论文部分内容阅读
近期安全综述
据瑞星“云安全”系统统计,2010年3月下半月瑞星共截获了183万个挂马网址。瑞星反病毒专家介绍,近期瑞星公司截获了一个首页劫持木马病毒“Trojan.Win32.StartPage.pgg”,这是一个恶意修改IE主页的病毒,病毒将图标和文件名修改为搜索引擎图标,放在色情视频网站中引诱用户点击。当病毒运行后,会在桌面产生大量指向恶意网址的快捷方式,并创建虚假的IE图标,使用户直接访问恶意网址导航类网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载木马病毒进行盗号。
近期关注的被挂马网站
“第一车网”、“中国金融网”、“北京航空航天大学”等网站的部分页面被黑客挂马,黑客利用微软最新漏洞和服务器不安全设置进行入侵。用户访问这些页面后,可能会感染木马下载器、盗号木马和黑客后门。
近期关注病毒分析
“首页劫持木马(Trojan.Win32.StartPage.pgg)” 警惕程度 ★★★★
病毒通过VC++编写,采用UPX进行加壳。在桌面产生大量指向的恶意网址的URL快捷方式,删除HKCR\lnkfile\IsShortcut,使LNK文件的小箭头消失,URL文件的 不受影响。在以下地址创建虚假的IE图标(LNK),使其指向恶意网址:“%AllUsersProfile%/桌面”,删除%HomePath%\Application Data\Microsoft\Internet Explorer\Quick Launch\中的“启动Internet Explorer.lnk”。修改HKCR\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}(此CLSID原本为网上邻居)添加DefaultIcon,将默认图标指向IE图标,添加Shell\Open\Command,将网上邻居的打开方式指向为恶意网址。
防范方法
1.使用“瑞星全功能安全软件2010”,有效阻挡通过网页挂马方式传播的病毒;2.安装卡卡上网安全助手6.2自动修复漏洞;3.同时可拨打客服热线400-660-8866咨询,访问客户服务中心网站(http://csc.rising.com.cn)寻求帮助,使用在线专家门诊获得即时支持。
迅雷URL扫描 谁家的“杯具”
古语有云:“病从口入”,电脑本是安全的,病毒文件进驻电脑才有了威胁,而文件进入电脑的方式有两种,一个是网络下载,一个是移动存储设备传输,目前网络下载的方式占的比例相当高,于是,迅雷就提出了一个计划,文件在下载前就进行一次安全扫描,这样就可以防止病毒进入电脑了?即迅雷的“安全扫描”,今天我们就通过一个病毒文件来看看这样的防护下,能不能让病毒“杯具”一次。
实验开始,我们要从http://qvod.cctvv8.com/qvod.exe下载这个文件,下载开始后先暂停,然后用迅雷的“安全扫描”扫描(见图1),发现均是未知,这是怎么回事呢?原来,这个URL安全扫描是这样的。有人用迅雷从某一个地址下载了一个文件,并使用杀毒软件进行了扫描,那么这个文件的安全性和这个URL之间就建立一个一一对应的关系。迅雷收集到这些一一对应的关系,建立一个资源库,以后再有人下载这个文件,有URL就可以查到这个文件的安全性了。不过,这显然要依靠于两个条件:首先要有第一个吃螃蟹的人,下载了某文件并进行扫描,第二就是安全软件要把这个建立对应关系的URL安全资源库分享给迅雷。
这样就可以解释文中的截图了,瑞星、卡巴斯基、江民、金山的检测结果都是未知,看来迅雷的URL安全资源库里还没有这个信息,下载完成后,江民文件监控显示这是一个木马病毒,病毒名为Trojan/KillAV.ctz(见图2)。
由此我们可以知道,迅雷的安全扫描的想法是好的,如果你在迅雷安全扫描中发现某个杀毒软件给出的结果是安全的,那么就说明这个文件已经有人用这个杀毒软件扫描过了,基本可以放心使用。不过目前的迅雷的URL安全资源库不够丰富,更新也跟不上,如果碰到检测结果未知,还是用自己的杀毒软件进行本地扫描吧。
据瑞星“云安全”系统统计,2010年3月下半月瑞星共截获了183万个挂马网址。瑞星反病毒专家介绍,近期瑞星公司截获了一个首页劫持木马病毒“Trojan.Win32.StartPage.pgg”,这是一个恶意修改IE主页的病毒,病毒将图标和文件名修改为搜索引擎图标,放在色情视频网站中引诱用户点击。当病毒运行后,会在桌面产生大量指向恶意网址的快捷方式,并创建虚假的IE图标,使用户直接访问恶意网址导航类网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载木马病毒进行盗号。
近期关注的被挂马网站
“第一车网”、“中国金融网”、“北京航空航天大学”等网站的部分页面被黑客挂马,黑客利用微软最新漏洞和服务器不安全设置进行入侵。用户访问这些页面后,可能会感染木马下载器、盗号木马和黑客后门。
近期关注病毒分析
“首页劫持木马(Trojan.Win32.StartPage.pgg)” 警惕程度 ★★★★
病毒通过VC++编写,采用UPX进行加壳。在桌面产生大量指向的恶意网址的URL快捷方式,删除HKCR\lnkfile\IsShortcut,使LNK文件的小箭头消失,URL文件的 不受影响。在以下地址创建虚假的IE图标(LNK),使其指向恶意网址:“%AllUsersProfile%/桌面”,删除%HomePath%\Application Data\Microsoft\Internet Explorer\Quick Launch\中的“启动Internet Explorer.lnk”。修改HKCR\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}(此CLSID原本为网上邻居)添加DefaultIcon,将默认图标指向IE图标,添加Shell\Open\Command,将网上邻居的打开方式指向为恶意网址。
防范方法
1.使用“瑞星全功能安全软件2010”,有效阻挡通过网页挂马方式传播的病毒;2.安装卡卡上网安全助手6.2自动修复漏洞;3.同时可拨打客服热线400-660-8866咨询,访问客户服务中心网站(http://csc.rising.com.cn)寻求帮助,使用在线专家门诊获得即时支持。
迅雷URL扫描 谁家的“杯具”
古语有云:“病从口入”,电脑本是安全的,病毒文件进驻电脑才有了威胁,而文件进入电脑的方式有两种,一个是网络下载,一个是移动存储设备传输,目前网络下载的方式占的比例相当高,于是,迅雷就提出了一个计划,文件在下载前就进行一次安全扫描,这样就可以防止病毒进入电脑了?即迅雷的“安全扫描”,今天我们就通过一个病毒文件来看看这样的防护下,能不能让病毒“杯具”一次。
实验开始,我们要从http://qvod.cctvv8.com/qvod.exe下载这个文件,下载开始后先暂停,然后用迅雷的“安全扫描”扫描(见图1),发现均是未知,这是怎么回事呢?原来,这个URL安全扫描是这样的。有人用迅雷从某一个地址下载了一个文件,并使用杀毒软件进行了扫描,那么这个文件的安全性和这个URL之间就建立一个一一对应的关系。迅雷收集到这些一一对应的关系,建立一个资源库,以后再有人下载这个文件,有URL就可以查到这个文件的安全性了。不过,这显然要依靠于两个条件:首先要有第一个吃螃蟹的人,下载了某文件并进行扫描,第二就是安全软件要把这个建立对应关系的URL安全资源库分享给迅雷。
这样就可以解释文中的截图了,瑞星、卡巴斯基、江民、金山的检测结果都是未知,看来迅雷的URL安全资源库里还没有这个信息,下载完成后,江民文件监控显示这是一个木马病毒,病毒名为Trojan/KillAV.ctz(见图2)。
由此我们可以知道,迅雷的安全扫描的想法是好的,如果你在迅雷安全扫描中发现某个杀毒软件给出的结果是安全的,那么就说明这个文件已经有人用这个杀毒软件扫描过了,基本可以放心使用。不过目前的迅雷的URL安全资源库不够丰富,更新也跟不上,如果碰到检测结果未知,还是用自己的杀毒软件进行本地扫描吧。