新年網(wǎng)購警惕木馬作祟

文/鄭先偉

CCERT月報(bào)

新年網(wǎng)購警惕木馬作祟

文/鄭先偉

2010年12月教育網(wǎng)網(wǎng)絡(luò)運(yùn)行正常，無重大安全事件發(fā)生。

12月的安全投訴事件與之前幾個(gè)月沒有明顯的比例變化，依然以垃圾郵件和網(wǎng)頁掛馬為主。

2010年11月～2010年12月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

與網(wǎng)上支付相關(guān)的木馬增多

12月沒有新增影響特別嚴(yán)重的蠕蟲病毒。近期需要引起用戶注意的是一些與網(wǎng)上支付有關(guān)的木馬病毒。隨著網(wǎng)絡(luò)購物的普及以及新年的臨近，在網(wǎng)絡(luò)上購物的用戶數(shù)量也越來越多，這也使得與網(wǎng)絡(luò)支付有關(guān)的木馬數(shù)量變多了。這類木馬通常與一些正常軟件捆綁在一起引誘用戶下載運(yùn)行，從而感染用戶，多數(shù)時(shí)候它們還會(huì)利用SEO（搜索引擎優(yōu)化）技術(shù)來提升自己被下載的幾率。當(dāng)用戶感染了這類木馬病毒后，木馬會(huì)在用戶進(jìn)行網(wǎng)絡(luò)支付時(shí)劫持用戶的網(wǎng)絡(luò)連接，將本來應(yīng)該付給商家的金錢轉(zhuǎn)付到木馬編寫者的賬號(hào)中，給用戶帶來直接的經(jīng)濟(jì)損失。因此用戶在進(jìn)行網(wǎng)絡(luò)購物時(shí)一定要保持系統(tǒng)的安全性，在進(jìn)行網(wǎng)絡(luò)支付前一定要仔細(xì)確認(rèn)商家的信息。

近期新增嚴(yán)重漏洞評(píng)述

2010年12月微軟發(fā)布了17個(gè)安全公告，再次刷新了單月發(fā)布安全公告數(shù)量的紀(jì)錄。截至12月，微軟2010年發(fā)布了的安全公告總數(shù)已經(jīng)創(chuàng)紀(jì)錄的達(dá)到106個(gè)，凸顯當(dāng)前安全形勢(shì)的嚴(yán)峻性。這次發(fā)布的安全公告修補(bǔ)了前一個(gè)月IE瀏覽器爆出的遠(yuǎn)程代碼執(zhí)行0day漏洞以及被超級(jí)工廠病毒使用的最后一個(gè)未修補(bǔ)的本地權(quán)限提升漏洞。除這兩個(gè)漏洞外，此次公告還修補(bǔ)其他38個(gè)涉及Windows系統(tǒng)、IE瀏覽器以及Office辦公軟件的漏洞，建議用戶盡快安裝相應(yīng)的補(bǔ)丁程序。

除了微軟外，一些其他的第三方軟件也發(fā)布了安全補(bǔ)丁或新的版本修補(bǔ)之前的漏洞，用戶應(yīng)該盡快選擇下載安裝，它們是：

Firefox瀏覽器發(fā)布最新版本3.6.13修補(bǔ)多個(gè)安全漏洞：

http://www.mozillaonline.com/

Winamp音樂播放軟件最新版本5.601修補(bǔ)多個(gè)安全漏洞：

http://www.winamp.com/

除上述提及的補(bǔ)丁及漏洞外，下列的0day漏洞需要用戶特別關(guān)注：

IE畸形CSS規(guī)則導(dǎo)入遠(yuǎn)程代碼執(zhí)行漏洞（0day）

影響系統(tǒng)：

Internet Explorer 6

Internet Explorer 7

Internet Explorer 8

漏洞信息：

IE瀏覽器在處理CSS樣式單時(shí)存在一個(gè)漏洞，當(dāng)錯(cuò)誤地在CSS樣式單中引用該CSS樣式單自身時(shí)存在內(nèi)存錯(cuò)誤，可能導(dǎo)致釋放后的內(nèi)存塊被重用。精心構(gòu)造內(nèi)存中的數(shù)據(jù)結(jié)合Heap Spray等技術(shù)可利用此漏洞，如果成功，則可遠(yuǎn)程執(zhí)行任意指令；如果失敗，則可能導(dǎo)致用戶系統(tǒng)的內(nèi)存被耗盡并最終導(dǎo)致IE瀏覽器崩潰。攻擊者要想利用該漏洞，需要精心構(gòu)造一個(gè)網(wǎng)站并引誘用戶點(diǎn)擊。

漏洞危害：

該漏洞可以直接通過網(wǎng)頁進(jìn)行利用。最初漏洞是以拒絕服務(wù)攻擊漏洞被公布出來的，但是在隨后的研究測試中被發(fā)現(xiàn)可以用來進(jìn)行代碼執(zhí)行。目前穩(wěn)定的執(zhí)行代碼工具已被開發(fā)出來，隨后該漏洞可能會(huì)被大規(guī)模利用，以進(jìn)行掛馬攻擊。

解決辦法：

目前廠商已針對(duì)該漏洞發(fā)布了緊急安全通告，但是還未發(fā)布補(bǔ)丁程序，建議用戶隨時(shí)關(guān)注廠商的動(dòng)態(tài)：

http://www.microsoft.com/china/technet/ security/advisory/2488013.mspx

在沒有補(bǔ)丁程序之前，用戶可以使用以下臨時(shí)辦法來減輕漏洞帶來的風(fēng)險(xiǎn)：

方法一：將瀏覽器的安全級(jí)別設(shè)置為“高”阻止ActiveX 控件和活動(dòng)腳本，方法如下：

在 Internet Explorer的“工具”菜單上，單擊“Internet選項(xiàng)”。

在“Internet 選項(xiàng)”對(duì)話框中，單擊“安全”選項(xiàng)卡，然后單擊“Internet”圖標(biāo)。

在“該區(qū)域的安全級(jí)別”下，將滑塊移至“高”。這將用戶訪問的所有網(wǎng)站的安全級(jí)別均設(shè)置為“高”。

方法二：臨時(shí)使用其他瀏覽器替代IE瀏覽器，如使用Firefox瀏覽器。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

安全提示

對(duì)于近期的風(fēng)險(xiǎn)，建議用戶注意以下操作：

1.及時(shí)更新系統(tǒng)及第三方軟件的補(bǔ)丁程序；

2.安裝正版殺毒軟件，并及時(shí)升級(jí)病毒庫；

3.進(jìn)行網(wǎng)上購物時(shí)一定要保證系統(tǒng)是安全的（定時(shí)對(duì)系統(tǒng)查毒），不要在不受信任的公共機(jī)器上進(jìn)行網(wǎng)絡(luò)交易；

4.不要輕易點(diǎn)擊即時(shí)通訊軟件中發(fā)來的交易鏈接；

5.在進(jìn)行網(wǎng)絡(luò)支付時(shí)一定要仔細(xì)確認(rèn)收款方的信息。