四月安全状况简述
恶意域名变化迅速
所谓的恶意域名,就是病毒团伙用于存放恶意程序的服务器的"地址"。如果您曾经阅读过前两期的安全月报,相信您对网页挂马行为和脚本木马已经有所认识,但脚本木马通常只是一个下载器(可以下载大量其他木马的病毒),它必须要下载其它恶意程序,才能给用户电脑造成实质的破坏与损失。而恶意程序,就是存放在那些恶意域名背后的黑客服务器上的。
为避免安全厂商和公安部门顺藤摸瓜,通过跟踪服务器动向来追查他们的行动规律和地理位置,病毒团伙频繁的更换服务器,服务器的域名自然也是随之改变。
根据金山毒霸"云安全"中心的监测,目前国内网络中,每天大约新增10个左右的恶意域名,这些域名可能指向同一个黑客服务器,也可能单独具有一个对应的服务器。而每款木马下载器中所包含的下载列表,两三天就会更新一次,基本上是每出一个木马新变种,病毒团伙都会立即更换恶意域名。
下载器免杀更加频繁,防御手段必须创新
进入4月后,各款恶意程序的更新频率都越来越高。过去我们所接触的一些著名病毒,如机器狗、磁碟机等,可能一周、甚至半个月才出一次变种。而近来被多次曝光的宝马下载器、脚本下载器系列等,更新频率竟然达到一天两次以上。
这种频繁的更新与过去那种缓慢更新有着很大的区别。在过去,病毒很长时间才更新一次,每次更新,都会添加一些新的功能,也许是对抗能力更强,也许是可执行的破坏行为更多。但现在这些每天更新的病毒,它们仅仅是做了免杀而已。
所谓免杀,简单的说就是改变病毒的某些特征,让杀毒软件无法识别,这种方法虽然简单,但对付常规的杀毒软件却非常有效,因为杀毒软件的升级具有延时性,并且由于体积庞大,不可能像病毒那样随意更新。
这样一来,杀毒软件既无法及时防御病毒,又增加了软件出错的风险,部分杀毒软件几乎是疲于奔命,最后遭殃的仍是用户。传统的杀毒措施已经无法对电脑进行有效防护,必须要有新的防护手段,在这种情况下,金山互联网安全实验室(http://labs.duba.net/)应运而生,相续开发出"网盾"、"系统急救箱"等深受用户欢迎的实验型安全工具。而其他安全厂商也相继推出了自己的新理念。
IE首页修改病毒增多
在过去的几个月里,我们从木马下载器的下载列表中查获的恶意程序,盗号木马占主要构成。而在四月,我们发现广告类木马出现了明显增长。
这些新增的广告木马与传统的广告木马有所不同,它们并非靠添加流氓插件来实现弹广告。而是利用恶意驱动来修改用户电脑中有关IE默认首页的文件,使得用户在启动IE时被强行指引到病毒作者指定的网站,为这些网站做推广和刷流量。
由于是利用驱动彻底改变了系统数据,普通的修复手段无法有效修复这种破坏,用户只有能两个选择:忍受广告或重装系统。金山毒霸对此所推出的方案,是利用"系统急救箱"进行暴力修复,在运行该工具时,电脑会蓝屏,但重启之后,一切就可恢复正常。
四月安全相关数据
新增病毒样本数:1,773,891个
病毒感染机器数:20,083,015台次
新增漏洞:29个,均为微软漏洞。
挂马网址:116,577个