互联网疫情通报 2011/08/15-2011/08/28_Williamantec

http://blog.sina.com.cn/u/1768282477

首页博文目录关于我

个人资料

微博

加好友发纸条

写留言加关注

博客等级：
博客积分：

博客访问：
关注人气：
获赠金笔：0支
赠出金笔：0支
荣誉徽章：

正文字体大小：大中小

互联网疫情通报 2011/08/15-2011/08/28

(2011-09-13 17:52:20)

标签：

互联网

疫情

通报

symantec

tapp

融正泰和

病毒

排行榜

趋势

it

分类：资料收集与点评

热门病毒排行榜

相关链接如下：W32.Downadup.B的治愈遐想

http://blog.sina.com.cn/s/blog_6965d96d0100ta1u.html

疫情趋势

Xpaj Botnet 是迄今为止最为复杂和精密的僵尸网络之一。它后面隐藏的命令与控制 (C&C) 服务器包含加密的二进制数据、加密密钥、数据库和 Web 应用程序。所有这些元素组合起来，可以在位于多个国家/地区的多台计算机上传播欺诈操作。

一旦执行此二进制数据，威胁将继续监视Internet 流量，目的是截取用户执行的所有搜索或点击操作。所截取数据将被发往 C&C 服务器，然后该服务器会返回一个 Web 地址，实际上它是一则广告。最后会将用户重定向至他们并不想观看的广告，欺骗者因此从广告商那里赚取了点击付费。这就称作“点击欺诈手法”，通过点击欺诈手法赚取的金额取决于受感染客户端的数量以及受感染客户端执行搜索和点击的次数。

截至 2011 年 6 月，这一手法已为垃圾邮件传播者们牟利约 46,000 美元。赛门铁克正在与相关托管服务提供商及其他安全供应商合作，确保关闭这一恶意基础架构。

热点病毒

运行后，W32.Yunsip 会拷贝自身到 Windows 系统目录和各个盘符的根目录；同时添加注册表，以逃避系统的检查机制，让正常程序顺利地加载恶意 dll 文件。该蠕虫会随机选择一个系统服务，将其执行体路径修改为恶意执行体的路径，以实现蠕虫的开机自启动。

此外，W32.Yunsip 会记录受感染计算机中的击键信息，同时开启 HTTP 协议的后门，连接qq2009.3[removed]2.org 以接收命令和发回命令执行结果。

W32.Yunsip 主要通过可移动磁盘传播，同时它也可能会被下载或被其他执行文件释放到被攻击的电脑中。

垃圾邮件趋势

垃圾邮件的运作方式与广告非常相似，它们都是根据人们的文化背景和当地流行趋势吸引各种人群，以使其欺诈利益最大化。因此，从亚洲发出的垃圾邮件与在其他地方看到的医药及 419 欺诈垃圾邮件不同。

例如，赛马在日本和香港等亚洲国家/地区非常流行。这种运动会吸引很多观众，当然也会吸引垃圾邮件传播者。因此，与休闲赛马赌博有关的垃圾电子邮件应运而生。邮件某行中总有文字赫然显示着高得离谱的赢钱率，然后它宣称拥有一个“只有选定的几个人”才能获取的机密，进一步引诱潜在受害者。垃圾邮件传播者以该机密为借口向受害者索要个人信息。接着，受骗者会被要求支付会员费用以接收所谓的“内幕消息”，或者受害者个人信息会被卖给其他有关的垃圾邮件网络，例如成人交友网站及其他毫无道德可言的广告代理商。

若要远离这些威胁，请在收到具有此类主题的电子邮件时格外留意。切勿因一时好奇而受骗！

热门钓鱼网站

From Symantec

TAPP工程师建议

僵尸网络，不同于普通的病毒，蠕虫乃至于木马。平常情况是安全的无害的，即使在接受命令后它的运行都是健康的。我见过一些“僵尸程序”运行起来好像是迅雷下载又或者是360升级，他们不会攻击或危害本机但却会攻击公司内部的服务器；暴利破解密码，通过众多“僵尸程序”断点上传服务器的资料……等等。僵尸网络，越来越多的危害到公司的运营安全。赛门铁克的Symantec Web Gateway（SBG）对于僵尸网络，有着独特的处理方法。

最近要实施一个项目，1万多个邮箱，每天120万封邮件（其中出站10万封），Exchange2003（后端3个集群，一个前端3台NLB，两个桥头）。以前进站使用2台Symantec Brightmail Gateway 8380（软件版本8.0.2），出站用两台美讯智。但是现在美讯智好像已经顶不住了，客户新购两台Symantec Messaging Gateway 8380（软件版本9.5.1）（Brightmail Gateway的升级版本）。这四台设备实施后，估计负载在30%左右，完全可以满足冗余的要求。到时即使一台负责出站，三台负责入站都可了。