DOS时代的病毒抬头

文/郑先伟

DOS时代的病毒抬头

文/郑先伟

5月教育网运行正常，无重大安全事件发生。一些系统及安全厂商陆续发布对2010年全球互联网安全状况的统计报告，这些报告中的数据显示2010年中国的互联网安全形势有所好转，例如微软的统计数据中就显示中国Windows用户的病毒感染率排名已经从之前的第一名下降到全球第三名，而卡巴斯基的安全报告提到中国的恶意软件托管数量大大降低。这样的结果一方面显示国内用户的防护意识得到提高，另一方面显示了国家对互联网安全的各种专项整治工作初见成效。如果读者对上述报告中的详细数据感兴趣，可以到各厂商的官方网站上获取相应的报告。

5月网页挂马的数量有所减少，不过随着高考和高招工作的临近，学校网站的安全风险增大，各学校的管理员应该在这段时间加强对学校网站的管理，尤其是一些二级院系网站，避免被黑客入侵成为挂马网站。

以防范为主应对DOS时代病毒

5月没有新增影响特别严重的病毒蠕虫，新增的病毒蠕虫数量继续呈下降趋势。值得关注的是病毒的反查杀能力正在逐步增强，一些DOS时代的病毒感染技术也被拿出来重新利用，例如感染系统MBR引导区。传统的引导区感染技术和现在驱动进程守护相结合的感染方式使得病毒的清除变得异常困难：如果引导区被感染，即便重装系统，病毒依然存在，若要运行修复引导区软件，驱动级的守护进程又是运行相应软件的障碍。对于采用这类技术的病毒，建议还是以防范为主，否则事后的查杀将是一个费时又费力的工作。

近期新增严重漏洞评述

也许是因为4月的公告数量创了新高，5月微软的例行安全公告仅有两个，其中一个公告涉及的漏洞存在于W i n s服务中（MS11-035）影响Windows 2003和2008版本的Server系统，属于严重级别的漏洞，不过默认情况下Server系统并不安装Wins服务。另一个安全公告（MS11-036）涉及的漏洞存在于PowerPoint软件中，公告属于重要等级。除了微软的安全公告外，一些第三方厂商发布的安全公告需要用户关注：

1.Mozilla公司的Firefox浏览器发布新版本修补多个安全漏洞：

http://www.mozilla.org/security/announce/

2.Adobe公司发布安全公告修补产品的多个严重级别的安全漏洞（包括4月提到的Flash Player ‘SWF’文件远程内存破坏的0day漏洞）：

http://www.adobe.com/support/security/bulletins/apsb11-12.html

勤云科技远程稿件处理系统文件上传漏洞（0day）

影响系统：

远程稿件处理系统 <=8.0

漏洞信息：

勤云科技是一家期刊信息化综合服务提供商，其生产的远程稿件处理系统被很多学术期刊用来进行网络稿件提交和评审工作，用户经过简单的在线注册后可以通过该系统上传自己的论文，由于系统未对用户上传的文件格式和上传后的路径进行严格限制，使得恶意攻击者可以上传asp后门网页并随后访问这些网页，进而获得网站的控制权限。

漏洞危害：

控制网站后攻击者可以查看所有数据库中的信息，这可能导致其他作者上传的一些还未发表的论文被黑客获取。同时黑客还可以在系统上或是系统的某些特定的目录中（依网站本身的权限设定而不同）执行任意程序。

解决办法：

目前厂商还未针对该漏洞做任何修补，使用该系统的用户可以联系厂商要求提供解决方案。

在还没有补丁之前，相关网站的管理员可以采用以下临时办法来缓解风险：

1.强化网站投稿模块对文件上传类型的服务器端验证；

2.取消图片及稿件存储目录的执行权限 ；

3.建议将服务器组件由IIS 6升级至IIS 7。

（作者单位为中国教育和科研计算机网应急响应组）

安全提示

鉴于近期的安全风险，用户应该进行如下操作：

1.及时更新系统补丁程序；

2.及时升级病毒库；

3.在系统中发现有杀毒软件反复无法清除的病毒时，应咨询专业人士使用特定的专杀工具进行清除。