更新时间:2011年3月4日
更新版本:7.7.0.1002e
软件大小:21.48M
下载地址:http://dl.360.cn/setupbeta_7.7.0.1002e.exe
更新内容:
软件管家
1、对是否显示“软件升级检测提示框”可进行设置;
2、优化了选择默认下载目录和默认安装目录的方法;
3、优化了发送统计的参数。
网盾
1、加强钓鱼网站的识别能力,上网更安全。
漏洞
1、修正特殊情况下关闭漏洞弹窗时进程启动卡住的问题。
===========================================================================
更新时间:2011年3月3日
更新版本:7.7.0.1002d
软件大小:21.45M
下载地址:http://dl.360.cn/setupbeta_7.7.0.1002d.exe
更新内容:
ARP防火墙
1、优化网关搜寻能力,网关设备冲突时,自动识别判断正确的网关,更智能。
2、响应卫士游戏模式,玩游戏时不弹窗,减少对您的打扰。
国外媒体报道,一群黑客对17名全球500强企业员工进行安全意识测试,结果却发现黑客们可以轻易获得相关企业信息,员工普遍缺少安全常识。参考链接
金山毒霸安全专家李铁军点评:
通常,黑客在试图入侵企业网络时,会尝试了解目标网络的基本情况,社会工程学调查是其中常用的办法之一。所谓说者无心,听者有意。在员工无意识的泄密中,黑客获得了他所需要的商业情报。
—————————分割线,你懂的—————————
上周,国外安全专家对计算机技术应用在汽车工业领域表示担忧。在汽车关键零部件中,引入了大量计算机化控制系统。而这些控制系统在设计时,并未对计算机系统本身的安全做充分设计,安全研究人员发现可以在一定距离内改变或控制车辆的检测系统。参考链接
金山毒霸安全专家李铁军点评:
信息技术已经进入日常生活的每一个角落,智能家电、智能汽车,自动化在帮助人们提高生活质量的同时,也在威胁着人们的安全。倘若这些智能汽车的自动化控制系统因为某些人为的原因受到干扰或破坏,就可能对乘客安全构成威胁。汽车制造商是时候增强自动化控制系统自身的安全性了。
—————————分割线,你懂的—————————
9月1日,争议了多年的手机实名制开始实施。在反对者的声音中,发现最多的担忧是关于公民隐私信息保护的。参考链接
金山毒霸安全专家李铁军点评:
我们经常在媒体上看到XX贩卖手机号被起诉之类的新闻,人们每天要收到很多垃圾短信、垃圾邮件,骚扰电话,对收集个人隐私信息的行为感到担忧。手机实名制之后,如果手机号再被出售,那丢掉的就不仅仅是一个号码,而可能包含更多的私人信息。实名制之后,掌管实名制资料的企业,得把这些数据库真的看牢了。
—————————分割线,你懂的—————————
上周,有京东网客户上传几张晒单的照片,可就有人根据这几张无心上传的照片完美展示了人肉搜索的强大。可以根据照片的属性判断相机的类型,根据照片展示的场景判断人物主体的职业特征、家庭特征,令人不寒而栗。参考链接
金山毒霸安全专家李铁军点评:
在数码照片中,默认情况下会记录照片的拍摄时间、相机品牌、名称,甚至GPS位置信息。根据照片内容可以判断人物的喜好、环境。再根据文件名、记录事件的属性、发贴人ID,还可以猜测到更多信息。这些就如间谍一般,根据一条简单的线索挖掘出有价值的情报。人肉搜索可能无处不在,个人隐私泄露可能就是在无意之中的小动作造成的。除此之外,病毒木马传播者也对电脑中存储的资料虎视眈眈,而多数人对于电脑病毒的认知,还停留在电脑病毒破坏计算机系统运行这种层面,对电脑数据安全浑然不知。
2010年08月24日 微软发布安全公告2269637,提到三方软件编程不安全存在一个DLL挟持的缺陷可以导致远程攻击
2010年08月24日 流行的漏洞信息共享网站exploit-db马上就爆出多个DLL挟持漏洞涉及的软件有:Wireshark(免费嗅探器),Windows Live email(邮箱客户端), Microsoft MovieMaker(视频编辑处理),Firefox(网页浏览器), uTorrent (BT下载工具),PowerPoint 2010(办公软件)等
2010年08月25日-26日 漏洞信息共享网站exploit-db继续爆出Winamp,Google Earth,Photoshop等软件存在DLL挟持漏洞,同时发布这个blog之前笔者的电脑中已经发掘存在的流行软件有,QQ影音,QQ音乐,美图秀秀,ppstream等
二 新老DLL挟持的攻击原理分析和防御
1 动态链接库文件通常加载顺序如下
windows xp sp2系统以上会默认开启SafeDllSearchMode,在这么模式下DLL文件的搜索顺序如下所示
2 老DLL挟持触发的原理解析和防御(漏洞触发在DLL搜索流程的第一层)
(1)老DLL挟持的特点:
为了增加触发的概率,通常会使用usp1.dll,ws2_32.dll,lpk.dll等应用程序所必须的系统dll文件,然后利用DLL搜索第一顺位是程序安装目录,在程序安装目录释放一个同名DLL文件,抢先加载恶意病毒DLL文件,从而达到破坏的作用。这里可执行程序相当于恶意dll的加载器
(2)老DLL挟持病毒利用回顾重现
2007年罗姆病毒(ws2_32.dll导致很多杀毒软件无法打开),2009年春节猫癣病毒(usp10.dll导致很多用户重装系统都无法解决病毒问题)
通常使用老DLL挟持的病毒木马会枚举电脑里面的所有exe目录,然后将恶意的usp10.dll释放到每个exe所在的目录。当用户执行一个应用程序的时候,将会把恶意的usp10.dll文件优先加载从而感染系统
根据前面介绍的DLL加载顺序,运行程序的时候会优先到程序执行的目录下加载必须文件,下图显示了utorrent.exe在安装目录下的找到了usp10.dll文件并把它加载到内存中。
(3)老DLL挟持的通用免疫方案
可以通过编辑HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs来添加需要面议的DLL文件,比如:新建一个ws2_32 指向ws2_32.dll
3 新DLL挟持触发的原理解析和防御(漏洞触发在DLL搜索流程的第五层)
(1)新DLL挟持的特点:
应用程序为了扩展或者兼容等目的需要加载相应的DLL文件,但是因为某些原因导致这个DLL文件默认不存在于当前系统,比如plugin_dll.dll文件默认情况下不存在utorrent的安装目录,dwmapi.dllxp环境下不存在(Vista以上系统存在),ie6环境下没有ieframe.dll(ie7以上版本存在)。正是因为程序需要的DLL文件在DLL搜索顺序的(1)-(4)中都不可能存在,此时就会尝试加载文件所在目录下的恶意dll文件,从而达到破坏的作用。这里运行的文件(比如mp3)相当于触发者,根据文件关联它会启动一个应用程序去播放mp3文件。而因为应用程序存在DLL挟持漏洞(比如QQ影音),此时QQ影音就会因为设计上的不足导致成为恶意DLL的加载器。相当于老DLL挟持,简直达到了运行图片/视频文件就会执行恶意文件的目的,当然前提是大灰客们能猜中你电脑里面的默认查看的软件是否存在DLL挟持漏洞了
(2)新DLL挟持利用重现
通常灰客们会先通过DLL挟持挖掘工具寻找存在DLL挟持漏洞的流行应用程序,然后构造相应的文件上传到网络上供用户下载(具体的传播方式请看下一章),如果用户的电脑存在漏洞那么运行相应文件的时候就会执行存在漏洞的程序,从而使得恶意dll被不知不觉加载
根据前面介绍的DLL加载顺序和新DLL挟持的特点,程序在前四个流程都没有找到需要的文件,只能勉为其难的在第五流程-当前文件目录下加载恶意dll文件,下图就显示了uTorrent加载plugin_dll.dll顺序(前四个流程都是 name not found)并且加载当前目录下恶意plugin_dll.dll文件(第五流程显示的是success )的过程
(3)新DLL挟持的免疫
目前微软没有提供有效的免疫方案可以使用,建议升级你常用软件到最新版本,同时可以尝试使用金山毒霸dll劫持漏洞免疫工具减少风险
三 新DLL挟持可能存在的攻击方式
exploit-db公布了存在DLL Hijacking的大量常用软件,这些软件里面有视频音频播放器,图像设计浏览软件,IM聊天工具,文字处理软件,网页浏览器,下载软件,杀毒软件。根据在下的一点拙见如果病毒作者想要利用这个漏洞来实现广泛传播的话主要有几种方式。
1 BT下载大片传播
挖掘出支持BT下载的流行软件(比如uTorrent )的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件)和BT种子文件打包成压缩包上传到网上供用户下载,用户一旦下载了这个压缩包双击BT种子文件的时候会调用uTorrent 打开,uTorrent 运行的时候由于设计上的不河蟹根据dll加载的顺序最后会将种子所在目录的恶意dll加载
2 美女图片分享传播
挖掘出流行图片浏览工具(比如美图秀秀)的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件)和图片文件打包成压缩包上传到网上供用户下载,用户一旦下载了这个压缩包,解压浏览美女靓照的时候可能会调用图片浏览工具打开从而触发漏洞加载恶意dll文件
3 软件下载包含的网页文件传播
挖掘出流行网页浏览工具(比如firefox)的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件),应用程序和htm等网页文件打包成软件压缩包并上传到网上供用户 下载。用户一旦下载了这个软件压缩包,解压以后运行安装必看.htm之类的网页文件会调用网页浏览工具打开从而触发漏洞加载恶意dll文件
4 热门视频音频文件传播
挖掘出流行视频音频播放工具(比如QQ影音)的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件)和rmvb等视音频文件打包压缩包并上传到网上供用户 下载。用户一旦下载了这个压缩包,解压播放相应视频的时候从而触发漏洞加载恶意dll文件
5 目前公布的部分软件列表
Google Earth
Nullsoft Winamp 5.581
Media Player Classic 6.4.9.1
Mozilla Thunderbird
Microsoft Office PowerPoint 2007
Adobe InDesign CS4
Nvidia Driver
Adobe Illustrator CS4
Adobe Premier Pro CS4
Skype <= 4.2.0.169
TechSmith Snagit 10
Safari v5.0.1
uTorrent
Microsoft Visio 2003
Adobe Photoshop CS2
avast! <= 5.0.594
Adobe Dreamweaver CS5
Opera v10.61
Firefox <= 3.6.8
四 DLL安全编程,避免产生DLL挟持问题
更多信息请访问http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
(1) 调用LoadLibrary, LoadLibraryEx, CreateProcess的,或者 的ShellExecute 等涉及到模块加载的函数的时候,指定DLL加载的完整路径,貌似应该有API可以获取当前程序运行的目录的
(2)考虑使用 的DLL重定向 或 Manifests文件 ,以确保您的应用程序使用正确的DLL。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
(3)确保DLL安全搜索模式被激活。未使用安全搜索设置的话,第二加载项就是当前目录。
HKLM\System\CurrentControlSet\Control\Session Manager \ SafeDllSearchMode
(4)从搜索列表中取消当前目录,可以通过调用SetDllDirectory 参数设置为一个空字符串
上周五,若干个QQ群中发现有人利用伪装成“女人必看.rar”压缩文件的病毒传播,据金山毒霸安全实验室分析,“女人必看.rar”是一个内置盗号木马的文件包,病毒传播者将病毒文件伪装成公众感兴趣的内容传播。据金山毒霸安全实验室统计,该病毒传播量已超过10万台PC。(http://news.duba.net/contents/2010-08/10041.html)
金山安全专家点评:短时间内“女人必看.rar”文件的迅速传播,可能是盗号集团蓄意为之,盗号集团先用一批偷来的QQ号登录,可能利用了某些工具自动上传病毒到QQ群共享,然后再使用黑客工具刷热门群下载,致使带有“女人必看”的病毒文件在很短时间内如滚雪球般迅速传播。目前,尚不能排除类似蠕虫病毒攻击的事件再次发生。
—————————分割线—————————
建议经常聊QQ群的网民收敛一下自己的好奇心,同时,提醒QQ群管理员及时删除群共享空间中不安全的文件,及时删除可能被盗的QQ号,以控制病毒传播。
上周,据国外媒体报道,Adobe星期四称,它将在8月16日发布一个紧急补丁修复其Reader和Acrobat软件中的一个严重的安全漏洞。
http://news.ccidnet.com/art/1032/20100806/2144331_1.html
金山安全专家点评:Adobe Acrobat和Acrobat Reader漏洞层出不穷,市面上存在的Acrobat Reader版本也很复杂,同时,这些组件的漏洞网民并不象对Windows漏洞那样关注。利用这些漏洞制作特殊的PDF文件,同样可以执行任意代码,比如控制用户电脑。建议网民立即到adobe 官方网站下载最新补丁,或者更换其它第三方的PDF阅读器。
—————————分割线—————————
上周据新华社报道,上海市浦东新区人民法院对一起特大非法获取公民个人信息罪案作出一审判决。被告搜罗出售各类公民个人信息3000多万条,其行为情节严重,法院分别判处10名被告有期徒刑或拘役。
金山安全专家点评:在倒卖公民隐私信息的违法案例中,很少见到最初收集隐私信息的单位和个人因违法而被查处。是谁收集了3000多万条公民隐私信息呢?公民个人信息泄露的渠道复杂,其中包括病毒木马或流氓软件暗中收集电脑上的个人信息。而公民个人信息被泄露后,可能会被骗,被垃圾消息骚扰,也可能面临其它不确定的威胁。希望公民加强隐私保护的意识,不轻易将涉及隐私信息的资料提供给第三方,同时加强电脑系统的安全保护,使用金山卫士定期清理可能暴露隐私的数字信息。
—————————分割线—————————
在上周,中消协发布的一组数据显示,今年上半年,互联网服务投诉量同比增幅74.6%,创历史新高。报道认为网络安全问题频发,互联网遭遇发展之痛,亟需加强法制建设,改善安全技术,提高个人防患意识。报道称安全问题已经成为互联网发展过程中无可回避的痛,严重妨碍了互联网作用的发挥。若医不好,互联网的发展前景堪忧。
http://it.people.com.cn/GB/42891/42895/12351543.html
金山安全专家点评:一些影响严重的三大风险(挂马、钓鱼欺诈、不安全下载)曾经是病毒木马入侵的主要通道,正在被安全厂商有效遏制,安全问题不会成为互联网应用的障碍。
上周最受瞩目的安全事件非lnk漏洞(快捷方式漏洞)莫属,因lnk漏洞(快捷方式漏洞)存在看一眼就中的特性,此漏洞一出,即得到安全界的高度关注,金山、瑞星、江民、360都在第一时间发布了安全警告。与此同时,微软方面也提供了关闭漏洞的临时方案。
http://pcedu.pconline.com.cn/softnews/bingdu/1007/2176217.html
点评:lnk漏洞分布面甚广,几乎所有的Windows主机都将面临威胁。而lnk漏洞攻击代码已在黑客组织中流传,在某些论坛、博客空间,已经发现有人撰写了利用lnk漏洞制作病毒的教程。
—————————分割线—————————
上周,据国外媒体报道,DELL公司部分已经出货的PowerEdge R410服务器主板上带有“malware”病毒,DELL公司表示,这些病毒不会危害Windows操作系统。DELL将为客户更换染毒的主板,戴尔论坛上的声明:http://en.community.dell.com/support-forums/servers/f/956/t/19339458.aspx
点评: 病毒寄生在硬件中,这一直是病毒制作者的梦想,在某些技术资料中看到,有概念型的病毒木马可寄生在主板BIOS芯片、显卡芯片、打印机芯片中。传说第一次海湾战争伊拉克的惨败就与从法国采购的打印机被植入病毒有关,DELL的这个案例,至少证实硬件中是可以寄生恶意软件的。
—————————分割线—————————
上周,影片《唐山大地震》上映,在不到一周的时间内,就有枪版在多个盗版电影分享站点出现。而这些盗版电影站点提供的所谓专用播放器,早已被人为植入病毒木马。
点评:预计本周《唐山大地震》影片的盗版还会继续增多,盗版电影网站多以广告弹出或植入木马来获得收益,喜欢冯小刚电影的朋友们务必小心应对。
