流行网络病毒和漏洞一周预警
一、2016.2.03—2.16一周流行网络病毒预警
1.Trojan.Script.VBS.Dole.b(木马病毒)
警惕程度 ★★★★
病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。
2.Worm.Win32.Gamarue.w(蠕虫病毒)
警惕程度 ★★★★
病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。
3.Backdoor.Win32.Rbot.gcy(后门病毒)
警惕程度 ★★★
病毒运行后将在系统目录下释放恶意文件并通过修改注册表注册系统服务。此外,病毒还将远程注入系统进程svchost.exe,静默调用c md并自我删除,在系统关键目录下释放恶意软件C:\WINDOWS\system32\hra33.dll和C:\RCX5.tmp,感染磁盘exe文件,在根目录下释放伪装lpk的恶意软件。后台连接黑客指定网址,下载其它恶意程序。
中毒后电脑将会被黑客监控,并开启后门,成为黑客的肉鸡。
4.防范措施
计算机用户在浏览Web网页时,务必打开计算机系统中防病毒软件的“网页监控”功能。同时,计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本,防止恶意木马利用漏洞进行入侵感染操作系统。同时网络管理人员也要定期维护升级网站服务器,检查服务器所存在的漏洞和安全隐患,进行及时地修复和加固。
用户使用杀毒软件务必即时、充分升级,每天升级2到3次以上,以保证病毒库获取最新信息。
警惕不明网站、陌生邮件,尤其注意邮件附件。而对于重点网站,或者热门网站,如政府网站和各大媒体网站、论坛,很有可能被利用现有的漏洞进行挂马,或跳转到其他恶意网站。
做好系统和重要数据的备份。
不浏览不良网站,不随意下载安装可疑插件;不接收QQ、邮件、微博私信等传来的可疑文件。
二、0day漏洞预警
1.Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞
近日,出现了Cisco ASA Software IKE密钥交换协议缓冲区溢出 漏洞(对应CVE-2016-1287)。攻击者利用漏洞可致网络设备重载或远程代码执行,进而可获取目标系统的控制权限,构成信息泄露和运 行安全风险。
CiscoASA是一款自适应安全设备,可提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。由于Cisco A SASoftware分段协议中的IKE网络密钥交换算法存在设计缺陷,IKEv1及IKEv2代码中存在缓冲区溢出漏洞。未经身份验证的远程攻击者利用漏洞发送特制的UDP数据包到受影响系统,可致设备重载或远 程代码执行,进而可获取到目标系统的完整控制权。CNVD对该漏洞的综合评级为“高危”,且对应的安全威胁CVSS基准评分为10分(最高分即为10分)。
2.漏洞影响范围
漏洞影响多款运行了思科ASA防火墙软件的设备,产品用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等,部分设备还附带VPN模块或可用作VPN用途,对于内部区域网络构成直接威胁。受影响设备列表包括:思科ASA 5500系列自适应安全设备、思科ASA5500-X系列下一代防火墙、思科Catalyst6500系列交换机的思科ASA服务模块、思科7600系列路由器、思科ASA1000V云防火墙、思科自适应安全虚拟设备(ASAV)、思科Firepower9300ASA安全模块、思科ISA3000工业安全设备、根据CNVD初步检测结果,互联网上共有1万台CiscoASA系列防火墙设备暴露在互联网上,其中欧美国家占绝大多数。居前五位的是美国(60.7%)、英国(5.0%)、加拿大(3.7%)、德国(3.2%)、荷兰(3.1%),中国占比约为1.0%。
3.漏洞修复建议
目前,互联网上已披露针对漏洞利用原理的详细分析(暂未出现公开的攻击利用代码),厂商已发布了安全公告修复该漏洞。建议相关用户及时下载更新,避免引发漏洞相关的网络安全事件,特别是国内电信和互联网行业以及重要行业单位注意排查本单位使用的上述设备列表情况。