新年网购警惕木马作祟

文/郑先伟

CCERT月报

新年网购警惕木马作祟

文/郑先伟

2010年12月教育网网络运行正常，无重大安全事件发生。

12月的安全投诉事件与之前几个月没有明显的比例变化，依然以垃圾邮件和网页挂马为主。

2010年11月～2010年12月教育网安全投诉事件统计

与网上支付相关的木马增多

12月没有新增影响特别严重的蠕虫病毒。近期需要引起用户注意的是一些与网上支付有关的木马病毒。随着网络购物的普及以及新年的临近，在网络上购物的用户数量也越来越多，这也使得与网络支付有关的木马数量变多了。这类木马通常与一些正常软件捆绑在一起引诱用户下载运行，从而感染用户，多数时候它们还会利用SEO（搜索引擎优化）技术来提升自己被下载的几率。当用户感染了这类木马病毒后，木马会在用户进行网络支付时劫持用户的网络连接，将本来应该付给商家的金钱转付到木马编写者的账号中，给用户带来直接的经济损失。因此用户在进行网络购物时一定要保持系统的安全性，在进行网络支付前一定要仔细确认商家的信息。

近期新增严重漏洞评述

2010年12月微软发布了17个安全公告，再次刷新了单月发布安全公告数量的纪录。截至12月，微软2010年发布了的安全公告总数已经创纪录的达到106个，凸显当前安全形势的严峻性。这次发布的安全公告修补了前一个月IE浏览器爆出的远程代码执行0day漏洞以及被超级工厂病毒使用的最后一个未修补的本地权限提升漏洞。除这两个漏洞外，此次公告还修补其他38个涉及Windows系统、IE浏览器以及Office办公软件的漏洞，建议用户尽快安装相应的补丁程序。

除了微软外，一些其他的第三方软件也发布了安全补丁或新的版本修补之前的漏洞，用户应该尽快选择下载安装，它们是：

Firefox浏览器发布最新版本3.6.13修补多个安全漏洞：

http://www.mozillaonline.com/

Winamp音乐播放软件最新版本5.601修补多个安全漏洞：

http://www.winamp.com/

除上述提及的补丁及漏洞外，下列的0day漏洞需要用户特别关注：

IE畸形CSS规则导入远程代码执行漏洞（0day）

影响系统：

Internet Explorer 6

Internet Explorer 7

Internet Explorer 8

漏洞信息：

IE浏览器在处理CSS样式单时存在一个漏洞，当错误地在CSS样式单中引用该CSS样式单自身时存在内存错误，可能导致释放后的内存块被重用。精心构造内存中的数据结合Heap Spray等技术可利用此漏洞，如果成功，则可远程执行任意指令；如果失败，则可能导致用户系统的内存被耗尽并最终导致IE浏览器崩溃。攻击者要想利用该漏洞，需要精心构造一个网站并引诱用户点击。

漏洞危害：

该漏洞可以直接通过网页进行利用。最初漏洞是以拒绝服务攻击漏洞被公布出来的，但是在随后的研究测试中被发现可以用来进行代码执行。目前稳定的执行代码工具已被开发出来，随后该漏洞可能会被大规模利用，以进行挂马攻击。

解决办法：

目前厂商已针对该漏洞发布了紧急安全通告，但是还未发布补丁程序，建议用户随时关注厂商的动态：

http://www.microsoft.com/china/technet/ security/advisory/2488013.mspx

在没有补丁程序之前，用户可以使用以下临时办法来减轻漏洞带来的风险：

方法一：将浏览器的安全级别设置为“高”阻止ActiveX 控件和活动脚本，方法如下：

在 Internet Explorer的“工具”菜单上，单击“Internet选项”。

在“Internet 选项”对话框中，单击“安全”选项卡，然后单击“Internet”图标。

在“该区域的安全级别”下，将滑块移至“高”。这将用户访问的所有网站的安全级别均设置为“高”。

方法二：临时使用其他浏览器替代IE浏览器，如使用Firefox浏览器。

（作者单位为中国教育和科研计算机网应急响应组）

安全提示

对于近期的风险，建议用户注意以下操作：

1.及时更新系统及第三方软件的补丁程序；

2.安装正版杀毒软件，并及时升级病毒库；

3.进行网上购物时一定要保证系统是安全的（定时对系统查毒），不要在不受信任的公共机器上进行网络交易；

4.不要轻易点击即时通讯软件中发来的交易链接；

5.在进行网络支付时一定要仔细确认收款方的信息。