免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2070 | 回复: 4
打印 上一主题 下一主题

企业用户千万要小心 “超级火焰”病毒似间谍 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-07-07 09:16 |只看该作者 |倒序浏览
本帖最后由 siyuzhang 于 2012-07-07 09:17 编辑




 核心提示
  日前,瑞星公司对外公开了国内首份“超级火焰”病毒的详细技术分析报告,并公布了相应对策。
  分析显示,“超级火焰”病毒结构复杂,破坏力强,比之前的“Stuxnet超级工厂”和“Duqu毒趣”病毒有过之而无不及。
  病毒感染流程
  A
  “超级火焰”病毒入侵电脑后,会在感染的机器上安装后门,并接收来自黑客服务器的指令,记录用户密码和按键信息,在后台录音,并将黑客感兴趣的信息发送给远端控制服务器。
  病毒分析报告显示,“超级火焰”病毒的主体为一个名为MSSECMGR.OCX的DLL动态库,通过命令行“rundll32.exe MSSECMGR.OCX, DDEnumCallback”来实现病毒的加载。病毒运行后会将自身复制到System32目录下,并向services.exe、winlogon.exe、explorer.exe和iexplore.exe等程序中注入自身并实现加载。
  该病毒进入系统后,会主动创建C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\的目录,在系统不同目录中生成多个文件,同时还会新创建HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages=“mssecmgr.ocx”注册表项,并访问多台位于美国和欧洲的服务器。
  另外,该病毒在接收命令后会通过局域网共享、移动介质和MS10-061等系统漏洞进行传播,并对数十种流行的反病毒软件、防火墙和泛安全产品的进程进行检测,并尝试破坏。在盗取信息方面,该病毒会有选择地对键盘操作进行记录,有选择性地截取活动窗口图像,收集IE中的电子邮件地址,主动获取系统的服务状态,例如打印和打印机服务信息等,并通过查找用户文档目录的方式来获取所有用户信息,通过查找程序安装目录的方法来获取用户安装的程序信息,并将获取的信息加密后保存到系统临时目录中。
做好防范措施
  B
  报告指出,“超级火焰”病毒主要通过移动存储设备、网络共享和大量系统漏洞和不安全机制实现入侵。广大用户,尤其是政府和企业用户,应及时做好以下防范措施,避免遭受病毒攻击:
  目前,瑞星公司已经获取“超级火焰”病毒的完整病毒包并进行了紧急升级,用户可使用其杀毒软件(个人级和企业级)防范查杀“超级火焰”病毒,同时还可下载最新版专杀工具进行专项查杀(下载地址http://www.rising.com.cn/2012/skywlper)。
  另外,企业用户要制定并严格执行企业网络移动存储设备、外来电脑和BYOD接入方式和权限的管理章程,可通过杀毒软件及上网行为管理系统自动进行策略定制和分发执行,避免病毒入侵。
  在没有必要的情况下,不要随意开放网络共享;需要使用共享时,要配置访问权限和复杂的访问密码。同时,最好关闭Windows系统的默认共享。普通用户可使用网络防火墙进行这项操作(下载地址http://www.rising.com.cn/2012/beta/index.html)。
  据了解,“超级火焰”病毒利用大量系统漏洞入侵系统,从目前分析的结果看,该病毒主要利用了MS10-061、MS10-046、MS10-051等系统漏洞,并且还利用了一个微软早期的加密算法漏洞KB2718704,用户需尽快将这些补丁进行更新(自动修补程序下载地址http://tool.ikaka.com/)。
  电话采访时,安全专家强调,Worm.Win32.Flame“超级火焰”甚至可以称为间谍病毒,其盗取的信息包罗万象,包括各种文档、截屏、录音、按键信息、蓝牙信息等,复杂程度大大超过目前已知的所有病毒,对政府、企业和普通用户的危害极大。建议广大企事业单位、政府部门高度重视此病毒,积极做好相对应的安全防范工作。

论坛徽章:
0
2 [报告]
发表于 2012-07-07 16:16 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
0
3 [报告]
发表于 2012-07-07 16:17 |只看该作者
有企业的一定要来看看。多加注意哦。

论坛徽章:
0
4 [报告]
发表于 2012-07-07 22:35 |只看该作者
谢谢楼主提醒了,现在这些病毒确实很多,一定得小心点了~

论坛徽章:
0
5 [报告]
发表于 2012-07-09 14:18 |只看该作者
我晕,防火墙干啥的,拦不住吗……还是有漏洞?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP