利用新闻热点欺骗网民病毒攻击WinXP漏洞 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → 利用新闻热点欺骗网民病毒攻击WinXP漏洞

利用新闻热点欺骗网民病毒攻击WinXP漏洞 时间：2004/10/15 0:27:00来源：本站整理作者：蓝点我要评论(0):     传奇人物阿拉法特于11月11日在法国巴黎附近的贝尔西军医院逝世，他的真正死因正引起多方揣测。趋势科技全球防病毒研发暨技术支持中心 --TrendLabs于日前侦测到一个以“Latest News about Arafat!!(阿拉法特的最新消息!!)”为信件主题的病毒 ”Worm_Golten.A”，该病毒在内文里叙述“ Hello guys!Latest news about Arafat!Unimaginable!!!!! ”（嗨伙计们，最新的阿拉法特新闻！太不可思议了！）并分别附上两个.EMF格式附件，其中ARAFAT_1.EMF 文件名附件内果真含有阿拉法特葬礼图片（如图），这是病毒利用障眼法，让受害者没有防备心地开启第二个附件，一旦开启了ARAFAT_2.EMF 附件，病毒则会利用 Windows XP 的 Metafile 漏洞，钻入系统。趋势科技表示，目前Worm_Golten.A在亚洲大量散播，中国大陆，台湾地区、香港、韩国、日本都有感染报告。趋势科技表示该病毒还会利用文件分享自我繁殖，有极高的散播风险，值得密切注意。

    趋势科技分析发现，该病毒虽然以电子邮件当诱饵，但它并没有利用电子邮件作为大量自动散播的工具，而是远程攻击者以手动方式发邮件给锁定的对象，并附上含有病毒的附件，该病毒附件采用微软于 10月12日公告的Graphics Rendering Engine安全漏洞(MS04-032) Security Update for Microsoft Windows (840987)，一旦受害者开启信件所附的.EMF 文件，病毒即会复制到受害者系统中。这有可能是攻击者想通过用新漏洞来示范展示新的攻击战略。趋势科技表示Graphics Rendering Engine 漏洞，存在于绘制 .WMF 和 .EMF 影像文件的程序代码，可能会让攻击者从远程执行程序。只要是系统有这个漏洞，任何绘制这类影像的应用程序都可能会受到攻击。一旦攻击成功，攻击者就可以利用这个漏洞完全掌控系统。

    除了漏洞机器会成为Worm_Golten.A下手的对象外，文件共享与密码设定不牢靠的机器，也是受害高危险群。趋势科技 TrendLabs 表示，该病毒会自远程安装不法程序，修改注册机码，以便让使用者每次开机时，自动激活该病毒，并搜寻分享资料夹的系统，借机“下毒”。另外，如果密码设定跟病毒密码清单所假设的相符合，那么病毒可取得系统控制权，远程任意存取文件。Worm_Golten.A的密码清单含有 34个可能的使用者名称与密码清单。包含：!@#$、!@#$%、000000、111、111111 、12 、123 、123456 1234567 、12345678 、54321、654321、888888、88888888 、admin 、pass 、passwd 、password ….等等常被猜中的密码组合。而这份密码清单，与2003年3月在亚洲大量蔓延的WORM_DELODER.A很类似，可见黑客看准了多数人设定密码草率的通病。

    趋势科技表示，破解密码成为黑客入侵企业网络的快捷方式，部分破解密码软件宣称可每秒完成 800 万次测试组合。网络上公开的密码破解程序，宣称可在一小时内破解7000次左右密码，根据一份约20 年前的研究报告指出，有三分之一的密码可在五分钟内被破解。但值得参考的是，若使用 8 个字符的密码，以当时最强大的计算机，得花 66 年才能破解。时至今日，相信破解的时间不需要耗费一甲子这么久，但趋势科技表示8 个字符的密码仍然是比较安全的，使用者最好大小写混用，且不要用常见的单字，因为密码字典的单字库可远远超过 20万个字，其中包含你常使用的人名、地名等等。

    趋势科技表示，病毒跟着新闻事件争取曝光率是惯用的手法之一，比如美国大选期间，佯称候选人 Kerry竞选募款邮件骗取支持者捐款；911事件的伊斯兰病毒，要求你为「世界和平投下神圣的一票」等等。使用者的自保守则，除了定期安装补丁程序、更新防毒软件、关闭文件共享、严谨设定密码外，不要让自己的好奇心惹祸上身也是值得自我检讨的。