????????????????

      No Comments on ????????????????

        上网搜索信息使我们日常生活中经常使用的功能。互联网快捷的速度、全面的知识,令我们在弹指间便能找到需要的答案。而针对搜索的木马也应运而生,Trojan.Bamital就是赛门铁克安全响应中心近期检测到的此类木马病毒。用户如果使用被其感染的计算机对网络内容进行搜索,该木马会篡改搜索引擎的返回结果。
 
        运行后,Trojan.Bamital首先会释放一个DLL文件%UserProfile%Local SettingsApplication DataWindows Server<random 6 letters>.dll,并且创建注册表键值HKEY_CURRENT_USERSoftware<random 10 letters>”<random 10 letters>” = “[BINARY DATA]”。被释放的DLL文件从该注册表键值读取有害的代码来运行。同时,它还会关闭计算机的系统还原功能,并且将有害代码注入到多个进程,这些进程包括:cmdagent.exe,fssm32.exe,fsorsp.exe,avp.exe,iexplore.exe,firefox.exe,opera.exe
explorer.exe等。被注入的恶意代码会挂钩系统函数,监视浏览器向搜索引擎发送的数据包,修改搜索引擎的返回结果,并将一些广告链接添加到搜索结果中。
 
        该木马通过偷渡式下载进行传播。因此,建议用户不要轻易访问可疑网站;浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)分析将要访问网页的安全性。赛门铁克安全响应中心已发布针对该病毒的病毒库定义,请用户及时更新您的安全软件病毒定义库以抵御该病毒威胁。

????“????”???W32.Mabezat.B

      No Comments on ????“????”???W32.Mabezat.B

        W32.Mabezat.B是一种蠕虫病毒,其最大的特点是传播方式多种多样,用户稍有不慎就可能使计算机受到该蠕虫感染。运行时,该蠕虫首先会开启用户计算机中的自动播放功能,并且设置隐藏系统属性文件以避免被用户发现。
 
        W32.Mabezat.B主要通过以下方式进行传播:

  1. 拷贝自身到移动存储设备并写入autorun.inf;
  2. 把自身拷贝到开有网络共享的计算机,并重命名为一些大家熟悉的文件名,如My documents.exe,Readme.doc.exe等;
  3. 把自己作为附件通过垃圾邮件发送出去,并将附件命名为office_crack.rar、RecycleBinProtect.exe等以诱使用户点击;
  4. 把自身拷贝到%UserProfile%Local SettingsApplication DataMicrosoftCD Burning目录,这样用户在做刻录操作时就会自动把病毒刻录到光盘上;
  5. 感染用户计算机中的可执行程序。感染后的文件被检测为W32.Mabezat.B!inf。

        因此,建议用户关闭计算机的自动播放功能;在打开移动存储设备前先对其进行安全扫描;尽量不要使用网络共享;不要轻易打开来历不明的邮件及其附件;及时更新安全软件病毒定义库以抵御该蠕虫病毒的威胁。
 

Microsoft Security Advisory (980088): Vulnerability in Internet Explorer Could Allow Information Disclosure

Revision Note: V1.2 (June 9, 2010): Added information about MS10-035 and clarified a FAQ entry about the caching vector.
Summary: Microsoft is investigating new public reports of a vulnerability in Internet Explorer. This advis…

Microsoft Security Advisory (983438): Vulnerability in Microsoft SharePoint Could Allow Elevation of Privilege – Version: 2.0

Revision Note: V2.0 (June 8, 2010): Advisory updated to reflect publication of security bulletin.
Summary: Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS10-039 to address…

Catching up on Symantec Brightmail

Greetings, fellow Symantec Connect community members.  This is Angelos Kottas, Principal Product Manager for Symantec Brightmail Gateway. This is my first blog posting on the Brightmail blog on Symantec Connect, and I look forward to hearing from many of you in the weeks and months ahead.
 
Since last we posted to this blog, the Symantec messaging security team has been very busy!  We successfully released Symantec Brightmail Gateway 9.0 in mid March, and have been pleased to see very rapid adoption of the new release.
 
We also saw several new product releases in our broader messaging security product lines, including Symantec Mail Security for Microsoft Exchange 6.5, Symantec Mail Security for Domino 8.0.5, and Symantec Brightmail Message Filter 6.2.
 
To learn about these new releases, click on the Release Notes from the product support pages.
 
I also hosted a recent webcast on “What’s New in Symantec Brightmail Gateway 9.0” – a recording of the webcast is available here: http://www.symantec.com/offer?a_id=95708
 
In addition to the core product releases, we are also very excited about two new Protection Suite offerings that include our messaging security products: Symantec Protection Suite Advanced Business Edition and Symantec Protection Suite Enterprise Edition for Gateways.  You can read more about the Advanced Business Edition here: http://www.symantec.com/about/news/release/article… ; and our new enterprise suite offerings here: http://www.symantec.com/about/news/release/article…
 
I’ll be back with more updates soon, but in the meantime, please respond to this posting with suggestions for topics that you would like to see covered in future blog postings.

Trojan.Mebratix?????“????”?????

      No Comments on Trojan.Mebratix?????“????”?????

        Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被首次曝光后(又名“鬼影病毒”),近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。
 
        之前的Trojan.Mebratix病毒感染计算机后,会将主引导区的原代码拷贝到下一个扇区,并用恶意代码替换原引导区的代码。由此,该病毒便获取了先于操作系统的启动权,而且一般的系统重装无法彻底清除该病毒。
 
        而新变种Trojan.Mebratix.B在感染计算机的同时,更大大提升了自身的隐蔽性。分析显示,Trojan.Mebratix.B在感染系统主引导区以后,不会直接将恶意代码放置到主引导扇区,而是将其放置到主引导扇区之后的其他扇区。如下图所示:

                        图一Trojan.Mebratix.B恶意代码所在内存位置

        接下来,Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数,在主引导区内调用和执行恶意代码。如下图所示:

                        图二   系统引导时的扩展内存读取

        而原主引导代码则被Trojan.Mebratix.B放置至第三扇区,如下图所示:

                        图三原主引导区代码被挪后

        这样,变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权,并且很好地隐藏了感染代码,令其不易被安全软件检测到。
 
        此外,新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中,使得一般工具无法找到恶意代码的隐匿之处。
 
        Trojan.Mebratix.B运行后,还会将恶意代码注入到explorer进程,从网站http://www.t[REMOVED].cn/n.txt下载文件,以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.
 
        Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。

Trojan.Heloag?“????”???????

      No Comments on Trojan.Heloag?“????”???????

        Trojan.Heloag是一个木马程序,它会在被感染的计算机中开启后门,并下载及执行其它恶意程序。运行时,Trojan.Heloag会添加注册表以实现开机自动运行,并在Windows目录下释放一个恶意文件。值得注意的是,Trojan.Heloag非常善于隐藏自身:它将被释放的恶意文件的属性设置为系统保护文件,并且在受害计算机的注册表中设置隐藏所有系统保护文件。下图是感染该木马后隐藏系统保护文件的设置状态:

        同时,该木马不允许用户修改计算机的该状态设置。
 
        因此,用户如果直接使用浏览器打开Windows目录则无法查看到包括该恶意文件在内的属性为系统保护文件的所有文件,只有使用专门的工具(如IceSword)才能查看到这些被隐藏的系统保护文件。下图是分别使用普通浏览器和IceSword工具查看到的Windows文件目录:

        Trojan.Heloag释放的恶意文件被命名为ThunderUpdate.exe。用户即使查看到该文件,也可能很容易被该名字所欺骗,误以为这是P2P软件“Thunder(迅雷)”的自动更新程序从而放松警惕。
 
        Trojan.Heloag还会尝试访问一些站点以试图下载更多的恶意程序到用户计算机中。Trojan.Heloag还将试图连接到另一恶意站点的8090端口。如果连接成功,该木马会在受感染计算机中开启后门,从而接受攻击者的远程命令。
 
        建议用户保持更新安全软件病毒库以抵御该病毒威胁。不要轻易访问可疑网站。一旦发现无法查看系统保护文件并且无法更改关于隐藏系统保护文件的设置状态,请立即使用诺顿安全软件对您的电脑进行全盘扫描。

??“??”????QQ???????

      No Comments on ??“??”????QQ???????

        近日,一则虚假的免费加话费的信息— “上72ub.com,有惊喜”— 通过手机QQ用户在其好友群里疯狂散布。用户点击该网址后,并不会直接登陆到72ub.com,而会被重定向至病毒制造者在新浪或163创建的博客。这些博客内容一致,均以图片形式推销假冒移动进行的查姓名送200元话费活动:

       
        如果用户出于好奇拨打该号码,企图获得免费的话费,那么“恭喜”你,您得到的不是免费话费,而将被扣费。通过我们的查询,该号码其实是一个声讯台号码,每分钟用户需付费2.2元人民币。这笔不法所得,则是病毒制造者的终极目的。
 
        赛门铁克已发布相关病毒定义,并将继续跟踪该木马的发展。

??QQ????Trojan.PWS.QQPass“?????”

      No Comments on ??QQ????Trojan.PWS.QQPass“?????”

        QQ是一个拥有广大客户群的即时聊天工具,因此也出现了许多针对QQ的病毒攻击。赛门铁克安全响应中心近期检测到QQ盗号木马Trojan.PWS.QQPass的又一新变种。
 
        运行时,它会首先检查用户是否安装了QQ聊天工具。如果检测到有,它就会在QQ安装目录下释放一个名为qqc.dll的动态链接库文件并且选择一个会被QQ.exe加载的.dll文件进行感染,然后将感染后的该.dll文件导入qqc.dll。这样,当用户运行QQ时,qqc.dll将会被加载。qqc.dll会创建一个线程不断搜索QQ用户登录窗口,一旦找到,它会立即将真实的登录窗口隐藏起来,并抛出一个非常逼真的名为“QQ用户登录”的假冒登录窗口。图一、图二分别是假冒登录窗口与真实的QQ登录窗口:

                                   图一:假冒登录窗口

                            图二:真实的QQ登录窗口

        可见,用户如果不仔细辨别则很难区分真伪。但是,与真实的QQ登录窗口不同的是,如果用户点击假冒窗口中的“查杀木马”或“设置”按钮,该窗口不会作出任何响应。图三、图四分别是这两个真假窗口的组件信息:

                      图三:假冒登录窗口的组件信息

                     图四:真实的QQ登录窗口的组件信息

        一旦用户在假冒的登录窗口中输入QQ号码及密码并点击其上的登录按钮,这些信息就会被发送到指定的地址。该木马非常狡猾,为了避免自己的恶意行为被发现,它会把用户输入的登录信息同时转送至真实的登录窗口以便QQ正常登录,使受害用户误以为一切正常。
 
        该病毒通常通过网页挂马的方式来到受害用户计算机。因此,我们建议用户尽量不要访问可以网站,以免感染该病毒。

Microsoft Security Advisory (981169): Vulnerability in VBScript Could Allow Remote Code Execution

Revision Note: V2.0 (April 13, 2010): Advisory updated to reflect publication of security bulletin.
Summary: Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS10-022 to addre…