文/鄭先偉

DOS時(shí)代的病毒抬頭

文/鄭先偉

5月教育網(wǎng)運(yùn)行正常，無(wú)重大安全事件發(fā)生。一些系統(tǒng)及安全廠商陸續(xù)發(fā)布對(duì)2010年全球互聯(lián)網(wǎng)安全狀況的統(tǒng)計(jì)報(bào)告，這些報(bào)告中的數(shù)據(jù)顯示2010年中國(guó)的互聯(lián)網(wǎng)安全形勢(shì)有所好轉(zhuǎn)，例如微軟的統(tǒng)計(jì)數(shù)據(jù)中就顯示中國(guó)Windows用戶(hù)的病毒感染率排名已經(jīng)從之前的第一名下降到全球第三名，而卡巴斯基的安全報(bào)告提到中國(guó)的惡意軟件托管數(shù)量大大降低。這樣的結(jié)果一方面顯示國(guó)內(nèi)用戶(hù)的防護(hù)意識(shí)得到提高，另一方面顯示了國(guó)家對(duì)互聯(lián)網(wǎng)安全的各種專(zhuān)項(xiàng)整治工作初見(jiàn)成效。如果讀者對(duì)上述報(bào)告中的詳細(xì)數(shù)據(jù)感興趣，可以到各廠商的官方網(wǎng)站上獲取相應(yīng)的報(bào)告。

5月網(wǎng)頁(yè)掛馬的數(shù)量有所減少，不過(guò)隨著高考和高招工作的臨近，學(xué)校網(wǎng)站的安全風(fēng)險(xiǎn)增大，各學(xué)校的管理員應(yīng)該在這段時(shí)間加強(qiáng)對(duì)學(xué)校網(wǎng)站的管理，尤其是一些二級(jí)院系網(wǎng)站，避免被黑客入侵成為掛馬網(wǎng)站。

以防范為主應(yīng)對(duì)DOS時(shí)代病毒

5月沒(méi)有新增影響特別嚴(yán)重的病毒蠕蟲(chóng)，新增的病毒蠕蟲(chóng)數(shù)量繼續(xù)呈下降趨勢(shì)。值得關(guān)注的是病毒的反查殺能力正在逐步增強(qiáng)，一些DOS時(shí)代的病毒感染技術(shù)也被拿出來(lái)重新利用，例如感染系統(tǒng)MBR引導(dǎo)區(qū)。傳統(tǒng)的引導(dǎo)區(qū)感染技術(shù)和現(xiàn)在驅(qū)動(dòng)進(jìn)程守護(hù)相結(jié)合的感染方式使得病毒的清除變得異常困難：如果引導(dǎo)區(qū)被感染，即便重裝系統(tǒng)，病毒依然存在，若要運(yùn)行修復(fù)引導(dǎo)區(qū)軟件，驅(qū)動(dòng)級(jí)的守護(hù)進(jìn)程又是運(yùn)行相應(yīng)軟件的障礙。對(duì)于采用這類(lèi)技術(shù)的病毒，建議還是以防范為主，否則事后的查殺將是一個(gè)費(fèi)時(shí)又費(fèi)力的工作。

近期新增嚴(yán)重漏洞評(píng)述

也許是因?yàn)?月的公告數(shù)量創(chuàng)了新高，5月微軟的例行安全公告僅有兩個(gè)，其中一個(gè)公告涉及的漏洞存在于W i n s服務(wù)中（MS11-035）影響Windows 2003和2008版本的Server系統(tǒng)，屬于嚴(yán)重級(jí)別的漏洞，不過(guò)默認(rèn)情況下Server系統(tǒng)并不安裝Wins服務(wù)。另一個(gè)安全公告（MS11-036）涉及的漏洞存在于PowerPoint軟件中，公告屬于重要等級(jí)。除了微軟的安全公告外，一些第三方廠商發(fā)布的安全公告需要用戶(hù)關(guān)注：

1.Mozilla公司的Firefox瀏覽器發(fā)布新版本修補(bǔ)多個(gè)安全漏洞：

http://www.mozilla.org/security/announce/

2.Adobe公司發(fā)布安全公告修補(bǔ)產(chǎn)品的多個(gè)嚴(yán)重級(jí)別的安全漏洞（包括4月提到的Flash Player ‘SWF’文件遠(yuǎn)程內(nèi)存破壞的0day漏洞）：

http://www.adobe.com/support/security/bulletins/apsb11-12.html

勤云科技遠(yuǎn)程稿件處理系統(tǒng)文件上傳漏洞（0day）

影響系統(tǒng)：

遠(yuǎn)程稿件處理系統(tǒng) <=8.0

漏洞信息：

勤云科技是一家期刊信息化綜合服務(wù)提供商，其生產(chǎn)的遠(yuǎn)程稿件處理系統(tǒng)被很多學(xué)術(shù)期刊用來(lái)進(jìn)行網(wǎng)絡(luò)稿件提交和評(píng)審工作，用戶(hù)經(jīng)過(guò)簡(jiǎn)單的在線(xiàn)注冊(cè)后可以通過(guò)該系統(tǒng)上傳自己的論文，由于系統(tǒng)未對(duì)用戶(hù)上傳的文件格式和上傳后的路徑進(jìn)行嚴(yán)格限制，使得惡意攻擊者可以上傳asp后門(mén)網(wǎng)頁(yè)并隨后訪(fǎng)問(wèn)這些網(wǎng)頁(yè)，進(jìn)而獲得網(wǎng)站的控制權(quán)限。

漏洞危害：

控制網(wǎng)站后攻擊者可以查看所有數(shù)據(jù)庫(kù)中的信息，這可能導(dǎo)致其他作者上傳的一些還未發(fā)表的論文被黑客獲取。同時(shí)黑客還可以在系統(tǒng)上或是系統(tǒng)的某些特定的目錄中（依網(wǎng)站本身的權(quán)限設(shè)定而不同）執(zhí)行任意程序。

解決辦法：

目前廠商還未針對(duì)該漏洞做任何修補(bǔ)，使用該系統(tǒng)的用戶(hù)可以聯(lián)系廠商要求提供解決方案。

在還沒(méi)有補(bǔ)丁之前，相關(guān)網(wǎng)站的管理員可以采用以下臨時(shí)辦法來(lái)緩解風(fēng)險(xiǎn)：

1.強(qiáng)化網(wǎng)站投稿模塊對(duì)文件上傳類(lèi)型的服務(wù)器端驗(yàn)證；

2.取消圖片及稿件存儲(chǔ)目錄的執(zhí)行權(quán)限 ；

3.建議將服務(wù)器組件由IIS 6升級(jí)至IIS 7。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

安全提示

鑒于近期的安全風(fēng)險(xiǎn)，用戶(hù)應(yīng)該進(jìn)行如下操作：

1.及時(shí)更新系統(tǒng)補(bǔ)丁程序；

2.及時(shí)升級(jí)病毒庫(kù)；

3.在系統(tǒng)中發(fā)現(xiàn)有殺毒軟件反復(fù)無(wú)法清除的病毒時(shí)，應(yīng)咨詢(xún)專(zhuān)業(yè)人士使用特定的專(zhuān)殺工具進(jìn)行清除。