CERNET之窗 | CCERT月报:近期木马病毒传播呈增多趋势 多以邮件附件、程序下载定向传播
近期木马病毒传播呈增多趋势
多以邮件附件、程序下载定向传播
7月教育网运行正常,未发现影响严重的安全事件。
安全投诉事件统计
随着高招工作的开展,大众对高校网站的关注度增加,与网站安全有关的投诉事件有所增多。
病毒与木马
六月底一个新型的勒索病毒Petya在国外开始传播,病毒通过电子邮件附件传播进内网后,利用多种漏洞,例如,EternalBlue(永恒之蓝)和Eternal Romance(永恒浪漫)漏洞在内网传播,用户一旦感染,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
与之前的敲诈病毒加密文件不同,该病毒是直接加密硬盘的分区。不过由于该病毒传播有定向性,并且国内之前已经对类似的病毒做了应急处置使得蠕虫的网络传播途径被限制了,因此该蠕虫病毒并未在国内大规模传播,通过各种渠道的反馈,教育网内还未收到有用户感染的报告。
近期新增严重漏洞评述
1、微软7月的例行安全公告中修复了其多款产品中存在的206个安全漏洞,包括Windows10 v1703系统(22个)、Windows10 v1607 and Windows Server 2016(24个)、Windows10 v1511(22个)、Windows10 RTM(22个)、Windows 8.1 and Windows Server 2012 R2(23个)、Windows Server 2012(23个)、Windows 7 and Windows Server 2008 R2(20个)、WindowsServer 2008(20个)、IE 浏览器(7个)、Microsoft Edge浏览器(18个)、Office办公软件(5个)。用户需要使用windows系统自带的Update功能进行相关补丁的更新。
2、Oracle公司在7月中旬发布了今年3季度的例行安全公告,本次公告共修补了其多款产品中的310个安全漏洞,这些漏洞中能够被远程利用的有267个,属于高危漏洞等级的有132个。这些漏洞涉及的产品包括:Oracle数据库(4个)、Oracle REST数据服务(1个)、中间件产品Fusion Middleware(44个);企业管理器网格控制产品Oracle Enterprise Manager Grid Control(8个)、电子商务套装软件Oracle E-Business Suite(22个)、供应链套装软件Oracle Supply Chain Products Suite(10个)、OracleSiebel托管型CRM软件(1个);PeopleSoft产品(30个)、Primavera产品(9个);Hospitality Applications(48个)、Financial Services Software(20个)、Virtualization(14个)、Communications Applications(11个)、Retail Applications(10个)、Hyperion(1个)、Commerce(1个)、iLearning(1个)、Oracle Policy Automation(1个)、Support Tools(1个)、Java SE(32个)、Oracle Sun系统产品(11个)和MySQL数据库(30个)。使用了Oracle公司产品的用户应该尽快根据自己系统的情况进行补丁或版本更新。
3、Apache Struts工作组在7月上旬发布了一个安全公告(S2-048),公告涉及Apache Struts2 2.3.X系列版本中存在一个远程代码执行漏洞(CVE-2017-9791),该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,攻击者可通过构建不可信的输入实现远程命令攻击。目前该漏洞的攻击代码已经在网络上公布,网络流量中也已经检测到大量针对该漏洞的攻击流量。建议网站使用了struts2 2.3.x版本的系统管理员尽快更新自己的Struts2程序到最新版本(2.5.10.1,下载链接:https://github.com/apache/struts/releases/tag/STRUTS_2_5_10_1),并仔细检查相关服务器看看是否已经有被入侵的痕迹。
安全提示
近期各类木马病毒程序传播有增多的趋势,这些木马病毒多数是通过电子邮件附件或是网络程序下载进行定向传播的。因此建议用户做到以下几点:
1、安装有效的防病毒软件,并保持病毒库升级到最新;
2、使用正版操作系统,并及时更新补丁程序;
3、下载程序建议到官方网站或是认证过的可信源下载正版,破解版的程序里通常都可能被放置了木马后门程序;
4、定期备份系统中的重要文件;
5、使用安全厂商提供的专杀工具定期检查扫描。