、StopAorw.exe、StopAorw.exe、ravmon.exe、avp.exe、ravmond.exe、
　　　   ravmon.exe、rav.exe、RavTask.exe、RavStub.exe、CCenter.exe、RavMonD.exe、
　　　   RavMon.exe、Rav.exe、360rpt.exe、360Safe.exe、360tray.exe、rfw.exe、
　　　   ntoskrnl.exe、adffgh785v.exe、QHSET.exe、AutoRun.exe、UIHost.exe、
　　　   FTCleanerShell.exe、kabaload.exe、KPFW32X.exe、
　　　   修改系统隐藏属性，使隐藏文件不可见

二、解决方案
    推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　　　超级巡警下载地址：http://www.sucop.com/download/16.html
    手工清除方法：
         1、结束恶意程序进程。打开超级巡警，选择进程管理功能，终止进程kkk.exe,setup.exe,sss.exe。
         2、删除以上提到的恶意程序生成的文件。
         3、修复安全模式启动/映象劫持。打开超级巡警，点安全优化，选择系统修复，选中修复安全模式启动/映象劫持，修复即可。
         4、升级到最新的超级巡警病毒库，清理下载的其他恶意程序。

三、安全建议

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写
　　　　　或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、禁用不必要的服务。
　　     7、及时更新常用软件，尤其是聊天工具。
　

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
　　     %SystemDrive% 　　     　　　　      系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　　 WINDODWS系统目录
　　     %ProgramFiles%　　　　　　　　    应用程序默认安装目录
　　     %AppData% 　　     　　    　　　     应用程序数据目录
　　     %CommonProgramFiles%　　         公用文件目录
　　     %HomePath% 　　     　　                 当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　      当前活动用户临时目录
　　     %DriveLetter% 　　     　　             逻辑驱动器分区
　　     %HomeDrive% 　　　     　　           当前用户系统所在分区

【2008-7-29】奥运临近“网络反恐”成安全热点

王睿 — Thu, 31 Jul 2008 14:11:04 +0800 GMT

随着奥运临近，网络安全的威胁日趋严峻，国内安全厂商纷纷严阵以待。严防“奥运黑客”来袭。

　　国家计算机病毒应急处理中心的发言人近日曾表示，“十运会”信息技术系统曾两度遭到黑客的恶意攻击,由于信息网络采取了“严防死守”策略,最终才保证安然无恙。根据历史上的经验，为了“出名”，很多黑客都把奥运会作为挑战和攻击的对象，此外北京奥运会又可能面临个人、群体、组织乃至国家性的或带有某种政治目的的网络攻击，因此网络安全形势十分严峻。

　　数据安全实验室（sucop.com）针对奥运期间网络攻击的特点进行分析后，提出“全民反黑”的计划。该实验室发言人称，web2.0技术让网络信息交互变得简单轻松，交互方式也变得灵活多样。但从另一个侧面也给网络安全带来了空前的压力，黑客传播病毒木马的方式也随之增多。我们力图让网络反黑走全民参与路线，如果任何一个用户都可以随时检测，一个运用web2.0技术的网络社区的安全状况。那么防御网络威胁将变得轻松起来。我们发布的“畅游巡警”这款免费软件不仅可以防御网络威胁，还可以扫描网站、网络社区，而扫描过程就像自己系统内文件一样的方便，这种扫描方式将把安全战线由系统内部烧至网络彼端。

　　(如图使用畅游巡警奥运卫士版，可以将一个百度贴吧的恶意链接，以及发帖人信息、挂马类型和服务器、等信息全部曝光。这种扫描方式被一些网友称为：“人肉搜索黑客”)

　　数据安全实验室表示，应用畅游巡警奥运卫士版：

　　1、任何人都可以参与奥运网络反黑，而无技术屏障。无安全技术基础的人使用本工具，可以轻松曝光社区内黑客精心构建的挂马骗局。

　　2、过去，往往用户点击网页中的恶意链接发现中毒后，才去提醒它人，而畅游巡警独家提供的IE数据流扫描，不仅可以批量扫描恶意网页和恶意链接，还不会有中毒风险。

　　江民科技的专家介绍，江民科技作为奥运会安全保卫工作协调小组信息网络安全指挥部的技术保障单位，将利用其近20年在计算机反病毒及网络安全方面积累的技术优势，为奥运会提供信息安全保障服务，特别是为直接与奥运会相关的网站以及各种信息资源提供信息安全保卫工作。同时，国家计算机病毒应急处理中心、北京江民奥运网络安全应急保卫中心联合发布了“网页安全专家”软件，免费供所有互联网用户下载使用，为确保奥运会期间网络安全增添了一件新“利器”。

　　据网络监测和用户求救显示，大部分网络犯罪都是通过“挂马”方式进行攻击。所谓“挂马”是指在网页中嵌入恶意代码，当存在安全漏洞的用户访问这些网页时，木马会侵入用户系统，然后盗取用户敏感信息或进行攻击、破坏。这种通过浏览页面方式进行攻击的方法具有较强的隐蔽性，用户难于发现。

【2008-7-29】“全民杀毒模式” 挑战网络瘟疫

王睿 — Thu, 31 Jul 2008 14:08:50 +0800 GMT

传统杀软系统内部防御的缺陷

看过恐怖影片《我是传奇》、《天外来菌》的网友一定对那种快速传播，致人灭绝的病毒心有余悸。目前随着科学飞速发展，经济利益驱使下，存在风险科学技术在医学和生物学的泛滥使用，让很多人类参与创造的病毒瘟疫不仅仅存在于科幻电影中：在计算机世界中，病毒可以轻易让你的电脑失控变成传播瘟疫的僵尸机器。

网络病毒流行传播犹如瘟疫，而杀毒软件仅仅在系统内部防御，就好似只给病人看病，却从不注意给周围环境消毒。而我国国内托管着世界一半以上的恶意网页，在带毒的环境中，病人又会轻易感染！如何改善带毒的环境，将是杀软和网民该反思的问题？

一、恐怖的网络瘟疫

据来至数据安全实验室(Sucop.com)的统计数据发现：类似07年的熊猫烧香、08年的磁碟机、机器狗一类的网络瘟疫具有如下特点：

“混血特性”：目前病毒的通性，融合多种“前辈”们病毒开发的技术，很多品质恶劣的病毒作者在病毒被杀软战胜后，都会报复性的在网络中公开源码，让后继者们继续挑战杀毒软件。磁碟机病毒也是总结融合了多种病毒感染传播技术。这也是目前病毒越来越顽固难对付的原因，如果磁碟机作者公开病毒源码后果将不堪设想。

“恶意载体”：磁碟机像装载这大批恶意程序的海军登陆艇一样，感染机器后。盗号、远程控制的木马纷纷强行登陆。让网友的遭受比数据删除更严重的灾难！

“集中爆发、传播迅速”：病毒集中爆发传播，主要依靠0day漏洞。随着通用软件和网络软件的用户群越来越庞大，而软件的设计代码的安全构架却普遍显得单薄，用户机器内任意一款流行软件的漏洞，都有可能引发整个系统的被攻陷。

一种被公认的观点论证：病毒、木马如今之所以流行泛滥，是因为互联网黑色产业链充当幕后推手，而这种产业链已经逐步完成了向完整模式的黑色经济的过渡。让人担心的是其市场潜力甚至超过了杀毒行业。目前，互联网电子商务以几何式速度膨胀，巨大的经济利益驱使下，也伴随着相关的黑色经济。这里思考一个问题，单纯的杀毒行业能否对抗黑色经济，笔者认为，这显然不仅仅是技术抗衡那样简单，对抗黑色经济需要相关行业法规的完善，政策的协调，以及网民检举监督等等一系列举措。

二、传统杀软系统内部防御的缺陷

面对日趋严重的威胁，传统的杀毒软件似乎给人们带上沉重笨拙的“防毒面具”，对用户指手画脚，左右人们的上网习惯。国内外绝大多数杀毒软件设计理念，包括最流行的“主动防御”都是基于系统防御的，这种模式在互联网络面世之前一直延续到现在。而目前这种设计理念已经严重落后了，病毒作者受金钱驱使利用网络进行升级和传播病毒，相关利益组织充当幕后推手，构成黑色产业链。如果把电脑比作病人，那么目前的杀毒软件只是针对病人的用药。而类似磁碟机这种大范围“瘟疫”，病毒依靠的是网页、邮件、聊天工具，等多种方式传播。杀毒软件仅仅针对感染的电脑起作用。对病毒的传播介质和环境却无能为力。这就造成了病人反复感染，即时治愈也很容易被新的变种感染。回想起就如同梦魇般的Sars非典病毒，不仅要隔离治疗病人，还要给周围环境消毒，防止反复感染。显然目前的杀毒软件无法实现这个需求。

三、“人肉搜索”黑客与全民反黑的新尝试

最近，数据安全实验室发布了一款全新理念的互联网级杀毒软件---畅游巡警，该软件将使用一种全新的扫描引擎,可针对病毒在网络中传播方式进行检测。在病毒进入系统之前在网络中进行阻击。可以说畅游巡警是针对带毒环境进行清理的软件。

此外畅游巡警的网络扫描还有一个十分新鲜有趣的应用：针对网站、百度贴吧、dz论坛等，进行恶意网页扫描，也就是“人肉搜索”黑客的挂马行为，社区斑竹，网站站长以及网民中安全爱好者、都可以参与到全民反黑中来！畅游巡警带来了全新的反黑模式，网民们将不会躲在机器内防御病毒，而是可以主动去搜索网络中的黑客行为。在参与反黑的过程中不仅仅可以提高安全知识和防卫意识，还可以揭穿下面提到的一些黑幕。依据数据安全实验室2008上半年互联网安全报告显示：几乎全部的网络威胁都依靠通用软件、网站漏洞传播，而“漏洞”一直是被公众视线忽略的地方。在类似事件中，网站站长、软件开发者是“受害者”，但他们和黑客到底存不存在“千丝万缕”的联系，一直是个有争议的话题，普通网民常常因为不懂相关技术被蒙在鼓里，应用畅游巡警将会从技术角度曝光这类丑闻，尝试给予网民知情权。让更多的无安全技术基础的人，来参与检测和监督网络环境。

Realplayer 再爆四个高危漏洞，可被网页木马利用

yzh — Wed, 30 Jul 2008 09:54:10 +0800 GMT

一，事件分析

   前几日曝光了四个RealPlayer的高危漏洞，当黑客成功利用该漏洞后可远程执行任意代码，RealNetworks已经针对该漏洞发布了补丁，因此我们建议大家检查自己的realplayer版本并尽快打补丁。因为其中几个漏洞可以被网页木马利用，我们建议用户安装畅游巡警来应对可能由此而来的挂马行为。

   在丹麦安全厂商Secunia的安全建议中称，RealPlayer的漏洞可以使黑客运行恶意代码。

受影响的版本：
* RealPlayer 11 (11.0.0 - 11.0.2 builds 6.0.14.738 - 6.0.14.802)
* RealPlayer 10.5 (6.0.12.1040-6.0.12.1663, 6.0.12.1698, 6.0.12.1741)
* RealPlayer 10
* RealPlayer Enterprise
* Mac RealPlayer 10.1 (10.0.0.396 - 10.0.0.503)
* Mac RealPlayer 10 (10.0.0.305 - 352)
* Linux RealPlayer 10

       1）rmoc3260 ActiveX控件中存在一个内存破坏漏洞，这个漏洞与Real Player rmoc3260.dll ActiveX控件远程溢出漏洞相似。

   2）一个漏洞可以使黑客访问系统上的任意文件。

       3）由于设计上的缺陷，在访问一个swf文件时可能导致堆溢出。

   4）由于rjbdll.dll模块没有正确地删除媒体库文件，在使用用ActiveX控件导入媒体库时可能导致一个栈溢出。

二，解决方案

   1，RealNetworks已经为此发布了补丁，请参照官方建议进行补丁修复：http://service.real.com/realplayer/security/07252008_player/en/
   2，建议安装畅游巡警来应对由此而来的挂马行为。

相关链接：http://secunia.com/advisories/27620/
               http://service.real.com/realplayer/security/07252008_player/en/

RealNetworks RealPlayer Multiple Vulnerabilities

yzh — Wed, 30 Jul 2008 09:27:40 +0800 GMT

Secunia Advisory:	SA27620
Release Date:	2008-07-25
Last Update:	2008-07-29

Critical:	Highly critical
Impact:	Exposure of sensitive information System access
Where:	From remote
Solution Status:	Partial Fix

Software:	RealPlayer 10.x RealPlayer 11.x RealPlayer Enterprise 1.x

CVE reference:	CVE-2007-5400 (Secunia mirror) CVE-2008-1309 (Secunia mirror) CVE-2008-3064 (Secunia mirror) CVE-2008-3066 (Secunia mirror)



Description: Some vulnerabilities have been reported in RealPlayer, which potentially can be exploited by malicious people to disclose certain information or compromise a user's system. 1) An error in the rmoc3260 ActiveX control when handling the "Controls", "Console", or "WindowName" properties with a specific timing can be exploited to cause a memory corruption. This is reportedly similar to: SA29315 2) An unspecified error can be exploited to reference local resources. 3) A design error within the handling of frames in Shockwave Flash (SWF) files can be exploited to cause a heap-based buffer overflow. 4) A boundary error in rjbdll.dll can be exploited to cause a stack-based buffer overflow by importing a media library file using an ActiveX control and deleting the imported file. Successful exploitation of the vulnerabilities allow execution of arbitrary code. The following products are affected by one or all vulnerabilities (see vendor's advisory for details): * RealPlayer 11 (11.0.0 - 11.0.2 builds 6.0.14.738 - 6.0.14.802) * RealPlayer 10.5 (6.0.12.1040-6.0.12.1663, 6.0.12.1698, 6.0.12.1741) * RealPlayer 10 * RealPlayer Enterprise * Mac RealPlayer 10.1 (10.0.0.396 - 10.0.0.503) * Mac RealPlayer 10 (10.0.0.305 - 352) * Linux RealPlayer 10 Solution: Update to the latest versions. Please see the vendor's advisory for details. http://service.real.com/realplayer/security/07252008_player/en/ NOTE: Vulnerability #1 is not fully fixed in the updated RealPlayer 11.0.3 Build 6.0.14.806 and users are advised to set the kill-bit for the ActiveX control. Provided and/or discovered by: 1) Independently discovered by: * Peter Vreugdenhil * Elazar Broad 3) Dyon Balding, Secunia Research 4) Anonymous researcher, reported via ZDI. The vendor also credits CERT/CC and Haifei Li. Changelog: 2008-07-28: Updated advisory based on additional information from vendor and ZDI. Updated "Solution" section. Added additional affected software versions, CVE references, credits, and links in "Original Advisory" and "Other references" sections. 2008-07-29: Updated advisory based on additional information from Secunia Research showing that the updated RealPlayer 11.0.3 Build 6.0.14.806 is still affected by vulnerability #1 when handling the "Controls" and "WindowName" properties. Updated status and "Solution" sections. Original Advisory: RealNetworks: http://service.real.com/realplayer/security/07252008_player/en/ ZDI: http://www.zerodayinitiative.com/advisories/ZDI-08-047/ http://www.zerodayinitiative.com/advisories/ZDI-08-046/ Secunia Research: http://secunia.com/secunia_research/2007-93/ Elazar Broad (via Full-Disclosure): http://lists.grok.org.uk/pipermail/full-disclosure/2008-July/063476.html Other References: SA29315: http://secunia.com/advisories/29315/ US-CERT VU#461187: http://www.kb.cert.org/vuls/id/461187 US-CERT VU#298651: http://www.kb.cert.org/vuls/id/298651

Trojan.Win32.KillAV.zk（随机名病毒）分析与解决方案

yzh — Wed, 30 Jul 2008 09:21:36 +0800 GMT

    该病毒为木马下载者，并加入了许多对抗反病毒软件的模块。超级巡警在捕获该样本后，及时对样本进行了详细的分析。该病毒运行后释放病毒副本到系统文件夹下，修改系统时间，对安全软件进行映像劫持，使安全软件失效，并卸载杀毒软件的主动防御，链接网络下载病毒，严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。

一、病毒相关分析：
        病毒标签：
        病毒名称：Trojan.Win32.KillAV.zk
        病毒类型：木马
        危害级别：4
        感染平台：Windows
        病毒大小：29,696 字节
        SHA1　： 4CC554CB5BF1D72D18CA6811623323EC357D0FD2
        加壳类型：UPX
        开发工具：Microsoft Visual C++

       病毒行为：
              1、病毒运行以后释放文件：
                   %system32%\bopazc.exe（随机文件名）
                   %system32%\mttwfh.dll
                   %system32%\opabpc.ini

             2、调用sfc_os.dll下的第五号函数，关闭windows文件保护，将病毒文件beep.sys复制到%system%\drivers文件夹下替换正常的beep.sys，病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。

             3、查找系统中是否存在avp.exe进程，如果存在就将系统时间修改为1900年，并使卡巴斯基失效。

             4、提升病毒进程权限，遍历进程，如发现以下进程名就结束：
                 "GuardField.exe"、"ctfmon.exe"、"conime.exe"、"wuauclt.exe"、"spoolsv.exe"

            5、创建线程，监控当前是否存在以下进程，如存在就结束进程：
                 DrvAnti、avp.com、avp.exe、runiep.exe、PFW.exe、FYFireWall.exe、rfwmain.exe、
   rfwsrv.exe、KAVPF.exe、KPFW32.exe、nod32kui.exe、nod32.exe、Navapsvc.exe、
                 Navapw32.exe、avconsol.exe、webscanx.exe、drwebscd.exe、NPFMntor.exe、
                 vsstat.exe、KPfwSvc.exe、Ras.exe、RavMonD.exe、mmsk.exe、WoptiClean.exe、
                 QQKav.exe、spiderui.exe、QQDoctor.exe、EGHOST.exe、360Safe.exe、iparmo.exe、
                 adam.exe、IceSword.exe、 360rpt.exe、360tray.exe、AgentSvr.exe、AppSvc32.exe、
                 autoruns.exe、avgrssvc.exe、AvMonitor.exe、CCenter.exe、ccSvcHst.exe、
                 drwadins.exe、FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、Iparmor.exe、
                 isPwdSvc.exe、kabaload.exe、drwebscd.exe、spiderml.exe、KaScrScn.SCR、
                 KASMain.exe、KASTask.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、
                 KAVStart.exe、drwebupw.exe、spidernt.exe、KISLnchr.exe、KMailMon.exe、
                 KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPFWSvc.exe、KRegEx.exe、
                 spml_set.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
                 KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
                 KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、nod32krn.exe、kvwsc.exe、
                 KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
                 mcconsol.exe、mmqczj.exe、KAV32.exe、nod32krn.exe、PFWLiveUpdate.exe、
                 QHSET.exe、RavMon.exe、RavStub.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、
                 rfwsrv.exe、RsAgent.exe、Rsaupd.exe、safelive.exe、scan32.exe、shcfg32.exe、
                 SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、
                 Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
                 UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、procexp.exe、OllyDBG.EXE、
                 OllyICE.EXE、rfwstub.exe、RegTool.exe、rfwProxy.exe、RawCopy.exe、regedit.exe、
                 filemon.exe、regmon.exe、AntiArp.exe、 taskmgr.exe、GFUpd.exe、GFRing3.exe、
                 GuardField.exe、RavTask.exe、RavCopy.exe、RavXP.exe

            6、添加注册表映像劫持，导致用户运行安全软件，实际运行的是病毒程序，被劫持的安全软件如下：
                 360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、
                 AppSvc32.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、
                 avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、drwadins.exe、
                 drwebscd.exe、drwebupw.exe、EGHOST.exe、FileDsty.exe、filemon.exe、
                 FTCleanerShell.exe、FYFireWall.exe、GFRing3.exe、GFUpd.exe、GuardField.exe、
                 HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、
                 kabaload.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
                 KAVPF.exe、 KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、
                 KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
                 KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
                 KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
                 KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、
                 KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
                 mcconsol.exe、mmqczj.exe、mmsk.exe、Navapsvc.exe、Navapw32.exe、nod32.exe、
                 nod32krn.exe、nod32kui.exe、 NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、
                 PFWLiveUpdate.exe、procexp.exe、QHSET.exe、QQDoctor.exe、 QQKav.exe、
                 Ras.exe、RavCopy.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、
                 RavXP.exe、RawCopy.exe、RegClean.exe、regedit.exe、regmon.exe、RegTool.exe、
                 rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、rfwstub.exe、RsAgent.exe、
                 Rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
                 spiderml.exe、spidernt.exe、spiderui.exe、spml_set.exe、SREng.EXE、symlcsvc.exe、
                 SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
                 UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、
                 UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WoptiClean.exe

            7、添加注册表项创建服务，加载驱动beep.sys，驱动的作用是使主动防御失效。

            8、下载文件：http://www.ir***.com/css.txt。
          根据该文件下载并运行以下病毒：
                  http://soft.hoh***.com/adco1.exe
                  http://soft.hoh***.com/adco2.exe
                  http://soft.hoh***.com/adco3.exe
                  http://soft.hoh***.com/adco4.exe
                  http://soft.hoh***.com/adco5.exe
                  http://soft.hoh***.com/adco6.exe
                  http://soft.hoh***.com/adco7.exe
                  http://soft.hoh***.com/adco8.exe
                  http://soft.hoh***.com/adco9.exe
                  http://soft.hoh***.com/adco10.exe
                  http://soft.hoh***.com/adco11.exe
                  http://soft.hoh***.com/adco12.exe
                  http://soft.hoh***.com/adco13.exe
                  http://soft.hoh***.com/adco14.exe
                  http://soft.hoh***.com/adco15.exe
                  http://soft.hoh***.com/adco16.exe
                  http://user.hoh***.com/adco17.exe
                  http://user.hoh***.com/adco18.exe
                  http://user.hoh***.com/adco19.exe
                  http://user.hoh***.com/adco20.exe
                  http://user.hoh***.com/adco21.exe
                  http://user.hoh***.com/adco22.exe
                  http://user.hoh***.com/adco23.exe
                  http://user.hoh***.com/adco24.exe
                  http://user.hoh***.com/adco25.exe
                  http://user.hoh***.com/adco26.exe
                  http://user.hoh***.com/adco27.exe
                  http://user.hoh***.com/adco28.exe
                  http://user.hoh***.com/adco29.exe
                  http://user.hoh***.com/adco30.exe
                  http://user.hoh***.com/adco31.exe
                  http://user.hoh***.com/adco32.exe

二、解决方案
    推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
              超级巡警下载地址：http://www.dswlab.com/d1.html

       手工清除方法：
              1、结束病毒进程。打开超级巡警ToolsLoader.exe工具（此工具在超级巡警安装目录下），选择进程管理功能，终止随机名进程。

              2、删除病毒生成的文件。
                             %system32%\bopazc.exe
                             %system32%\mttwfh.dll
                             %system32%\opabpc.ini

              3、修复安全模式启动/映象劫持。打开超级巡警，点安全优化，选择系统恢复，选中修复安全模式启动/映象劫持，修复即可。

三、安全建议
       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、禁用不必要的服务。
       3、不要随便打开不明来历的电子邮件，尤其是邮件附件。
       4、不要随意下载不安全网站的文件并运行。
       5、下载和新拷贝的文件要首先进行查毒。
       6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
       7、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。