根据KILL互联网安全中心的监控分析,上周互联网病毒总体情况继续保持相对平稳的态势,未发现严重危害的病毒事件及网络安全事件。近期较受关注的漏洞利用类病毒仍然是IE极光漏洞的脚本病毒(名称为:JS/CVE-2010-0249!exploit),KILL互联网安全中心提醒用户及时安装微软的补丁程序(kb978207,http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=KB978207&DisplayLang=zh-cn)。
本周微软将发布2月份安全公告,本次将发布13个补丁,其中有5个为“危急”级别、7个为“重要”级别、1个为“普通”级别。鉴于此次高危级别安全漏洞较多,下周又是春节假期,KILL互联网安全中心建议广大用户:在春节长假来临前及时检查并安装这些重要系统补丁,以保障电脑系统的安全。同时,KILL互联网安全中心建议广大用户在春节期间上网,要做好以下安全防范措施:
个人用户:
1、及时检查并安装重要的系统补丁程序;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、安装KILL防病毒软件,保持实时监视程序处于开启状态,并将病毒库更新设置为自动升级状态,以保持最佳的监测状态;
4、不要随意接收或执行未知的程序文件。
企业用户:
1、应加强补丁管理意识,尤其对服务器等重要系统,应尽早安装全部安全补丁程序;
2、按最小化及分权原则,对管理员账户进行权限划分,在保障业务正常运行的情况下,将风险降低到最小;
3、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;
4、安装KILL防病毒软件,保持实时监视程序处于开启状态,并将病毒库更新设置为全网自动升级状态,以保持最佳的监测状态。
本周关注的病毒:
病毒名称:Win32.Hydraq.B
病毒别称:Trojan.Hydraq (Symantec), Backdoor:Win32/Mdmbot.B (Microsoft)
病毒属性:特洛伊木马
危害性:低 流行度:中
病毒特性:
Win32/Aviror.B 是一种带有后门功能的特洛伊病毒,它利用Internet Explorer 0day漏洞(CVE-2010-0249,即近期的“IE极光”漏洞 kb978207)进行传播。
感染方式:
病毒被运行时,Win32/Hydraq.B 生成以下后门程序:
%system%\Rasmon.dll
为了更好隐藏自己,它还会将Rasmon.dll文件的日期和时间修改为和%system%\user32.dll文件一样。
Win32/Hydraq.B 将后门程序作为一个服务加载,服务名称使用任意名称。它还会添加以下注册表键值,包含服务配置:
HKLM\SYSTEM\CurrentControlSet\Services\
\ErrorControl=dword:00000000
…
HKLM\SYSTEM\CurrentControlSet\Services\
\Parameters\ServiceDll=%System%\Rasmon.dll
特洛伊还会修改以下注册表键值,包含它生成的服务名称:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\SysIns=
一旦后门程序在加载的服务下运行,它就会加载另一个服务。特洛伊添加以下注册表键值,包含服务配置:
HKLM\SYSTEM\CurrentControlSet\Services\RaS<4 random characters>
以下是生成的服务配置键值示例:
HKLM\SYSTEM\CurrentControlSet\Services\RaShEnO\ErrorControl = dword:00000000
HKLM\SYSTEM\CurrentControlSet\Services\RaShEnO\Parameters\ServiceDll=%System%\rasmon.dll
Win32/Hydraq.B的后门程序删除第一个加载的服务。
传播方式
通过漏洞进行传播
Win32/Hydraq.B利用Internet Explorer 0day漏洞(CVE-2010-0249)进行传播。
危害
后门功能
Win32/Hydraq.B的后门程序允许远程控制者在被感染机器上执行很多操作:
获取系统和用户信、关闭或重启系统、运行command命令、下载文件;提高用户权限、
访问%system%\drivers\etc\networks.ics 文件、列出可用的驱动。
收集系统信息
Win32/Hydraq.B 收集被感染系统中的以下信息,并报告给远程服务器:
操作系统版本;
以下注册表内容:HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz计算机名称。