认识微软的病毒防护解决方案

对于恶意软件(病毒,木马,rootkit等),微软为普通个人用户和企业用户提供了各种防护解决方案。您可以参考下表。 操作系统 个人用户 企业用户 备注 Windows Vista (已经停止支持) Microsoft Security Essentials Forefront Endpoint Protection, System Center Endpoint Protection 1.       Forefront Endpoint Protection于2019年7月9日结束支持周期。   2.       请不要将Microsoft Security Essentials安装到服务器操作系统上。 Windows 7 Microsoft Security Essentials Forefront Endpoint Protection, System Center Endpoint Protection Windows 8.1 Windows Defender Forefront Endpoint Protection, System Center Endpoint Protection Windows 10 Windows Defender Windows Defender…

0

勒索软件——防护还是屈从

不知道你是否听说过勒索软件(Ransomware)的大名。这是一种专门利用复杂加密算法、秘钥来加密文档的恶意软件。目的是获取经济利益。受害者在发现重要文档无法打开(被加密)后,往往还会注意到一个说明文件,告知“如何赎回这些资料”。如果之前没有任何备份,中招之后极其痛苦。 微软恶意软件防护中心(Microsoft Malware Protection Center, MMPC)对于这种猖獗的恶意软件,先后发布过很多博文,提醒全球用户关注防护,保护自己不受侵害。 我们统计分析勒索软件的来源,钓鱼邮件首当其冲。其次是利用一些流行软件的安全漏洞。这里提醒大家的是,安全漏洞不仅仅局限于微软的操作系统和软件。您使用的其它软件也需要及时更新到最新版本,以防别有用心的人利用其安全漏洞。 做到留意钓鱼邮件,及时安装更新,是否就足够了呢?的确,我们还需要完成以下几个重要步骤。首要一点是您需要有完善的备份计划,无论是普通用户的工作机还是各种应用服务器。其次您需要智能的检测手段。例如邮件过滤系统,终端防护系统。进一步,您如果有策略阻止未知来源的软件运行,也可以很大程度上为您的系统做到防护。最后,实际上也是相当重要的环节(人的教育),周期性教育最终用户行为和习惯。 勒索软件能为攻击者带来巨大经济利益,它变种速度快、数量多,必须综合运用以上五步来防范。对于这五步,微软都有适合的产品和服务支持您。详细信息您可以参考相关阅读部分。谢谢。 相关阅读 https://blogs.technet.microsoft.com/office365security/how-to-deal-with-ransomware/ Don’t let this Black Friday/Cyber Monday spam deliver Locky ransomware to you

0

[转译] Forefront TMG SP1软件更新1汇总2发布

《本文转译自微软知识库文章 “Software Update 1 Rollup 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1”》 介绍 本文列举了软件更新1汇总2中为 Microsoft Forefront TMG 2010 Service Pack (SP1)解决的问题。 本文列出了若干篇与 Forefront TMG 2010 SP1 相关的微软知识库文章,这些文章中描述的问题在软件更新1汇总2中得到解决。 软件更新1汇总2解决的问题 KB 文章 标题 2452980 在高速接入因特网的情况下,通过 Forefront TMG 2010 的上传速度很慢。 2478286 若使用 Forefront TMG 2010 发布OWA 2010,那么OWA客户端即使长时间未活动,连接也不会超时。 2484988 通过 Forefront TMG 2010发布的 DNS 服务,…

0

[转译] 20100910 – 2,新近出现的恶意软件:Visal.B

《本文转译自 Microsoft Malware Protection Center 博客文章“Emerging Malware Issue: Vosal.B“》 Worm:Win32/Visal.B 是一种使用 Visual Basic 语言编写的新型蠕虫,目前一部分已借助社会工程学进行传播。我们强烈建议用户谨慎点击邮件中的可疑链接,或者不期而至的链接,即使您认识邮件的发件人。受 Visal.B 感染很可能是因为您不小心。 该蠕虫的时间戳标记为9/3/2010,使用两种方式进行传播:其一,群发邮件;其二,将自身拷贝至本地驱动器(C: 和 H:)和网络共享。该蠕虫能够自我复制到本地系统的多个驱动器,并自带 autorun.inf 文件。而后向在受感染系统中找到的联系人发送电子邮件,传播自身。 Visal.B利用邮件应用程序接口 (MAPI) 向受感染系统中找到的所有联系人群发邮件。在企业环境下,地址薄中可能包含大量的联系人信息。随着企业网络中被感染的计算机数量增多,局域网内由该蠕虫引发的邮件也相应增多,导致邮件服务器性能下降。另外,该蠕虫还利用内置的 SMTP/ESMTP(邮件传输)引擎发送已感染系统的信息给攻击者,特别是 IP 地址和系统信息。 该蠕虫群发的邮件中包含看似指向 .pdf 文件或 .wmv 视频的链接,但事实上该链接指向恶意的 .scr 文件。垃圾邮件的内容已出现不同的措辞,例如: 1. Subject: hi Hello: This is The Free Dowload Sex Movies,you can find it Here. hxxp://malicious-link-omitted/library/SEX21.025542010.wmv Enjoy Your Time. Cheers, 2….

0

中国和巴西的窃密程序威胁高居榜首 [转译]

《本文转译自 Microsoft Malware Protection Center 博客文章“Threats in China and Brazil – Password Stealers (PWS) are Top Dog”》 7月14日,MMPC 在 MSRT(Malicious Software Removal Tool)中添加了一个新的假冒安全软件程序(流氓软件):Win32/FakeSpyPro。截止到7月29日,MSRT 已从全球 185,229 台机器上清除了 FakeSpyPro。流氓软件在全球范围内的破坏性依然不减。全球威胁的前十名中有三大家族(FakeSpyPro、InternetAntivirus 和 FakeXPA)都属于流氓软件。 不过,中国和巴西等新兴国家的威胁情况则大不相同。上述三大流氓软件都没在中国和巴西的前十名威胁中出现。具体情况如下: 中国的前十名威胁中有五个都是网络游戏窃密程序,分别是:Ceekat, Frethog, Lolyda, Corripio 和 Zuten。其中只有一个 Frethog 出现在全球的前十名中。这应该归因于中国大量极其流行的多人在线角色扮演游戏(MMORPG)。 巴西的前十名威胁中有三个是网上银行窃密程序,分别是 Bancos, Banker 和 Banload,没有一个在全球前十名中出现。这表明,在制造出这些 PWS(Password Stealers)四年多后,网络犯罪者仍然看好巴西的网银窃密价值,并将继续致力于此。 Hupigon 在中国非常流行,但在世界范围内却并不普遍。它是一个复合的威胁程序,会调用后门程序秘密记录键盘输入和窃取密码。 Taterf 和 Frethog 是在巴西和全球都非常流行的 MMORPG PWS。这些威胁的目标:Rainbow Island, Cabal Online, Lineage,…

0

Waledac 在哪里 – 第二篇 [转译]

<<本文章转译自 Microsoft Malware Protection Center 博客文章 “Where is Waledac – Episode II”>> Spambot Win32/Waledac 最广为人知的应该是发送垃圾邮件的功能,此外他还会下载执行任意文件。除了用这个下载机制更新其自身,Waledac 还下载其他恶意程序。MMPC 观察到了对Trojan:Win32/FakeSpypro 和 TrojanDownloader:Win32/Rugzip 变种的下载。 它下载执行的文件并不限于恶意软件。Waledac 也会试图下载安装免费的抓包库 “WinPcap”。它利用这个库的功能来嗅探网络流量,查找 SMTP、POP、HTTP 和 FTP 协议中所传输的验证信息。 除了我们在之前的 Blog 中所提到的 Waledac被 Win32/Bredolab 变种下载,我们还发现 Waledac 会被正在传播的 Win32/Cutwail 下载。有趣的是,MMPC 最近发现 Win32/Cutwail 的变种下载了和 Win32/Waledac 相同的流氓软件 Win32/FakeSpypro(以下是 FakeSpypro 的界面)。 遥测数据 现在我们来看一下 Waledac 在四月份被加入 MSRT 之后的遥测数据。Waledac 是本月流行度排名第 24 位的威胁。全球有超过 20,000 台独立机器被检测到感染…

0

应对 AutoRun 的威胁环境,Windows 做出改动 [转译]

<<本文章转译自 Microsoft Malware Protection Center 博客文章 “Windows Addresses the Changing AutoRun Threat Environment”>> 相关中文博客文章请参考:”Windows 7 对于 AutoRun 功能进行调整 [转译]” 自动播放是驱动器的一项功能,当新的存储介质插入到电脑中时,它通过 autorun.inf 文件,提供一系列的任务让用户选择。这包括了 USB 驱动器、CD 或 DVD、网络驱动器和其他新的存储介质。用户会在自动播放对话框中看到自动播放任务。 在大约十年前,软盘的应用开始减少。电脑开始不再安装软盘驱动器。而与此同时软盘病毒也被有效地从恶意软件领域消除了。现在,USB 存储介质出现了,它正在扮演着与当时的软盘相同的角色。在当今的恶意软件领域,自动播放恶意软件急剧增长,越来越普遍。下图显示了在我们实验室中被检测为 Worm:Win32/Autorun 恶意软件的个数正在快速增长: 每个季度,我们要处理大约 25 万个此类样本。另外,WildList Organization (WLO) 每月生成一个经确认正在全球用户中传播的病毒清单。他们关于 Worm:Win32/Autorun 样本的统计也显示出显著的增长。 因为 WLO 需要收集、协调并证实许多不同提供者提交的不同样本,并且只会收录经过一个以上的行业提交者确认的样本,所以他们的数字显得更小。但是仍然可以看到急剧的增长。 最近的 Conficker 蠕虫也是使用了这个传染因素的自动播放恶意软件。它使用自动播放中一些特性来迷惑用户,诱骗他们选择错误的选项。如果不仔细研究这两个选项之间的差别,用户就有可能选择第一个选项,这将会运行蠕虫。 因为恶意软件越来越多地利用自动播放,Windows 7 团队采取了重大的举措来阻止这一特定威胁。 新变化包括:除非是移动光学介质(CD/DVD),否则将不会弹出对话框显示自动播放条目。所以如果一个 USB 驱动器被插入到电脑上,自动播放的选项不再显示。此外,还有一些改变可以使自动播放对话框中的行为更加清晰。 我们鼓励更新系统来利用这一新的功能。就像软盘病毒因为我们习惯的改变而消失一样,我们同样希望自动播放恶意软件因这一系统基础结构的变化而消失。 想查看关于这一改动的更多细节,请访问 Engineering Windows 7:…

0

关于 Worm:Win32/Conficker.D [转译]

<<本文章转译自 Microsoft Malware Protection Center 博客文章 “Information about Worm:Win32/Conficker.D”>> 在过去的几个月中,微软收到了关于 Conficker 蠕虫四个变种的报告,最新的变种是Worm:Win32/Conficker.D (也称为 Downadup.C,在最近的一些报刊文章标记这个变种为 Conficker.C ; 具体如何区分变种可以参见图表 Win32/Conficker)。针对以往不同的 Conficker 的变种 (A/B/C),我们采取的是产业联盟,组织以社区为基础的合作,减低 Conficker 蠕虫所带来的威胁,通称 Conficker 工作组。 工作组 (WG) 所采取的措施之一是防止已感染 Conficker 的机器从网站下载附加的恶意软件。Conficker 的变种蠕虫程序可以监测并下载可执行二进制文件,措施的实施就是阻止 Conficker 变种蠕虫与 500 个域名的通信 (250 Conficker.A 和 250 Conficker.B/C)。这样做有助于控制受感染的机器如病毒作者所愿,继续造成进一步的损害。 在 2009 年 3 月 4 日, Conficker.D 成为 Conficker 最新的家庭威胁成员。它修改了 “打电话回家” 机制,每天随机从 50000 域名中随机挑选…

0

病毒观测 – %Lnkget% [转译]

<<本文章转译自 Microsoft Malware Protection Center 博客文章 “%Lnkget%”>> 什么是lnkget? TrojanDownloader:Win32/Lnkget.* 是一种恶意的 Windows 快捷方式。一旦被运行,它就会触发下载新文件之类的行为(在这个恶意程序案例中)。 为了成功伪装,它必须只使用默认存在于任何系统中的可执行程序。然而,唯一真正需要的可执行程序是 cmd.exe。所有其他的程序可以由快捷方式自身携带。 当然,这些可执行程序必须只能在命令行执行,并且不能有用户接口。一个能在 Vista 之前所有版本的(非服务器版)Windows 操作系统中使用的可执行程序是 ftp.exe。 快捷方式使用 cmd.exe 作为它的主进程,利用它创建文件并执行其他进程。被创建的文件是一个数据输入文件(stdin)包含有下一个将被加载的进程所使用的参数和命令。 下一个被加载进程是 ftp.exe(参看文末的具体实例) 然后,快捷方式使用 “start” 命令,运行由 ftp.exe 进程下载得到的文件。对于某些恶意的快捷方式,所下载的文件是另一个脚本,通常是个 Visual Basic 脚本,而不是一个可执行程序。 这个经过加壳的 Visual Basic 脚本会连接到另一个 FTP 服务器,并下载真正的恶意程序。某些恶意快捷方式还会打开一个 IE 浏览器,显示一些包含特定中文信息的网站。 上述步骤完成了这个快捷方式的使命,此时恶意程序已经被下载执行。有趣的是,我还没见过任何恶意快捷方式试图删除自己。 在最近的 LnkGet 恶意程序家族的变种中,恶意程序作者已经实现了基本的加壳技术。很多恶意快捷方式试图通过使用常见的快捷方式图标来伪装自己。 这是一些例子: 这是新出现的吗? 使用 Windows 快捷方式来运行恶意代码并不是新出现的方法。然而,TrojanDownloader:Win32/Lnkget 的是新出现的,并且非常活跃。 自从十二月底一月初,我们观察到这类样本急剧增长。我已经调查了这些样本从哪里出现,为什么出现,它们是否和其他威胁有关联以及为什么它们传播越来越广。 流行趋势? 在这张图表中,你可以看到这个恶意程序从十二月以来的流行趋势。 传播介质 此威胁的主要传播介质是通过电子邮件。这些邮件在中国或者东亚的域名之间传播,例如…

0