- 目 录 -

三月互联网安全状况综述

一、泛滥的“肉鸡”
　二、网银盗号木马
　　三、挂马攻击依然猖獗

十大病毒排行榜
本月重大漏洞介绍
　十大影响较大的被挂马网站

四月互联网安全趋势提示

　　一、提防木马下载器的再度爆发
　　 二、继续关注网页挂马
　　 三、病毒团伙的挣扎将更加激烈

　泛滥的“肉鸡”

　　 3月份最引人关注的威胁就是肉鸡！
　　 央视315晚会播出关于黑客利用远程木马控制用户电脑盗窃网银等敏感数据的节目后，“肉鸡”这个词就以迅雷不及掩耳之势传遍了全国。
　　 肉鸡并不是病毒，它指的是那些被病毒木马所控制、任由黑客宰割的电脑。神通广大的黑客组织，出于一股见不得光的经济利益链条，借助远程控制木马，任意盗取用户电脑中有价值的数据……

　网银盗号木马

　　 同“肉鸡”一道被关注的关键词是“网银盗号木马”。
　　 对于盗号木马，大家并不陌生，几乎所有网民都有过QQ号被盗、游戏账号被盗的悲惨经历。网银盗号木马出现的频率，远小于网游盗号木马，但它造成为危害却是最大的，甚至有可能令用户倾家荡产。
　　 3月份知名度最多高的网银盗号木马是“顶狐结巴”，这同样缘于央视315晚会的曝光。“顶狐”已被警方粉碎，今后不会再危害网络，而其它的网银木马依旧在伺机作案……

　网页挂马依然猖獗

　　 3月份，网页挂马给互联网带来的安全局势越来越严峻。
　　 除了像上个月那样，频繁攻击各类门户、平台类网站进行挂马外，毒霸的反病毒工程师发现，黑客已摸索出了一系列新的挂马手段：他们利用百度竞价、百度快照、谷歌图片来提高挂马攻击的效率。
　　 用户们最好选择权威厂家的防挂马产品。我们推荐使用金山安全实验室开发的“网盾”，可以毫不夸张的说，这是目前国内能最有效的网页防挂马工具，即便是0day漏洞下的脚本木马都可100%拦截……

　　 此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，如猫癣，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。至于脚本病毒，由于其特殊的攻击方式，我们将单独制作排行。

　　 3月份没有新的高危漏洞。本月被黑客们利用最多的漏洞，为MS09002、MS06014漏洞。金山毒霸预测，在4月份，它们依然会是利用得最多的漏洞。
　　 上个月被担心的adobe reader和adobe flash10漏洞，本月的确出现了较多利用它们的脚本木马，但并不像之前大家所想象中那么严重。
　　 在3月中旬，国内某安全厂商曾发出警报，称利用Conficker漏洞病毒将在4.1出现大规模大爆发，一时间网络中人心惶惶，甚至有该厂家的用户向毒霸求助，咨询到底该如何防范Conficker病毒。
　　 然而时间已经过去，该毒的大爆发在国内外都并未发生。事实上，Conficker病毒是很老的病毒家族，对于这类能在局域网中快速传播的病毒，早在去年10月份时，微软就已经推出了相关漏洞补丁，只要打上补丁，就不会受其影响。目前为止，似乎只有法国海军的内网被该毒大规模入侵过，而它在国内流行的概率更是趋向于0 。
　　 我们猜测，也许宣布这一消息的厂家只是在跟大家开愚人节玩笑。

js.downloader.by.6325 　MS09002漏洞
js.downloader.ef.2682 　MS06014漏洞
js.Iframe.nj.914 　　　 flash漏洞
js.downloader.qc.1719 　MS06014漏洞
js.downloader.so.6504 　MS09002漏洞
js.downloader.me.2682 　flash漏洞
js.downloader.be.1802 　MS06014漏洞
js.downloader.ji.2679 　MS06014漏洞
js.downloader.be.1833 　flash漏洞
js.downloader.is.148 　MS09002漏洞

　　 此榜中的网站，均曾在3月遭到过病毒团伙攻击，并被挂上脚本木马。我们从记录到的挂马网站中，按知名度、访问量人数，以及网站代表性进行综合评估，选出十个，得出此榜。
洛阳市中心血站 　　　　http://www.xuezhan.com/
陕西省延安市公安局 　　http://sgaj.yanan.gov.cn
辽宁互联星空 　　　　　http://ln.vnet.cn
华侨大学 　　　　　　　http://tyxy.hqu.edu.cn/
南开大学 　　　　　　　http://ibs.nankai.edu.cn/marketing/marketingbbs/default.htm
周杰伦中文网 　　　　　http://www.jaycn.com/
小护士护肤品官网 　　　http://www.mininursegarnier.com/index
中国电信辽宁分公司 　　http://www.lntele.com
老舍纪念馆 　　　　　　http://www.bjlsjng.com
NBA在线　　　　　　　　http://www.nbaxianchang.cn/

根据本月所观察与收集到的数据，金山毒霸反病毒工程师对4月份的安全形式做出以下估计与提示：

　　 提防木马下载器的再度爆发
　　 整个3月份，病毒团伙的精力都放在制造网页挂马上，猫癣、死牛等传统的木马下载器几乎停止了更新。但是，随着各厂家对网页挂马的严打，病毒作者是否会进行“战略转移”，重新投入研究更强大的木马下载器呢？
　　 金山毒霸认为这并非不可能，毒霸云安全系统监测到一些奇怪的举动，比如某些脚本下载器的下载列表里，频繁出现一些新下载器的身影，每个版本变种的对抗功能都较上一个变种略有提高，可是它们的挂马范围却明显被故意局限在一些小网站，看上去是不是很像正规软件的公测？
　　 我们认为，这是病毒团伙的一种试验，也许，某种威力更大的下载器即将"横空出世"。

　　 继续关注网页挂马
　　 网页挂马依然会是最受欢迎的木马传播手段。在四月，特别需要注意一些大型的挂马集团在网页下设置的陷阱。从“网盾”的拦截数据推测，黑客（挂马集团）的目标仍会放在学校、政府机构、门户等网站上。他们似乎是派有专人实时嗅探这些网站的漏洞，一旦有机可趁，就立即将木马挂上去。
　　 除了这些传统“猎物”，黑客也开始将魔爪伸向了一些公益组织，比如献血站、慈善基金会、环保组织的网站，将访客们的善良当成他们实施作案的工具，非常可恶。
　　 而为了躲避杀软厂商的跟踪，黑客会更加频繁的更换用于存放病毒的服务器，域名也是变化多端，不过毒霸也会相应的加强对他们的追踪，让这些见不得光的东西无处遁逃。

　　 病毒团伙的挣扎将更加激烈
　　 通过对3月份捕获的病毒进行分析，我们发现，病毒作者开始把对抗重点放在了一些安全辅助软件的身上，这些安全辅助软件有个共同点，就是喜欢宣称自己功能强大，能解决多种安全问题。因此，很多用户误认为它们就是杀毒软件，从而只在电脑里安装了这些软件，而不安装正规的杀毒软件。
　　 经过长时间信息收集，病毒团伙发现了这一现象，这对他们来说是个很好的消息。因为这些安全辅助软件的自保护功能非常弱，可以被轻易中止。即便不关闭，它们实际上也并不能应对相对复杂的对抗型病毒。
　　 而那些技术能力较强，产品功能明确的杀软产品，也被病毒作者盯梢。例如死牛下载器的作者，不惜特意开发和维护一个驱动，专门用来干掉国内的几家知名杀毒软件。这种情况下，如果单靠传统的查杀手段，杀毒软件也会难以应付。因此，杀软厂商必须开发新的查杀措施。金山安全实验室的产品“系统急救箱”和“网盾”就是在这样的情况下诞生的。