?? 病毒安全情報(bào)

2021年12月13日 至 2021年12月19日

▎國(guó)內(nèi)安全
?· 01 ·?
聯(lián)想電腦管家病毒安全監(jiān)測(cè)

?· 02?·?
安全提醒：慎用 USB 驅(qū)動(dòng)器，電腦可能會(huì)中毒

USB驅(qū)動(dòng)器應(yīng)該是當(dāng)代最受歡迎的使用工具之一，它的優(yōu)點(diǎn)是體積小、價(jià)格低、能夠快速的將文件從一臺(tái)計(jì)算機(jī)文件存儲(chǔ)到另一臺(tái)計(jì)算機(jī)內(nèi)，就因?yàn)檫@樣，攻擊者可以利用USB驅(qū)動(dòng)器通過(guò)惡意軟件感染其他計(jì)算機(jī)，惡意軟件可以檢測(cè)USB驅(qū)動(dòng)器何時(shí)插入計(jì)算機(jī)，然后將惡意代碼下載到驅(qū)動(dòng)器上。當(dāng)USB驅(qū)動(dòng)器插入另一臺(tái)計(jì)算機(jī)時(shí)，惡意軟件會(huì)感染該計(jì)算機(jī)。一些攻擊者還會(huì)在生產(chǎn)過(guò)程中感染U盤(pán)物品，導(dǎo)致當(dāng)用戶(hù)購(gòu)買(mǎi)該產(chǎn)品并將它插入計(jì)算機(jī)時(shí)，惡意軟件就會(huì)直接安裝到計(jì)算機(jī)上。攻擊者會(huì)利用USB竊取計(jì)算機(jī)信息，如果攻擊者可以物理訪問(wèn)計(jì)算機(jī)，就可以直接將敏感信息復(fù)制到USB驅(qū)動(dòng)器上，即使關(guān)閉了計(jì)算機(jī)可以能會(huì)受到攻擊，因?yàn)橛?jì)算機(jī)的內(nèi)存在斷電的情況下仍會(huì)維持幾分鐘的活躍狀態(tài)，如果攻擊者在此期間將USB插入計(jì)算機(jī)內(nèi)，也可以從USB驅(qū)動(dòng)器快速重新啟動(dòng)系統(tǒng)，并將計(jì)算機(jī)的內(nèi)存復(fù)制到驅(qū)動(dòng)器上，受害者甚至對(duì)此毫無(wú)感知。

▎全球安全

?· 01 ·?
BitDefender發(fā)現(xiàn)首個(gè)用Log4Shell漏洞的勒索軟件

BitDefender 宣稱(chēng)發(fā)現(xiàn)首個(gè)通過(guò) Log4Shell 漏洞直接安裝的勒索軟件，該漏洞利用程序會(huì)下載一個(gè) Java 類(lèi)文件。加載后它會(huì)從同一臺(tái)服務(wù)器下載一個(gè)NET二進(jìn)制文件，該文件是一個(gè)安裝名為“Khonsari”的新勒索軟件，在此后的攻擊中，BitDefender 注意到攻擊者使用相同的服務(wù)器來(lái)分發(fā) Orcus遠(yuǎn)程訪問(wèn)木馬，有安全專(zhuān)家認(rèn)為這可能是個(gè)數(shù)據(jù)擦除器。Emsisoft 分析師Brett Callow指出，該勒索軟件以路易斯安那州一家古董店老板的聯(lián)系信息命名并使用其聯(lián)系信息，而不是使用攻擊者自己的信息，目前尚不確定此人是勒索軟件攻擊的實(shí)際受害者還是誘餌。但不論是什么原因，由于該惡意軟件并沒(méi)有攻擊者的有效聯(lián)系信息，Callow認(rèn)為這是一個(gè)擦除器而不是勒索軟件。雖然這可能是首個(gè)利用Log4j 漏洞直接安裝勒索軟件或擦除器的實(shí)例，但在此之前微軟已監(jiān)測(cè)到了用于部署 Cobalt Strike 信標(biāo)的漏洞利用。因此，更高級(jí)的勒索軟件攻擊很可能已經(jīng)將Log4Shell漏洞利用作為一種攻擊手段。

?· 02 ·?
伊朗黑客使用Slack API攻擊了亞洲航空公司

根據(jù)研究人員稱(chēng)，伊朗的一個(gè)黑客組織正在使用消息平臺(tái)slack上的免費(fèi)工作空間在亞洲某航空公司的系統(tǒng)中部署了后門(mén)，根據(jù)IBM Security X-Force報(bào)告，被稱(chēng)為Aclip的后門(mén)可能使攻擊者能夠訪問(wèn)航空公司乘客的數(shù)據(jù)，Aclip名稱(chēng)來(lái)自名為“aclip.bat”的 Windows 批處理腳本，能通過(guò)添加一個(gè)注冊(cè)表密鑰建立持久性，并在受感染設(shè)備的系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)。但目前還未具體確定是否已從系統(tǒng)中竊取了數(shù)據(jù)，盡管在攻擊者的命令和控制服務(wù)器上發(fā)現(xiàn)的文件表明他們可能已經(jīng)訪問(wèn)了預(yù)定數(shù)據(jù)。分析認(rèn)為，他們重點(diǎn)是監(jiān)視，因?yàn)樵诳刂品?wù)器上只能找到名稱(chēng)帶有“保留管理”的文件。它沒(méi)有透露泄露存檔文件的內(nèi)容。由于涉及的流量大，基于協(xié)作工具防御威脅很困難，研究人員表明，針對(duì)此類(lèi)后門(mén)建立防御機(jī)制會(huì)面臨較大挑戰(zhàn)，但仍建議加強(qiáng)PowerShell 安全性，因?yàn)樵撃_本有時(shí)能讓攻擊變得具有侵入性。

?· 03 ·?
NSO 間諜軟件利用?iMessage 漏洞攻擊蘋(píng)果用戶(hù)

Google Project Zero 安全研究人員公布了?NSO 間諜軟件 Pegasus 利用 iMessage 漏洞的深入分析報(bào)告，他們認(rèn)為這是所見(jiàn)過(guò)技術(shù)最先進(jìn)的漏洞利用之一。漏洞 CVE-2021-30860 被利用攻擊沙特的活動(dòng)人士，不需要用戶(hù)點(diǎn)擊鏈接或?yàn)g覽惡意網(wǎng)站。蘋(píng)果在 9 月的更新中修復(fù)了該漏洞。安全研究人員稱(chēng)，Pegasus 的第一個(gè)切入點(diǎn)是 iMessage，攻擊者只需要 AppleID 用戶(hù)名的電話號(hào)碼就能啟動(dòng)惡意程序植入。iMessage 原生支持 GIF 圖像，使用 ImageIO 庫(kù)去猜測(cè)源文件的正確格式然后解析。利用偽裝成 gif 圖像的欺騙方法數(shù)十種圖像編解碼器就成為零點(diǎn)擊 iMessage 攻擊面的一部分。Pegasus 針對(duì)的是其中的 CoreGraphics PDF 解析器，在該解析器中蘋(píng)果使用了來(lái)自?Xpdf?的開(kāi)源 JBIG2 實(shí)現(xiàn)，JBIG2 是壓縮黑白像素的圖像編解碼器。JBIG2 存在一個(gè)典型的整數(shù)溢出漏洞。雖然 JBIG2 沒(méi)有腳本能力，但它能模擬任意邏輯門(mén)操作的電路，Pegasus 將 pdf 偽裝成 gif，利用該漏洞溢出內(nèi)存之后，使用超過(guò) 7 萬(wàn)個(gè) segment 命令定義邏輯位操作，創(chuàng)造了一個(gè)定制的虛擬機(jī)在內(nèi)存中執(zhí)行指令。

?? 彈窗攔截情報(bào)

2021年12月13日 至 2021年12月19日
聯(lián)想電腦管家彈窗攔截監(jiān)測(cè)

?? Windows?資訊

2021年12月13日 至 2021年12月19日

?· 01?·?
Win10下月起停止更新

微軟發(fā)布了新一代操作系統(tǒng)windows 11之后，意味著而win10系統(tǒng)會(huì)漸漸退出。微軟近日發(fā)布了適用于Windows 10 Version 2004以及20H2/21H1/21H2 功能更新的累積更新 KB5008212。如果你在用Win10 v2004，那么要做好升級(jí)的準(zhǔn)備。Win10 v2004作為目前最穩(wěn)定的windows 10系統(tǒng)版本之一，微軟宣布從下個(gè)月起要停止對(duì)這版系統(tǒng)的支持了，僅企業(yè)版、教育版還會(huì)在未來(lái)一年收到安全更新。這對(duì)于用戶(hù)來(lái)說(shuō)卻不是一個(gè)好消息。按照用戶(hù)的說(shuō)法，部分用戶(hù)愿意停留在Windows 10 2004上，因系統(tǒng)版本足夠穩(wěn)定，沒(méi)有太多的Bug。為了保證系統(tǒng)的安全和功能最新，微軟建議用戶(hù)到Windows Update手動(dòng)升級(jí)到最新版本。

?· 02?·?
Win11降速50%的bug被修復(fù)

微軟終于在眾多用戶(hù)反饋之后承認(rèn)了win11中存在的bug，隨后他們也給出了更新。Windows 11中存在的兩個(gè)bug，它們可能會(huì)導(dǎo)致應(yīng)用程序崩潰或使整個(gè)系統(tǒng)變慢。通過(guò)最新的安全更新（KB5008215），微軟已經(jīng)修復(fù)了這兩個(gè)已知的問(wèn)題，強(qiáng)調(diào)了這個(gè)問(wèn)題有多嚴(yán)重。其補(bǔ)丁會(huì)在12月21日（即星期二）更新的更新日志中發(fā)布，微軟確認(rèn)該修復(fù)現(xiàn)在適用于所有配置。早在2021年8月發(fā)現(xiàn)的Windows 11中的一個(gè)錯(cuò)誤，可能通過(guò)影響存儲(chǔ)驅(qū)動(dòng)器的寫(xiě)入或讀取速度而使整個(gè)系統(tǒng)變慢。這特別令人沮喪，因?yàn)閹缀跛械拇鎯?chǔ)驅(qū)動(dòng)器都受到影響，它還導(dǎo)致安裝在系統(tǒng)驅(qū)動(dòng)器中的應(yīng)用程序出現(xiàn)性能問(wèn)題。如果你的設(shè)備受到影響，存儲(chǔ)驅(qū)動(dòng)器的運(yùn)行速度可能會(huì)慢50%，寫(xiě)入速度受到的影響最大。11月22日，微軟發(fā)布了一個(gè)可選的累積性更新，它確認(rèn)這個(gè)問(wèn)題已經(jīng)在列出的修復(fù)程序下得到解決，并解釋說(shuō)這個(gè)問(wèn)題只影響到Windows驅(qū)動(dòng)器。"這個(gè)問(wèn)題只在啟用NTFS USN日志時(shí)發(fā)生。注意，USN日志總是在C：磁盤(pán)上啟用，"微軟在更新日志中指出。隨著"補(bǔ)丁星期二"的到來(lái)，微軟終于向所有運(yùn)行Windows 11 21H2版本的人推出了該修復(fù)程序。由于這是一個(gè)安全更新，它將根據(jù)你的Windows Update設(shè)置自動(dòng)下載和安裝。

?行業(yè)快訊

2021年12月13日 至 2021年12月19日

?· 01 ·?

哈啰出行等17款A(yù)pp涉嫌隱私不合規(guī)被通報(bào)

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心近期通過(guò)互聯(lián)網(wǎng)監(jiān)測(cè)發(fā)現(xiàn)17款移動(dòng)應(yīng)用存在隱私不合規(guī)行為，違反網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法相關(guān)規(guī)定，涉嫌超范圍采集個(gè)人隱私信息。1、未向用戶(hù)明示申請(qǐng)的全部隱私權(quán)限，涉嫌隱私不合規(guī)。涉及15款A(yù)pp如下：《哈啰出行》(版本6.4.5，360手機(jī)助手)、《開(kāi)卷》(版本3.3.2，360手機(jī)助手)、《和訊財(cái)?shù)馈?版本3.1.6，360手機(jī)助手)、《嘀一巴士》(版本3.9.5，360手機(jī)助手)、《駕考駕照準(zhǔn)點(diǎn)學(xué)車(chē)》(版本2.65，OPPO軟件商店)、《小雨農(nóng)智》(版本3.5.2，OPPO軟件商店)、《微師》(版本2.3.4，vivo應(yīng)用商店)、《基金從業(yè)資格考試題庫(kù)》(版本4.3，vivo應(yīng)用商店)、《普象網(wǎng)》(版本2.3.1，百度手機(jī)助手)、《幫幫洗衣》(版本0.3.3，華為應(yīng)用市場(chǎng))、《易購(gòu)》(版本11.7.0512，樂(lè)商店)、《倒數(shù)紀(jì)念日》(版本2.0.5，樂(lè)商店)、《億通行》(版本5.0.4，豌豆莢)、《洋老板》(版本5.4.5，豌豆莢)、《花漾搜索》(版本4.0.9，應(yīng)用寶)。2、App向第三方提供個(gè)人信息未做匿名化處理，涉嫌隱私不合規(guī)。涉及3款A(yù)pp如下：《哈啰出行》(版本6.4.5，360手機(jī)助手)、《58同城》(版本10.24.2，樂(lè)商店)、《易購(gòu)》(版本11.7.0512，樂(lè)商店)。3、App在征得用戶(hù)同意前就開(kāi)始收集個(gè)人信息，涉嫌隱私不合規(guī)。涉及3款A(yù)pp如下：《中原直銷(xiāo)銀行》(版本3.0.7，樂(lè)商店)、《駕考駕照準(zhǔn)點(diǎn)學(xué)車(chē)》(版本2.65，OPPO軟件商店)、《幫幫洗衣》(版本0.3.3，華為應(yīng)用市場(chǎng))。4、未提供有效的更正、刪除個(gè)人信息及注銷(xiāo)用戶(hù)賬號(hào)功能，或注銷(xiāo)用戶(hù)賬號(hào)設(shè)置不合理?xiàng)l件，涉嫌隱私不合規(guī)。涉及6款A(yù)pp如下：《嘀一巴士》(版本3.9.5，360手機(jī)助手)、《駕考駕照準(zhǔn)點(diǎn)學(xué)車(chē)》(版本2.65，OPPO軟件商店)、《小雨農(nóng)智》(版本3.5.2，OPPO軟件商店)、《微師》(版本2.3.4，vivo應(yīng)用商店)、《幫幫洗衣》(版本0.3.3，華為應(yīng)用市場(chǎng))、《倒數(shù)紀(jì)念日》(版本2.0.5，樂(lè)商店)。5、未建立并公布個(gè)人信息安全投訴、舉報(bào)渠道，或超過(guò)承諾處理回復(fù)時(shí)限，涉嫌隱私不合規(guī)。涉及2款A(yù)pp如下：《基金從業(yè)資格考試題庫(kù)》(版本4.3，vivo應(yīng)用商店)、《倒數(shù)紀(jì)念日》(版本2.0.5，樂(lè)商店)。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心提醒廣大手機(jī)用戶(hù)首先謹(jǐn)慎下載使用以上違法、違規(guī)移動(dòng)App，同時(shí)要注意認(rèn)真閱讀App的用戶(hù)協(xié)議和隱私政策說(shuō)明，不隨意開(kāi)放和同意不必要的隱私權(quán)限，不隨意輸入個(gè)人隱私信息，定期維護(hù)和清理相關(guān)數(shù)據(jù)，避免個(gè)人隱私信息被泄露。

—— END ——

· 溫馨提示 ·

聯(lián)想設(shè)備的用戶(hù)如果遇到解決不了的系統(tǒng)或硬件問(wèn)題，可通過(guò)聯(lián)想電腦管家“我的客服“功能一鍵聯(lián)系官方在線客服，獲得專(zhuān)屬服務(wù)和解決方案。也可通過(guò)微信公眾號(hào)“聯(lián)想電腦管家”聯(lián)系在線客服。