网络惊现真假hao123 劫持技术再次升级

网络惊现真假hao123 劫持技术再次升级

CNET中国·ZOL 【原创】 作者：中关村在线 泡泡鱼

3月1日，360安全卫士率先截获了4199的新变种，该流氓软件劫持了大量网站的域名，当被感染用户访问被劫持的网站域名时，电脑将会强制定向到一个IP地址为61.141.31.11的网站，经查这个页面完全和hao123.com相同的网站隶属于4199.com，由于此流氓软件采用了底层驱动技术，还导致感染电脑频繁出现蓝屏，死机等现象。针对此流氓软件，360安全卫士迅速采取行动，率先发布了专杀工具。

据360安全专家介绍，4199变种恶意程序具备三大技术特征：域名劫持，类似于钓鱼技术；利用FSD HOOK技术保护自己，很难彻底清除；DLL启动项加载，十分隐秘，无法察觉。安全专家进一步表示，4199危害性最大，最为恶劣的是采用了类似于“网络钓鱼”技术。和以往不同的是，该变种没有使用传统的hosts 劫持技术，而是直接利用驱动程序对多个浏览器进程直接篡改，因此用户无法通过查看hosts表的方法发现网站被劫持，而传统的反钓鱼手及恶意软件查杀工具不能对这种劫持报警。软件作者如果愿意，可以非常轻松的改变包括网络银行网址在内的网站地址，继而进行金融诈骗，给用户造成直接经济损失。

据悉，这是流氓软件灰色产业链的新趋势，以往的流氓软件通常采用在用户电脑中弹出广告的方式获利，这条灰色产业链在以360安全卫士为首的反流氓软件的联手打击下接近土崩瓦解。流氓软件开始采取这种隐秘性更高，更加疯狂的手段获利。

针对此款4199新变种，360安全卫士工程师表示：“我们有足够的能力来对付这种流氓软件的反扑。4199新变种采用了底层驱动技术来保护自己不被清除，但360安全卫士的独创的“破冰（Kill Defence）”技术正是此类流氓软件技术的克星。

360安全卫士工程师的技术追踪表明，该流氓软件的受益者是IP:61.141.31.11,而此IP正是此前不久大面积爆发的4199.com的IP地址。目前，此流氓软件会自动将包括其他几个恶意软件网站在内，多达55个网站重新定向。

针对4199变种，360安全中心应急发布了专杀工具，帮助网民对4199变种恶意软件进行查杀。在该专杀工具中使用了360安全卫士独有的“破冰技术”，其良好的对FSD HOOK等驱动级级恶意软件的操作能力和查杀效果将保证了该专杀工具的效果。网民可通过在360安全卫士中的“恶意软件专杀”选项中选择下载。

奇虎诉CNNIC名誉侵权 要求赔偿10万元

京华时报 【转载】 作者：孙思娅

因流氓软件，奇虎与中国科学院计算机网络信息中心(CNNIC)打起“口水战”，并延伸到了公堂。奇虎公司北京三际无限网络科技公司起诉CNNIC名誉侵权，要求对方公开道歉并赔偿10万元。昨天朝阳法院已正式受理此案。

奇虎诉称，2007年1月，CNNIC通过众多传媒发布了《追查恶意软件源头 质疑奇虎反流氓软件动机》、《CNNIC第二次声明：彻查恶意软件源头要求奇虎公布my123立案信息》、《CNNIC称北京市公安局至今未收到奇虎公司报案》等言论。声明中，奇虎被怀疑是恶意软件my123的幕后主使者，公司反流氓软件的动机也被质疑为炒作。

奇虎认为CNNIC没有任何依据，只凭怀疑就发了三次声明，损害他们的公司商誉，CNNIC作为中国互联网行业的管理者，已丧失了维护互联网行业秩序的公正立场。

昨天下午，中国科学院计算机网络信息中心一名不愿透露姓名的人士表示，信息中心目前没有收到传票，不会对此发表任何说法。

微软另一项Word漏洞可能导致零时攻击

作者：赛门铁克　来源：赛迪网

微软在2007年2月14日公布二月份信息安全更新，发布了12项安全性公告。以下摘要为赛门铁克安全响应中心就此次安全更新中最重要的两项问题做出的评估。

Microsoft Malware Protection Engine 的漏洞

赛门铁克安全响应中心将Microsoft Malware Protection Engine的漏洞，列为

本月安全性公告中影响最为严重的漏洞。该远程执行程序漏洞可能影响微软多项含有Microsoft Malware Protection Engine的产品，包括Windows Live OneCare、Microsoft Antigen 9.x、Microsoft Windows Defender、Microsoft ForeFront Security for Microsoft Exchange Server 1.x、以及 Microsoft ForeFront Security for SharePoint Server 1.x。

当微软防病毒用户在使用Microsoft Malware Protection Engine进行配置以允许电脑执行PDF文档时，就可能产生这个漏洞。这个漏洞之所以危急，是因为恶意的PDF档案可能会被置于网站上或通过电子邮件传送，然后在网关或到达电脑时通过受感染的防病毒引擎扫描，攻击者就可以成功利用该漏洞，完全控制受影响的电脑。

Microsoft Word的漏洞

同时，微软也针对Word中的多项漏洞发布修补程序，以修正与Trojan.Mdropper.T/W/X木马程序有关的零时(Zero- day) Word漏洞，这种木马程序企图对受害电脑植入额外的威胁。微软本次所发布的安全公告中，也包含用户端Word执行程序代码漏洞的修补程序，这项漏洞会因暗藏于文件中的恶意目标而造成影响。成功利用该漏洞的黑客可能在使用者登陆时，从远端执行任意程序代码。

赛门铁克安全响应中心产品群经理Vince Hwang经理表示：“赛门铁克长期追踪发现零时漏洞数量正呈现不断增加的趋势，而这个月Microsoft Word的漏洞也再度说明了这一趋势。由于黑客持续缩短从漏洞公布到利用漏洞发动攻击的时间差，赛门铁克建议不论是企业级用户还是消费者用户，都必须主动更新软件，并在第一时间安装修补程序。”

赛门铁克建议IT管理员采取以下措施：

·评估这些漏洞对重要系统可能造成的影响。

·规划必要的应对措施，包括采取适当的安全及可用性解决方案来部署更新修补程序，及执行最佳安全实务准则。

·采取主动式步骤以保护网络和咨询的完整性。

·确认企业拥有合适及有效的资料备份流程和安全设备。

·提醒用户谨慎开启所有来路不明的电子邮件附加档案，及连接来路不明或未被确认的网站。

赛门铁克建议家庭用户采取以下措施：

·定期执行Microsoft Update，并且安装最新的安全性更新程序，以保持软件处于最新状态。

·不要开启来路不明的电子邮件附加档案及连接来路不明或未被确认的网站。

·使用信息安全产品例如“诺顿网络安全大师2007中文版”，以免遭受已知和未知的安全威胁。

OneCare有漏洞 恶意软件可畅通无阻

作者：itzealot　来源：赛迪网IT博客

微软公司的Windows OneCare安全服务中的防火墙组件有漏洞。

在缺省配置下，防火墙软件能够使利用了JVM或有数字签名的应用软件连接到互联网上。McAfee旗下缺陷管理公司Foundstone的副总裁马克表示，OneCare防火墙中的缺省设置不是一个好主意。他在本周二接受采访时说，任何防火墙，任何安全设备的缺省配置都应当是“拒绝访问”，任何可能的门都应当是关闭的。

本周二，OneCare开发团队在自己的博客中回应了Foundstone的专家提出的问题，微软的一名代表证实了博客的内容。OneCare中的防火墙确实允许有数字签名或采用了JVM的应用软件通过，而不会向用户提出警告，但这不应当被认为是安全威胁。OneCare开发团队在博客中写道，恶意软件不大可能有数字签名，如果软件有数字签名，其开发者就可以很容易地被发现。

微软表示，封杀Java将导致许多应用软件无法正常运行。应用软件每次通过防火墙时都要求用户确认会给用户带来很大麻烦。OneCare开发团队在博客中写道，如果有利用了JVM的恶意软件感染了PC，它就会被OneCare的反病毒组件发现。

据Foundstone的安全顾问格利姆斯称，广告件和间谍件开发商通常会“签署”它们的软件，数字签名能够使它们的软件看起来更可信赖。格利姆斯在其博客中说，恶意代码已经在利用数字签名将自己安装在用户的PC上，它们肯定还会利用数字签名躲避OneCare服务的监测。

间谍件专家埃德曼也持同样的看法。他说，大多数恶意代码都有数字签名，获得数字签名相当地容易。这会使用户相信软件是安全的。 (t003)

微软无视UAC Vista爆出权限放大隐患

太平洋电脑网

作者：BlackWing

　　一安全厂商发现Vista中存在一个“中等”威胁的隐患。

　　eEye Digital的联合创始人Marc Maiffret表示，这个漏洞类似于缓存溢出问题，它是一个权限放大的bug。

　　微软在上个月才修复了Vista中的反间谍软件Windows Defender的漏洞。而Maiffret指出，这次的新漏洞是在Vista系统当中，而不是在其集成的组件里面。

　　黑客通过利用这一隐患能够使普通用户获得更高的系统权限，这样微软精心设计的UAC功能似乎显得多余了。Maiffret表示，之所以把这一隐患列为“中等”危害是因为它不支持远处控制。但他表示，要实现这一情况并不需花费太大力气。

　　微软的发言人表示，研究人员目前正研究这一隐患。