竊取手機通訊費病毒正流行

文/鄭先偉

竊取手機通訊費病毒正流行

文/鄭先偉

安全事件分析

4月CERNET整體運行平穩(wěn)，未發(fā)生重大安全事件。近期有多家安全組織和機構(gòu)（如CNCERT、知道創(chuàng)宇等）發(fā)布了2011年的網(wǎng)絡(luò)信息安全態(tài)勢報告，報告顯示網(wǎng)站依然是黑客們樂于攻擊的目標，并且攻擊的手段變得更為復雜，成功的幾率也更高。對報告感興趣的用戶可以到相關(guān)組織的網(wǎng)站上下載后閱讀。

從近期端口掃描的投訴事件統(tǒng)計中看，互聯(lián)網(wǎng)上針對tcp 3389端口的掃描數(shù)量有所增多，這可能與3月份微軟公布的遠程桌面協(xié)議中的遠程任意代碼執(zhí)行漏洞（MS12-020）有關(guān)，雖然還沒有明顯的證據(jù)顯示這個漏洞正在被大規(guī)模利用，但是從掃描數(shù)量的增多可以看出黑客們正在收集與該服務端口有關(guān)的信息，以便為進一步的攻擊做準備。因此開放了3389端口的服務器的管理員還是要持續(xù)關(guān)注相關(guān)的信息并及時安裝補丁程序。

近期沒有新增危害特別嚴重的電腦木馬病毒程序。值得關(guān)注的是，有跡象顯示手機病毒的感染用戶的數(shù)量有持續(xù)大規(guī)模增長的趨勢。近期中國移動監(jiān)測發(fā)現(xiàn)有多款手機木馬病毒正在流行，這些木馬病毒會感染智能手機系統(tǒng)，通過偽裝或是隱藏在手機應用軟件中引誘用戶下載安裝來進行傳播。木馬病毒一旦感染用戶手機后，就會在手機的后臺自動聯(lián)網(wǎng)，發(fā)送短信訂閱收費服務，并屏蔽10086發(fā)送的確認收費信息，從而在用戶不知情的情況下竊取用戶的通訊資費。如果您發(fā)現(xiàn)您的手機話費或是流量出現(xiàn)異常，那很可能是手機感染病毒造成的。

2012年3月～2012年4月CERNET安全投訴事件統(tǒng)計

近期新增嚴重漏洞評述

4月份微軟發(fā)布了6個安全公告，其中4個為嚴重等級，2個為重要等級，共修復了Windows系統(tǒng)、Windows系統(tǒng)常用控件、IE瀏覽器、Office軟件、.NET Framework開發(fā)組件、UGA網(wǎng)關(guān)中的11個安全漏洞。其中Office軟件的漏洞已經(jīng)開始在網(wǎng)絡(luò)上被大規(guī)模利用，用戶應該盡快使用系統(tǒng)的自動更新功能安裝相應的補丁程序。

除微軟的安全公告中涉及的漏洞外，一些第三方系統(tǒng)或軟件的漏洞也需要用戶關(guān)注：

1. Adobe公司發(fā)布安全公告，修補Flash Player軟件中的多個安全漏洞（http://www.adobe.com/support/security/bulletins/apsb12-07.html）。

Adobe Acrobat／Reader軟件發(fā)布了最新版本（http://www.adobe.com/support/security/bulletins/apsb12-08.html），修補了PDF編輯閱讀軟件Acrobat／Reader之前版本中的多個遠程代碼執(zhí)行漏洞。

2. Oracle公司發(fā)布2012年第二季度的產(chǎn)品安全公告（http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html），修補了包括MySQL數(shù)據(jù)庫、Oracle數(shù)據(jù)、Sun Solaris系統(tǒng)及公司旗下各類產(chǎn)品組件的多個遠程代碼執(zhí)行漏洞。

3. Mozillo公司發(fā)布了Firefox瀏覽器最新版本12.0，修補之前版本中13個安全漏洞（）。

Winodws常用控件中允許遠程執(zhí)行代碼漏洞（MS12－027）

影響系統(tǒng)

影響的系統(tǒng)包括：Office 2003，Office 2007，Office 2010，SQL Server 2000，SQL Server 2005，SQL Server 2008。

漏洞信息

Windows常用控件是指MSCOMCTL.OCX文件中包含的ActiveX控件。Windows常用控件中存在一個遠程執(zhí)行代碼漏洞。攻擊者可通過構(gòu)建特制網(wǎng)頁或是Word文檔來利用此漏洞。當用戶查看網(wǎng)頁或是文檔時，該漏洞可能允許遠程執(zhí)行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權(quán)限。

漏洞危害

攻擊者可以偽造特定的doc／rtf格式文件放置在網(wǎng)頁或者郵件中，引誘用戶點擊來利用該漏洞。目前互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)利用該漏洞的問題Word文檔，該惡意文檔攜帶有多個木馬程序和欺騙性文檔，用戶一旦打開這些文檔，將觸發(fā)該病毒自動連續(xù)釋放出多個木馬病毒，之后病毒會打開該文檔中的正常內(nèi)容以欺騙用戶。

解決辦法

目前廠商已經(jīng)針對該漏洞發(fā)布了專門的安全公告和補丁程序，我們建議用戶盡快安裝相應的補丁程序：

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）