五月攻擊趨勢

5月13日，Symantec公布4項關於防火牆的修補程式，所有安裝Symantec個人端防火牆服務的使用者，都可能遭受到遠端控制或網路型病毒感染，而且隔日就出現利用該漏洞的攻擊程式，使用Symantec產品的企業或個人應立即進行線上更新。

X-Force在5月共發布188項弱點及攻擊手法，包含59項高風險、82項中風險及47項低風險，其中有2項是值得高度關注的弱點。

McAfee ePolicy Orchesstrto 遠端服務的弱點：ePO（ePolicy Orchesstrtor）是用於McAfee資訊安全系統的程式更新、防毒程式與病毒碼派送的管理軟體。X-Force發現當駭客透過HTTP攻擊取得其中一部ePO Server的管理者權限後，可藉由此漏洞派送並安裝惡意程式到其他的ePO Server與Agent端，進而造成企業內部嚴重的資安問題。

Symantec 個人端防火牆的多項弱點：Symantec防火牆產品中的DNS與NDNS通訊協定，可讓攻擊者從遠端執行惡意程式碼或DoS攻擊。X-Force認為其中DNS Kernel Attack Overflow 和 NDNS Kernel Stack Overflow是最為嚴重的弱點，不僅會在防火牆上開啟通訊埠，更會執行檔案分享的服務。ISS提供此4項弱點的偵測程式，建議使用者儘速檢測並更新修補程式。攻擊趨勢

五月份臺灣區攻擊比例最高的仍舊是Email_Virus_Suspicious_Zip事件，佔36%。Netsky蠕蟲透過電子郵件傳輸，並夾帶各種可執行檔，包括.EXE、.PIF、.SCR及.ZIP等，但Netsky所夾帶.ZIP檔案包含未壓縮的可執行檔。

比例排名第2的是MSRPC_RemoteActivate_Bo，也稱為RPC DCOM Interface Overflow，佔12%。此弱點是由於Microsoft Windows NT/2000/XP/2003的RPC（遠端程序呼叫）服務中，散佈式元件物件模式（簡稱DCOM）存有緩衝區溢位的弱點，攻擊者只要把格式錯誤的訊息傳送到 RPC服務上，便可造成緩衝區溢位。

比例第3是HTTP_Unix_Passwords事件，佔11%。在Unix系統下/etc/passwd的檔案包含密碼資訊，攻擊者可能會從Web伺服器中進入，或嘗試暴力破解密碼。Sophos 10大病毒

Sasser是這個月最惹人怨的病毒，受影響的使用者遠遠超過Netsky病毒，它不需要使用者介入，就能利用微軟的程式漏洞，潛入未受保護的個人電腦，要阻絕這類病蟲的最好辦法，就是部署多層式的病毒防護系統、防火牆，更新作業系統，並教育員工防毒政策。即使逮捕Sasser和Netsky的作者，似乎仍無法抑制病毒的發展，Sophos在5月總共偵測到959種新病毒。