导言
气温继续降低,病毒团伙的动作也有了新的变化。为了“储备冬粮”,他们的工作劲头更大了。在挂马方面,虽然挂马网址数量持续
减少,但是病毒团伙在对挂马的网站选择上,更加精确,每个被挂马的网站都拥有很高的流量,以便尽可能多的进攻来访电脑。
而捆绑式传播,已经在病毒传播渠道中处于绝对的“垄断地位”,病毒团伙甚至对正规下载网站发动攻击,为的只是能用染过毒的程
序替换网站中的正常程序。感染量最高的前五位病毒,无一例外的是采取捆绑传播的方式,并且都有一个特点,就是它们都是以修改IE首
页为目标的广告木马。或许这样的情况将在整个冬天一直持续。
—— 金山毒霸 反病毒工程师 
报告全文下载
本月安全提示
安全报告全文:11-12月安全状况综述 十大病毒排行 十大影响较大被挂马网站 12-01月安全状况提示
● 挂马传播继续走低,木马团伙进一步实施“战略转移”
11月份的挂马网址数量又开始了比较明显的下跌,已经回落至7月份0day漏洞大爆发之前的水平。看来病毒团伙在10月时曾经坚守的“战场”,又丢失了不少。金山毒霸安全专家分析认为,随着法制加强和安全产品的不断改进,挂马传播的渠道将会越来越多的被病毒伙放弃。
但这并不意味着病毒传播的数量就会减少,随着病毒木马团伙对捆绑型传播技术的开发、对搜索引擎排名规律的研究,以及由手机WAP网站转移至互联网络的不良网站的增加,捆绑+欺骗下载的病毒传播方式将得到更多利用。11月流行病毒TOP10中,排名前五的均为捆绑型木马,或许就是对这种情况的一个旁证。
● IE再爆0day漏洞,各网络安全机构相继发布安全警告
11月23日,IE再爆0day漏洞,并且依然针对目前用户占有量非常高的IE7浏览器。黑客如果将含有“漏洞利用程序的网页”置于网站上,浏览过含有“漏洞利用 程序的网页”的用户电脑将遭遇木马攻击。
根据包括微软在内的多家安全机构发布的通告,在XHTML1.0标准下,使用特殊构造的CSS样式,在Internet Explorer 7.0和6.0中,打开经过挂马团伙精心构造的网页后,IE浏览器就会发生内存崩溃,并执行任意命令。
[解决方案]
金山毒霸将向所有计算机用户发放免费的金山网盾,帮助用户防御基于该IE 0day漏洞的挂马攻击。用户只需安装最新版本的金山网盾,即可获得保护。
免费下载使用【金山网盾】(金山毒霸用户已自动升级本模块 无需单独下载)
● 黑客扩大攻势,正规下载网站频遭攻击,被植入隐蔽型病毒
压缩文件管理软件WinRAR是可以说是普通电脑用户装机必备软件,但是树大招风,黑客们也开始琢磨怎么利用这个WinRAR安装量大的特点来牟利。在11月中旬 时,金山毒霸云安全系统监测发现,国内一些著名下载站点提供的WinRAR安装包下载链接中,超过半数是被感染过的带毒安装包,被安装时会悄悄执行恶意代码下载 木马。通过对这些网站的进一步分析,金山毒霸反病毒工程师发现,这是黑客对该网站发动攻击的结果。
而且非常值得注意的是,此类病毒告别了传统感染型病毒相对粗放的全盘感染方式,只感染WinRAR软件安装目录下的主程序文件WinRAR.exe。每当中毒用户打 开一个压缩包或者打包压缩文件时都会调用这个WinRAR.exe文件,这时候除了执行正常的软件功能外,病毒代码也在后台悄悄的苏醒。
十大病毒排行榜
十大影响较大的被挂马网站
此榜中的网站,均曾在11月遭到过病毒团伙攻击,并被挂上脚本木马。我们从记录到的挂马网站中,按知名度、访问量人数以及网站代表性进行综合评估,选出十个,得出此榜。其中一些网站的挂马,截止本期月报截稿时尚未清除。
 |
东南大学 |
 |
甘肃人事编制信息网 |
 |
广州日报求职广场 |
 |
湖南省新闻出版署 |
 |
中华预防医学会 |
 |
中国核工业第二四建设公司 |
 |
中央民族大学生命与环境科学院 |
 |
中国乳制品工业 |
 |
百度搜藏 |
 |
鼎盛军事 |
● 病毒数量恐于年底大幅增涨
从9月份后,病毒样本的数量就不断增加。从我们往期的安全月报中可以看出,执法部门的持续打击和挂马市场的 不景气,使得脚本木马与传统盗号木马的数量相对减少,但似乎丝毫没有影响到病毒样本总数的增加。
金山毒霸安全专家认为,这其实是病毒团伙“负隅顽抗”的表现之一,正是由于市场不景气,他们才开足马力制造更多的病毒,试图依靠数量上的优势来挽回“损失”。
对此,金山毒霸自10月份时开始,就已对云安全体系做了相关的升级,利用更加智能的监控模式深入挖掘那些隐藏的传播渠道,拦截病毒样本。按照目前观察到得病毒传播趋势,预计从12月开始,直到春节前,病毒样本数量会继续保持增长势头。但我们相信,随着各安全厂商相继推出新的防御技术,病毒在数量上的优势会被充分抵消。病毒市场只会越来越惨淡。
● 广告木马进一步泛滥
在本月流行病毒TOP10中,排名前5的全部都是具有流氓性质的广告木马。它们所采用的运行技术和躲避杀软的策略有所不同,但行为都是完全一致的,就是在进入用户系统后,修改IE浏览器的默认首页为病毒作者指定的广告页面,同时在桌面上生成大量广告页面的快捷方式。金山毒霸安全专家观察它们的增长数据后判断,12月份此类木马在病毒中所占得比重,可能会继续增加。
广告木马在今年4月份开始,就逐渐替代脚本挂马,成为互联网安全问题中最为活跃的一个类型。随着时间的推移,目前它们已经完全成为主流病毒。而不良网站与非法下载站点,也成为病毒团伙最爱的传播地点,通过将木马与各类热门视频、程序捆绑,可以轻松攻陷用户系统。并且,由于中毒的原因不怎么光彩,相当部分的用户即便知道自己是如何中毒的,也不好意思报警或向杀软厂商求助,只能吃哑巴亏。这也是木马们在这类传播渠道“过得不错”的一个重要因素。
● 来自不良网站的威胁可能增加
在12月份,有着浏览不良网站习惯的用户,需要额外小心。由于有关执法部门加大了对不良WAP网站的打击力度,可能有相当数量的手机网站站长会转战互联 网。金山毒霸网盾研究小组的安全专家认为,这可能会使安全形势已经很严峻的互联网充满更多的威胁。
随着近期国家相关部门对手机上的不良WAP网站的打击,不良WAP网站的站长纷纷关闭站点、落荒而逃。但金山毒霸网盾小组的安全专家分析后认为,这些站长 不会轻易放弃已经驾轻就熟的盈利手段,由于设备、技术的共通性,他们中的相当部分很可能转战互联网,继续做搭建不良网站的勾当。
而互联网上的不良网站的收入来源,与手机WAP网相比,除了也存在诈骗广告外,还多了一个病毒传播。因此,互联网中不良网站的数量在短期内很有可能增 加,并进而拉高病毒的传播量。
金山毒霸将为用户们提供免费的金山网盾,它可准确警告包含诈骗钓鱼、网页挂马等恶意内容的网页,同时对搜索结果中包含不良信息的网站进行提示,充分 保障用户的上网浏览安全。而一旦无法从用户身上获取暴利,不良网站的数量也将大幅减少,这对净化网络环境有着非常积极的作用。
