| 出版日期:2004-11-29 总期号:1368 本年期号:89 |
|
 |
易猜密码与文件分享为高危险群
阿拉法特最新消息!化身病毒钻漏洞 阿拉法特于11月11日在法国巴黎附近的贝尔西军医院逝世,他的真正死因正引起多方揣测。趋势科技全球防病毒研发暨技术支持中心—TrendLabs于日前侦测到一个以” Latest News about Arafat!!(阿拉法特的最新消息!!)”为信件主题的病毒” Worm_Golten.A”,该病毒在内文里叙述“ Hello guys!Latest news about Arafat!Unimaginable!!!!! ”(嗨伙计们,最新的阿拉法特新闻!太不可思议了!)并分别附上两个.EMF图片延伸格式附件文件,其中ARAFAT_1.EMF 文件名附件内果真含有阿拉法特葬礼图片(如图),这是病毒利用障眼法,让受害者没有防备心地开启第二个附件,一旦使用者开启ARAFAT_2.EMF 附件,病毒则会利用 Windows XP 的 Metafile 漏洞,钻入系统。趋势科技表示,目前Worm_Golten.A在亚洲大量散播,中国大陆和港台地区、韩国、日本都有感染报告。趋势科技表示该病毒还会利用文件分享自我繁殖,有极高的散播风险,值得密切注意。 .WMF 和 .EMF 影像文件漏洞,可取得系统控制权 趋势科技分析发现,该病毒虽然以电子邮件当诱饵,但它并没有利用电子邮件作为大量自动散播的工具,而是远程攻击者以手动方式寄发邮件给锁定的对象,并附上含有病毒的附件。该病毒附件采用微软于 10月12日公告的Graphics Rendering Engine安全漏洞(MS04-032) Security Update for Microsoft Windows (840987),一旦受害者开启信件所附的.EMF 文件,病毒即会复制至受害者系统中。这有可能是攻击者想借助用新漏洞来示范展示新的攻击战略。趋势科技表示Graphics Rendering Engine 漏洞,存在于绘制 .WMF 和 .EMF 影像文件的程序代码,可能会让攻击者从远程执行程序。只要是系统有这个漏洞,任何绘制这类影像的应用程序都可能会受到攻击。一旦攻击成功,攻击者就可以透过这个漏洞完全掌控系统。 文件分享与密码设定是高危险群 除了漏洞机器会成为Worm_Golten.A下手的对象外,文件共享与密码设定不牢靠的机器,也是受害高危险群。趋势科技 TrendLabs 表示,该病毒会自远程安装不法程序,修改注册表,以便让使用者每次开机时,自动激活该病毒,并搜寻共享资料夹的系统,借机下毒。另外,如果密码设定跟病毒密码清单所假设的相符合,那么病毒可取得系统控制权,远程任意存取文件。Worm_Golten.A的密码清单含有 34个可能的使用者名称与密码清单。包含:!@#$、!@#$%、000000、111、111111 、12 、123 、123456 1234567 、12345678 、54321、654321、888888、88888888 、admin 、pass 、passwd 、password ….等常被猜中的密码组合。而这份密码清单,与2003年3月在亚洲大量蔓延的WORM_DELODER.A很类似,可见黑客看准了多数人设定密码草率的通病。 密码8个字较安全 趋势科技表示,病毒跟着新闻事件争取曝光率是惯用的手法之一,比如美国大选期间,佯称候选人 Kerry竞选募款邮件骗取支持者捐款;911事件的伊斯兰病毒,要求你为「世界和平投下神圣的一票」等等。使用者的自保守则,除了定期安装修正程序、更新防毒软件、关闭文件分享、严谨设定密码外,不要让自己的好奇心惹祸上身也是值得自我检讨的。 网络安全专家趋势科技网站: www.trendmicro.com.cn 更多防毒信息,请上趋势科技网站: www.trendmicro.com.cn |
||||||||||||||||||||||
