篇一:病毒的介绍与预防
2011年十大木马
一、 BMW ( Bios Rootkit )
全球首例可刷写 BIOS 的 BMW 木马(国际厂商命名为 Mebromi ),感染电脑主板的 BIOS 芯片和硬盘 MBR (主引导区),再控制 Windows 系统文件加载恶意代码,使受害用户无论重装系统、格式化硬盘,甚至换掉硬盘都无法将其彻底清除。
360安全中心发布2011年首个红色安全警报称,一种新型的BMW病毒正在大量发作,已攻击上万台电脑。据分析,该病毒能够感染电脑主板的BIOS芯片和硬盘MBR(主引导区),再控制Windows系统文件加载恶意代码,使受害用户无论重装系统、格式化硬盘,甚至换掉硬盘都无法彻底清除病毒。
二、黏虫木马
新一代盗号毒王,主要利用伪装图片传播,运行后以透明窗体覆盖聊天软件登录窗,“黏”走受害用户的 QQ 、 MSN 、旺旺等聊天帐号密码。
一、“QQ黏虫”木马变种加了ASP的壳,运行之后,首先弹出一个虚假的文件出错提示麻痹用户,其实木马已经偷偷运行:
二、木马运行后结束QQ进程:
三、之后不停查找QQ窗口,等待QQ运行:
四、找到QQ窗口后对其截图,并把真正的QQ登录框隐藏到用户不可见的位置,(3000,3000,即屏幕可见范围之外):
五、弹出木马伪装的QQ登录窗口:
六、取得QQ号和密码后通过ASP提交到服务器,该木马同时具有通过邮件发送QQ号码和密码的能力,以下为邮件发信代码:
三、 Duqu
全球闻名的“超级工厂 2 代”,利用 Windows 内核 0day 漏洞传播,使嵌入恶意字体文件的 Word 文档成为木马载体,再针对攻击目标窃取机密技术资料。在国内,一家拥有蓝牙软硬件技术的高科技企业也曾遭到 Duqu 攻击。
Duqu最早出现在2011年9月,是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫,大多数Duqu出现在工控系统中。
Duqu蠕虫是Stuxnet之后最受关注的恶意程序。对源代码的最新分析显示程序员有点幽默感。卡巴斯基安全研究人员在代码中发现了复活节彩蛋,它包含了一行版权声明“Copyright (c) 2003 Showtime Inc. All rights reserved. DexterRegularDexter”,Dexter是指美剧《嗜血法医》,在Showtime电视台放映。
代码分析还显示Duqu可能有4年历史,它载入的一个驱动的编译时间是2007年8月31日。不过这可能并不正确,因为Duqu是一种定制攻击框架,它的不同组件是在不同时间创造的。研究人员还发现,Duqu最常攻击的时间发生在周三,这可能意味着它确实是一种军用类型的恶意程序。攻击者非常谨慎,每组不同的文件使用不同的命令和控制服务器。
四、新“网银大盗”
2011 年危害最大的网购木马,它利用合法程序加载组装恶意代码,运行后篡改支付页面,劫持受害者的网购资金。
“网银大盗”利用某知名播放器组件加载木马,由正常软件作为木马加载器和保护伞,从而导致绝大多数杀毒软件拦截失效。该木马运行后,会偷偷篡改网上支付金额和收款账户,把受害者的网银资金劫持到黑客账户中。
据分析,“网银大盗”一般会首先盗用或注册一家网店,以极低的商品价格吸引买家访问,再把木马伪装为“商品优惠码”、“实物拍摄图”等名称的压缩文件,通过聊天软件发给前来咨询的买家。
买家在促销活动中容易放松警惕,如果点击运行了“网银大盗”,购物支付页面就会被木马篡改。与之前的网购木马不同,“网银大盗”不仅劫持支付资金流向,还会数百倍放大支付金额,使中招网民蒙受更惨重的经济损失。
针对新型“网银大盗”,360网购保镖已更新升级,是目前国内唯一可拦截该木马变种的安全软件。专家同时建议,不要轻易打开陌生人发来的文件,也可有效降低被网购木马攻击的风险。
五、鬼影 3
感染电脑硬盘的主引导记录( MBR ),无论重装系统或是格式化硬盘都无法杀掉。此外,该木马还释放一个恶意驱动作为“保镖”,用来禁止任何修复 MBR 的操作,因此成为比较难以清除的顽固木马。
“鬼影3”病毒症状(只感染Windows XP系统):
1、杀毒软件反复对beep.sys和c盘根目录下alg.exe报毒却无法清除;
2、浏览器首页被篡改为bubu888网址导航(也可能为其它网址导航);
3、电脑桌面出现“免费电影”、“美女图片”等广告图标,不定期弹出广告网页。
六、桌面雪花
利用 QQ 邮箱附件自动传播的木马下载器,同时带有蠕虫特征。它采用分进合击的攻击手段,将木马分为两部分:一部分是不带有恶意代码的“桌面雪花”屏保,另一部分是加密的 ini 配置文件,也不可能单独作为木马。然而当屏保程序运行时,木马会自动合体,下载其他木马病毒进入受害者电脑。
七、图纸大盗
通过电子邮件传播的商业间谍木马,邮件附件名为“趣味机械制图 .rar ”。如有网民下载运行了附件,同时电脑中又装有 AutoCAD 软件,“图纸大盗”就会被激活。当中招电脑再打开任意 CAD 图纸时,木马都会把这张图纸发送到黑客指定的邮箱。
近日,南方某汽车厂商和某电脑厂商的重要CAD模具图纸都被盗了偷图纸的不是哪个小偷,而是通过邮件传播的病毒。这两家企业随后报了警,目前事件正在等待有关部门处理。
据360安全中心介绍,目前一款被命名为“图纸大盗”的商业间谍型病毒正在网上爆发,该病毒会专门感染装有AutoCAD软件的电脑,并将其中的CAD设计图纸作为邮件附件发到黑客指定的邮箱。保守估计,该病毒至少已窃取了上万份CAD设计图纸。
据介绍,“图纸大盗”病毒主要通过一封标题为《世界上最难的题》的电子邮件传播,邮件附件是“趣味机械制图.rar”压缩文件。如果有网民下载运行了附件,同时电脑中又装有AutoCAD软件,“图纸大盗”病毒就会被激活。当中招电脑再打开任意CAD图纸时,病毒都会把这张图纸发送到黑客指定的邮箱。
昨天,360的专家向本报记者详细解释了病毒传播扩散的方式:第一位网民中招后,首先,病毒会读取中招电脑的Outlook联系人邮件地址,把《世界上最难的题》邮件发给所有联系人,通过邮件附件“趣味机械制图.rar”压缩文件中包含的病毒,再去感染下一个受害者;第二,如果读取Outlook联系人邮件地址失败,“图纸大盗”就会自动向40个邮件地址发送病毒邮件,使病毒传播范围呈几何级数放大。这40个邮件地址是按照黑客设计的算法计算出来的10位以内的数值,再加上特定邮箱的后缀作为病毒邮件的发送对象。
此外,如果有AutoCAD用户通过U盘、网络共享、文件共享等方式运行了“图纸大盗”,也会感染这个病毒。 八、魔影( TDSS.TDL-4 )
号称拥有世界尖端黑客技术、长期肆虐欧美地区,曾迫使微软制作了一款专门用于防御“魔影”( TDL-4 )的反病毒补丁( KB2506014 ),然而这个补丁在发布后第二天便被“魔影”作者攻破。不过在国内,该木马传播范围较小,感染量低于与其相似的鬼影系列木马。
一个号称拥有世界尖端黑客技术、肆虐欧美地区的“魔影”病毒(TDSS.TDL-4)近日现身中国互联网。360安全中心监测发现,该病毒已捆绑在多款游戏外{过}{滤}挂和盗版软件注册机中,大规模流行的趋势非常明显。为此,360安全卫士已紧急推出“360魔影专杀工具 ”,为受害电脑提供查杀救援服务。
篇二:2011年十大木马排行榜及病毒症状分析与查杀方法
2011年十大木马排行榜及病毒症状分析与
查杀方法
日前,360安全中心发布《2011-2012年度互联网安全报告》指出,2011年国内日均有853.1万台电脑受到木马病毒攻击,占开机联网的电脑比例为5.7%。在去年新生网络安全威胁中,BMW木马、黏虫木马、Duqu(超级工厂Ⅱ)等入围“十大木马”。
查看
360《
2011-2012年度互联网安全报告》全文 (请双击下方文档)
BMW木马行为分析
《报告》显示,2011年国内共新增木马病毒10.56亿个,相比2010年增加87.7%,360安全产品日均拦截及查杀木马病毒6468.5万个。在木马数量高涨的同时,木马攻击成功率则有所降低。在每天接触木马病毒的853.1万台电脑中,实际染毒比例仅为1%-3%,而且大多为关闭安全软件后使用游戏外挂、盗版视频播放器等诱惑资源的电脑。
360安全中心指出,随着免费安全软件普及和云安全技术成熟,木马攻击手段进一步趋向“顽固化”,深入感染电脑主板Bios的BMW木马就是其中的典型。作为2011年度“毒王”,BMW木马借助游戏外挂传播,使受害电脑无论重装系统、格式化硬盘还是换掉硬盘,都无法将其彻底清除,只能求助于专杀工具。迄今,国内已有超过8万台电脑感染BMW木马。
据悉,目前近半数木马带有强制广告行为,网民可据此判断电脑是否受到木马侵袭,主要症状包括:浏览器首页被篡改为陌生网址导航、访问A网站却打开B网站、桌面常驻广告图标、自动安装不需要的软件等。
2011年十大木马排行榜
一、BMW(Bios Rootkit)
全球首例可刷写BIOS的BMW木马(国际厂商命名为Mebromi),感染电脑主板的BIOS芯片和硬盘MBR(主引导区),再控制Windows系统文件加载恶意代码,使受害用户无论重装系统、格式化硬盘,甚至换掉硬盘都无法将其彻底清除。
北京时间9月1日,360安全中心发布2011年首个红色安全警报称,一种新型的BMW病毒正在大量发作,已攻击上万台电脑。据分析,该病毒能够感染电脑主板的BIOS芯片和硬盘MBR(主引导区),再控制Windows系统文件加载恶意代码,使受害用户无论重装系统、格式化硬盘,甚至换掉硬盘都无法彻底清除病毒。
与13年前全球闻名的CIH相比,BMW病毒同样会感染BIOS芯片,但它的危害更为严重。CIH发作的后果是破坏硬盘数据、破坏BIOS芯片,而BMW病毒能够联网下载任意程序,不仅可以窃取或破坏硬盘数据,还可按照黑客指令实施盗号、远程控制“肉鸡”、篡改浏览器等多重危害。
根据360安全中心分析,BMW病毒攻击过程包括四步:第一步,感染主板BIOS芯片;第二步,通过BIOS感染硬盘MBR;第三步,通过MBR感染Windows系统文件;第四步,联网下载大批盗号木马等恶意程序,并将浏览器主页篡改为“new93网址导航”。
“用户电脑在正常开启360安全卫士的情况下,能够防御BMW病毒,使其无法感染主板BIOS芯片和硬盘MBR。”360
安全专家
石晓虹博士透露,BMW病毒和此前泛滥的“鬼影3”使用了相同的服务器,应该是由同一个黑客团伙制作出来的,中招人群主要是使用游戏外挂而关闭安全软件的玩家。
据介绍,如果安全软件扫描发现“硬盘引导区病毒”,杀毒后又会重复出现,很可能是电脑中了BMW病毒。为此,360今日紧急独家推出“BMW病毒专杀工具”,建议反复杀毒都杀不干净的网民下载使用。
下载地址:http://down.360safe.com/MBRImmunity.zip 使用说明:http://bbs.360.cn/4005462/251088932.html?recommend=1
二、黏虫木马
新一代盗号木马的代表,主要利用伪装图片传播,运行后以透明窗体覆盖聊天软件登录窗,“黏”走受害用户的QQ、MSN、旺旺等聊天帐号密码。
“打开网友照片后QQ忽然掉线,重新登录没过多久,QQ就被盗号了”。近期,一类名为“QQ黏虫”的木马让不少网民深受其害。据360安全中心分析,该木马利用伪装图片传播,运行后以透明窗体覆盖QQ登录窗,“黏”走受害用户的QQ密码。之后盗号分子
篇三:网络窃密泄密小常识
第一部分 网络窃密泄密小常识
1、 网络窃密泄密的主要方式有哪些? 一是网络窃听。窃密者只要在网络的某条分支信道或者某台终端进行侦听,就可以截取网络中输送的数据包,对没有经过严格加密的重要数据和敏感信息进行窃取。
二是网络窃取。常见的窃密方法主要有四种:暴力破解、木马技术、网络钓鱼、网络攻击。
三是网络收集。为了从互联网搜集情报,一些国家谍报机构纷纷成立相应机构,专门负责在全球各个网站、论坛里搜集和分析各种国家秘密和军事情报。
2、 木马的窃取技术有几种?
木马的窃取技术经历了四个演变过程:
一是击键记录。黑客在木马程序里面设计了键盘“钩子”程序。一旦你的电脑感染木马,钩子程序就会监听和记录所有的击键动作,然后把记录下的账户、密码等信息发送到黑客的指定邮箱。如“网银大盗”木马,专门窃取网上银行密码。
二是屏幕快照。由于用户通过“软键盘”可以避开木马的击键记录技术,于是黑客又琢磨出屏幕快照的方法。比如“证券大盗”木马,通过屏幕快照将用户的登录界面连续保存为两张黑白图片,然后发送到指定的邮箱。黑客通过对照图片中鼠标的点击位置,就可能破译出用户的账号和密码。
三是远程控制。黑客通过木马对被感染的电脑实施远程控制,进行远程文件操作,查找和获取文件资料。
四是摆渡技术。为了窃取不上网电脑的资料,黑客们又琢磨出新的招式:摆渡技术。当你的U盘和移动硬盘等在被感染的上网电脑上使用时,也会被感染上木马。如果这个U盘再用于涉密的办公电脑,木马就会自动收集硬盘上的文档资
料和敏感信息,并悄悄地打包存储到U盘上。一旦再将这个U盘再插入到上网电脑上使用,木马又会将U盘上的资料转移到上网电脑上并悄悄地发送出去。整个过程是秘密、自动完成的,用户根本不会察觉到!
3、 什么是网络钓鱼?
网络钓鱼是互联网上经常存在一些诱骗性的窃密活动,主要表现有两种方式:
一是假冒网站。假冒网站的网址和页码风格看起来与真实网站非常相似,诈骗者通常会将自己伪装成知名的银行、在线零售商和信用卡公司等,然后向用户散发假冒网站链接的有关消息,或者通过网址嫁接,诱使人上当受骗,泄露自己的财务数据,如信用卡号、账户名和口令等内容。
二是欺骗性的电子邮件。利用电子邮件来进行欺诈与盗取,比如,声称该邮件是来自系统管理员,要求确认账号与口令,或者要求验证后进行有关升级,并威胁说如果不服从则采取某种措施。又如,在电子邮件中包括有关用户调查表,而且对填写表格的用户有优惠措施,实际上却在暗中搜集用户的账号与口令信息。
第二部分 网络窃密泄密防范技巧
4、 怎样强化保密观念?
保密观念是安全的前提,必须坚持强化意识、自觉防范、主动作为的原则。通过保密宣传和警示教育,加强涉密文件和设备的使用管理,确保凡是涉密的就不要触网:涉密电脑不要上网,涉密介质不要触网,上网电脑不要处理涉密信息,以及信息发布要把好关。如需要将上网电脑中下载的资料拷贝到涉密电脑,解决的方案是:将上网下载后的资料整理后,刻录到一张空白光盘上,然后再拿到涉密电脑上使用。相对于使用U盘拷贝而言,这种方案斩断了木马利用U盘从涉密电脑向上网电脑进行摆渡的途径。
5、 怎样安全配置系统?
在默认情况下操作系统开放了很多不必要的服务和端口,共享信息也没有合理配置与审核,所以需要进行安全优化配置。建议:(1)删掉不必要的NetBl0S
协议;禁止建立空连接;禁用Guest账号;关闭Remote Register服务、Messenger服务以及远程桌面服务等一些不必要的服务。(2)取消Windows系统默认开启的隐藏共享IPC$,并且尽量不要共享文件夹,如有需要时务必设置共享密码。(3)管理好用户账号,设置强口令:密码最好8位以上,数字、字母混合使用,不要使用纯数字,不要使用和自己有关的姓名、出生日期、家庭成员等信息,或者以某种形式使用用户名。
6、 有哪些良好的上网习惯? 良好的上网习惯可以主动降低安全风险。建议:(1)慎待收到的电子邮件,除了广告邮件的骚扰、垃圾邮件的攻击、钓鱼邮件的诈骗之外,还有邮件的附件传播木马病毒、邮件网页木马等隐患,所以不要轻易回复陌生人的邮件,不要随便打开邮件中的附件,不要随便点击邮件中的网址链接。(2)拒绝从不明网站下载软件,一定要到知名的大网站去下载;下载的软件先杀毒后使用;谨慎对待网上的免费软件,不了解的不轻易下,安装软件时要“细看慢点”,不要安装其捆绑的软件。(3)浏览时不随便安装弹出的ActiveX控件和插件,严防网页中暗中放置的恶意插件和恶意脚本。还有,在网吧等公共场所上网后,要注意清理掉Cookies文件。(4)抵制不良网站的诱惑,不要轻易去点击陌生的站点。
7、 有哪些在工作中易造成窃密泄密的不良习惯?
一是盲目搜集资料。在近期发生的窃密泄密事件中,相当一部分泄密责任人都是各单位的业务骨干。他们大多习惯广泛搜集各种资料,方便查阅,提高工作效率,然而却忽视了有关材料是否涉及国家秘密的问题。
二是不及时清理涉密电子文档。一些涉密人员长年累月处理涉密信息,却没有及时归档保存,计算机内存储的涉密信息数量惊人,成为严重的窃密泄密隐患。
三是擅自保存原工作单位文件资料。一些同志把自己经手的国家秘密当作个人资料、个人成果,不转交、不清理,往往造成窃密泄密隐患。
四是公私不分。一些涉密人员长时间在计算机及移动存储介质使用上公私不分,有的利用工作用计算机处理私人事务,有的对移动存储介质不加区分,内外网混用,甚至公私混用,造成窃密泄密。
五是随意复制。电子文件复制、传输十分方便,一些涉密人员在工作中随意复制并向他人提供电子涉密文件,使得国家秘密难以控制,增加了窃密泄密隐患。