亚信信息系统安全周报_CN_170103-趋势科技.docVIP

? ? ? 病毒情报中心 ? 系统漏洞信息 一周病毒情况报告热门病毒综述?-?RANSOM_ALCATRAZ.A? MS16-153 系统安全技巧 ? 产品 病毒码情况 ? 一周病毒情况报告 ? 本周用户报告感染数量较多的病毒列表 WORM_DOWNAD ? 亚信安全热门病毒综述 ? 热门病毒综述?- RANSOM_ALCATRAZ.A ? 其它病毒或者下载感染本机，其会加密系统中的文件，被加密文件扩展名为 .Alcatraz 对该病毒的防护可以从下述连接中获取最新版本的病毒码：1.132.60 ? /Anti-Virus/China-Pattern/Pattern/ 病毒详细信息请查询： ? /vinfo/us/threat-encyclopedia/malware/ransom_alcatraz.a ? 系统漏洞信息 ? MS16-153:? Windows Vista Windows Server 2008 Windows 7 Windows 8.1Windows Server 2012?和?Windows Server 2012 R2?Windows 10和Windows Server 2016 描述：/zh-cn/library/security/ms16-153.aspx ? ? 产品 ? 病毒码情况 在最近一周发布中国区病毒码情况如下： ? 2016年月日发布病毒码13.116.602016年1月日发布病毒码13.118.602016年1月日发布病毒码13.120.602016年1月日发布病毒码13.122.602016年1月日发布病毒码13.1.60 截至目前，病毒码的最高版本为1.132.60，发布于2017年01月03日。 病毒码下载地址为： ? /Anti-Virus/China-Pattern/Pattern/ 您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新： ? /Anti-Virus/China-Pattern/TSUT/ 趋势科技在最近一周发布全球病毒码情况如下： ? 2016年月26日发布病毒码1.117.002016年1月日发布病毒码1.119.002016年1月日发布病毒码1.121.002016年1月日发布病毒码1.123.002016年1月日发布病毒码1.125.00 截至目前，病毒码的最高版本为.133.00，发布于2017年01月03日。 病毒码下载地址为： ? /Anti-Virus/Main-Pattern/ 您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新： ? /Anti-Virus/TSUT/ 系统安全技巧 ? 2016年接近尾声，纵观本年度的安全事件，从史上最大的孟加拉国银行劫案，到7月份台湾发生ATM机自动吐钱事件，随后一个月发生的泰国ATM机被盗，多起安全事件让我们再次把目光转向金融行业安全问题，亚信安全持续关注金融行业安全，为金融行业保驾护航。 近日，亚信安全网络监测实验室截获最新ATM恶意软件Alice，亚信安全将其命名为BKDR_ALICE.A。与以往ATM恶意软件不同的是，Alice既不会窃取数据，也不会通过ATM数字键盘进行控制，其唯一的目的是窃取ATM机内的所有现金 Alice是什么？ Alice是运行在ATM系统上的一款恶意软件，其采用了一款名为VMProtect的商用加壳/混淆器进行打包，干扰安全分析员对其进行调试分析，该软件在运行中会检查嵌入的二进制文件是否在调试器中运行，如果发现在调试器中运行会自我终止进程。 Alice如何盗取现金？ 犯罪分子需要以物理方式访问ATM并通过USB或光驱感染机器，并且将键盘连接到ATM机的主板上操作控制恶意软件。Alice会连上CurrencyDispenser1外设，也就是XFS环境中的吐钞设备。为确保其自身运行在AMT机上，Alice运行时会检查其是否在金融服务XFS环境中，如果检测存在XFS环境中，Alice会弹出会话框并提示输入PIN码 图一、提示输入PIN码会话框 当输入正确的PIN码，Alice会打开“操作面板”。面板屏幕会显示ATM中各钱匣当前存放的现金，如图二所示（在当前示例中，因为我们将恶意程序运行在测试环境所以无具体信息显示）。当在操作面板中输入需要取出的金额时，吐钞指令通过WFSExecute编程接口发送命令给CurrencyDispenser1外设。ATM机开始吐钞，剩余可用现金的信息会动态显示在屏幕上，攻击者可据此知晓钱匣什么时候被清空。由于ATM机通常会有吐钞数量限制，攻击者可能需要多次重复同样的操作，才能清空ATM机里钱匣存放的所有钞票。 图二、控制面板 ? 及时升级