文/郑先伟

网购仍是木马“主战场”

文/郑先伟

病毒与木马

寒假及春节期间教育网网络运行平稳，无重大安全事件发生。

寒假期间，教育网内的整体安全投诉事件有所减少。

图 2011年1月～2月教育网安全投诉事件统计

近期用户需要关注的病毒依然是与各类网络购物有关的木马病毒。这类病毒会通过各种途径进行传播（如网页挂马、热点事件电子邮件附件、即时通讯软件等），一旦感染用户的系统，木马病毒就会劫持篡改用户的网络购物访问，将用户导向到伪造的购物网站上，从而获取直接的经济利益。病毒使用的篡改方式可能包括：修改IE浏览器的快捷方式，使其直接导向假的购物网站；通过修改IE默认主页让用户访问假的网址导航网站，从而使其点击假的购物网站；篡改DNS缓存等。因此建议用户在进行网络购物时尽可能使用HTTPS加密协议进行访问操作，并同时仔细查看访问的域名信息及证书信息是否与自己要访问的目标网址相同。

近期新增严重漏洞评述

2011年1月及2月，微软发布的安全公告数为14个，其中4个为严重级别，10个为重要级别。这14个公告共修补25个安全漏洞，涉及的产品包括Windows系统、Office软件、IE浏览器、IIS等。其中2010年12月份期间暴露的IE CSS 0day漏洞和Windows图形处理引擎的0day漏洞在2月份的公告中得到修补。用户应该尽快下载安装相应的补丁程序。除公告中涉及的漏洞外，微软的IE浏览器及Office软件也在新年伊始爆出多个0day漏洞，包括：

MHTML格式文件解析0day漏洞

http://www.microsoft.com/technet/security/advisory/2501696.mspx

Excel软件0day漏洞

http://www.securityfocus.com/bid/46225/

http://www.securityfocus.com/bid/46229/

PowerPoint软件0day漏洞

http://www.securityfocus.com/bid/46228

第三方软件中，Adobe公司的系列公告中涉及的漏洞同样需要用户尽快安装补丁程序：

Adobe Flash Player软件的安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-02html

Adobe Reader/Acrobat软件安全公告：

http://www.adobe.com/support/security/bulletins/apsb11-03html

Windows MHTML脚本代码注入漏洞

影响系统：

WinXP，Windows Vista，Windows 2003，Win7。

漏洞信息：

MHTML是微软提供的一种HTML文档格式，它允许将网站的所有元素（包括文本和图形）都保存到单个文件中。这种封装可将整个网站发布为单个内嵌MIME（通过 Internet连接传递多媒体资源的一列标准，MIME类型通知程序对象所包含的内容（如图形、声音或视频））的MHTML格式的文件。微软的MHTML解析文档中内容块的MIME格式的方式存在漏洞。在某些条件下，允许攻击者把客户端脚本注入到Web请求应答中，并在目标浏览器上下文中执行。脚本可伪造内容，泄漏信息或执行其他攻击。

漏洞危害：

这个漏洞存在于MHTML文件格式的解析过程中，因此它只与操作系统的版本有关，而与IE浏览器的版本无关，因此可以通过所有版本的IE浏览器进行利用。另外它还可以将攻击文件存成单个文件，通过邮件进行传播。目前该漏洞的攻击方式已被公开和利用。

解决办法：

目前厂商已经针对该漏洞发布安全通告，并给出临时解决办法，但是还未发布补丁程序，建议用户随时关注厂商的动态：

http://www.microsoft.com/technet/security/advisory/2501696.mspx

在没有补丁程序的情况下，微软给出了暂时禁用MHTML协议处理器扩展的解决办法，提供了如下的禁用工具：

http://go.microsoft.com/?linkid=9760419

(作者单位为中国教育和科研计算机应急响应组)

安全提示

寒假期间，一些用户的主机属于长时间关机或者是未联网状态，在长假结束后，建议用户第一时间开机后执行完以下操作后再进行其他网络操作：

1. 及时更新系统补丁程序；

2. 及时升级病毒库，并尽可能做一次全盘扫描；

3. 访问专业安全公司或是第三方软件的网站，查看是否有自己使用的第三方软件存在安全漏洞，如果有，请尽快下载补丁程序。