金山毒霸2009年8月互联网安全报告.doc

金山毒霸2009年8月互联网安全报告引言8 月，计算机攻击技术的“工业革命”在刚刚过去的8 月，互联网安全界经历了几次几乎拥有“革命意义”的安全危机。我们突然发现，互联网从程序员们的电脑开始，就变得不再安全，即使是软件厂商生产出的正版软件，也有可能成为你电脑里的毒源；而使你每天获知好友动态的SNS 社区，也正成为病毒传播和钓鱼诈骗的乐土，不法分子只需搞定一个用户，病毒木马和诈骗消息就能以几何增长般的速度自动扩散，而且你对他们完全没有提防的意识；甚至连始终站在法律刀口上的挂马团伙，也找到了苟延残喘的好办法，依靠一组特殊代码就轻松躲过部分杀软厂商的监控，继续危害网络。所有新技术、新手段都是为了一个目的：牟取暴利。八月安全状况简述 挂马攻击的进一步复苏7 月份挂马攻击的迅猛势头，在8 月份的到了非常完美的延续。尽管增长幅度并不像7月0day 漏洞辈出时那么明显，但整个8 月中，仅由金山毒霸云安全系统监测到的被挂马页面还是有1,507,116 个之多。除了利用0day 漏洞进攻网民的电脑，挂马集团还开发了新型的攻击模式，用以绕过杀毒软件厂商的防挂马工具。一些防御原理不是很科学的杀软，在面对这种情况时变得手足无措，其用户损失惨重。这些都反映出挂马团伙的生命力依旧“顽强”，他们仍然具有技术能力与杀软厂商抗衡周旋。金山毒霸2012官方下载网址：/ 新型挂马攻击手段现身一种新的挂马攻击模式，在8 月末被金山毒霸云安全系统发现。在8 月的最后几天，硅谷动力、IT168、pchome 等多家大型网站的网页或论坛连续被挂马。金山毒霸安全专家对他们的的挂马数据进行分析后发现，这几个页面上的挂马脚本为同一款，该毒被设计为“只有通过google、baidu、soso、sogou 等搜索引擎搜索上述网址，并亲自点击进入，恶意挂马才会执行”。这是一种新的挂马攻击模式，以前从未发现。结合目前网络安全大环境以及挂马技术的细节进行综合分析后，金山毒霸安全专家判定，这是黑客为了躲避安全软件厂商对挂马网页进行验证而精心设计的，而且可以判定，这几起案件为同一个黑客团伙所为。目前，国内某些安全软件厂商验证网站安全的办法是利用爬虫技术去爬网站，然后通过服务端来批量检查站点，如果发现这些站点有挂马触发，就判断他们为恶意域名。可是，一旦黑客为挂马设定特殊的触发条件，就将导致那些依赖于“爬虫+服务端检测”的安全软件失效，而这些安全软件的用户，自然也就无法获得有效保护。金山毒霸安全专家还发现，该毒利用了基于MS06-14、MS09-002、Mpeg 视频、Flash100day、Flash 9 0day、Office 0day 等漏洞的技术，如此众多热门漏洞利用代码出现在同一个脚本木马中，非常罕见，这也暴露出了病毒团伙的“大胃口”，看得出，他们是想借助这种“新挂马技术+海量漏洞”的手段大捞一笔。更详细的技术分析，可至金山毒霸官方博客查看。 Delphi程序员的梦魇从软件的生产源头进行感染，一直是安全业界猜测是否会出现的攻击方式。而在8月，这种猜测不幸成为现实。借助金山毒霸云安全系统的帮助，我们在互联网浩瀚的数据海洋中发现了一款针对程序员电脑的病毒“Delphi 梦魇（Win32.Induc.a.820224、Win32.Induc.b.820224、Win32.Induc.c.820224)，一旦感染此毒，程序员们所写出的文件都将带有病毒。“Delphi 梦魇”传播示意图（图片来源：金山毒霸官方博客）顾名思义，“Delphi 梦魇”是专门感染具有Delphi 编译环境的电脑的。当随着被感染文件进入电脑系统，“Delphi 梦魇”就通过循环检测注册表键值的方法查找dephi 的安装目录，将恶意代码前排插入SysConst.pas 文件，这个文件编译的时候，会生成SysConst.dcu，而这个文件会被添加到每个新的dephi 工程中。于是，程序员们所编写的程序就全部带毒了，一个个隐秘的“病毒兵工厂”就这样诞生。更可怕的是，通过对受感染文件的分析，金山毒霸反病毒工程师发现，该毒在全球网络中已经传播了多月，目前已知受感染最早的系统，在2008年的年末就已中招。接下来，有一个好消息和一个坏消息。好消息是“Delphi 梦魇”不具备破坏能力，它仅仅是单纯的传播，炫耀其作者的技术。坏消息是，该毒源代码已经被国外安全技术研究者在网上完全公布，由于原理简单，极易被国内那些见利忘义的病毒团伙改造利用，赋予下载器、盗号木马等能力。八月安全相关数据新增病毒样本数：3,018,506个病毒感染机器数：21,147,939台次新增安全漏洞补丁：37个微软操作系统漏洞，金山清理专家已全部为用户完成同步升级挂马网址：1,507,116个十大病毒排行榜此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS 系统下的PE 病毒单一样本，一些总感染量很高的病毒，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。1. Win32.troj.onlinegamest.oc.53400（网游帐号吞吃兽）展开描述：盗取帐号症状：游戏装备丢失，帐号密码总输不对卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic瑞星命名:Trojan.PSW.Win32.GameOL.yjwnNOD32 命名:Trojan.Win32.PSW.OnLineGames.NRD麦咖啡命名: PWS-OnlineGames.ek trojan这是一个针对多款流行网游的盗号木马。它会盗取魔兽世界等著名游戏的账号密码信息，然后发送到病毒作者指定的地址。该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助，入侵用户电脑，可盗窃包括魔兽世界在内的一些流行网游的游戏账号，然后将其发送到病毒作者指定的地址，随后很快就会被职业的洗号者将游戏账号中可自由交易的物品全部盗走，用户及时找回账号，能得到的也只剩一个“一丝不挂”的游戏角色。如发现系统中有此毒无法彻底删除，很可能是有未知下载器不断将该毒下载到电脑中，可下载运行金山安全实验室的“金山急救箱”，将下载器灭活，同时运行清理专家的漏洞检排名病毒名金山毒霸中文病毒名感染量（单位:台次) 威胁级别（最高五级）1 win32.troj.onlinegamest.oc.53400 网游帐号吞吃兽5472370 2 win32.troj.fakefoldert.yl.1407388 文件夹模仿者5254320 3 win32.troj.gameolt.zg.61529 网游盗号木马ZG 4663600 4 win32.induc.a.820224 Delphi 梦魇4418780 5 win32.troj.injector.ms.225280 入侵者下载器4320760 6 win32.troj.fakefoldert.yo.1406378 文件夹模仿者变种4298590 7 win32.induc.b.820224 Delphi 梦魇3897170 8 win32.troj.cfgt.ex.38507 CFG 网游盗号器变种3635890 9 win32.fujacks.s.106496 自由插孔下载器2455260 10 win32.trojdownloader.mnless.16384 对抗型下载器2297510 查功能，查看是否有安全漏洞需要更新。2. Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）展开描述： 模仿文件夹图标，欺骗用户点击症状：U 盘文件夹图标被替换，杀毒后文件夹丢失卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko瑞星命名: Trojan.Win32.ECode.een、orm.Win32.Agent.aaqnNOD32 命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS麦咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virusWin32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）是一个U 盘病毒，它将用户系统中的文件夹图标全部变为自己的EXE 文件，用户必须点击病毒文件才可进入文件夹。这使得病毒得以绕过系统或安全软件的U 盘监控功能。如果该变种所携带的执行模块是广告插件，那么就会尽可能多的弹出广告网页。不过该毒给很多用户带来的最大麻烦还不是频繁的广告，而是它会将用户的文件隐藏起来，即使用户借助杀软将其删除，也难以恢复。这使得一些用户误以为是杀软将自己的文件夹删除。使用金山安全实验室的急救箱， 可完美解决该毒带来的这一问题。微软于8 月下旬禁止了系统的U 盘自动播放功能，但对于这种采用新型启动技术的U盘病毒，这招并不管用。3. Win32.troj.gameolt.zg.61529（网游盗号木马ZG）展开描述： 盗窃网游帐号，洗劫虚拟财产症状：游戏密码错误，装备丢失，网游帐号被盗卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic瑞星命名:Trojan.PSW.Win32.GameOLx.cpnNOD32 命名:Trojan.Win32.PSW.OnLineGames.NRD麦咖啡命名: PWS-OnlineGames.ek trojan该毒是一个针对网络游戏的盗号木马程序，此毒在7 月份时就已经流行，8 月只是延续它的蔓延趋势。它能盗窃多款流行网游的账号密码信息。大量的0day 漏洞为各类脚本下载器的挂马传播提供了有利条件，而脚本下载器在进入系统后，就会下载不少传统的木马。Win32.troj.gameolt.zg.61529 正是在这样的情况下，实现感染量的大幅增长的。而如果用户发现自己电脑中不断出现此毒，那么表明系统中已经潜入了某款未知下载器，这种情况，可下载运行金山安全实验室的“金山急救箱”，对未知下载器灭活即可。4. Win32.induc.a.820224 (Delphi梦魇)展开描述：感染Delphi 环境，从源头污染程序症状：无任何症状卡巴命名:Virus.Win32.Induc.aNOD32 命名：virus.Win32.Induc.A这是一个针对Delphi 程序员的病毒“Delphi 梦魇”，它专门感染Delphi 程序员的电脑，一旦成功，程序员今后写出的任何程序，都将带有该毒。当随着被感染文件进入电脑系统，“Delphi 梦魇”就开始检验系统中是否有Delphi 环境。它通过循环检测注册表键值的方法查找dephi 的安装目录，如果找到dephi，就将恶意代码前排插入SysConst.pas 文件，这个文件编译的时候，会生成SysConst.dcu，而这个文件会被添加到每个新的dephi 工程中。于是，Delphi 程序员们所编写的程序就全部带毒了。该毒不具备破坏能行为，但由于其在技术和攻击方式上的突破，已经成为一些不法黑客借鉴和改造的对象，基于该毒改写的下载器已经在技术上实现，一旦被广泛利用，后果难以想像。而且目前国内除金山毒霸外，尚无别的杀软厂家具备查杀该毒的能力，这更加重了国内网络的危险。5. Win32.troj.injector.ms.225280（入侵者下载器变种）展开描述：下载木马，盗窃帐号，弹广告症状：出现陌生进程，电脑运行变卡卡巴命名：Trojan-GameThief.Win32.OnLineGames.bmoi瑞星命名：Trojan.Win32.Nodef.kvon、Trojan.Win32.Inject.fhmnNOD32 命名：Trojan.Win32.TrojanDropper.Delf.NPX麦咖啡命名：PWS-OnlineGames.eb trojan这是一款木马下载器。它借助多款下载器的帮助进行传播，拥有大量变种，可下载包括广告木马、盗号木马在内的多种恶意程序。由于每下载完一个木马后都会立即激活运行，电脑中运行的木马程序会越来越多，对于一些系统配置低的电脑，用户能感觉到明显变卡。因为是主要是依靠脚本下载器来潜入电脑，毒霸用户只要利用清理专家模块，打好补丁就可降低大大感染该毒的几率。6. Win32.troj.fakefoldert.yo.1406378（文件夹模仿者变种）展开描述： 模仿文件夹图标，欺骗用户点击症状：U 盘文件夹图标被替换，杀毒后文件夹丢失卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af瑞星命名:Trojan.Win32.ECode.een、Trojan.Win32.ECode.eenNOD32 命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ麦咖啡命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，感染该毒后的所有症状完全一致。7. Win32.induc.b.820224 (Delphi梦魇)展开描述：感染Delphi 环境，从源头污染程序症状：无任何症状瑞星命名：Virus.Win32.Induc.aNOD32 命名：virus.Win32.Induc.A此毒为Delphi 梦魇的另一特征，所有影响与Win32.induc.a.820224 完全一致。8. Win32.troj.cfgt.ex.38507 (CFG网游盗号器变种)展开描述：依靠网页挂马传播，盗窃网游帐号症状：游戏密码失效，装备丢失，网游帐号被盗卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu瑞星命名:Trojan.PSW.Win32.GameOL.zqln、Trojan.PSW.Win32.XYOnline.alvnNOD32 命名：Trojan.Win32.PSW.OnLineGames.NRD“CFG 网游盗号器变种”（win32.troj.cfgt.ex.38507）已经是连续第三个月登上TOP 榜。这款盗号木马主要依靠网页挂马传播，能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞，就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒，或者先下载一个类似宝马下载器这样的普通下载器，再下载此盗号木马。如果毒霸频繁提示发现此毒，表明系统中很可能存在未知的下载器，造成每次删除后又再次下载。这种情况不用慌，只需安装并运行金山安全实验室免费提供的“金山急救箱”，对未知下载器进行灭活，即可解决问题。9. Win32.fujacks.s.106496（自由插孔下载器）展开描述：借助U 盘传播，对抗安全软件，下载木马症状：360安全卫士及360保险箱无法启动，各磁盘分区中出现autorun文件卡巴命名：Packed.Win32.Katusha.b瑞星命名：Win32.Agent.ginNOD32 命名：Worm.Win32.AutoRun.Agent.NZMcAfee 命名：W32.Fujacks.ay virus长期赖在TOP10 里的宝马下载器终于不见了，不过，另一款对抗型的木马下载器又进入了我们的排行榜，这就是Win32.fujacks.s.106496（自由插孔下载器）。该毒所对抗的安全软件不如宝马那么全面，目前发现的变种仅仅是针对360 安全卫士及其保险箱。不过，由于具备还原SSDT 表功能，它也能解除一些主防功能比较弱的杀软的武装。该毒一旦成功关闭系统中的安全软件，就会到指定的服务器下载最新版本的下载列表，进行下载。通过对列表中文件的分析，金山毒霸反病毒工程师发现它下载的主要都是网游盗号木马，这也就解释了它之前为何要干掉360 保险箱。该毒主要是利用U 盘进行传播，它会在各磁盘分区中生成AUTO 文件，一旦嗅探到用户使用U 盘等移动存储设备，就传染上去。使用金山清理专家关闭U 盘自动播放功能，可降低感染该毒的几率。10. Win32.trojdownloader.mnless.16384（对抗型下载器）展开描述：对抗安全软件，下载恶意程序症状：杀毒软件自动关闭，系统中出现陌生进程卡巴命名：Trojan-Downloader.Win32.Agent.bqsm, Rootkit.Win32.Agent.fia瑞星命名：Trojan.DL.Win32.Mnless.csgn, RootKit.Win32.Agent.ehynNOD32 命名：Trojan.Win32.Agent.ONG, Worm.Win32.AutoRun.Agent.EU此毒曾在四月份时流行过一段时间，如今又再次现身。而且排名比较有趣，依然是第10名。该毒具有一定程度的对抗能力，在进入系统后会搜索是否有主流安全软件，并尝试将其关闭，随后执行下载命令。在8 月发现的新版本中，它除了进行了新的免杀处理和更换了新的下载列表外，与老版本并无任何差异。十大影响较大的被挂马网站此榜中的网站，均曾在8 月遭到过病毒团伙攻击，并被挂上脚本木马。我们从记录到的挂马网站中，按知名度、访问量人数，以及网站代表性进行综合评估，选出十个，得出此榜。截止本期月报完成时止，它们依然被挂着。其中，远景论坛是广大系统爱好者研究系统的福地。很多win7 泄露版下载都来自此论坛，因此，此次挂马还是影响较多用户。而且，这种针对业内人士的攻击，显得挂马团伙有些猖狂。另外，还有一个需要注意的情况，就是有相当数量的被挂马网站，属于长期挂马状态。也就是说被挂马已经很长时间，却始终未解除，或者虽然解除，却在短时间内再次被挂。比如成飞集团、鑫诺卫星、招商局物业、南开大学商学院、南阳市纪委、琼海市政府网等网站。我们猜测，这应该与这些网站的管理人员监管策略存在漏洞有很大关系。国内疫情地域分布TOP10此排名根据金山毒霸云安全系统监测数据换算得出，所体现的是整个8 月期间，国内遭受恶意程序感染次数最多的前10 个地区。如果某地区遭受攻击电脑数量偏高，通常与该地区电脑拥有量、用户上网习惯、地区门户网站挂马情况，以及黑客所使用工具的扫描或攻击规则等有关。8 月全国疫情分布地图TOP10排名地区被感染数量（台）1 广东2,371,9412 江苏1,578,0653 山东1,465,0914 河南1,179,5425 河北1,166,7616 浙江1,164,8767 四川1,012,8338 上海852,3029 辽宁838,67610 北京731,299九月安全趋势提示根据8 月所观察与收集到的据，金山毒霸反病毒工程师对9 月份的安全形式做出以下估计与提示: U 盘病毒无视微软安全补丁，继续传播8 月25 号，微软发布KB971029 号补丁，关闭了Windows XP，Windows Server 2003，Windows Vista 和Windows Server 2008 中的自动播放功能，希望用于降低U 盘病毒（AutoRun.inf 病毒）给用户构成的威胁。但金山毒霸安全专家认为，这一措施对目前流行的U 盘病毒不会有明显影响，9 月份时，文件夹伪装者系列的U 盘病毒，还会继续蔓延。如果大家曾经阅读过我们在今年早先时候发布的安全月报，一定对文件夹模仿者（win32.troj.fakefoldert.yl.1407388、win32.troj.fakefoldert.yo.1406378）系列有印象。该毒通过替换U 盘及系统盘中的文件夹图标为病毒文件的办法，来强迫用户点击。用户必须点击病毒文件，才能进入真正的文件夹。这样一来，也就成功绕过了系统或安全软件的禁用U盘自动播放功能。这些都说明，在年初时，病毒团伙就已经研究出了绕过禁用自动播放的方法。文件夹模仿者系列在如此长的时间里一直拥有极高的传播量，有力的证明了这项措施的有效性。因此，微软在现在推出KB971029 号补丁，也许对普通的U 盘病毒会有点用，对于早已实施了“技术革新”的新型U 盘病毒所带来的问题，恐怕只能是爱莫能助。用户想要避免遭受该毒带来的损失，还是必须依靠杀毒软件。 来自SNS 社区的flash xss 蠕虫攻击8 月下旬，校内网曝出存在视频播放漏洞，该漏洞可导致用户在查看好友的视频记录时，自动运行一段恶意代码，执行fla