文/鄭先偉

網(wǎng)購仍是木馬“主戰(zhàn)場”

文/鄭先偉

病毒與木馬

寒假及春節(jié)期間教育網(wǎng)網(wǎng)絡(luò)運(yùn)行平穩(wěn)，無重大安全事件發(fā)生。

寒假期間，教育網(wǎng)內(nèi)的整體安全投訴事件有所減少。

圖 2011年1月～2月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

近期用戶需要關(guān)注的病毒依然是與各類網(wǎng)絡(luò)購物有關(guān)的木馬病毒。這類病毒會通過各種途徑進(jìn)行傳播（如網(wǎng)頁掛馬、熱點(diǎn)事件電子郵件附件、即時(shí)通訊軟件等），一旦感染用戶的系統(tǒng)，木馬病毒就會劫持篡改用戶的網(wǎng)絡(luò)購物訪問，將用戶導(dǎo)向到偽造的購物網(wǎng)站上，從而獲取直接的經(jīng)濟(jì)利益。病毒使用的篡改方式可能包括：修改IE瀏覽器的快捷方式，使其直接導(dǎo)向假的購物網(wǎng)站；通過修改IE默認(rèn)主頁讓用戶訪問假的網(wǎng)址導(dǎo)航網(wǎng)站，從而使其點(diǎn)擊假的購物網(wǎng)站；篡改DNS緩存等。因此建議用戶在進(jìn)行網(wǎng)絡(luò)購物時(shí)盡可能使用HTTPS加密協(xié)議進(jìn)行訪問操作，并同時(shí)仔細(xì)查看訪問的域名信息及證書信息是否與自己要訪問的目標(biāo)網(wǎng)址相同。

近期新增嚴(yán)重漏洞評述

2011年1月及2月，微軟發(fā)布的安全公告數(shù)為14個(gè)，其中4個(gè)為嚴(yán)重級別，10個(gè)為重要級別。這14個(gè)公告共修補(bǔ)25個(gè)安全漏洞，涉及的產(chǎn)品包括Windows系統(tǒng)、Office軟件、IE瀏覽器、IIS等。其中2010年12月份期間暴露的IE CSS 0day漏洞和Windows圖形處理引擎的0day漏洞在2月份的公告中得到修補(bǔ)。用戶應(yīng)該盡快下載安裝相應(yīng)的補(bǔ)丁程序。除公告中涉及的漏洞外，微軟的IE瀏覽器及Office軟件也在新年伊始爆出多個(gè)0day漏洞，包括：

MHTML格式文件解析0day漏洞

http://www.microsoft.com/technet/security/advisory/2501696.mspx

Excel軟件0day漏洞

http://www.securityfocus.com/bid/46225/

http://www.securityfocus.com/bid/46229/

PowerPoint軟件0day漏洞

http://www.securityfocus.com/bid/46228

第三方軟件中，Adobe公司的系列公告中涉及的漏洞同樣需要用戶盡快安裝補(bǔ)丁程序：

Adobe Flash Player軟件的安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-02html

Adobe Reader/Acrobat軟件安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-03html

Windows MHTML腳本代碼注入漏洞

影響系統(tǒng)：

WinXP，Windows Vista，Windows 2003，Win7。

漏洞信息：

MHTML是微軟提供的一種HTML文檔格式，它允許將網(wǎng)站的所有元素（包括文本和圖形）都保存到單個(gè)文件中。這種封裝可將整個(gè)網(wǎng)站發(fā)布為單個(gè)內(nèi)嵌MIME（通過 Internet連接傳遞多媒體資源的一列標(biāo)準(zhǔn)，MIME類型通知程序?qū)ο笏膬?nèi)容（如圖形、聲音或視頻））的MHTML格式的文件。微軟的MHTML解析文檔中內(nèi)容塊的MIME格式的方式存在漏洞。在某些條件下，允許攻擊者把客戶端腳本注入到Web請求應(yīng)答中，并在目標(biāo)瀏覽器上下文中執(zhí)行。腳本可偽造內(nèi)容，泄漏信息或執(zhí)行其他攻擊。

漏洞危害：

這個(gè)漏洞存在于MHTML文件格式的解析過程中，因此它只與操作系統(tǒng)的版本有關(guān)，而與IE瀏覽器的版本無關(guān)，因此可以通過所有版本的IE瀏覽器進(jìn)行利用。另外它還可以將攻擊文件存成單個(gè)文件，通過郵件進(jìn)行傳播。目前該漏洞的攻擊方式已被公開和利用。

解決辦法：

目前廠商已經(jīng)針對該漏洞發(fā)布安全通告，并給出臨時(shí)解決辦法，但是還未發(fā)布補(bǔ)丁程序，建議用戶隨時(shí)關(guān)注廠商的動態(tài)：

http://www.microsoft.com/technet/security/advisory/2501696.mspx

在沒有補(bǔ)丁程序的情況下，微軟給出了暫時(shí)禁用MHTML協(xié)議處理器擴(kuò)展的解決辦法，提供了如下的禁用工具：

http://go.microsoft.com/?linkid=9760419

(作者單位為中國教育和科研計(jì)算機(jī)應(yīng)急響應(yīng)組)

安全提示

寒假期間，一些用戶的主機(jī)屬于長時(shí)間關(guān)機(jī)或者是未聯(lián)網(wǎng)狀態(tài)，在長假結(jié)束后，建議用戶第一時(shí)間開機(jī)后執(zhí)行完以下操作后再進(jìn)行其他網(wǎng)絡(luò)操作：

1. 及時(shí)更新系統(tǒng)補(bǔ)丁程序；

2. 及時(shí)升級病毒庫，并盡可能做一次全盤掃描；

3. 訪問專業(yè)安全公司或是第三方軟件的網(wǎng)站，查看是否有自己使用的第三方軟件存在安全漏洞，如果有，請盡快下載補(bǔ)丁程序。