Subject: 加法轮功学员起诉江泽民案获突破性进展
附件:MHReport1.doc
这个邮件利用了大家对案件进展的关心。这类邮件比较好识别。因为我不认识这个发信人,为什么他要发这个消息给我?如果真有这个消息,我自己到网站上看好了,为什么要看邮件附件?所以我知道这是病毒,会直接删掉。
最近的一个例子:
Subject: 紧急通知: 法拉盛回来的同修请立即记录暴行!
Date: Thu, 19 Jun 2008 08:43:14 +0800
附件:紧急通知.doc
这个邮件比较有欺骗性。伪造的发信人是当地大家都认识的人,而且当时那个人确实是在法拉盛。类似这样邮件很多。攻击者常常伪装成各个媒体的负责人,根据大家关心的热点发出带病毒附件的邮件。这些邮件有一个共同的疑点:短短的通知邮件正文就可以说清楚,不需要附件的;即使用附件,附件的文件大小应该很小。而带病毒的附件文件都比较大,因为病毒本身就被包含在附件文件里。即使没有注意到这些疑点,没有去过法拉盛的人也不要出于好奇心打开附件。小红伞能够侦测到这个邮件附件中的病毒。如果Word软件有更新到最新(Office 2003 Service Pack 3或者Office 2007 Service Pack 1),附件中包含的病毒也不起作用。如果Windows用户不是管理员,附件中包含的病毒也不起作用。
早先PDF文件不带病毒。近来有很多PDF的附件含病毒木马,就是利用了大家对PDF文件的信任。有个网站上的许多PDF文件曾经被替换成含病毒的版本。下面是一个例子:
Subject:紧急通知:纽约急需各地记者支援
Date: Tue, 3 Jun 2008 11:46:16 -0800
附件:20080603.pdf
这个邮件看起来是从一个媒体负责人发出的,其实发信地址是伪造的。通知的内容符合当时大家关心的焦点。尽管很有迷惑性,但还是有上述的疑点:这样的通知其实是不需要有附件的。不是记者的人不要出于好奇心去打开。小红伞能够侦测到这个邮件附件中的病毒。如果Adobe软件有更新到最新,附件中包含的病毒也不起作用。如果Windows用户不是管理员,附件中包含的病毒也不起作用。
如果不确定附件文档是否含病毒,可以联络发信人核实发信人是否发过此信,也可以把附件上传到网站http://www.virustotal.com/ 去检测。这个网站会用32中杀病毒软件来检查上传的文件是否含病毒。
假如条件具备:Adobe软件没有更新(很多人确实没有更新),而且当前Windows用户是管理员(绝大多数人确实是用管理员帐户),而且没有装小红伞(很多人确实没有安装),打开这个PDF文件时会觉得电脑不动了,或者显示一个几乎是空白的文档,或者屏幕会闪几下。其实这个时候是PDF文档里带的病毒发作了。它会在系统目录下产生一个临时的木马安装程序并执行它。执行的结果是在系统目录产生更多的文件,创建木马服务程序以保证每次开机木马都会运行,启动木马程序开始监测用户键盘的操作。如果用户不是系统管理员,木马的这些操作都会失败。
假如木马文件被成功安装,该木马会监测用户的键盘,记录所访问的网站,登录邮箱所用的用户名和密码,网站购买机票所用的信用卡号码等等。最近我们找到了一个木马记录文件,其中记录了用户到网上寻找机票和购买机票的全过程,包括使用的两张信用卡的号码、家庭住址、电话号码、邮箱等详细信息。该用户还上过其它网站的编辑后台,导致编辑后台的信息泄漏。
通过以上的案例分析,大家可以看到以下3个重点:
1、邮件附件是相当危险的。攻击者发出的病毒邮件很有欺骗性。跟自己不相关的邮件附件一律不要打开。不确定时,可以联络发信人核实发信人是否发过此信,也可以把附件上传到网站http://www.virustotal.com/ 去检测。
2、 用户自己的机器上有下面任何一种简单的保护措施都可以避免在这个案例中中招:
A、用户日常网络活动使用的是非Windows管理员账号。这个就从Windows的权限管理机制上阻止了这个病毒木马能够修改/添加系统文件。
B、 用户有合适的反病毒程序(比如小红伞等),能够拦截可以侦测的含病毒的文件。
C、用户作了及时的系统更新和对应软件(OFFICE/ADOBE等)的更新。
3、 用户中招后的处理方法:
对于非专业用户来讲,目前的木马利用的技术相当复杂,从新安装系统几乎是唯一的方法。
在以后的文章中,我们会继续分析一些典型网络安全的案例,并给出一般的应对技术措施,事故发生后的处理方法等。欢迎大家反馈更多的意见。