文/鄭先偉

竊取手機(jī)通訊費(fèi)病毒正流行

文/鄭先偉

安全事件分析

4月CERNET整體運(yùn)行平穩(wěn)，未發(fā)生重大安全事件。近期有多家安全組織和機(jī)構(gòu)（如CNCERT、知道創(chuàng)宇等）發(fā)布了2011年的網(wǎng)絡(luò)信息安全態(tài)勢(shì)報(bào)告，報(bào)告顯示網(wǎng)站依然是黑客們樂(lè)于攻擊的目標(biāo)，并且攻擊的手段變得更為復(fù)雜，成功的幾率也更高。對(duì)報(bào)告感興趣的用戶可以到相關(guān)組織的網(wǎng)站上下載后閱讀。

從近期端口掃描的投訴事件統(tǒng)計(jì)中看，互聯(lián)網(wǎng)上針對(duì)tcp 3389端口的掃描數(shù)量有所增多，這可能與3月份微軟公布的遠(yuǎn)程桌面協(xié)議中的遠(yuǎn)程任意代碼執(zhí)行漏洞（MS12-020）有關(guān)，雖然還沒(méi)有明顯的證據(jù)顯示這個(gè)漏洞正在被大規(guī)模利用，但是從掃描數(shù)量的增多可以看出黑客們正在收集與該服務(wù)端口有關(guān)的信息，以便為進(jìn)一步的攻擊做準(zhǔn)備。因此開(kāi)放了3389端口的服務(wù)器的管理員還是要持續(xù)關(guān)注相關(guān)的信息并及時(shí)安裝補(bǔ)丁程序。

近期沒(méi)有新增危害特別嚴(yán)重的電腦木馬病毒程序。值得關(guān)注的是，有跡象顯示手機(jī)病毒的感染用戶的數(shù)量有持續(xù)大規(guī)模增長(zhǎng)的趨勢(shì)。近期中國(guó)移動(dòng)監(jiān)測(cè)發(fā)現(xiàn)有多款手機(jī)木馬病毒正在流行，這些木馬病毒會(huì)感染智能手機(jī)系統(tǒng)，通過(guò)偽裝或是隱藏在手機(jī)應(yīng)用軟件中引誘用戶下載安裝來(lái)進(jìn)行傳播。木馬病毒一旦感染用戶手機(jī)后，就會(huì)在手機(jī)的后臺(tái)自動(dòng)聯(lián)網(wǎng)，發(fā)送短信訂閱收費(fèi)服務(wù)，并屏蔽10086發(fā)送的確認(rèn)收費(fèi)信息，從而在用戶不知情的情況下竊取用戶的通訊資費(fèi)。如果您發(fā)現(xiàn)您的手機(jī)話費(fèi)或是流量出現(xiàn)異常，那很可能是手機(jī)感染病毒造成的。

2012年3月～2012年4月CERNET安全投訴事件統(tǒng)計(jì)

近期新增嚴(yán)重漏洞評(píng)述

4月份微軟發(fā)布了6個(gè)安全公告，其中4個(gè)為嚴(yán)重等級(jí)，2個(gè)為重要等級(jí)，共修復(fù)了Windows系統(tǒng)、Windows系統(tǒng)常用控件、IE瀏覽器、Office軟件、.NET Framework開(kāi)發(fā)組件、UGA網(wǎng)關(guān)中的11個(gè)安全漏洞。其中Office軟件的漏洞已經(jīng)開(kāi)始在網(wǎng)絡(luò)上被大規(guī)模利用，用戶應(yīng)該盡快使用系統(tǒng)的自動(dòng)更新功能安裝相應(yīng)的補(bǔ)丁程序。

除微軟的安全公告中涉及的漏洞外，一些第三方系統(tǒng)或軟件的漏洞也需要用戶關(guān)注：

1. Adobe公司發(fā)布安全公告，修補(bǔ)Flash Player軟件中的多個(gè)安全漏洞（http://www.adobe.com/support/security/bulletins/apsb12-07.html）。

Adobe Acrobat／Reader軟件發(fā)布了最新版本（http://www.adobe.com/support/security/bulletins/apsb12-08.html），修補(bǔ)了PDF編輯閱讀軟件Acrobat／Reader之前版本中的多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。

2. Oracle公司發(fā)布2012年第二季度的產(chǎn)品安全公告（http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html），修補(bǔ)了包括MySQL數(shù)據(jù)庫(kù)、Oracle數(shù)據(jù)、Sun Solaris系統(tǒng)及公司旗下各類產(chǎn)品組件的多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。

3. Mozillo公司發(fā)布了Firefox瀏覽器最新版本12.0，修補(bǔ)之前版本中13個(gè)安全漏洞（）。

Winodws常用控件中允許遠(yuǎn)程執(zhí)行代碼漏洞（MS12－027）

影響系統(tǒng)

影響的系統(tǒng)包括：Office 2003，Office 2007，Office 2010，SQL Server 2000，SQL Server 2005，SQL Server 2008。

漏洞信息

Windows常用控件是指MSCOMCTL.OCX文件中包含的ActiveX控件。Windows常用控件中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。攻擊者可通過(guò)構(gòu)建特制網(wǎng)頁(yè)或是Word文檔來(lái)利用此漏洞。當(dāng)用戶查看網(wǎng)頁(yè)或是文檔時(shí)，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權(quán)限。

漏洞危害

攻擊者可以偽造特定的doc／rtf格式文件放置在網(wǎng)頁(yè)或者郵件中，引誘用戶點(diǎn)擊來(lái)利用該漏洞。目前互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)利用該漏洞的問(wèn)題Word文檔，該惡意文檔攜帶有多個(gè)木馬程序和欺騙性文檔，用戶一旦打開(kāi)這些文檔，將觸發(fā)該病毒自動(dòng)連續(xù)釋放出多個(gè)木馬病毒，之后病毒會(huì)打開(kāi)該文檔中的正常內(nèi)容以欺騙用戶。

解決辦法

目前廠商已經(jīng)針對(duì)該漏洞發(fā)布了專門的安全公告和補(bǔ)丁程序，我們建議用戶盡快安裝相應(yīng)的補(bǔ)丁程序：

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）