賽門鐵克家庭與個人工作室安全研究報告 ( 2006年11月)
jen500714a | 27 Dec, 2006 09:30
http://www.ithome.com.tw/plog/index.php?op...eId=8400&blogId=631歡迎閱讀 11 月份的 Symantec™ 家庭與個人工作室安全研究報告。這份報告會給身為家庭與個人工作室使用者的您有關網際網路安全的概觀,包括可能影響您的議題以及告訴您如何保護寶貴的資料。
在這份報告中,我們將討論經由Google自動發送電子郵件伺服器所寄送郵件中夾帶的惡意病蟲(該伺服器會對Google管理的名單寄發電子郵件),同時還會討論Apple® Mac OS ®X 作業系統下關於惡意磁碟影像檔的安全瑕疵。此外,本報告還會審視當使用者允許網頁瀏覽器「記憶」登入表單中的密碼資訊時所牽涉到的安全性問題。
本報告也將探討線上拍賣或分類廣告網站中的「超額付款」詐騙行為,還會討論發生在 Second Life「第二人生」(為一款廣受歡迎之虛擬真實世界的遊戲)伺服器上長達數月的第二次重大病毒爆發事件。同時包括的還有日常主題:每月最重大安全性威脅概要、賽門鐵克安全機制應變中心部落格(以及該月最佳部落格) 之摘錄、賽門鐵克的熱門話題,與一些值得注意的安全性文章。希望您覺得本期內容有趣且實用。
—賽門鐵克安全機制應變小組 敬上
電子郵件
Google Video 電子郵件名單不慎夾帶病毒
2006 年 11 月 7 日傍晚,Google 對其 Google Video電子郵件名單中的會員發送了三封電子郵件。其中部分電子郵件中夾帶了 W32.Blackmal 電子郵件病蟲。
Google Video電子郵件名單設計的目的,是在每當 Google Video部落格更新時,通知電子郵件名單中的會員。Google 不慎夾帶透過大量散發郵件傳播的網路病蟲,是因為沒有對部分寄出的電子郵件執行正確的掃描與消毒。據 Google 估計,郵件名單中約有 50,000 名使用者可能受到感染。
為了保護自己免於成為電子郵件病蟲如 Blackmal 的受害者,您應該非常小心謹慎地處理所有電子郵件的附加檔案,不論寄件者是誰。有時候,即使是您最信任的寄件人與組織所寄發的電子郵件,也可能會夾帶病蟲與病毒。為了安全起見,拒絕接受透過電子郵件所傳送的執行檔是比較好的做法。使用可攜式媒體或安全的共享檔案途徑並確認傳送來源可受信任,而不是使用電子郵件來傳送執行檔,會是較為安全的方法。
賽門鐵克十一月份安全威脅排行榜
惡意程式碼排行榜
1. Stration.DL
2. Looked.P
3. Spybot
4. Netsky.P
5. Stration
6. Stration.CX
7. Stration.DE
8. Rahack.H
9. Sality.U
10. Stration.DW
垃圾郵件來源地區排行榜
1. 北美洲 (47.3%)
2. 歐洲 (32%)
3. 亞洲 (16.8%)
垃圾郵件類型排行榜
1. 金融產品或服務
2. 零售產品或服務
3. 健康產品或服務
弱點排行榜
1. Apple Mac OS X UDIF Disk Image Remote Code Execution Vulnerability
2. Mozilla Firefox 2 Password Manager Cross-Site Information Disclosure Weakness
3. Microsoft Internet Explorer HTML Rendering Remote Code Execution Vulnerability
安全風險
廣告軟體: ZangoSearch
間諜軟體: ISearch
誤導應用程式: WinFixer
檔案共享
Apple Mac OS X 安全瑕疵會讓使用者身處風險之中
2006 年 11 月 21 日,駭客攻入Apple Mac OS X中的安全瑕疵(弱點)以及利用弱點竊取資料之攻擊程式碼同時被公諸於世。所有10.4.8版本的Apple Mac OS使用者均面臨被駭客透過弱點入侵的危險,而先前版本的作業系統也可能受到此一弱點的影響。
駭客利用此弱點說服您下載並打開副檔名為.dmg的惡意磁碟影像檔。當檔案被打開時,虛擬磁碟影像便掛載至系統上並會顯示出來。如果該磁碟影像有毒,駭客便能完整取得電腦的存取權,並可閱讀您的電子郵件與通訊錄、竊取您的檔案和軟體、並進一步利用您的電腦嘗試入侵其他電腦。
此問題對 Apple Safari™ 網頁瀏覽器的使用者顯得特別嚴重,因為 Safari會完全信任磁碟影像格式。如果您是在 Safari 的預設組態下連結至磁碟影像檔,Safari 將會自動下載該磁碟影像檔並將其掛載。如果該影像檔有毒,駭客就可能全面取得對電腦的控制權。
為了保護自己不受此弱點的侵害,您應該在決定是否要下載副檔名為.dmg 的磁碟影像檔時要非常小心,確認要下載與使用的該種檔案完全來自受信任的來源。Apple Safari 使用者應取消選取「Safari Options」視窗中的“open ‘safe’ files after downloading” 選項,以防止 Safari自動開啟可能有毒的檔案。
網路活動
Mozilla Firefox 可能會洩露儲存的密碼
Mozilla Firefox 網頁瀏覽器密碼儲存功能的弱點在 2006 年 11 月 21 日被公佈。使用 Firefox 時,您可以在登入表單頁面輸入使用者名稱與密碼時,選擇儲存您的密碼。當儲存您的登入資訊後,在下一次返回登入網頁時,系統會自動填入所儲存的使用者名稱與密碼。由於 Firefox 不會確認登入表單是否為合法的表單,因而產生此一軟體弱點。
駭客可利用此一弱點來竊取您在特定網站或訊息討論區中所輸入的使用者名稱與密碼。駭客僅需建立一個仿造合法登入的表單,將其放入線上設定檔 (online profile) 即可。當使用者檢視該設定檔時,含有弱點的瀏覽器會自動填入惡意的表單,可能將您的登入資訊傳送給表單擁有者 (駭客)。
為了防止您受到此問題的侵害,您應該避免使用自動儲存密碼選項。此外,盡量不點選網站論壇、訊息留言板、部落格或垃圾郵件中的不明連結,以降低成為此漏洞受害者的可能性。
Second Life 第二次受到病毒攻擊
在 10 月時,病毒透過Second Life的伺服器大量複製傳播,造成該網站暫時關閉了一段時間。接著在 11 月 19 日,一位 (或多位) 攻擊者對 Second Life 伺服器散播另一個病毒,使伺服器必須關閉才能移除病毒。此次伺服器運作中斷了約 30 分鐘,其間Second Life管理員成功地將病毒從伺服器清除。
對 Second Life 而言,虛擬世界被病毒攻擊是其獨有的現象。大部分的線上遊戲如魔獸世界(World of Warcraft)會限制玩家與程式開發人員所建立之元件間的互動,但 Second Life 允許玩家在其虛擬世界中自由建立元件。Second Life玩家可藉由建立程式碼,來自訂各式各樣的遊戲環境。不幸的是,就像病毒可利用如 Visual Basic® 等廣為流傳的程式碼來撰寫,同樣地,病毒也可利用Second Life 中使用的程式碼來撰寫。由於這些程式碼是此遊戲吸引玩家的主因之一,倘若管理員因此而停止玩家對程式碼的使用,將會顯得不切實際。
雖然 Second Life 中的病毒無法感染玩家的電腦,但它的確在玩家們悠遊虛擬世界的體驗上造成嚴重損害。隨著如此種的虛擬世界遊戲日益流行,惡意使用者很有可能會企圖增加攻擊,減少其他人玩遊戲的樂趣。
小心超額付款詐騙行為
雖然許多人了解線上購物潛在的詐騙危險,但極少數人會警覺到線上販售物品所具有的風險。在這個時節,由於許多人會在線上購買禮物,所以這也是人們拋售自己不要物品的絕佳時機。不幸地,有些詐騙者會嘗試騙取這些人的物品,並且下手取得所有可能額外獲得的金錢。
詐騙者最常欺騙賣家的方式,是透過一般稱為「超額付款詐騙行為」的方法。詐騙者首先會鎖定線上分類廣告所販售的商品,然後聯絡賣家,詢問是否可使用支票或匯票支付貨款。當賣家收到付款時,通常支票或匯票的金額會高於原本議定的貨款。買家(在此情況下為詐騙者) 會試著解釋超額付款的原因,如:超額款項為運費或仲介費用,然後要求賣家將支票或匯票存入其銀行戶頭,並將超額的付款匯出至其他帳戶。不幸地,支票無法兌現,因為開立支票的帳戶是假的,而匯票也是偽造的。由於人們可以在支票兌現之前,從自動櫃員機 (ATM) 提出存款,於是賣家便因稍早匯出該筆超額的付款而上當。此時,賣家不但損失了「退回的」超額付款,可能也已將貨品寄出了。
賽門鐵克的熱門話題
第二次得標拍賣詐騙
隨著假期購買旺季的逼近,許多顧客轉向拍賣網站進行購物。結果,詐騙者也加快腳步,將詐騙對象瞄準線上購物者。其中一種愈來愈猖獗的詐騙形式稱為「第二次得標拍賣」詐騙。
此類詐騙鎖定已結標高價商品之第二高出價者,這些高價商品可能有:珠寶、消費性電子產品及體育比賽或音樂會門票等等。詐騙者會先瀏覽這些結標商品,然後假裝賣家去聯絡出價第二高的下標者。詐騙者會宣稱得標者反悔,願意將拍賣品讓給出價第二高的下標者。
如果得標者因某些原因退出,賣家可進行第二次拍賣,這在許多線上拍賣網站是合法的行為。但在非法的第二次拍賣中,詐騙者會試著說服下標者透過某些與拍賣網站無關的途徑來完成採購交易。在某些案例中,詐騙者還會說服受害者使用一些提供信託付款服務的假網站 (bogus escrow Web site),然而這些網站實際上是由詐騙者所管控。當然,一旦受害者將款項匯出,受害者將不會收到商品亦再也聯絡不到詐騙者。
為了防止您受到此類詐騙,您應提防任何試圖要您略過合法拍賣網站來完成線上拍賣交易的行為。大部分拍賣網站均有提供買賣雙方的保護,因此略過合法網站而進行交易,就會讓您無法受到合法網站所提供的詐騙防護服務。
賽門鐵克 十一月份的部落格精選文章
MySpace 上的創意網路釣魚攻擊
Zulfikar Ramzan 撰寫
2006 年 10 月 27 日星期五的早上,MySpace.com 網站上出現了數小時相當有創意的釣魚攻擊事件。此一攻擊事件相當有意思,不是因為它的技巧高超,而是因為攻擊者很有創意。首先報告此一攻擊事件的是Netcraft,該網站是在自己其中一位客戶點閱該網站網頁時發現的。
攻擊者在以下位址建立了登入網頁:www.myspace.com/login_home_index_html,要求造訪的使用者輸入其 MySpace 使用者名稱與密碼。登入網站後,這些資料將被送往在法國境外運作的伺服器。
攻擊者是如何完成這件事的?他們不用各式各樣複雜的網路釣魚技巧,而只做非常簡單但聰明的事。做法如同他們之前數以百萬計的人們一樣,攻擊者只是到 MySpace.com 網站上登記一個帳戶,當系統詢問要挑選哪一個使用者ID 做為其帳戶識別碼時,他們只鍵入 “login_home_index_html” 做為要使用的登入名稱。於是www.myspace.com/login_home_index_html 的首頁便自動成為他們的登入網頁。
我研究網路釣魚攻擊事件已有相當長的一段時間,其中有些相當傑出,這次的攻擊事件便屬於其中之一。此次攻擊事件脫穎而出的原因,在於攻擊者不須熟悉一些讓網站看起來是可靠的技倆。他們並未找出瀏覽器的弱點、沒有侵入Web伺服器來劫持網頁,也沒有危及網域名稱系統 (DNS)。他們只運用了自己的想像力,就建立了一個非常簡單的網路釣魚網站。愛因斯坦曾說過「想像力比知識重要」,他必定是相當了解這種情形。
家庭/個人工作室電腦 – 最佳安全措施
1. 使用結合防毒、防火牆、入侵偵測及弱點管理的網際網路安全防護解決方案,抵擋惡意程式和其他威脅,獲得最大的保護。
2. 確定安全性修補程式是最新的,且即時套用到所有具有漏洞的應用程式。
3. 確定密碼是字母和數字的組合。不要使用字典上的字,並經常更換密碼。
4. 不要檢視、開啟或執行任何電子郵件的附件,除非是原本預期的附件且已知附件的用途。
5. 定期更新病毒定義檔。消費者可藉著部署最新的病毒定義檔,保護他們的電腦免於真實世界中散佈之最新病毒的攻擊。
6. 使用賽門鐵克 Security Check 網站
symantec.com/tw-ssc... 檢查您的電腦或麥金塔系統是否易受威脅攻擊。
7. 所有電腦使用者皆必須知道如何辨別惡作劇病毒和網路釣魚詐騙。惡作劇病毒通常包含假造的電子郵件要您「將這封訊息寄給你認識的每一個人」,或以不恰當的技術用語試圖恐嚇或誤導使用者。網路釣魚詐騙看似來自合法組織,慫恿使用者在一個看似該合法組織網站上的表格中輸入信用卡卡號或其他機密資料。在您尚未確定此種要求為真實的之前,絕對不要洩露機密資訊。
8. 透過檔案共用程式、免費下載的程式、免費版和共用版的軟體,或按下電子郵件中的連結或附件,或者經由即時傳訊用戶端,都可能將間諜軟體和廣告軟體自動安裝到電腦上。因此,您應對於安裝在電腦上的東西有所瞭解並謹慎選擇。
9. 不要隨便按下一般使用者授權同意書 (EULA) 上的「是的,我接受」按鈕。部份間諜軟體和廣告軟體應用程式可能在您接受 EULA 後安裝到您的電腦上,或在接受後開始執行。仔細閱讀 EULA,檢查它們對隱私權的定義。同意書中應清楚說明產品有何用途以及如何將其解除安裝。
10. 留意會在使用者介面中閃爍廣告的程式。許多間諜軟體程式會追蹤使用者對這些廣告的回應,當您在程式的使用者介面中看到廣告時,它們可能是間諜軟體的一部份。不要按下瀏覽器視窗中未預期出現的廣告。相反的,立即關閉該視窗。