二月安全状况简述
赚足眼球的"猫癣"
一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼"猫癣"还是"?牛",被电脑用户们牢牢记住的都是名为usp10.dll的这个文件。
毒霸推出的"系统急救箱"在解决"猫癣"时发挥了很大的作用,好评不断,但在搜捕"猫癣"的过程中,金山毒霸反病毒工程师对病毒黑色产业链内幕的挖掘更加深入,这些内幕让人十分震惊。
表面上看,猫癣是一个肆虐网络的病毒,实际在,在它身后涌动着的是巨大的非法利益链条。病毒团伙的组织结构,已经与正规的软件厂商十分接近,生产、推广、销售、客服环节一应俱全,甚至他们也有"企业文化"和"项目管理"。
反病毒厂商与病毒团伙之间的较量,仍有一个"持久战"的过程要走。也许,不久就会有又一只"猫癣"出现。
亡羊补牢,漏洞依然
猫癣带来的恐慌尚未平息,高危漏洞又频频爆出,自ms09-002 漏洞的利用代码出现测试页面以后,在短短半个月内,几乎全部取代了先前的IEXML(ms08-78)漏洞。
月末出现pdf 0day安全漏洞,则影响了adobe reader所有发行版本,这对经常使用adobe reader的用户来说可不是个好消息。adobe 的另一款产品adobe flash10也被发现漏洞,虽然目前还没有出现漏洞利用代码,但这种不知何时爆炸的定时炸弹同样也带来不小恐慌。
金山毒霸反病毒专家推荐用户使用金山系统清理专家等工具,打上所有能打的漏洞补丁吧,不要像法国海军那样"倒霉"。
无休止的网页挂马
漏洞频出所带来的直接后果,就是网站挂马越发猖獗。
2月11日,有网友举报,称中国公务员考试网(http://www.gjgwy.org)被植入木马。毒霸反病毒工程师对其进行检查后,发现被植入的正是臭名昭著的"猫癣"新变种,该变种会利用IE70day漏洞、微软access漏洞、新浪uc漏洞、realplay漏洞等多种系统和第三方软件的安全漏洞。
很多用户都存在这样的误区,只有非法小网站才会被"挂马",只要自己不去那些乱七八糟的网站,就一定是安全的。但现在,黑客已经将手伸向了那些合法的大中型网站,尤其是平台、门户类容易聚集人气的网站,甚至连政府、媒体的网站,他们都敢去动歪脑筋。
金山毒霸反病毒工程师根据愈来愈烈的网络挂马,开发出一款拦截未知挂马的免费工具"网盾",依靠网盾在用户客户端拦截挂马攻击的统计,得到了非常惊人的数据。在不到10天的时间里,测试安装量不到一万台的网盾,竟然报告了至少140个国内合法网站被挂马,并且其中有不少还是每日浏览量数十万的著名网站!如果要算上那些未曾登记注册的非法网站或境外网站,那挂马网站的数量将更大,至少翻10倍!
烦人的盗号木马
病毒团伙辛辛苦苦进行挂马是为了什么?当然是推广盗号木马了。
当挂马攻击成功后,这些挂马就会亲自下载盗号木马,或者先下载一个普通的PE下载器,再由它去下载盗号木马。在2月份所捕获的各种木马下载器的下载列表中,数量最大的要数HB乐意木马,这个木马家族非常庞大,几乎任何你所听说过的网游,它们都不放过,巴不得把用户电脑中的游戏帐号偷得一干二净。
不过,也有个别下载器不干这种偷鸡摸狗的事,它们下载的是广告木马,一个劲的往你屏幕上弹广告,或者把你强行指引到某些网站中,为它们刷流量。
二月安全相关数据
增病毒样本数:3563762
新增漏洞:20个,其中微软漏洞18个,Adobe Reader漏洞1个,Adobe flash player漏洞1个。
被恶意挂马网址:115338个
十大病毒排行榜
此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,如猫癣,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。至于脚本病毒,由于其特殊的攻击方式,我们将单独制作排行。
1. win32.troj.sysjunkt.hh (NS窥视器)
病毒特征:加花加密,协助远程木马对抗杀软
卡巴命名:Trojan.Win32.BHO.kqd
瑞星命名:RootKit.Win32.Undef.bks
N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus
麦咖啡命名:DNSChanger.gen trojan
BitDefender命名:Trojan.Obfuscated.KU
自本月4号开始爆发后,"NS窥视器"(win32.troj.sysjunkt.hh)的感染量就一直居高不下。2月份的总感染量,高达1542180台次,现在,除最早发现的利用网页挂马和捆绑其它程序的办法外,该病毒部分变种的身影也出现在了一些下载器的下载列表中。
此毒为一款远程木马的组成部分。它的真身是个经过加花的木马驱动。
受到"NS窥视器"入侵的电脑,会在临时目录中出现一个nsy8199.tmp文件,文件开头两个字母为NS,这是它的一个典型标志。
一旦进入用户电脑,它就修改注册表服务项,将自己从属的木马冒充成系统进程,或采用随机命名的进程名,实现开机自启动。它在后台悄悄调用IE浏览器,连接到病毒作者指定的黑客服务器,只要完成连接,用户的电脑就会被黑客彻底控制。至于具体利用受害电脑来干什么,就由黑客决定。
2.win32.vbt.hl.84701 (无公害感染源)
病毒特征:感染文件,帮助木马传播
卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.a
N0D32命名:virus.Win32.Sality.NAC
麦咖啡命名:PWS-LegMir trojan
BitDefender命名:Trojan.PWS.OnlineGames.WJP
"无公害感染源"(win32.vbt.hl.84701)这个老牌病毒的保守感染量在2月份又有了大幅的上升,达到近87万台次。
"无公害感染源"本身没有任何破坏能力,它只是单纯的感染用户电脑中的EXE文件,也不会干扰被感染文件的正常运行。但较以前的版本而言,代码中增加了一些用于与其它模块相连接的接口。看来,病毒作者已经完成了测试,开始将该病毒投入实战。
尽管在感染文件后,病毒依然不会直接破坏系统,却能与别的木马模块相配合了。至于它们"合体"后会有哪些危害,则要看木马执行模块的功能如何安排,不同的变种可能具有不同的功能。
3.win32.troj.iagent.ie.1118208 (伪装搜索者)
病毒特征:非法记录用户上网数据,弹出广告
卡巴命名:not-a-virus.AdWare.Win32.WSearch.
瑞星命名:AdWare.Win32.Agent.ctw
N0D32命名:Win32.Adware.WSearch
BitDefender命名:Adware.Generic.52164
"伪装搜索者"(win32.troj.iagent.ie.1118208)这个木马本身不具备破坏能力,在用户电脑中只是干些偷偷记录上网记录的勾当。在金山毒霸云安全系统的统计,上月该病毒保守感染量为74万台电脑。
这个木马的母体,主要是借助下载器的帮助或着是伪装成某些绿色小软件欺骗用户下载,进入电脑后,母体就解压自己,释放出"伪装搜索者"和其它模块。这些模块的功能五花八门,有的能执行洪水攻击,有的能连接远程黑客服务器,还有些只能发信。
而"伪装搜索者"(win32.troj.iagent.ie.1118208)这一模块,则是记录用户访问过的网址,将它们与自带的地址列表比对后,发送给通讯模块,由通讯模块将这些数据发送出去。这样的行为,应该是在为广告软件服务,目的是了解用户的上网习惯,以便制作精确的广告投放。
4.win32.troj.onlinegamet.fd.295241 (网游盗号木马295241)
病毒特征:疯狂盗窃网游帐号,侵吞玩家虚拟财产
卡巴命名:Worm.Win32.Downloader.zd
瑞星命名:Trojan.PSW.Win32.GameOL.udx
N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM
BitDefender命名:Trojan.Generic.1393932
"网游盗号木马295241"(win32.troj.onlinegamet.fd.295241),这是一个网游盗号木马。根据变种的不同,它可盗窃多款网游的帐号和密码。该病毒最早出现于去年9月上旬,这次以新变种的身份再次作乱。目前发现的主要传播方式时借助木马下载器的帮助。
这个盗号木马新变种的对抗能力其实并不强,与去年9月时的版本相比,几乎就没有技术上的变化,只不过调整了几个盗窃目标的参数,以便能盗窃更多游戏而已。
但由于借助了一些比较流行的下载器的帮助(比如猫癣等),它近来的感染量有所增加,保守感染量为722300台次。
5.win32.troj.pebinder.vi.425984 (木马下载器425984)
病毒特征:下载病毒木马,窃取机密数据
卡巴命名:Trojan.Win32.Zapchast.ro
瑞星命名:Dropper.Win32.Undef.oz
N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OUG
BitDefender命名:Dropped:Generic.Malware.P!BTk.8DEE9164
"木马下载器425984"(win32.troj.pebinder.vi.425984)是一个木马下载器程序,它能下载大量的盗号木马和远程控制木马到用户电脑中运行,这些木马能盗窃用户电脑中有价值的信息,甚至控制用户电脑去做黑客所希望的事情。
"木马下载器425984"母体的对抗能力并不强,必须借助专门的对抗模块来对付杀毒软件。目前主要依靠JS脚本木马来进行传播,当用户电脑中了某些JS挂马后,这些挂马就会下载此病毒,然后由它来执行更复杂的下载任务。
2月,此病毒的感染成绩为635784台次,这个数字不小,值得重视。而防御"木马下载器425984"最好的办法就是打齐系统补丁。
6.Win32.Troj.QQPswT.bs.116858 (QQ小偷)
病毒特征:盗窃QQ帐号,洗劫用户Q币
卡巴命名:Trojan-PSW.Win32.QQPass.fqt
瑞星命名:rojan.PSW.Win32.QQPass.dzm
N0D32命名:Trojan.Win32.PSW.Delf.NLZ
BitDefender命名:Generic.PWStealer.B2169547
随着近来一些系统安全漏洞的公布,JS脚本木马在网络中大肆挂马,很多老牌病毒借着这股"东风",又出来兴风作浪、为害网络。"QQ小偷"就是其中之一。
这是一款针对QQ即时聊天工具的盗号木马,在之前版本中,它是依靠AUTO及时来进行自动传播的。它每进入一台电脑,就在各磁盘分区中生成自己的AUTO文件,一旦用户在中毒电脑上使用U盘等移动存储设备,这些AUTO文件就会立刻将其感染。这样一来,该病毒就能随着U盘到处传播了。
目前受"QQ小偷"威胁最大的,主要是网吧等公共电脑。因为这些电脑的U盘使用率较高,U盘来源也复杂,并且每次电脑重启后都会删除之前下载的文件,以保护系统的清洁。但实际上,这样也会将补丁也一同删除,使得电脑极易遭受那些包含有该病毒下载链接的挂马的攻击。
7.win32.hack.thinlpackert.a.378833 (会飞的乌龟壳378833)
病毒特征:保护病毒木马,躲避杀软查杀
卡巴命名:trojan-Download.Win32.Banload.
瑞星命名:Packer.Win32.Agent.r
N0D32命名:Trojan.Win32.Spy.Banker.ADOZ
麦咖啡命名:PWS-Banker trojan
BitDefender命名:Trojan.AgenMB.
自2月8号发出相关预警后,"会飞的乌龟壳378833"果然出现大幅度的传播趋势。这个"壳"的当月保守感染量达到39万余台次。
这个病毒是一个比较老的"壳",早在去年11月份就已出现。它能够对其它病毒进行加密,保护它们不受安全软件的查杀。病毒"壳"本身没有任何破坏能力,但它可以包裹其它病毒文件,试图让安全软件无法识别出这些病毒。当进入用户系统后,它会先获得控制权,得以运行,然后释放出体内的病毒。这些病毒才是带来真正麻烦的罪犯。
给软件加壳,在正常软件中也很常见,这可用于程序的自保护。但有些加密极为复杂、且充斥大量垃圾信息的"壳",明显是专为对抗安全软件而设计,"会飞的乌龟壳378833"就是此类。金山毒霸反病毒工程师认为,这很可能代表病毒作者正试图借助它来推广另外的某些病毒。
8.win32.troj.sysjunk2.ak.32768 (木马驱动器32768)
病毒特征:修改系统数据,保证木马顺利运行
就和普通制造业的模块化一样,病毒制作也在走向模块化。病毒作者不必亲自写完所有代码,而只需要挑选自己喜欢的模块相组合,就能得到想要的病毒。"木马驱动器32768"就是一个这样的模块。
这个驱动文件,加密加花比较强。主要用于恢复系统SSDT表,以及获取系统权限,还可以破坏一些常见安全软件的驱动。这些行为直接决定了木马是否可以成功入侵,难怪病毒作者如此费心的对其进行加密,并且还放上许多花指令试图干扰反病毒工作者的分析。
根据金山毒霸云安全系统的统计,"木马驱动器32768"整个2月份在国内网络中,至少尝试攻击了380500台次的电脑,但与它同时入侵的其它木马模块,却又各有不同,也就是说,有多款木马都利用了此模块。看来,这款产品还真受广大病毒作者的欢迎。
9.win32.troj.agent.49242 (摘星者下载器)
病毒特征:对抗杀软,下载网游盗号木马
这个木马早在2007年就曾流行过一次,因为能关闭瑞星的安全提示窗口,被命名为"摘星者"。在销声匿迹一年半后,它又出现了,而且感染量增长迅猛,保守感染值从2月初的不到800台次骤然飙升至月底的37万台次。这次发现的变种,对抗范围大大增加,包含了目前业内大部分的安全软件。
该病毒自带有一个庞大的字符库,内容为各安全软件的提示窗口字符和编码。"摘星者"利用它来搜索系统中是否有安全软件的提示窗口弹出,一经发现,便抢在它们显示出来前,将它们关闭,阻止用户获知系统中的异常。
随后的行为,就与其它下载器一样,下载列表中几乎都是网游盗号木马,这是也算是国内木马下载器的一个特色了。
10.win32.troj.iagent.ie.1114624 (玩家广告机)
病毒特征:弹出广告窗口,浪费网络流量
卡巴命名:not-a-virus.AdWare.Win32.WSearch.ks
瑞星命名:AdWare.Win32.Undef.eme
N0D32命名:Win32.Adware.WSearch
BitDefender命名:Application.Generic.30657
通常来说,广告软件带给用户的损失并不大,它们不盗取帐号、不破坏系统,只是不时弹几个广告窗口或将IE首页改成广告网站,让人觉得心烦。不过,"玩家广告机"这个广告程序,它带来的麻烦就比较大。
2月"玩家广告机"达到近25万台次的保守感染量。虽然"玩家广告机"进入系统后干的活与其它广告软件无异,但病毒在用户正启动某些大型程序时弹出窗口,就会导致系统由于资源紧张而死机。设想一下,如果你正在使用PS软件或做大型报表,突然死机了,该怎么办?
"玩家广告机"目前的版本无法自动传播,必须借助下载器的帮助。另外,病毒团伙有时候也会将这类广告软件伪装成某些软件的启动图标,捆绑与程序中,欺骗用户下载和点击。
二月重大漏洞介绍
2月份的高危漏洞很明显属于MS09002。在传播量最大的10个脚本木马中,就有5个是主要借助这一漏洞进行传播的。金山毒霸预测,在3月份,它也依然会是利用得最多的漏洞。
至于adobe reader和adobe flash10最新爆出的漏洞,因为是临近月底才开始流行,目前为止利用它们的脚本木马并不多。不过,它们很可能成为3月份最流行的漏洞。
十大脚本木马及其利用漏洞
js.downloader.iv.2101 MS09002漏洞
js.downloader.a.1868 MS09002漏洞
js.downloader.a.4631 MS09002漏洞
js.downloader.gm.2690 MS06014漏洞
js.downloader.xu.1320 MS06014漏洞
js.downloader.pz.2677 MS06014漏洞
vbs.downloader.tq.2694 MS09002漏洞
js.downloader.dl.1831 flash漏洞
js.downloader.zk.1830 flash漏洞
js.ms09002ax.vw.5276 MS09002漏洞
十大影响较大的被挂马网站
此榜中的网站,均曾在2月遭到过病毒团伙攻击,并被挂上脚本木马。我们从记录到的挂马网站中,按知名度、访问量人数,以及网站代表性进行综合评估,选出十个,得出此榜。
百事可乐北京站 http://www.bjpepsi.com.cn/
中国语文网 http://www.cnyww.com
国家公务员考试网 http://www.gjgwy.org/
瑞丽女性网 http://www.rayli.com.cn
华南师范大学 http://eitc.scnu.edu.cn/application/index.htm
铁道网 http://www.railcn.net/news/railway-express/83135.html
北京大学中国公益彩票事业研究所 http://ccls.pku.edu.cn
开封信息港 http://kf.shangdu.com/news/moshou/?35143
安徽财经大学 http://www1.aufe.edu.cn/zsjy/index.asp
天空游戏网 http://download.tkgame.com/down/tkbd/2006-07-07/69.html
三月安全趋势提示
根据2月所观察与收集到的数据,金山毒霸反病毒工程师对3月份的安全形式做出以下估计与提示:
提防微软高危漏洞MS09-002通过网站挂马传播
根据金山毒霸反病毒工程师们的监测,病毒团伙已经开始从各被挂马网站的撤下利用MS08-78漏洞的脚本木马,转而挂上针对MS09-002漏洞的脚本木马。通过云安全系统所捕获的普通病毒中,也已经出现了可利用MS09-002漏洞在局域网中发动攻击的木马下载器。
金山毒霸反病毒工程师相信,在3月份,MS09-002漏洞会是病毒团伙借以谋取暴利的主要工具。
关注网游、网银账号安全
通过对近期的大量下载器样本进行分析,金山毒霸反病毒工程师发现,无论是脚本下载器还是普通的PE下载器,绝大部分下载器所下载的都是盗号木马,它们的目标是用户电脑中的各种网络游戏和即时聊天工具,个别特别嚣张胆大的下载器,甚至还会下载针对网银的盗号木马。
事实上,关注网游、网银帐号的安全,已经是老生常谈。作为包含巨大经济利益的物品,它们永远都是不法分子眼中的"唐僧肉"。
关注移动设备安全
在2月下旬,金山毒霸反病毒工程师发现,Autorun类U盘病毒有抬头的趋势,一些U盘老毒出现具备对抗能力的新变种,而新诞生的U盘病毒在绕开杀软监控方面也是下足功夫。
因此,在3月份,网吧、企业等局域网用户须做好相应的防御,比如关闭U盘等移动设备的自动播放功能,避免病毒在局域网扩散。
同时,即便局域网中的已经电脑安装有还原卡,我们也仍然建议网管抽出点时间,为你们的电脑及时安装漏洞补丁。AV终结者、磁碟机、机器狗等无数的猛毒已经证明,还原卡并不是保护系统安全的有效措施,唯有按时打齐漏洞补丁,才能将来自网络的威胁降至最低。
病毒团伙会因为相关法律的加强而金盆洗手吗?
从2月份统计到的网页挂马数据来看,病毒团伙开始频繁更新下载器所指向的服务器域名和服务器IP,跟杀毒厂商和执法部门玩起"躲猫猫"。而就在2月28日,《中华人民共和国刑法修正案(七)》已由中华人民共和国第十一届全国人民代表大会常务委员会第七次会议审议通过,并于3月1日起施行。
新法对盗号和抓肉鸡等行为都做出了明确的定义,并说明了具体的惩罚措施,这代表这国家对计算机违法事件的监管越来越强,病毒团伙是继续顶风作案,还是会金盆洗手呢?也许我们需要再观察一个月,请大家拭目以待。