網購仍是木馬“主戰場”

文/鄭先偉

網購仍是木馬“主戰場”

文/鄭先偉

病毒與木馬

寒假及春節期間教育網網絡運行平穩，無重大安全事件發生。

寒假期間，教育網內的整體安全投訴事件有所減少。

圖 2011年1月～2月教育網安全投訴事件統計

近期用戶需要關注的病毒依然是與各類網絡購物有關的木馬病毒。這類病毒會通過各種途徑進行傳播（如網頁掛馬、熱點事件電子郵件附件、即時通訊軟件等），一旦感染用戶的系統，木馬病毒就會劫持篡改用戶的網絡購物訪問，將用戶導向到偽造的購物網站上，從而獲取直接的經濟利益。病毒使用的篡改方式可能包括：修改IE瀏覽器的快捷方式，使其直接導向假的購物網站；通過修改IE默認主頁讓用戶訪問假的網址導航網站，從而使其點擊假的購物網站；篡改DNS緩存等。因此建議用戶在進行網絡購物時盡可能使用HTTPS加密協議進行訪問操作，并同時仔細查看訪問的域名信息及證書信息是否與自己要訪問的目標網址相同。

近期新增嚴重漏洞評述

2011年1月及2月，微軟發布的安全公告數為14個，其中4個為嚴重級別，10個為重要級別。這14個公告共修補25個安全漏洞，涉及的產品包括Windows系統、Office軟件、IE瀏覽器、IIS等。其中2010年12月份期間暴露的IE CSS 0day漏洞和Windows圖形處理引擎的0day漏洞在2月份的公告中得到修補。用戶應該盡快下載安裝相應的補丁程序。除公告中涉及的漏洞外，微軟的IE瀏覽器及Office軟件也在新年伊始爆出多個0day漏洞，包括：

MHTML格式文件解析0day漏洞

http://www.microsoft.com/technet/security/advisory/2501696.mspx

Excel軟件0day漏洞

http://www.securityfocus.com/bid/46225/

http://www.securityfocus.com/bid/46229/

PowerPoint軟件0day漏洞

http://www.securityfocus.com/bid/46228

第三方軟件中，Adobe公司的系列公告中涉及的漏洞同樣需要用戶盡快安裝補丁程序：

Adobe Flash Player軟件的安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-02html

Adobe Reader/Acrobat軟件安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-03html

Windows MHTML腳本代碼注入漏洞

影響系統：

WinXP，Windows Vista，Windows 2003，Win7。

漏洞信息：

MHTML是微軟提供的一種HTML文檔格式，它允許將網站的所有元素（包括文本和圖形）都保存到單個文件中。這種封裝可將整個網站發布為單個內嵌MIME（通過 Internet連接傳遞多媒體資源的一列標準，MIME類型通知程序對象所包含的內容（如圖形、聲音或視頻））的MHTML格式的文件。微軟的MHTML解析文檔中內容塊的MIME格式的方式存在漏洞。在某些條件下，允許攻擊者把客戶端腳本注入到Web請求應答中，并在目標瀏覽器上下文中執行。腳本可偽造內容，泄漏信息或執行其他攻擊。

漏洞危害：

這個漏洞存在于MHTML文件格式的解析過程中，因此它只與操作系統的版本有關，而與IE瀏覽器的版本無關，因此可以通過所有版本的IE瀏覽器進行利用。另外它還可以將攻擊文件存成單個文件，通過郵件進行傳播。目前該漏洞的攻擊方式已被公開和利用。

解決辦法：

目前廠商已經針對該漏洞發布安全通告，并給出臨時解決辦法，但是還未發布補丁程序，建議用戶隨時關注廠商的動態：

http://www.microsoft.com/technet/security/advisory/2501696.mspx

在沒有補丁程序的情況下，微軟給出了暫時禁用MHTML協議處理器擴展的解決辦法，提供了如下的禁用工具：

http://go.microsoft.com/?linkid=9760419

(作者單位為中國教育和科研計算機應急響應組)

安全提示

寒假期間，一些用戶的主機屬于長時間關機或者是未聯網狀態，在長假結束后，建議用戶第一時間開機后執行完以下操作后再進行其他網絡操作：

1. 及時更新系統補丁程序；

2. 及時升級病毒庫，并盡可能做一次全盤掃描；

3. 訪問專業安全公司或是第三方軟件的網站，查看是否有自己使用的第三方軟件存在安全漏洞，如果有，請盡快下載補丁程序。