【病毒预警】新一代震网病毒或将出现 趋势科技病毒实验室持续监控中

gaokeyi

目前,信息安全行业都在关注一种新的病毒DUQU,该病毒可能预示着下一代STUXNET的到来.

    据赛门铁克的分析，这个病毒文件的部分代码与STUXNET(震网病毒)非常类似，它可能是由同一个网络犯罪团伙编写。但是，与STUXNET(震网病毒)不同的是，从DUQU的代码来看,它的目的并不是为了访问和攻击SCADA，而是倾向于盗窃感染系统中的相关信息。

    DUQU是由几个部分组成。其中的SYS文件(目前被检测为RTKT_DUQU.A)，主要负责激活恶意程序并且触发执行其他例程。经过分析，我们发现该文件存在的主要目的是建立自身与其C&C服务器的连接。也就是说，DUQU将会通过此连接将窃取信息的病毒(目前被检测为TROJ_SHADOW.AF)放入受感染电脑。经过确认该病毒(TROJ_SHADOW.AF)的恶意代码与STUXNET(震网病毒)的相关代码非常相似.

一旦TROJ_SHADOW.AF被运行，他将枚举系统中所有目前正在运行的进程。确认是否有以下安全相关的进程：
· avp.exe(Kaspersky卡巴斯基)
· Mcshield.exe(McAfee麦克菲)
· avguard.exe(Avira小红伞)
· bdagent.exe(Bitdefender比特梵德)
· UmxCfg.exe (CA)
· fsdfwd.exe(F-Secure)
· rtvscan.exe andccSvcHst.exe (Symantec赛门铁克)
· ekrn.exe (ESET)
· RavMonD.exe(Rising瑞星)

     如果发现这些进程，TROJ_SHADOW.AF会加载一个处于暂停状态的相同进程，将恶意代码注入该进程后恢复执行。这样系统中将会有两个杀毒软件进程，第一个是原始进程，而后面一个就是被病毒修改过的。

     TROJ_SHADOW.AF需要使用命令行来正确执行。可用的命令包括：收集感染系统的信息，终止恶意软件进程，删除自身。它能够收集感染系统中的许多类型信息,例如：
1．驱动器信息：
   磁盘空间
   驱动设备名称
2．桌面截图
3．正在运行的进程所属用户名
4．网络信息：
   IP地址
   路由表
   TCP/UDP表
   DNS缓存表
   本地共享
5．本地共享目录和已连接用户
6．可移动存储设备序列号
7．窗口名称
8．使用NetFileEnum获取到的系统中打开的文件的信息

     如果有关于该病毒进一步发现，我们将继续更新此信息。目前，趋势科技防毒产品可以防护来自于这种新病毒的供给。趋势科技SPN智能防护网显示，尚未有趋势科技用户感染此病毒。趋势科技技术部门也尚未接到有关于该病毒的案件。

     趋势科技web信誉服务（WRS）已经将访问该病毒控制服务器的相关链接地址加入最新的阻止列表中。
         http://blog.trendmicro.com/keeping-tabs-on-the-next-stuxnet/


转自爱趋势社区http://www.iqushi.com/forum.php? ... &extra=page%3D1

liningaigo

Duqu蠕虫： Stuxnet的异父兄弟？

        近日，互联网上有多种版本的Duqu恶意程序大肆传播，成为IT安全行业的一大新闻。该恶意程序之所以如此受到关注，是因为它是一种新型的蠕虫，同去年著名的Stuxnet蠕虫有相似之处。更让人不安的是，目前，我们还不清楚该蠕虫的目的是什么。卡巴斯基实验室的反恶意软件专家针对该恶意软件进行了一系列分析，分析结果如下。

        Duqu蠕虫最早于2011年9月初被检测到。当时，一名匈牙利计算机用户将该恶意软件的一个模块上传到Virustotal网站。该网站能够利用多个反病毒引擎对感染文件进行分析（其中包括卡巴斯基实验室的反病毒引擎）。但是，首个发现的样本表明，该蠕虫是由多个模块组成的，而这个样本只是其中的一个。之后不久，卡巴斯基实验室的反恶意软件专家又通过Virustotal获得了该蠕虫的另外一个模块样本。正是由于此次分析，才发现此蠕虫同Stuxnet的相似之处。

       虽然Duqu和Stuxnet两种蠕虫之间有不少相似之处，但还是有明显区别的。发现几种Duqu变种后，卡巴斯基实验室安全专家开始在基于云的卡巴斯基安全网络用户中实时追踪该蠕虫的感染情况。令人惊奇的是，在最早的24小时内，仅有一台计算机被该蠕虫所感染。而Stuxnet在当时则感染了全球数万台计算机系统。虽然大家都认为其最终的攻击目标是伊朗核项目的工业控制系统。目前，Duqu蠕虫的攻击目标还不确定。

       卡巴斯基安全网络用户中唯一受感染的一例中，感染程序包含组成Duqu蠕虫的多个模块中的一个。第二个感染模块其实是其他恶意程序，即某种间谍木马，目前还未被发现。而恰恰是Duqu的这一模块具备恶意功能。这一模块能够收集受感染计算机的信息，并且记录用户的键盘输入数据。

       卡巴斯基实验室的首席安全专家Alexander Gostev说:“目前，我们还未发现安装卡巴斯基实验室安全产品的用户被Duqu的间谍木马模块所感染的案例。这表明Duqu的攻击范围可能是少数特定目标，而其不同的模块可能针对不同的攻击目标。”

       另外，关于Duqu还有一个未解之谜，即其最初入侵系统时的安装程序或“下载器”模块还未被发现。目前，针对这一模块的搜寻仍然在继续。而且这一模块将帮助我们最终确定Duqu蠕虫的攻击目标到底是什么。

       目前，所有已发现的Duqu蠕虫变种均是通过卡巴斯基实验室反病毒产品检测到的。更多关于该恶意软件的详情，请访问Securelist，浏览Alexander Gostev 和 Ryan Naraine所撰写的分析文章。

http://www.kaspersky.com.cn/KL-AboutUs/news2011/10n/111025.htm

liningaigo

国外杀毒厂商赛门铁克日前宣布，欧洲数间公司感染了“超级工厂”（Stuxnet）病毒的第二代变种，导致企业机密资料泄露。而据360安全中心今日披露，“超级工厂”变种实际上早在今年6月15日就已在国内出现，某知名高新科技企业已受到攻击。据悉，该企业拥有自主知识产权的蓝牙技术和FMC解决方案，这些技术资料很可能是“超级工厂”变种的攻击目标。


图1：360云安全数据中心在今年6月已捕获“超级工厂”病毒变种

　　此前，第一代“超级工厂”主攻核工业设备，并因破坏伊朗核电站而闻名全球，其第二代变种则转向窃取高新科技企业的技术资料。360云安全数据中心检索结果显示，“超级工厂”病毒变种的文件生成时间早在2010年11月4日，问世七个月后，该病毒于2011年6月15日侵入国内。

　　与普通病毒不同，“超级工厂”系列病毒仅针对特定目标实施攻击，感染量比较低。然而对基础工业设施与高新科技企业来说，该病毒是极具杀伤力的数字武器。360安全中心联系用户调查“超级工厂”变种的传播来源时发现，一家拥有自主知识产权的蓝牙软硬件技术公司曾受到该病毒攻击。

　　据分析，“超级工厂”变种主要通过“父进程注入”方式突破杀毒软件。360安全专家石晓虹博士指出，由于360安全卫士和360杀毒采用“非白即黑”的方式拦截此类程序行为，凡是没有经过安全检测的未知程序，存在“父进程注入”行为时都会被360报警提示。因此早在“超级工厂”系列病毒出现的第一时间，360用户无需升级病毒库即可将其拦截。


图2：360木马防火墙无需升级即可拦截“超级工厂”病毒变种

　　“新增木马病毒数量庞大，对安全厂商来说，大多数恶意程序是通过自动分析流程实现拦截查杀。因此尽管一些安全软件早就能够拦截‘超级工厂’系列病毒，还是需要一段时期才能完全认清其危害。”石晓虹博士透露，目前360云安全数据中心每天捕获入库的恶意程序样本超过300万个，类似“超级工厂”的间谍型病毒肯定不在少数，提醒相关机构注意资料保密和安全防护。

http://bbs.360.cn/3229787/251506548.html?recommend=1

liningaigo

金山毒霸：超级工厂病毒变种（Stuxnet）已传入我国

2011-10-21来源：金山安全中心

摘要：超级工厂病毒（Stuxnet蠕虫）是迄今为止最著名的病毒，有报道称超级工厂病毒的攻击令伊朗核计划遭遇重大挫折。

关键词：超级工厂 蠕虫病毒 金山毒霸

    超级工厂病毒（Stuxnet蠕虫）是迄今为止最著名的病毒，有报道称超级工厂病毒的攻击令伊朗核计划遭遇重大挫折。10月18日，国外安全厂商报道超级工厂出现变种Duqu，金山毒霸检索发现，8月25日即捕获到Duqu病毒样本，表明该病毒已经传入我国。

  

    这个被命名为Duqu的超级工厂病毒这次的攻击目标不是核工厂，而是企业设计文件。Duqu病毒作者盗用了著名音频设备制造商C-Media的数字签名，该签名已被吊销。该病毒的主要危害是释放后门程序，窃取资料。病毒仅通过社会工程学欺骗定向攻击特定目标，传播量很低。



Duqu病毒驱程程序图1 Duqu病毒驱程程序



    根据国外相关安全厂商提供的资料检索发现，Duqu病毒文件最早在8月即传入我国，从病毒样本分布广度分析，该病毒的感染量有限。但因为超级工厂病毒曾经是最有威力的数字武器攻击伊朗核工厂，与国防、科研、企业机密密切相关的系统应严防Duqu病毒传入。



金山毒霸云系统数据显示8月份即捕获Duqu病毒样本

图2 金山毒霸云系统数据显示8月份即捕获Duqu病毒样本



金山毒霸实时监控拦截超级工厂病毒（Stuxnet.b即Duqu病毒变种）

图3 金山毒霸实时监控拦截超级工厂病毒（Stuxnet.b即Duqu病毒变种）



    名词：

    超级工厂病毒（Stuxnet）又名“震网”，是世界上首个针对工业控制系统编写的破坏性病毒，针对微软件系统以及西门子工业系统的病毒，目前已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密。

http://www.ijinshan.com/news/20111021001.shtml

wulanautumn

不联网了今后

bbs2811125

看来还要防止感染

M-新编人生

web已加入就行    强大就是这么体现的

好不容易整个名

屡见不鲜了

liningaigo

Duqu蠕虫的针对性攻击目标位于伊朗和苏丹

        卡巴斯基实验室的安全专家继续不懈地对Duqu这款新出现的恶意程序进行调查。Duqu同之前非常著名的攻击伊朗工业设施的Stuxnet蠕虫有很多相似之处。虽然目前该恶意软件的最终攻击目标还不明确，但现在已经明确的是Duqu是一款通用攻击工具，能够对一定数量的对象发动针对性攻击。而且，根据攻击任务的不同，还可以对其进行修改。

        卡巴斯基实验室专家在对Duqu蠕虫进行第一阶段分析时，发现了其几个显著特点。首先，发现的每个不同变种所使用的系统感染驱动都发生了变化。其中，有的驱动使用的是假冒的数字签名，而另一种驱动则根本被有签名授权。其次， Duqu蠕虫显然还存在其他元素，尽管目前还未被发现。通过这些研究成果，我们可以推测Duqu蠕虫的工作原理和攻击目标能够根据所要执行攻击任务的不同，进行相应的修改。

       目前，Duqu蠕虫仅感染少量计算机（卡巴斯基实验室发布Duqu蠕虫调查报告第一部分时，仅发现一例感染案例）。这一点是目前Duqu和Stuxnet最大的不同，尽管他们两者之间存在很多相似之处。从该恶意程序样本被发现到现在，仅有4例新的感染案例。其中，卡巴斯基实验室基于云的卡巴斯基安全网络起了很大的保护作用。根据追踪结果，其中一个受感染用户位于苏丹，而另外三个被感染用户则位于伊朗。

       上述4个Duqu感染案例中，都使用到了一种特殊的感染驱动变种。更为重要的是，针对伊朗用户感染中的一例所使用的驱动发动过两次网络攻击，并且利用了MS08-067漏洞发起攻击。而这个漏洞之前曾经被Stuxnet蠕虫所使用，同时也曾被更早的Kido恶意程序使用过。两次网络攻击行为分别发生于10月4日和10月16日，并且两次攻击均来自同一个IP地址，而这个IP地址属于某个美国互联网服务提供商。如果这样的攻击行为只有一次，其可能是典型的Kido蠕虫行为。但是，接连两次的攻击表明其针对性的目标是位于伊朗的某个对象。此外，很可能其在操作过程中，还会使用其他软件漏洞进行攻击。

       卡巴斯基实验室首席安全专家Alexander Gostev就这些新的调查结果发表评论说：“虽然目前的情况表明Duqu蠕虫攻击的系统位于伊朗，但现在还没有证据证实这些攻击同工业或核项目系统有关。所以，我们也无法确认这种新型恶意程序的攻击目标是否同Stuxnet一致。尽管如此，还是能够非常清晰的看到，每次Duqu的感染都有所不同。从这些信息可以判断，Duqu蠕虫肯定是为了对某个针对性目标进行攻击的恶意程序。”

http://www.kaspersky.com.cn/KL-AboutUs/news2011/10n/111027a.htm

liningaigo

MS08-067：服务器服务中 允许远程执行代码的漏洞
来源：微软 时间：2008-10-24 11:10:07

版本： 1.0

摘要

此安全更新解决了服务器服务中一个秘密报告的漏洞。 如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码。 此漏洞可能用于进行蠕虫攻击。 防火墙最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击。

建议。 Microsoft 建议用户立即应用此更新。

受影响的软件

操作系统         最大安全影响         综合严重等级         此更新替代的公告

Microsoft Windows 2000 Service Pack 4
       

远程执行代码
       

严重
       

MS06-040

Windows XP Service Pack 2
       

远程执行代码
       

严重
       

MS06-040

Windows XP Service Pack 3
       

远程执行代码
       

严重
       

无

Windows XP Professional x64 Edition
       

远程执行代码
       

严重
       

MS06-040

Windows XP Professional x64 Edition Service Pack 2
       

远程执行代码
       

严重
       

无

Windows Server 2003 Service Pack 1
       

远程执行代码
       

严重
       

MS06-040

Windows Server 2003 Service Pack 2
       

远程执行代码
       

严重
       

无

Windows Server 2003 x64 Edition
       

远程执行代码
       

严重
       

MS06-040

Windows Server 2003 x64 Edition Service Pack 2
       

远程执行代码
       

严重
       

无

Windows Server 2003 SP1（用于基于 Itanium 的系统）
       

远程执行代码
       

严重
       

MS06-040

Windows Server 2003 SP2（用于基于 Itanium 的系统）
       

远程执行代码
       

严重
       

无

Windows Vista 和 Windows Vista Service Pack 1
       

远程执行代码
       

重要
       

无

Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
       

远程执行代码
       

重要
       

无

Windows Server 2008（用于 32 位系统）*
       

远程执行代码
       

重要
       

无

Windows Server 2008（用于基于 x64 的系统）*
       

远程执行代码
       

重要
       

无

Windows Server 2008（用于基于 Itanium 的系统）
       

远程执行代码
       

重要
       

无

Windows 7 Beta（用于 32 位系统）
       

远程执行代码
       

重要
       

无

Windows 7 Beta x64 Edition
       

远程执行代码
       

重要
       

无

Windows 7 Beta（用于基于 Itanium 的系统）
       

远程执行代码
       

重要
       

无

微软的安全公告:

http://www.microsoft.com/china/t ... letin/MS08-067.mspx

（以上链接均连到第三方网站）
http://it.rising.com.cn/new2008/ ... 4819801d50118.shtml

这个漏洞是08年底的事儿，企业都不打补丁的吗？