2010年7月29日 星期四

[news]中國變種木馬 綁架桌面捷徑

0 意見

中國變種木馬 綁架桌面捷徑

〔記者王珮華/台北報導〕資安業者近期觀察新一波木馬程式攻擊,發現名為Troj_malware.vtg的木馬,會竄改使用者桌面捷徑,只要使用者點下這些捷徑,就會連到中國知名網站,如百度、淘寶等,推測木馬的作者可能是對岸駭客。資安業者建議,透過修改登錄檔,可解決桌面捷徑被綁架的問題。


趨勢科技表示,最近發現一隻名為Troj_malware.vtg的變種木馬程式,一旦網友瀏覽帶有此木馬程式的網頁,會跳出視窗詢問是否要執行某些程式,不論網友接受與否,此惡意程式將自動執行,讓使用者的檔案捷徑失效,點選任何捷徑都會被連到某些中國知名網站如百度、淘寶等,捷徑形同綁架。


趨勢科技資深技術顧問簡勝財指出,該木馬目前在中國與台灣都有發現,由於木馬程式可能被駭客植入任何網站,因此無法得知瀏覽哪些網站會中招。不過,從木馬執行時,會跳出簡體中文視窗來看,這隻木馬作者有很大機會是對岸人士,也推測網友瀏覽中國網站時,遭感染的機會比較大,請網友特別小心。


簡勝財說,目前觀察到被感染的檔案捷徑將無法自桌面直接修復,須經手動於系統中修復,造成網友使用電腦的不便,至於遭感染的電腦是否會有其他風險,目前還沒發現,依照駭客行為模式,可能是在測試某些更具威脅性的惡意工具。簡勝財提醒,由於此隻木馬程式變種速度快且多,網友最好勿輕易瀏覽不明網站。


趨勢科技也提供修復方式,網友可在「附屬應用程式」中找到「執行」,輸入「regedit」,按下「編輯-->尋找」,輸入被綁架前往的目的網址,找到左方相對應的CLSID值;之後,再「編輯-->尋找」,輸入CLSID值,將搜尋到的登錄值全數刪除,即大功告成。

新聞出處網址:http://tw.news.yahoo.com/article/url/d/a/100729/78/2a3og.html

[news]資安研究員展示如何破解ATM

0 意見

資安研究員展示如何破解ATM
ZDNET新聞專區:Declan McCullagh



資安研究員周三以實例證明,破解自動櫃員機(ATM)不是不可能的事,只要有合適的軟體,甚至是輕而易舉的事。
西雅圖IOActive公司安全測試總監Barnaby Jack周三在拉斯維加斯黑帽(Black Hat)會議上演講,把兩台ATM搬到講台上,親自示範如何破解ATM,按了一個按鈕後,讓ATM吐出一堆鈔票。
澳洲籍、家住聖荷西的Jack說:「有些裝置從外表上看來固若金湯,但我希望改變民眾對這些裝置的看法。」
經由他的示範,台下觀眾見識到一項安全漏洞可讓駭客透過電話數據機連上ATM,而且在不知道密碼的情況下,也能立即命令ATM吐出全部的現鈔。
Jack表示,他上網買的這兩台獨立式ATM分別由Tranax Technologies和Triton製造,花了多年的時間研究ATM的程式碼,期間找出了安全漏洞和程式設計上的錯誤,因此讓他能完全取得存取這些機器的捷徑,並且學得破解技巧,可打開同廠牌、別款ATM內建的保險箱。
他說:「我見過的每一台ATM,都可以找出安全漏洞,讓駭客能叫機器吐出鈔票。我檢視過四台ATM,四台都一樣。」(不過,他表示從未評估過內建式的(built-in)ATM,像是銀行和信用合作社採用的那一類ATM。)
Jack指出,自從一年前他引起Tranax和Triton的注意後,這兩家公司已堵住安全漏洞。不過,倘若購置ATM的客戶(例如便利商店或餐廳)未安裝修補程式,這些ATM仍可能讓駭客乘虛而入。
破解ATM不是新點子,電影「魔鬼終結者2」的主角John Connor的演出就令人印象深刻。有些竊賊更利用一種少有人知的設定選單,騙ATM以為它們吐的是1美元美鈔,但實際吐出的是20美元鈔票。
但這些破解技巧威脅有限,因為不是靠深入分析ATM程式碼而得逞。
許多ATM採用Windows CE作業系統與ARM處理器,且具網際網路連線或撥接數據機連結,這些都透過一個串列埠(serial port)連結來控制對保險箱的存取。Jack指出,他用標準的除錯(debugging)技巧中斷(interrupt)正常的開機(boot)程序,並改為啟動Internet Explorer瀏覽器,這讓他能存取檔案系統,並拷貝相關檔案以便進行分析。
Jack表示,在Tranax生產的ATM中找到一個遠端存取的安全漏洞,讓他毋須密碼就能自遠端入侵ATM。
至於Triton的ATM,他未發現明顯的遠端存取安全弱點,不過他發現吐鈔的PC主機板只靠一把標準的(非獨一無二)鑰匙保護,可上網以大約10美元購得。他還發現,可以強迫這部機器接受他寫的開後門軟體,當作合法的軟體更新。
出席黑帽會議的Triton工程部副總裁Bob Douglas強調,上述安全漏洞在去年11月發布修補程式時已解決,並提供客戶選擇工具,以獨特的鑰匙取代標準鎖。
Tranax周三未作出回應。
Jack原訂去年在黑帽會議上發表類似的演講,但因為ATM業者向他當時的雇主Juniper Networks抗議而作罷。
被問到會不會發布他寫來破解ATM的Dilligner和Scrooge公用程式,Jack表示:「我不會發布。」(唐慧文譯)

新聞出處網址:http://www.zdnet.com.tw/enterprise/topic/productivity/0,2000085738,20146828,00.htm?feed=NL:+%A5%F8%B7%7E%C0%B3%A5%CE+%3A+%A5D%C3D%A4%A4%A4%DF+%3A+%A5%F8%B7%7E%A5%CD%B2%A3%A4O

2010年7月22日 星期四

[知識] 判斷電腦是否中毒

0 意見

判斷電腦是否中毒

各種病毒時至今日也可算是百花齊放了,搞得人心惶惶,一旦發現自己的電腦有點異常就認定是病毒在作怪,到處找殺毒軟體,一個不行,再來一個,總之似乎不找到“元兇”誓不甘休一樣,結果病毒軟體是用了一個又一個,或許為此人民幣是用了一張又一張,還是未見“元兇”的蹤影,其實這未必就是病毒在作怪。

這樣的例子並不少見,特別是對於一些初級電腦用戶。下面我就結合個人電腦使用及企業網路維護方面的防毒經驗從以下幾個方面給大家介紹如何判斷是否中了病毒,希望對幫助識別“真毒”有一定幫助!


病毒與軟、硬體故障的區別和聯繫

電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。 我們只有充分地瞭解兩者的區別與聯繫,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見 電腦故障症狀分析。

症狀病毒的入侵的可能性軟、硬體故障的可能性

  經常死機:病毒打開了許多檔或佔用了大量記憶體;不穩定(如 記憶體質量差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的記憶體和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路 上的軟體時經常死機也許是由於網路速度太慢,所運行的程式太大,或者自己的工作站硬體配置太低。

系統無法啟動:病毒修改了硬碟的引導資訊,或刪除了某些啟動檔。如引導型病毒引導檔損壞;硬碟損壞或參數設置不正確;系統檔人為地誤刪 除等。

文件打不開:病毒修改了檔格式;病毒修改了檔鏈結位置。文件損壞;硬碟損壞;檔快捷方式對應的鏈結位置發生了變化;原來編輯檔的軟體刪 除了;如果是在局域網中多表現為伺服器中檔存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。

經常報告記憶體不夠:病毒非法佔用了大量記憶體;打開了大量的軟體;運行了需記憶體資源的軟體;系統配置不正確;記憶體本就不夠(目前 基本記憶體要求為128M)等。

提示硬碟空間不夠:病毒複製了大量的病毒檔(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一 安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在局域網中系統管 理員為每個用戶設置了工作站用戶的“私人盤”使用空間限制,因查看的是整個網路盤的大小,其實“私人盤”上容量已用完了。

軟碟等設備未訪問時出讀寫信號:病毒感染;軟碟取走了還在打開曾經在軟碟中打開過的檔。

出現大量來歷不明的檔:病毒複製檔;可能是一些軟體安裝中產生的暫存檔案;也或許是一些軟體的配置資訊及運行記錄。

啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機 了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等資料丟失:病毒刪除了檔;硬碟磁區損壞;因恢復檔而覆蓋 原文件;如果是在網路上的檔,也可能是由於其他用戶誤刪除了。

鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意“木馬”;鍵盤或滑鼠損壞;主板上鍵盤或滑鼠介面損壞;運行了某個鍵盤或滑鼠鎖定程式,所 運行的程式太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。

系統運行速度慢:病毒佔用了記憶體和CPU資源,在後臺運行了大量非法操作;硬體配置低;打開的程式太多或太大;系統配置不正確;如果是運行網路上的程 式時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程式;還有一種可能就是你的硬碟空間不夠用來運行程式時作臨時交 換資料用。

系統自動執行操作:病毒在後臺執行非法操作;用戶在註冊表或啟動組中設置了有關程式的自動運行;某些軟體安裝或升級後需自動重啟系統。

通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解 決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。

病毒的分類及各自的特徵

要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的瞭解,而且越詳細越好!
病毒因為由眾多分散的個人或 組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。

如按傳染物件來分,病毒可以劃分為以下幾類:

a、引導型病毒
這類病毒攻擊的物件就是磁片的引導磁區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導磁區,所以造 成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。

b、檔型病毒
早期的這類病毒一般是感染以exe、com等為副檔名的可執行檔,這樣的話當你執行某個可執行檔時病毒程式就跟著啟動。近期也有一些病毒感染以 dll、ovl、sys等為副檔名的檔,因為這些檔通常是某程式的配置、鏈結檔,所以執行某程式時病毒也就自動被子載入了。它們載入的方法是通過插入病毒 代碼整段落或分散插入到這些檔的空白位元組中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行檔中,感染後通常檔的位元組數並不見增加,這就是 它的隱蔽性的一面。

c、網路型病毒
這種病毒是近幾來網路的高速發展的產物,感染的物件不再局限于單一的模式和單一的可執行檔,而 是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE檔進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的 刪除、修改檔到現在進行檔加密、竊取用戶有用資訊(如黑客程式)等,傳播的途經也發生了質的飛躍,不再局限磁片,而是通過更加隱蔽的網路進行,如電子郵 件、電子廣告等。

d、複合型病毒
把它歸為“複合型病毒”,是因為它們同時具備了“引導型”和“檔型”病毒的某些特點,它們即可以 感染磁片的引導磁區檔,也可以感染某此可執行檔,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導磁區檔和可執行檔的感染,所以這 類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。

以上是按照病毒感染的物件來分,如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
a、良性病毒:
這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程 式的水平。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其他壞處。如一些木馬病毒程式也是 這樣,只是想竊取你電腦中的一些通訊資訊,如密碼、IP位址等,以備有需要時用。

b、惡性病毒
我們把只對軟體系統造成干擾、竊取 資訊、修改系統資訊,不會造成硬體損壞、資料丟失等嚴重後果的病毒歸之為“惡性病毒”,這類病毒入侵後系統除了不能正常使用之外,別無其他損失,系統損壞 後一般只需要重裝系統的某個部分檔後即可恢復,當然還是要殺掉這些病毒之後重裝系統。

c、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常 啟動,你保分留在硬碟中的有用資料也可能隨之不能獲取,輕一點的還只是刪除系統檔和應用程式等。

d、災難性病毒
這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁片的引導磁區檔、修改檔分配表和硬碟分區表,造成系統根本無法啟動, 有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的資料也就很難獲取了,所造成的損失是非 常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業用戶,應充分作好災難性備份,還好現在大多數大型企業都已認識到備份的意義所在,花鉅 資在每天的系統和資料備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這“萬一”。我所在的雀巢就是這樣,而且還非常重視這 個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。

如按其入侵的方式來分為以下幾種:

a、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高階語言的根源程式,病毒是在根源程式編譯之前插入病毒代碼,最後隨根源程式一起被編譯成可執行檔,這樣剛生 成的檔就是帶毒檔。當然這類檔是極少數,因為這些病毒開發者不可能輕易得到那些軟體發展公司編譯前的根源程式,況且這種入侵的方式難度較大,需要非常專業 的編程水平。

b、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程式的整個或部分模組,這類病毒也少見,它主要是攻擊特 定的程式,針對性較強,但是不易被發現,清除起來也較困難。

c、系統修改型
這類病毒主要是用自身程式覆蓋或修改系統中的某些檔來達到調用或替代作業系統中的部分功能,由於是直接感染 系統,危害較大,也是最為多見的一種病毒類型,多為檔型病毒。

d、外殼附加型
這類病毒通常是將其病毒附加在正常程式的頭部或尾部,相當於給程式添加了一個外殼,在被感染的程式執行時, 病毒代碼先被執行,然後才將正常程式調入記憶體。目前大多數檔型的病毒屬於這一類。

有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。

1、反病毒軟體的掃描法
這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體發 展商帶來挑戰。但隨著電腦程式開發語言的技術性提高、電腦網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體發展公司也是越來越多了。但目 前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在 此就不必說敘了,我相信大家都有這個水平!

2、觀察法
這一方法只有在瞭解了一些病毒發作的症狀及常棲身的地方才能準確地觀察到。 如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病 毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:

a、記憶體觀察
這一方法一般用在DOS下發現的病毒,我們可用DOS下的“mem/c/p”命令來查看各程式佔用記憶體的情況,從中發現病毒佔用記憶體的情況(一般不 單獨佔用,而是依附在其他程式之中),有的病毒佔用記憶體也比較隱蔽,用“mem/c/p”發現不了它,但可以看到總的基本記憶體640K之中少了那麼區 區1k或幾K。

b、註冊表觀察法
這類方法一般適用於近來出現的所謂黑客程式,如木馬程式,這些病毒一般是通過修改註冊表中的啟 動、載入配置來達到自動啟動或載入的,一般是在如下幾個地方實現:   [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion   等等,具體可參考我的另一篇文章——《通通透透看木馬》,在其中對註冊表中可能出現的地方會有一個比較詳盡的分析。

c、系統配置檔觀察法
這類方法一般也是適用于黑客類程式,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini檔中有一個"shell=”項,而在wini.ini檔中有 “load= ”、“run= ”項,這些病毒一般就是在這些專案中載入它們自身的程式的,注意有時是修改原有的某個程式。我們可以運行Win9x/WinME中的 msconfig.exe程式來一項一項查看。具體也可參考我的《通通透透看木馬》一文。

d、特徵字串觀察法
這種方法主要是針對 一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的檔中寫入“CIH”這樣的字串,當然我們不可能輕易地發現,我們可以對主 要的系統檔(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,當然編輯之前最好還要要備份,畢竟是主要系統檔。

e、硬碟空間觀察法
有些病毒不會破壞你的系統檔,而僅是生成一個隱藏的檔,這個檔一般內容很少,但所占硬碟空間很大,有時大得讓你的硬碟無法運行一般的程式,但是你查又看 不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的檔(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形 的,因為病毒一般把它設置成隱藏屬性的。到時刪除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例,明明只安裝了幾個常用程式,為 什麼在C盤之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的。

來源網址:網路尋找...出處不明...若有網友知道...煩請告知

[news]微軟釋出臨時工具修補零時漏洞

0 意見

微軟釋出臨時工具修補零時漏洞
微軟公司已發布臨時性的“Fix-It”工具,以防駭客利用Windows Shell的程式執行安全漏洞發動零時攻擊。

這些攻擊,加上RealTek和JMicron簽章過的驅動程式,正透過USB隨身碟或網路共享和 WebDAV逐漸蔓延。

微軟已貼出公告描述這個問題:「這項安全弱點之所以存在,是因為Windows分析捷徑的方式有誤,使得被特別動過手腳的捷徑圖示被顯示出來,進而可能執行惡意程式碼。這項漏洞可能透過內含惡意程式的USB隨身碟在本機上執行,或透過網路共享和WebDAV從遠端執行。支援嵌入式捷徑的特殊檔案類型中,也可能包含攻擊範本程式(exploit)。」

駭客也可能利用這項安全漏洞,對安裝Internet Explorer瀏覽器的Windows電腦發動所謂的「偷渡下載」(drive-by downloads)攻擊。

此外,攻擊者也可能預先設置一個惡意網站或遠端網路共享,並且把惡意軟體元件置於這個遠端處所。一旦使用者用IE這類網頁瀏覽器或Windows Explorer這類檔案管理員瀏覽該網站,Windows就會嘗試載入有問題的捷徑檔圖示,進而啟動惡意程式碼。此外,駭客可能把攻擊程式嵌入某個支援嵌入式捷徑的檔案(例如Microsoft Office檔案,但不限於Office檔案)。

在正式的安全更新(patch)發布前,微軟建議使用者先執行自動化的“Fix-It”工具,以關閉受影響的.LNK和.PIF檔案功能。(唐慧文譯)

2010年7月16日 星期五

[news]調查報告:Adobe Reader、IE漏洞最多

0 意見

調查報告:Adobe Reader、IE漏洞最多


根據M86 Security Labs 14日公布的調查報告,弱點最常被利用的軟體是Adobe Reader和Internet Explorer,但Java被利用的趨勢正不斷上升


M86 Security Labs發現,今年上半年最常被利用的15個弱點中,4個屬於Adobe Reader,5個屬於Internet Explorer。


同樣有弱點名列前15名的軟體,還包括微軟Access Snapshot Viewer、Real Player、微軟DirectShow、SSreader和AOL SuperBuddy。報告指出,這些弱點大都早在1年前即曝光,軟體商也已提供修補方案。因此,凸顯了保持軟體更新最新版本和修補方案的需要」。


有更多Java弱點被利用,反映出攻擊者看上了Java的普及和受歡迎。最普遍的攻擊情境,是用瀏覽器造訪合法網站時,被隱藏的iFrame或JavaScript重導至一個帶有惡意Java小程式的惡意網頁。


eEye Digital Security技術長Marc Maiffret說:「Java是下一個最易取用的攻擊工具。」


在此同時,攻擊者也發現躲避惡意軟體偵測機制的新方法。M86的報告指出:「過去幾個月來,我們觀察到一種結合JavaScript與Adobe ActionScript指令語言的新程式混亂技術。」


該報告也指出,目前佔所有機關組織電郵來信88%的垃圾郵件,大多(約81%)屬於藥品類,且主要都是「加拿大藥商」品牌。


這部份與Proofpoint和CommTouch前一日發佈的研究報告相符。後者指出,2010年第二季,每天平均有1,790億封垃圾電郵或釣魚電郵,其中以藥品廣告最多。而垃圾郵件最愛用的假「發信」網域,依排名分別是:gmail.com、hipenhot.nl、yahoo.com、123greetings.com、hotmail.com和postmaster.twitter.com。(陳智文/譯)



原始新聞出處連結:http://www.zdnet.com.tw/news/software/0,2000085678,20146624,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

2010年7月15日 星期四

[news]驚!Windows弱點雖已發佈 惡意程式仍下載超過34萬次

0 意見

記者蘇湘雲/台北報導

網友收到定期安全更新不以為意,但資安專家警告,這會使得電腦暴露於網路威脅下,舉例說,惡意程式Agent.bab利用Windows系統弱點,能夠自動下載惡意程式到使用者電腦中,雖然這項弱點早就於今年3月被發佈,但僅6月份一個月統計,此惡意程式仍然被下載超過了34萬次。


卡巴斯基實驗室14日發佈6月惡意程式統計報告,調查發現,名為Trojan-Downloader.JS.Pegel.b的惡意程式下載器又重新回到排行榜並高達第三位。


專家指出,當使用者存取或瀏覽到已被Pegel.b感染的網頁時,Pegel.b會將使用者轉至被駭客控制的網站,並且在使用者不知情的情況下,將更多惡意程式自動植入用戶電腦裡,間接引發駭客發動攻擊,包含竊取個人及企業隱私資料的木馬程式、間諜程式,及釣魚網站。


調查還發現,當Adobe使用者在6月進行程式更新時,Exploit.JS.Pdfka惡意程式家族隨即產生大量攻擊,也因此本月就有3支此類型惡意程式分佔排行榜第6、第8和第14。


專家警告,很多使用者對廠商定期發布的安全更新不以為意,使得他們的電腦暴露於惡意攻擊的威脅下。排名第二位的Agent.bab就是一個很明顯的例子;Agent.bab利用Windows系統的CVE-2010-0806弱點,能夠自動將許多惡意程式下載到使用者的電腦裡。


雖然這項弱點雖然早就於今年3月被發佈,但僅6月份單月統計,此惡意程式仍然被下載超過了34萬次。

新聞原始出處連結:http://tw.news.yahoo.com/article/url/d/a/100714/17/2995u.html

2010年7月11日 星期日

[news]Panda : 全新釣魚手法Tabnabbing驚悚現身

0 意見

Panda : 全新釣魚手法Tabnabbing驚悚現身
Date : July 7, 2010    Company : Panda    

 
-特洛伊木馬程式的數量佔所有新發現惡意軟體的52%。

-傳統病毒的復甦態勢仍持續著,其數量佔所有新發現惡意軟體的24.35%,比前一季上升了10個百分點。

-台灣、俄羅斯和土耳其是電腦中毒數量前三高的國家。


雲端資安防護廠商-Panda防毒軟體公司的反惡意軟體實驗室(Panda實驗室),最近發表了2010年第二季季報,針對今年4月到6月的資安威脅進行分析。其中最引人關注的,就是具高危險性的全新釣魚手法Tabnabbing驚悚現身!

Tabnabbing是一種利用瀏覽器頁籤功能的釣魚手法,網友自以為連上Gmail、Hotmail或Facebook等熟悉網頁,卻不知道自己身陷個資曝光的險境,帳密資料也早已遭到竊取。

Tabnabbing的攻擊手法相當單純,其步驟如下:

1. Java程式碼會偵測已開啟但目前未被瀏覽的頁籤。這組程式碼會自動覆寫網頁的內容、圖示和抬頭名稱,變成一個和原始網頁很類似的偽造頁面。

2. 在開啟多個瀏覽器頁籤、瀏覽數個網頁後,假如網友想要重新登入Gamil之類的帳戶,通常都會回頭看看頁籤,檢查是不是已開啟過Gamil登入頁面了。在這種情況下,網友就會被導到偽造的Gmail登入頁面裡面,而他們根本不會記得先前瀏覽過的登入頁面實際上已經失效一段時間了。

3. 當網友輸入登入資料時,偽造網頁就會把這些個資偷偷儲存起來,並將他們重新導回去原始網頁裡面。

Panda實驗室提醒您,關閉所有非使用中的瀏覽器頁籤,養成良好的網路使用習慣,以避免自己淪為個資洩漏的高危險群。

特洛伊木馬程式仍是最具威脅的惡意軟體

在今年第二季,特洛伊木馬程式再度成為「成長最快速的惡意軟體」,其數量佔所有新發現惡意軟體的51.78%。而最近幾個月以來,傳統病毒也呈現了復甦態勢,其數量比前一季上升了10個百分點,目前總數已佔所有新發現惡意軟體的24.35%。

至於在電腦中毒排行榜方面,台灣又再次慘居首位,代表有50%以上的電腦都受到了病毒感染。而緊接在後的國家則是俄羅斯和土耳其。

Panda在前三個月所發現的社群網站資安事件、搜尋引擎毒化攻擊手法以及Windows系統安全漏洞,通通都在第二季季報裡面為您揭密,您可點選下列網址下載這份文件:http://www.pandasecurity.com/img/enc/Quarterly_Report_PandaLabs_Q2_2010.pdf

2010年7月6日 星期二

[ZDNET] Google修了被駭的YouTube漏洞

0 意見

Google修了被駭的YouTube漏洞


根據媒體報導,部分YouTube影片4日早晨遭駭客掛上猥褻的快顯圖片,並導向成人網站。Google已發布更新封堵這項安全漏洞
IDG News Service的報導指出,駭客利用一種稱為跨站腳本攻擊(cross-site scripting,XSS)的安全弱點,在YouTube網站的讀者評論頁面中植入程式碼。駭客似乎對小賈斯汀(Justin Bieber)深懷怨恨,專門找與這位青少年偶像明星有關的影片下手。小賈斯汀是YouTube人氣最旺的紅星之一,他訂於4日周日晚間上NBC電視台參加慶祝美國獨立紀念日的節目。

根據IDG的報導,一位Google發言人表示,YouTube訪客碰上被綁架的網頁時,他們的Google帳戶並不會遭到駭客侵入;但訪客最好先登出Google帳號,再重新登入,以策安全

IDG另外還引述一名人士的說法指出,雖然被駭客動手腳的YouTube網頁不含惡意軟體,但訪客被拐去看的網頁卻可能藏毒,但大多數的防毒軟體應該足以抵禦。  

Google表示,為因應駭客攻擊,一度暫時關閉YouTube的評論區。 

Google說:「發現(問題)後的一小時內,評論區暫時隱藏,兩小時後我們發布完整的更新解決這個問題。我們會持續研究這個弱點,協助避免未來再發生類似的問題。」 

(唐慧文譯)