文/鄭先偉

網(wǎng)購(gòu)仍是木馬“主戰(zhàn)場(chǎng)”

文/鄭先偉

病毒與木馬

寒假及春節(jié)期間教育網(wǎng)網(wǎng)絡(luò)運(yùn)行平穩(wěn)，無(wú)重大安全事件發(fā)生。

寒假期間，教育網(wǎng)內(nèi)的整體安全投訴事件有所減少。

圖 2011年1月～2月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

近期用戶需要關(guān)注的病毒依然是與各類(lèi)網(wǎng)絡(luò)購(gòu)物有關(guān)的木馬病毒。這類(lèi)病毒會(huì)通過(guò)各種途徑進(jìn)行傳播（如網(wǎng)頁(yè)掛馬、熱點(diǎn)事件電子郵件附件、即時(shí)通訊軟件等），一旦感染用戶的系統(tǒng)，木馬病毒就會(huì)劫持篡改用戶的網(wǎng)絡(luò)購(gòu)物訪問(wèn)，將用戶導(dǎo)向到偽造的購(gòu)物網(wǎng)站上，從而獲取直接的經(jīng)濟(jì)利益。病毒使用的篡改方式可能包括：修改IE瀏覽器的快捷方式，使其直接導(dǎo)向假的購(gòu)物網(wǎng)站；通過(guò)修改IE默認(rèn)主頁(yè)讓用戶訪問(wèn)假的網(wǎng)址導(dǎo)航網(wǎng)站，從而使其點(diǎn)擊假的購(gòu)物網(wǎng)站；篡改DNS緩存等。因此建議用戶在進(jìn)行網(wǎng)絡(luò)購(gòu)物時(shí)盡可能使用HTTPS加密協(xié)議進(jìn)行訪問(wèn)操作，并同時(shí)仔細(xì)查看訪問(wèn)的域名信息及證書(shū)信息是否與自己要訪問(wèn)的目標(biāo)網(wǎng)址相同。

近期新增嚴(yán)重漏洞評(píng)述

2011年1月及2月，微軟發(fā)布的安全公告數(shù)為14個(gè)，其中4個(gè)為嚴(yán)重級(jí)別，10個(gè)為重要級(jí)別。這14個(gè)公告共修補(bǔ)25個(gè)安全漏洞，涉及的產(chǎn)品包括Windows系統(tǒng)、Office軟件、IE瀏覽器、IIS等。其中2010年12月份期間暴露的IE CSS 0day漏洞和Windows圖形處理引擎的0day漏洞在2月份的公告中得到修補(bǔ)。用戶應(yīng)該盡快下載安裝相應(yīng)的補(bǔ)丁程序。除公告中涉及的漏洞外，微軟的IE瀏覽器及Office軟件也在新年伊始爆出多個(gè)0day漏洞，包括：

MHTML格式文件解析0day漏洞

http://www.microsoft.com/technet/security/advisory/2501696.mspx

Excel軟件0day漏洞

http://www.securityfocus.com/bid/46225/

http://www.securityfocus.com/bid/46229/

PowerPoint軟件0day漏洞

http://www.securityfocus.com/bid/46228

第三方軟件中，Adobe公司的系列公告中涉及的漏洞同樣需要用戶盡快安裝補(bǔ)丁程序：

Adobe Flash Player軟件的安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-02html

Adobe Reader/Acrobat軟件安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-03html

Windows MHTML腳本代碼注入漏洞

影響系統(tǒng)：

WinXP，Windows Vista，Windows 2003，Win7。

漏洞信息：

MHTML是微軟提供的一種HTML文檔格式，它允許將網(wǎng)站的所有元素（包括文本和圖形）都保存到單個(gè)文件中。這種封裝可將整個(gè)網(wǎng)站發(fā)布為單個(gè)內(nèi)嵌MIME（通過(guò) Internet連接傳遞多媒體資源的一列標(biāo)準(zhǔn)，MIME類(lèi)型通知程序?qū)ο笏膬?nèi)容（如圖形、聲音或視頻））的MHTML格式的文件。微軟的MHTML解析文檔中內(nèi)容塊的MIME格式的方式存在漏洞。在某些條件下，允許攻擊者把客戶端腳本注入到Web請(qǐng)求應(yīng)答中，并在目標(biāo)瀏覽器上下文中執(zhí)行。腳本可偽造內(nèi)容，泄漏信息或執(zhí)行其他攻擊。

漏洞危害：

這個(gè)漏洞存在于MHTML文件格式的解析過(guò)程中，因此它只與操作系統(tǒng)的版本有關(guān)，而與IE瀏覽器的版本無(wú)關(guān)，因此可以通過(guò)所有版本的IE瀏覽器進(jìn)行利用。另外它還可以將攻擊文件存成單個(gè)文件，通過(guò)郵件進(jìn)行傳播。目前該漏洞的攻擊方式已被公開(kāi)和利用。

解決辦法：

目前廠商已經(jīng)針對(duì)該漏洞發(fā)布安全通告，并給出臨時(shí)解決辦法，但是還未發(fā)布補(bǔ)丁程序，建議用戶隨時(shí)關(guān)注廠商的動(dòng)態(tài)：

http://www.microsoft.com/technet/security/advisory/2501696.mspx

在沒(méi)有補(bǔ)丁程序的情況下，微軟給出了暫時(shí)禁用MHTML協(xié)議處理器擴(kuò)展的解決辦法，提供了如下的禁用工具：

http://go.microsoft.com/?linkid=9760419

(作者單位為中國(guó)教育和科研計(jì)算機(jī)應(yīng)急響應(yīng)組)

安全提示

寒假期間，一些用戶的主機(jī)屬于長(zhǎng)時(shí)間關(guān)機(jī)或者是未聯(lián)網(wǎng)狀態(tài)，在長(zhǎng)假結(jié)束后，建議用戶第一時(shí)間開(kāi)機(jī)后執(zhí)行完以下操作后再進(jìn)行其他網(wǎng)絡(luò)操作：

1. 及時(shí)更新系統(tǒng)補(bǔ)丁程序；

2. 及時(shí)升級(jí)病毒庫(kù)，并盡可能做一次全盤(pán)掃描；

3. 訪問(wèn)專(zhuān)業(yè)安全公司或是第三方軟件的網(wǎng)站，查看是否有自己使用的第三方軟件存在安全漏洞，如果有，請(qǐng)盡快下載補(bǔ)丁程序。