疑問 - 遭到網路零時攻擊及時切斷網路未受損壞

poss · 2008-05-07, 07:18 PM

有無人曾經遭遇遭到網路零時攻擊的經驗,今天及早上電腦一打開正在連線時,回身找筆記,連線一連上,防毒一顯示立即出現一堆xxx的切斷訊號,
並顯示網路遭遇網路攻擊來不及找滑鼠切斷連線,隨身一轉立即將數據機上的連線拔掉,主機平時就放在在桌上方便操作,系統未受損壞防毒及防火牆未受損,
要是電腦一打開電源,未在電腦旁邊會有多少損失就不得知了,查看網路的防護受攻擊的方式
才知道是零時攻擊,因為微軟將開始 XP SP3的更新,正是網路攻擊者最佳攻擊時間,請大家小心防範,

News Release
目標微軟Word而來零時攻擊成網路安全威脅主流 Trojan.Mdopper.H 惡意Word文件木馬來襲受害電腦被植入Backdoor.Ginwui後門
台灣台北 — 2006年5月22日 — 賽門鐵克安全機制應變中心今公布偵測出一隻瞄準微軟 Word 2003 應用程式而來的零時攻擊行為（ zero-day exploit ）。根據賽門鐵克的定義指出，所謂零時威脅指的是該攻擊針對系統廠商尚未公布修補程式的弱點。

5 月 19 日，賽門鐵克安全機制應變中心發現了一個新的零時攻擊弱點（ zero-day ），利用此弱點後會影響微軟的 Word 2003 應用程式，藉由此再發動鎖定的網路攻擊行為。成功的利用此弱點將使遠端攻擊者在受害電腦裡植入後門木馬程式 Backdoor.Ginwui ，經觀察後發現此後門木馬程式會透過 HTTP 傳送資訊至特定的 IP 位置，然而，駭客也有可能利用此後門木馬程式控制受害電腦，發動其他的攻擊行為。現在攻擊的對象以企業用戶為主，然而賽門鐵克正密切關注此威脅是否對消費用戶造成影響。

此惡意檔案包含了數個物件（像是 PowerPoint 簡報檔案、 Excel 及圖表等），並夾帶著後門程式 Backdoor.Ginwui ，能夠開啟受害者電腦後門。 Backdoor.Ginwui 後門程式能夠允許遠端攻擊者收集系統資訊並在受害電腦中執行惡意程式碼。賽門鐵克判定此夾帶了惡意程式的惡意 Word 文件為木馬程式 Trojan.Mdropper.H ， Backdoor.Ginwui 則是受害電腦開啟惡意 Word 文件後，被植入的後門木馬程式。賽門鐵克將後門程式 Backdoor.Ginwui 及木馬程式 Trojan.Mdropper.H 均列為安全威脅危害指數 1 級（ 5 級為最危險）。

由於發現了零時弱點正出現活躍的攻擊行為，因此賽門鐵克安全機制應變中心將 ThreatCon 網路風險指數調高為 2 級（ 4 級為最高風險）。賽門鐵克的 ThreatCon 網路風險指數為整體的網路安全狀態提供全面性的「安全氣象預測」。

賽門鐵克安全機制應變中心資深總監Vincent Weaver表示，「此威脅源於亞洲區，但並未在亞洲區造成大規模的擴散，似乎此威脅僅針對特定的大型企業而來。」Vincent Weaver進一步指出，「過去這一陣子，賽門鐵克陸續發現類似的鎖定攻擊行為產生，主要利用Office應用程式如Word的弱點。這次的安全事件證明網路攻擊逐漸朝向零時攻擊方向發展。」

賽門鐵克建議使用者採取下列措施：

切記不要開啟來路不明、或是未預期會收到的電子郵件附加檔案
保持電腦裡網路安全軟體隨時在最新的狀態
針對任何共享的Windows檔案務必使用複雜的密碼加以保護
將使用者的個人資料備份至離線的儲存空間
欲了解更多關於此威脅的資料，請連上賽門鐵克安全機制應變中心網頁： http://securityresponse.symantec.com/

賽門鐵克安全專家將持續監控此威脅的後續發展及提供相關資訊，並視需要提供安全更新及內容。

Backdoor.Ginwui木馬程式特徵
Backdoor.Ginwui為一隻會開啟受害電腦後門的木馬程式, 若需要此木馬程式的詳細資料，可連結至下列網站獲知進一步資訊： http://securityresponse.symantec.com...or.ryknos.html

Trojan.Mdropper.H木馬程式特徵
Trojan.Mdropper.H為一隻會在受害電腦植入後門程式的木馬程式，其利用的是微軟Word應用程式裡未記錄的弱點。
若需要此木馬程式的詳細資料，可連結至下列網站獲知進一步資訊： http://www.symantec.com/avcenter/ven...dropper.h.html

小辭典：零時攻擊 zero-day attack
賽門鐵克的定義指出，所謂零時威脅指的是該攻擊針對系統廠商尚未公布修補程式的弱點。

賽門鐵克安全機制應變中心(Symantec Security Response)
針對網路上產生的各種惡意威脅，安全機制應變中心提供鉅細靡遺的分析，了解其運作模式，並提供即時的應變及解決方案。

賽門鐵克ThreatCon網路風險指數
網路風險指數為賽門鐵克評估全球網路環境的風險程度指標，依風險程度高低分為一至四級，四級為最危險。

賽門鐵克電腦病蟲危害指數：
賽門鐵克安全機制應變中心根據電腦病毒/蟲感染範圍、危害程度以及散布速度，將所偵測到的病毒/蟲進行危害指數1到5的分級，級數越高，表示此一病毒/蟲感染速度、危害程度以及散布速度都較快，因此可能造成的影響範圍也就越廣。

危害指數 5級極度危險。如：情書病蟲剛出現時(VBS.LoveLetter.A)
危害指數 4級危險。如：Blaster，Sobig.F、Mydoom
危害指數 3級中度。如：迷媚兒病蟲
危害指數 2級輕度。如：泡泡男孩（Bubbleboy）
危害指數 1級低度。

2008-05-07, 07:18 PM	#1
poss 長老會員榮譽勳章勳章總數9 UID - 42666 在線等級: 註冊日期: 2003-02-25 住址: 台北縣文章: 1164 精華: 1 現金: 10080 金幣資產: 26936 金幣	疑問 - 遭到網路零時攻擊及時切斷網路未受損壞有無人曾經遭遇遭到網路零時攻擊的經驗,今天及早上電腦一打開正在連線時,回身找筆記,連線一連上,防毒一顯示立即出現一堆xxx的切斷訊號, 並顯示網路遭遇網路攻擊來不及找滑鼠切斷連線,隨身一轉立即將數據機上的連線拔掉,主機平時就放在在桌上方便操作,系統未受損壞防毒及防火牆未受損, 要是電腦一打開電源,未在電腦旁邊會有多少損失就不得知了,查看網路的防護受攻擊的方式才知道是零時攻擊,因為微軟將開始 XP SP3的更新,正是網路攻擊者最佳攻擊時間,請大家小心防範, News Release 目標微軟Word而來零時攻擊成網路安全威脅主流 Trojan.Mdopper.H 惡意Word文件木馬來襲受害電腦被植入Backdoor.Ginwui後門台灣台北 — 2006年5月22日 — 賽門鐵克安全機制應變中心今公布偵測出一隻瞄準微軟 Word 2003 應用程式而來的零時攻擊行為（ zero-day exploit ）。根據賽門鐵克的定義指出，所謂零時威脅指的是該攻擊針對系統廠商尚未公布修補程式的弱點。 5 月 19 日，賽門鐵克安全機制應變中心發現了一個新的零時攻擊弱點（ zero-day ），利用此弱點後會影響微軟的 Word 2003 應用程式，藉由此再發動鎖定的網路攻擊行為。成功的利用此弱點將使遠端攻擊者在受害電腦裡植入後門木馬程式 Backdoor.Ginwui ，經觀察後發現此後門木馬程式會透過 HTTP 傳送資訊至特定的 IP 位置，然而，駭客也有可能利用此後門木馬程式控制受害電腦，發動其他的攻擊行為。現在攻擊的對象以企業用戶為主，然而賽門鐵克正密切關注此威脅是否對消費用戶造成影響。此惡意檔案包含了數個物件（像是 PowerPoint 簡報檔案、 Excel 及圖表等），並夾帶著後門程式 Backdoor.Ginwui ，能夠開啟受害者電腦後門。 Backdoor.Ginwui 後門程式能夠允許遠端攻擊者收集系統資訊並在受害電腦中執行惡意程式碼。賽門鐵克判定此夾帶了惡意程式的惡意 Word 文件為木馬程式 Trojan.Mdropper.H ， Backdoor.Ginwui 則是受害電腦開啟惡意 Word 文件後，被植入的後門木馬程式。賽門鐵克將後門程式 Backdoor.Ginwui 及木馬程式 Trojan.Mdropper.H 均列為安全威脅危害指數 1 級（ 5 級為最危險）。由於發現了零時弱點正出現活躍的攻擊行為，因此賽門鐵克安全機制應變中心將 ThreatCon 網路風險指數調高為 2 級（ 4 級為最高風險）。賽門鐵克的 ThreatCon 網路風險指數為整體的網路安全狀態提供全面性的「安全氣象預測」。賽門鐵克安全機制應變中心資深總監Vincent Weaver表示，「此威脅源於亞洲區，但並未在亞洲區造成大規模的擴散，似乎此威脅僅針對特定的大型企業而來。」Vincent Weaver進一步指出，「過去這一陣子，賽門鐵克陸續發現類似的鎖定攻擊行為產生，主要利用Office應用程式如Word的弱點。這次的安全事件證明網路攻擊逐漸朝向零時攻擊方向發展。」賽門鐵克建議使用者採取下列措施：切記不要開啟來路不明、或是未預期會收到的電子郵件附加檔案保持電腦裡網路安全軟體隨時在最新的狀態針對任何共享的Windows檔案務必使用複雜的密碼加以保護將使用者的個人資料備份至離線的儲存空間欲了解更多關於此威脅的資料，請連上賽門鐵克安全機制應變中心網頁： http://securityresponse.symantec.com/ 賽門鐵克安全專家將持續監控此威脅的後續發展及提供相關資訊，並視需要提供安全更新及內容。 Backdoor.Ginwui木馬程式特徵 Backdoor.Ginwui為一隻會開啟受害電腦後門的木馬程式, 若需要此木馬程式的詳細資料，可連結至下列網站獲知進一步資訊： http://securityresponse.symantec.com...or.ryknos.html Trojan.Mdropper.H木馬程式特徵 Trojan.Mdropper.H為一隻會在受害電腦植入後門程式的木馬程式，其利用的是微軟Word應用程式裡未記錄的弱點。若需要此木馬程式的詳細資料，可連結至下列網站獲知進一步資訊： http://www.symantec.com/avcenter/ven...dropper.h.html 小辭典：零時攻擊 zero-day attack 賽門鐵克的定義指出，所謂零時威脅指的是該攻擊針對系統廠商尚未公布修補程式的弱點。賽門鐵克安全機制應變中心(Symantec Security Response) 針對網路上產生的各種惡意威脅，安全機制應變中心提供鉅細靡遺的分析，了解其運作模式，並提供即時的應變及解決方案。賽門鐵克ThreatCon網路風險指數網路風險指數為賽門鐵克評估全球網路環境的風險程度指標，依風險程度高低分為一至四級，四級為最危險。賽門鐵克電腦病蟲危害指數：賽門鐵克安全機制應變中心根據電腦病毒/蟲感染範圍、危害程度以及散布速度，將所偵測到的病毒/蟲進行危害指數1到5的分級，級數越高，表示此一病毒/蟲感染速度、危害程度以及散布速度都較快，因此可能造成的影響範圍也就越廣。危害指數 5級極度危險。如：情書病蟲剛出現時(VBS.LoveLetter.A) 危害指數 4級危險。如：Blaster，Sobig.F、Mydoom 危害指數 3級中度。如：迷媚兒病蟲危害指數 2級輕度。如：泡泡男孩（Bubbleboy）危害指數 1級低度。
	__________________ TCP options string: 020405a001010402 MSS: 1440 MTU: 1480 TCP Window: 46080 (multiple of MSS) RWIN Scaling: 0 Unscaled RWIN : 46080 Reccomended RWINs: 63360, 126720, 253440, 506880 BDP limit (200ms): 1843kbps (230KBytes/s) BDP limit (500ms): 737kbps (92KBytes/s)
	送花文章: 671, 收花文章: 415 篇, 收花: 4011 次

Google 提供的廣告