新年網購警惕木馬作祟

文/鄭先偉

CCERT月報

新年網購警惕木馬作祟

文/鄭先偉

2010年12月教育網網絡運行正常，無重大安全事件發生。

12月的安全投訴事件與之前幾個月沒有明顯的比例變化，依然以垃圾郵件和網頁掛馬為主。

2010年11月～2010年12月教育網安全投訴事件統計

與網上支付相關的木馬增多

12月沒有新增影響特別嚴重的蠕蟲病毒。近期需要引起用戶注意的是一些與網上支付有關的木馬病毒。隨著網絡購物的普及以及新年的臨近，在網絡上購物的用戶數量也越來越多，這也使得與網絡支付有關的木馬數量變多了。這類木馬通常與一些正常軟件捆綁在一起引誘用戶下載運行，從而感染用戶，多數時候它們還會利用SEO（搜索引擎優化）技術來提升自己被下載的幾率。當用戶感染了這類木馬病毒后，木馬會在用戶進行網絡支付時劫持用戶的網絡連接，將本來應該付給商家的金錢轉付到木馬編寫者的賬號中，給用戶帶來直接的經濟損失。因此用戶在進行網絡購物時一定要保持系統的安全性，在進行網絡支付前一定要仔細確認商家的信息。

近期新增嚴重漏洞評述

2010年12月微軟發布了17個安全公告，再次刷新了單月發布安全公告數量的紀錄。截至12月，微軟2010年發布了的安全公告總數已經創紀錄的達到106個，凸顯當前安全形勢的嚴峻性。這次發布的安全公告修補了前一個月IE瀏覽器爆出的遠程代碼執行0day漏洞以及被超級工廠病毒使用的最后一個未修補的本地權限提升漏洞。除這兩個漏洞外，此次公告還修補其他38個涉及Windows系統、IE瀏覽器以及Office辦公軟件的漏洞，建議用戶盡快安裝相應的補丁程序。

除了微軟外，一些其他的第三方軟件也發布了安全補丁或新的版本修補之前的漏洞，用戶應該盡快選擇下載安裝，它們是：

Firefox瀏覽器發布最新版本3.6.13修補多個安全漏洞：

http://www.mozillaonline.com/

Winamp音樂播放軟件最新版本5.601修補多個安全漏洞：

http://www.winamp.com/

除上述提及的補丁及漏洞外，下列的0day漏洞需要用戶特別關注：

IE畸形CSS規則導入遠程代碼執行漏洞（0day）

影響系統：

Internet Explorer 6

Internet Explorer 7

Internet Explorer 8

漏洞信息：

IE瀏覽器在處理CSS樣式單時存在一個漏洞，當錯誤地在CSS樣式單中引用該CSS樣式單自身時存在內存錯誤，可能導致釋放后的內存塊被重用。精心構造內存中的數據結合Heap Spray等技術可利用此漏洞，如果成功，則可遠程執行任意指令；如果失敗，則可能導致用戶系統的內存被耗盡并最終導致IE瀏覽器崩潰。攻擊者要想利用該漏洞，需要精心構造一個網站并引誘用戶點擊。

漏洞危害：

該漏洞可以直接通過網頁進行利用。最初漏洞是以拒絕服務攻擊漏洞被公布出來的，但是在隨后的研究測試中被發現可以用來進行代碼執行。目前穩定的執行代碼工具已被開發出來，隨后該漏洞可能會被大規模利用，以進行掛馬攻擊。

解決辦法：

目前廠商已針對該漏洞發布了緊急安全通告，但是還未發布補丁程序，建議用戶隨時關注廠商的動態：

http://www.microsoft.com/china/technet/ security/advisory/2488013.mspx

在沒有補丁程序之前，用戶可以使用以下臨時辦法來減輕漏洞帶來的風險：

方法一：將瀏覽器的安全級別設置為“高”阻止ActiveX 控件和活動腳本，方法如下：

在 Internet Explorer的“工具”菜單上，單擊“Internet選項”。

在“Internet 選項”對話框中，單擊“安全”選項卡，然后單擊“Internet”圖標。

在“該區域的安全級別”下，將滑塊移至“高”。這將用戶訪問的所有網站的安全級別均設置為“高”。

方法二：臨時使用其他瀏覽器替代IE瀏覽器，如使用Firefox瀏覽器。

（作者單位為中國教育和科研計算機網應急響應組）

安全提示

對于近期的風險，建議用戶注意以下操作：

1.及時更新系統及第三方軟件的補丁程序；

2.安裝正版殺毒軟件，并及時升級病毒庫；

3.進行網上購物時一定要保證系統是安全的（定時對系統查毒），不要在不受信任的公共機器上進行網絡交易；

4.不要輕易點擊即時通訊軟件中發來的交易鏈接；

5.在進行網絡支付時一定要仔細確認收款方的信息。