赛门铁克家庭与个人工作室安全研究报告 ( 2006年11月)
jen500714a | 27 Dec, 2006 09:30
http://www.ithome.com.tw/plog/index.php?op...eId=8400&blogId=631欢迎阅读 11 月份的 Symantec™ 家庭与个人工作室安全研究报告。这份报告会给身为家庭与个人工作室使用者的您有关网际网路安全的概观,包括可能影响您的议题以及告诉您如何保护宝贵的资料。
在这份报告中,我们将讨论经由Google自动发送电子邮件伺服器所寄送邮件中夹带的恶意病虫(该伺服器会对Google管理的名单寄发电子邮件),同时还会讨论Apple® Mac OS ®X 作业系统下关于恶意磁碟影像档的安全瑕疵。此外,本报告还会审视当使用者允许网页浏览器「记忆」登入表单中的密码资讯时所牵涉到的安全性问题。
本报告也将探讨线上拍卖或分类广告网站中的「超额付款」诈骗行为,还会讨论发生在 Second Life「第二人生」(为一款广受欢迎之虚拟真实世界的游戏)伺服器上长达数月的第二次重大病毒爆发事件。同时包括的还有日常主题:每月最重大安全性威胁概要、赛门铁克安全机制应变中心部落格(以及该月最佳部落格) 之摘录、赛门铁克的热门话题,与一些值得注意的安全性文章。希望您觉得本期内容有趣且实用。
—赛门铁克安全机制应变小组 敬上
电子邮件
Google Video 电子邮件名单不慎夹带病毒
2006 年 11 月 7 日傍晚,Google 对其 Google Video电子邮件名单中的会员发送了三封电子邮件。其中部分电子邮件中夹带了 W32.Blackmal 电子邮件病虫。
Google Video电子邮件名单设计的目的,是在每当 Google Video部落格更新时,通知电子邮件名单中的会员。Google 不慎夹带透过大量散发邮件传播的网路病虫,是因为没有对部分寄出的电子邮件执行正确的扫描与消毒。据 Google 估计,邮件名单中约有 50,000 名使用者可能受到感染。
为了保护自己免于成为电子邮件病虫如 Blackmal 的受害者,您应该非常小心谨慎地处理所有电子邮件的附加档案,不论寄件者是谁。有时候,即使是您最信任的寄件人与组织所寄发的电子邮件,也可能会夹带病虫与病毒。为了安全起见,拒绝接受透过电子邮件所传送的执行档是比较好的做法。使用可携式媒体或安全的共享档案途径并确认传送来源可受信任,而不是使用电子邮件来传送执行档,会是较为安全的方法。
赛门铁克十一月份安全威胁排行榜
恶意程式码排行榜
1. Stration.DL
2. Looked.P
3. Spybot
4. Netsky.P
5. Stration
6. Stration.CX
7. Stration.DE
8. Rahack.H
9. Sality.U
10. Stration.DW
垃圾邮件来源地区排行榜
1. 北美洲 (47.3%)
2. 欧洲 (32%)
3. 亚洲 (16.8%)
垃圾邮件类型排行榜
1. 金融产品或服务
2. 零售产品或服务
3. 健康产品或服务
弱点排行榜
1. Apple Mac OS X UDIF Disk Image Remote Code Execution Vulnerability
2. Mozilla Firefox 2 Password Manager Cross-Site Information Disclosure Weakness
3. Microsoft Internet Explorer HTML Rendering Remote Code Execution Vulnerability
安全风险
广告软体: ZangoSearch
间谍软体: ISearch
误导应用程式: WinFixer
档案共享
Apple Mac OS X 安全瑕疵会让使用者身处风险之中
2006 年 11 月 21 日,骇客攻入Apple Mac OS X中的安全瑕疵(弱点)以及利用弱点窃取资料之攻击程式码同时被公诸于世。所有10.4.8版本的Apple Mac OS使用者均面临被骇客透过弱点入侵的危险,而先前版本的作业系统也可能受到此一弱点的影响。
骇客利用此弱点说服您下载并打开副档名为.dmg的恶意磁碟影像档。当档案被打开时,虚拟磁碟影像便挂载至系统上并会显示出来。如果该磁碟影像有毒,骇客便能完整取得电脑的存取权,并可阅读您的电子邮件与通讯录、窃取您的档案和软体、并进一步利用您的电脑尝试入侵其他电脑。
此问题对 Apple Safari™ 网页浏览器的使用者显得特别严重,因为 Safari会完全信任磁碟影像格式。如果您是在 Safari 的预设组态下连结至磁碟影像档,Safari 将会自动下载该磁碟影像档并将其挂载。如果该影像档有毒,骇客就可能全面取得对电脑的控制权。
为了保护自己不受此弱点的侵害,您应该在决定是否要下载副档名为.dmg 的磁碟影像档时要非常小心,确认要下载与使用的该种档案完全来自受信任的来源。Apple Safari 使用者应取消选取「Safari Options」视窗中的“open ‘safe’ files after downloading” 选项,以防止 Safari自动开启可能有毒的档案。
网路活动
Mozilla Firefox 可能会泄露储存的密码
Mozilla Firefox 网页浏览器密码储存功能的弱点在 2006 年 11 月 21 日被公布。使用 Firefox 时,您可以在登入表单页面输入使用者名称与密码时,选择储存您的密码。当储存您的登入资讯后,在下一次返回登入网页时,系统会自动填入所储存的使用者名称与密码。由于 Firefox 不会确认登入表单是否为合法的表单,因而产生此一软体弱点。
骇客可利用此一弱点来窃取您在特定网站或讯息讨论区中所输入的使用者名称与密码。骇客仅需建立一个仿造合法登入的表单,将其放入线上设定档 (online profile) 即可。当使用者检视该设定档时,含有弱点的浏览器会自动填入恶意的表单,可能将您的登入资讯传送给表单拥有者 (骇客)。
为了防止您受到此问题的侵害,您应该避免使用自动储存密码选项。此外,尽量不点选网站论坛、讯息留言板、部落格或垃圾邮件中的不明连结,以降低成为此漏洞受害者的可能性。
Second Life 第二次受到病毒攻击
在 10 月时,病毒透过Second Life的伺服器大量复制传播,造成该网站暂时关闭了一段时间。接着在 11 月 19 日,一位 (或多位) 攻击者对 Second Life 伺服器散播另一个病毒,使伺服器必须关闭才能移除病毒。此次伺服器运作中断了约 30 分钟,其间Second Life管理员成功地将病毒从伺服器清除。
对 Second Life 而言,虚拟世界被病毒攻击是其独有的现象。大部分的线上游戏如魔兽世界(World of Warcraft)会限制玩家与程式开发人员所建立之元件间的互动,但 Second Life 允许玩家在其虚拟世界中自由建立元件。Second Life玩家可藉由建立程式码,来自订各式各样的游戏环境。不幸的是,就像病毒可利用如 Visual Basic® 等广为流传的程式码来撰写,同样地,病毒也可利用Second Life 中使用的程式码来撰写。由于这些程式码是此游戏吸引玩家的主因之一,倘若管理员因此而停止玩家对程式码的使用,将会显得不切实际。
虽然 Second Life 中的病毒无法感染玩家的电脑,但它的确在玩家们悠游虚拟世界的体验上造成严重损害。随着如此种的虚拟世界游戏日益流行,恶意使用者很有可能会企图增加攻击,减少其他人玩游戏的乐趣。
小心超额付款诈骗行为
虽然许多人了解线上购物潜在的诈骗危险,但极少数人会警觉到线上贩售物品所具有的风险。在这个时节,由于许多人会在线上购买礼物,所以这也是人们抛售自己不要物品的绝佳时机。不幸地,有些诈骗者会尝试骗取这些人的物品,并且下手取得所有可能额外获得的金钱。
诈骗者最常欺骗卖家的方式,是透过一般称为「超额付款诈骗行为」的方法。诈骗者首先会锁定线上分类广告所贩售的商品,然后联络卖家,询问是否可使用支票或汇票支付货款。当卖家收到付款时,通常支票或汇票的金额会高于原本议定的货款。买家(在此情况下为诈骗者) 会试着解释超额付款的原因,如:超额款项为运费或仲介费用,然后要求卖家将支票或汇票存入其银行户头,并将超额的付款汇出至其他帐户。不幸地,支票无法兑现,因为开立支票的帐户是假的,而汇票也是伪造的。由于人们可以在支票兑现之前,从自动柜员机 (ATM) 提出存款,于是卖家便因稍早汇出该笔超额的付款而上当。此时,卖家不但损失了「退回的」超额付款,可能也已将货品寄出了。
赛门铁克的热门话题
第二次得标拍卖诈骗
随着假期购买旺季的逼近,许多顾客转向拍卖网站进行购物。结果,诈骗者也加快脚步,将诈骗对象瞄准线上购物者。其中一种愈来愈猖獗的诈骗形式称为「第二次得标拍卖」诈骗。
此类诈骗锁定已结标高价商品之第二高出价者,这些高价商品可能有:珠宝、消费性电子产品及体育比赛或音乐会门票等等。诈骗者会先浏览这些结标商品,然后假装卖家去联络出价第二高的下标者。诈骗者会宣称得标者反悔,愿意将拍卖品让给出价第二高的下标者。
如果得标者因某些原因退出,卖家可进行第二次拍卖,这在许多线上拍卖网站是合法的行为。但在非法的第二次拍卖中,诈骗者会试着说服下标者透过某些与拍卖网站无关的途径来完成采购交易。在某些案例中,诈骗者还会说服受害者使用一些提供信托付款服务的假网站 (bogus escrow Web site),然而这些网站实际上是由诈骗者所管控。当然,一旦受害者将款项汇出,受害者将不会收到商品亦再也联络不到诈骗者。
为了防止您受到此类诈骗,您应提防任何试图要您略过合法拍卖网站来完成线上拍卖交易的行为。大部分拍卖网站均有提供买卖双方的保护,因此略过合法网站而进行交易,就会让您无法受到合法网站所提供的诈骗防护服务。
赛门铁克 十一月份的部落格精选文章
MySpace 上的创意网路钓鱼攻击
Zulfikar Ramzan 撰写
2006 年 10 月 27 日星期五的早上,MySpace.com 网站上出现了数小时相当有创意的钓鱼攻击事件。此一攻击事件相当有意思,不是因为它的技巧高超,而是因为攻击者很有创意。首先报告此一攻击事件的是Netcraft,该网站是在自己其中一位客户点阅该网站网页时发现的。
攻击者在以下位址建立了登入网页:www.myspace.com/login_home_index_html,要求造访的使用者输入其 MySpace 使用者名称与密码。登入网站后,这些资料将被送往在法国境外运作的伺服器。
攻击者是如何完成这件事的?他们不用各式各样复杂的网路钓鱼技巧,而只做非常简单但聪明的事。做法如同他们之前数以百万计的人们一样,攻击者只是到 MySpace.com 网站上登记一个帐户,当系统询问要挑选哪一个使用者ID 做为其帐户识别码时,他们只键入 “login_home_index_html” 做为要使用的登入名称。于是www.myspace.com/login_home_index_html 的首页便自动成为他们的登入网页。
我研究网路钓鱼攻击事件已有相当长的一段时间,其中有些相当杰出,这次的攻击事件便属于其中之一。此次攻击事件脱颖而出的原因,在于攻击者不须熟悉一些让网站看起来是可靠的技俩。他们并未找出浏览器的弱点、没有侵入Web伺服器来劫持网页,也没有危及网域名称系统 (DNS)。他们只运用了自己的想像力,就建立了一个非常简单的网路钓鱼网站。爱因斯坦曾说过「想像力比知识重要」,他必定是相当了解这种情形。
家庭/个人工作室电脑 – 最佳安全措施
1. 使用结合防毒、防火墙、入侵侦测及弱点管理的网际网路安全防护解决方案,抵挡恶意程式和其他威胁,获得最大的保护。
2. 确定安全性修补程式是最新的,且即时套用到所有具有漏洞的应用程式。
3. 确定密码是字母和数字的组合。不要使用字典上的字,并经常更换密码。
4. 不要检视、开启或执行任何电子邮件的附件,除非是原本预期的附件且已知附件的用途。
5. 定期更新病毒定义档。消费者可藉着部署最新的病毒定义档,保护他们的电脑免于真实世界中散布之最新病毒的攻击。
6. 使用赛门铁克 Security Check 网站
symantec.com/tw-ssc... 检查您的电脑或麦金塔系统是否易受威胁攻击。
7. 所有电脑使用者皆必须知道如何辨别恶作剧病毒和网路钓鱼诈骗。恶作剧病毒通常包含假造的电子邮件要您「将这封讯息寄给你认识的每一个人」,或以不恰当的技术用语试图恐吓或误导使用者。网路钓鱼诈骗看似来自合法组织,怂恿使用者在一个看似该合法组织网站上的表格中输入信用卡卡号或其他机密资料。在您尚未确定此种要求为真实的之前,绝对不要泄露机密资讯。
8. 透过档案共用程式、免费下载的程式、免费版和共用版的软体,或按下电子邮件中的连结或附件,或者经由即时传讯用户端,都可能将间谍软体和广告软体自动安装到电脑上。因此,您应对于安装在电脑上的东西有所了解并谨慎选择。
9. 不要随便按下一般使用者授权同意书 (EULA) 上的「是的,我接受」按钮。部份间谍软体和广告软体应用程式可能在您接受 EULA 后安装到您的电脑上,或在接受后开始执行。仔细阅读 EULA,检查它们对隐私权的定义。同意书中应清楚说明产品有何用途以及如何将其解除安装。
10. 留意会在使用者介面中闪烁广告的程式。许多间谍软体程式会追踪使用者对这些广告的回应,当您在程式的使用者介面中看到广告时,它们可能是间谍软体的一部份。不要按下浏览器视窗中未预期出现的广告。相反的,立即关闭该视窗。
