Virus Bulletin just published their September 2010 test results (http://www.virusbtn.com/vbspam/index), and Symantec Brightmail Gateway once against received a VBSpam designation – our 5th consecutive recognition.
In this month’s test, Symantec Brightmail Gateway registered an effectiveness score of 99.64%, with 0 false positives! It is great to see external validation for the premium that Symantec places on balancing very high effectiveness (over 99%) with accuracy (low false positives) in fighting spam.
You may be familiar with the Virus Bulletin name – Virus Bulletin is an independent third party that has been running comparative tests on antivirus technologies for over a decade. Symantec’s antivirus engines have achieved over 40 VB100 awards during this time.
Our team is thrilled with the latest results on the VBSpam testing. Symantec Brightmail Gateway is a core component of Symantec Protection Suite (Enterprise Edition and Advanced Business Edition), and is also available as a stand-alone enterprise product and the Symantec Brightmail Gateway Small Business Edition, for customers with fewer than 250 employees.
I can’t quite believe it’s September already, this year is flying by at a crazy pace.
This means that the Symantec Vision conference in EMEA has come around quickly too.
This year, we are at the CCIB in Barcelona, Spain, during the first week of October – Tuesday 5th through Thursday 7th.
Amongst the many, many sessions over the 3 day conference, there are a number of Mail & Web security sessions that you shouldn’t miss (not least because I’m co-presenting them 
), so in no particular order.
-
Best Practices for Email Security.
- Anatomy of a Web Attack.
- Hands On Lab – Best Practices for installing and Configuring Symantec Brightmail Gateway.
- Hands On Lab – Best Practices for installing and Configuring Symantec Web Gateway.
- Deploying Symantec Protection Suite: Architecture and Best Practices.
Other interesting sessions in the messaging and web security realm:
-
The State of Spam
- Cost of Email Security – Calculating your risks
- Protecting against Botnets
- Best Practices for installing and configuring Symantec Mail Security for Exchange
- Running Security Operations with Symantec Protection Center
If you are joining us at EMEA Vision this year, what are you looking forward to most?
Be sure to let me know if you are coming along, there are going to be plenty of opportunities to talk to our product specialists, engineers, decision makers and of course to network with your peers.
//ian
Trojan.Dysflink是一种盗取QQ用户信息的木马。该木马会监控系统特定文件夹(STARTMENU, COMMON_STARTMENU, DESKTOP, COMMON_DESKTOPDIRECTORY, PROGRAM_FILES, PERSONAL)中后缀名为.lnk的文件,也就是我们常说的快捷方式,并替换这些.lnk文件。
.lnk文件被替换前后的截图:
被替换的快捷方式使木马在系统重启后仍然可以有机会被运行。同时,木马运行后依然会将原始的目标程序打开,令用户不容易察觉到中毒。
病毒运行后,会在系统中添加如下文件:
ROOT:Program Filesqcat
ROOT:Program Filesqcatqcat.ini
ROOT:Program Filesqcatqsetup.exe
ROOT:Program Filesqcattmpdata
ROOT:Program Filesqcattmpdata*.lnk
同时,该木马会在qcat.ini中记录被替换修改的.lnk文件的信息。tmpdata中存放的则是原始的被替换的.lnk文件,如下图所示:
木马会寻找QQ程序进程,并将窃取的QQ用户机密信息发送到http://7[REMOVED]m.com:81/dd/dd/qq.asp。
目前,赛门铁克已发布针对Trojan.Dysflink的病毒定义,可有效协助用户抵御此类病毒的攻击。
Thanks to Jerry Jing for the technical analysis.
上周,Adobe发布了安全更新(APSB10-15),可防范之前利用PDF进行的社会工程学攻击(CVE-2010-1240)。不过,随着补丁的发布,攻击者再次聚焦这类攻击,并研究补丁的破解方式。因此,我们担心类似攻击有可能再次发生。
大家知道我们常用的PDF文档阅读软件Adobe Reader包含了很多强大的功能,其中之一便是令PDF可以执行或者打开一个目标文件,包括可执行文件(.exe)。但为了防止恶意程序乘虚而入,文件只有在用户许可的情况下才能打开或运行。如图一:
(图一)
然而,这样一个防范功能竟也被攻击者所利用。开头提到的基于社会工程学的攻击便是其中一种。攻击者会构造一份特别的PDF文件,其内容可能包括用户感兴趣的话题。当PDF文件被打开时,会跳出一个窗口,提示这是一个加密的文档,需要点击窗口中的“打开(open)”才能阅读(如图二所示)。若用户一旦点击打开,内嵌在PDF中的恶意代码便会被激发并运行。
(图二)
Symantec 数月前已发布针对此类攻击的病毒定义Bloodhound.PDF.24,可有效防止此类攻击的发生。同时,用户也应尽快根据官方指示将Adobe Reader更新至9.3.3 以上版本。
上网搜索信息使我们日常生活中经常使用的功能。互联网快捷的速度、全面的知识,令我们在弹指间便能找到需要的答案。而针对搜索的木马也应运而生,Trojan.Bamital就是赛门铁克安全响应中心近期检测到的此类木马病毒。用户如果使用被其感染的计算机对网络内容进行搜索,该木马会篡改搜索引擎的返回结果。
运行后,Trojan.Bamital首先会释放一个DLL文件%UserProfile%Local SettingsApplication DataWindows Server<random 6 letters>.dll,并且创建注册表键值HKEY_CURRENT_USERSoftware<random 10 letters>”<random 10 letters>” = “[BINARY DATA]”。被释放的DLL文件从该注册表键值读取有害的代码来运行。同时,它还会关闭计算机的系统还原功能,并且将有害代码注入到多个进程,这些进程包括:cmdagent.exe,fssm32.exe,fsorsp.exe,avp.exe,iexplore.exe,firefox.exe,opera.exe
explorer.exe等。被注入的恶意代码会挂钩系统函数,监视浏览器向搜索引擎发送的数据包,修改搜索引擎的返回结果,并将一些广告链接添加到搜索结果中。
该木马通过偷渡式下载进行传播。因此,建议用户不要轻易访问可疑网站;浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)分析将要访问网页的安全性。赛门铁克安全响应中心已发布针对该病毒的病毒库定义,请用户及时更新您的安全软件病毒定义库以抵御该病毒威胁。
W32.Mabezat.B是一种蠕虫病毒,其最大的特点是传播方式多种多样,用户稍有不慎就可能使计算机受到该蠕虫感染。运行时,该蠕虫首先会开启用户计算机中的自动播放功能,并且设置隐藏系统属性文件以避免被用户发现。
W32.Mabezat.B主要通过以下方式进行传播:
-
拷贝自身到移动存储设备并写入autorun.inf;
-
把自身拷贝到开有网络共享的计算机,并重命名为一些大家熟悉的文件名,如My documents.exe,Readme.doc.exe等;
-
把自己作为附件通过垃圾邮件发送出去,并将附件命名为office_crack.rar、RecycleBinProtect.exe等以诱使用户点击;
-
把自身拷贝到%UserProfile%Local SettingsApplication DataMicrosoftCD Burning目录,这样用户在做刻录操作时就会自动把病毒刻录到光盘上;
-
感染用户计算机中的可执行程序。感染后的文件被检测为W32.Mabezat.B!inf。
因此,建议用户关闭计算机的自动播放功能;在打开移动存储设备前先对其进行安全扫描;尽量不要使用网络共享;不要轻易打开来历不明的邮件及其附件;及时更新安全软件病毒定义库以抵御该蠕虫病毒的威胁。
Greetings, fellow Symantec Connect community members. This is Angelos Kottas, Principal Product Manager for Symantec Brightmail Gateway. This is my first blog posting on the Brightmail blog on Symantec Connect, and I look forward to hearing from many of you in the weeks and months ahead.
Since last we posted to this blog, the Symantec messaging security team has been very busy! We successfully released Symantec Brightmail Gateway 9.0 in mid March, and have been pleased to see very rapid adoption of the new release.
We also saw several new product releases in our broader messaging security product lines, including Symantec Mail Security for Microsoft Exchange 6.5, Symantec Mail Security for Domino 8.0.5, and Symantec Brightmail Message Filter 6.2.
To learn about these new releases, click on the Release Notes from the product support pages.
I also hosted a recent webcast on “What’s New in Symantec Brightmail Gateway 9.0” – a recording of the webcast is available here: http://www.symantec.com/offer?a_id=95708
In addition to the core product releases, we are also very excited about two new Protection Suite offerings that include our messaging security products: Symantec Protection Suite Advanced Business Edition and Symantec Protection Suite Enterprise Edition for Gateways. You can read more about the Advanced Business Edition here: http://www.symantec.com/about/news/release/article… ; and our new enterprise suite offerings here: http://www.symantec.com/about/news/release/article…
I’ll be back with more updates soon, but in the meantime, please respond to this posting with suggestions for topics that you would like to see covered in future blog postings.
Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被首次曝光后(又名“鬼影病毒”),近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。
之前的Trojan.Mebratix病毒感染计算机后,会将主引导区的原代码拷贝到下一个扇区,并用恶意代码替换原引导区的代码。由此,该病毒便获取了先于操作系统的启动权,而且一般的系统重装无法彻底清除该病毒。
而新变种Trojan.Mebratix.B在感染计算机的同时,更大大提升了自身的隐蔽性。分析显示,Trojan.Mebratix.B在感染系统主引导区以后,不会直接将恶意代码放置到主引导扇区,而是将其放置到主引导扇区之后的其他扇区。如下图所示:
图一Trojan.Mebratix.B恶意代码所在内存位置
接下来,Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数,在主引导区内调用和执行恶意代码。如下图所示:
图二 系统引导时的扩展内存读取
而原主引导代码则被Trojan.Mebratix.B放置至第三扇区,如下图所示:
图三原主引导区代码被挪后
这样,变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权,并且很好地隐藏了感染代码,令其不易被安全软件检测到。
此外,新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中,使得一般工具无法找到恶意代码的隐匿之处。
Trojan.Mebratix.B运行后,还会将恶意代码注入到explorer进程,从网站http://www.t[REMOVED].cn/n.txt下载文件,以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.
Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。
Trojan.Heloag是一个木马程序,它会在被感染的计算机中开启后门,并下载及执行其它恶意程序。运行时,Trojan.Heloag会添加注册表以实现开机自动运行,并在Windows目录下释放一个恶意文件。值得注意的是,Trojan.Heloag非常善于隐藏自身:它将被释放的恶意文件的属性设置为系统保护文件,并且在受害计算机的注册表中设置隐藏所有系统保护文件。下图是感染该木马后隐藏系统保护文件的设置状态:
同时,该木马不允许用户修改计算机的该状态设置。
因此,用户如果直接使用浏览器打开Windows目录则无法查看到包括该恶意文件在内的属性为系统保护文件的所有文件,只有使用专门的工具(如IceSword)才能查看到这些被隐藏的系统保护文件。下图是分别使用普通浏览器和IceSword工具查看到的Windows文件目录:
Trojan.Heloag释放的恶意文件被命名为ThunderUpdate.exe。用户即使查看到该文件,也可能很容易被该名字所欺骗,误以为这是P2P软件“Thunder(迅雷)”的自动更新程序从而放松警惕。
Trojan.Heloag还会尝试访问一些站点以试图下载更多的恶意程序到用户计算机中。Trojan.Heloag还将试图连接到另一恶意站点的8090端口。如果连接成功,该木马会在受感染计算机中开启后门,从而接受攻击者的远程命令。
建议用户保持更新安全软件病毒库以抵御该病毒威胁。不要轻易访问可疑网站。一旦发现无法查看系统保护文件并且无法更改关于隐藏系统保护文件的设置状态,请立即使用诺顿安全软件对您的电脑进行全盘扫描。
近日,一则虚假的免费加话费的信息— “上72ub.com,有惊喜”— 通过手机QQ用户在其好友群里疯狂散布。用户点击该网址后,并不会直接登陆到72ub.com,而会被重定向至病毒制造者在新浪或163创建的博客。这些博客内容一致,均以图片形式推销假冒移动进行的查姓名送200元话费活动:
如果用户出于好奇拨打该号码,企图获得免费的话费,那么“恭喜”你,您得到的不是免费话费,而将被扣费。通过我们的查询,该号码其实是一个声讯台号码,每分钟用户需付费2.2元人民币。这笔不法所得,则是病毒制造者的终极目的。
赛门铁克已发布相关病毒定义,并将继续跟踪该木马的发展。