六月盛夏,年已过半。经历了3月的网银危机,4月挂马网站增长及第三方漏洞爆发,随着刑法新条例的进一步实施,5-6月互联网安全将会出现怎样的变化?
高考查询网站成热点被挂马集团利用,U盘病毒以全新模式进行传播,微软爆发DirectShow漏洞,作为普通用户 如何巧妙应对?《中国互联网月度安全报告》为您提出实用建议。[报告全文下载]
·下载 [金山毒霸2009] 防御本月最新病毒 ·下载 [金山清理专家] 抵御木马攻击永久
本月安全提示
刑法新条例第一起公诉
[焦点访谈]“大小姐”落网记(09.06.09)
您的电脑受到威胁了吗?
安全报告全文:
热点导读
五月安全状况综述
·网马挂马数量明显减小,但是威胁并未降低
为金山毒霸云安全系统在整个五月份所监测到的挂马网址数量,较四月份时大幅减少,如果将3月份的数据一同回顾,可以发现降幅十分明显。
3月至5月的挂马拦截量分别为 272,221 → 116,577 → 95,161
网页挂马挂马的数量降低,很大程度上与刑法新条例的进一步实施有联系,由于明确了挂马攻击属于违法行为,大部分的挂马集团投鼠忌器,再不像过去那么猖狂的进行挂马攻击。
不过,仍有少数挂马集团依靠频繁更换挂马服务器的办法来试图对抗网警以及安全软件厂商的追踪。有些甚至不使用自己的服务器,而是先攻击一些安全等级弱的网站,将木马文件藏在这些网站的服务器中,然后再去对其它网站进行挂马攻击。这样,当用户遭遇挂马时,脚本木马就会到之前被攻陷的网站去下载木马,实现“嫁祸”。
此外,由于临近高考,各高校、招生类网站的浏览量都大量增加,这对挂马集团来说是难以抵挡的诱惑,这意味着他们能对更多的用户发起攻击。因此,部分挂马集团铤而走险,继续攻击上述网站,使得用户仍然面临威胁。
·文件夹病毒出现变种,利用U盘继续扩大感染范围
五月感染量最大的病毒是一款借助U盘传播的文件夹病毒,在四月时它就已经是感染量排行上的首位。进入五月,借助变种的协助,该毒的感染量得到进一步扩大。这印证了我们之前做出的预测,就是由于对挂马传播的打击力度不断加大,传统的传播得以“复苏”。
而由于该文件夹病毒“绑架”了U盘和系统中的文件夹图标,造成用户必须点击它,才能进入原来的文件夹,这也就绕过了用户对U盘自启动的封锁。这些都充分展现了病毒团伙在面临巨大非法利益时所展现出的“才智”。同时也再次提醒安全界的人士们,面对病毒传播方式的变化,必须思考更有效、更灵活的解决方案,
·病毒团伙全面进入“互助模式”,共享用户资源应对“经济危机”
毒霸安全专家在宝马下载器的下载列表中,发现了其它一些下载器的身影,而这些下载器又会反过来下载宝马。这种互相下载的行为被称为“互助模式”。
事实上,下载器之间互相帮助并不是新鲜事,早在几年前,我们就已经发现这种情况,并且也发出过预警。
可是,最近出现的“互助模式”比以往的更为复杂。通过对多款木马下载器的分析,我们发现它们之间的关联关系比较复杂。比如宝马下载器都会下载某款广告木马,此木马同时也具备下载器的功能,会下载更多同样具备下载功能的后门程序、广告插件和盗号器。而这些恶意程序的下载名单中,又包含了宝马的下载地址。
于是,一旦用户在某个环节不注意染到一个木马,就会很快有更多的木马进入系统,病毒木马们各取所需,疯狂洗劫用户电脑中有价值的数据,弹出各种令人厌烦的广告窗口。木马们的“互助”从未像现在这样密切过。毒霸安全专家认为,这一系列现象,其实暴露出的是病毒团伙的“生意”越来越难做,伴随着相关法制的健全和安全技术的进步,病毒团伙尚未寻找到有效的对抗手段,生存的压力越来越大,俨然进入了“经济危机”,不得不互助过冬。
十大病毒排行榜
此榜是根据金山毒霸云安全系统的监测统计、计算后得出的参考数据,反映感染总量最高的病毒。考虑到潜在数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,因变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。
| 排名 | 病毒名 | 金山毒霸 中文病毒名 |
感染量 (单位:台次) |
| 1 | win32.troj.fakefoldert.yl.1407388 | 文件夹模仿者 | 7647040 |
| 2 | win32.troj.fakefoldert.yo.1406378 | 文件夹模仿者变种 | 6027270 |
| 3 | win32.troj.killav.121352 | 宝马下载器变种 | 4842610 |
| 4 | win32.troj.sysjunk2.ak.196608 | 干扰弹AK | 3524210 |
| 5 | win32.troj.cfgt.ex.38507 | CFG网游盗号器变种 | 2929290 |
| 6 | win32.troj.fuckcryptt.d.114176 | 流氓外壳D | 2745140 |
| 7 | win32.trojdownloader.bmwat.ex.117184 | 宝马下载器变种 | 2525860 |
| 8 | win32.vbt.hl.84701 | 无公害污染源 | 2195360 |
| 9 | win32.troj.addownload.ef.26184 | 非法插件安装器 | 2193380 |
| 10 | win32.trojdownloader.agent.175694 | 伪装下载器捆绑包 | 2188170 |
十大影响较大的被挂马网站
5月记录到的挂马网站中,我们按知名度、访问量人数,以及网站代表性进行综合评估得出此榜。 截止本期月报完成时止,一些网站的挂马已经解除,而有一些仍然被挂着。
其中值得一提的是,中华人民共和国水利部网站是目前为止我们所发现的遭受挂马攻击的最高级别行政单位网站;而上海美术电影制片厂的网站则是在四月时就曾遭受过挂马攻击,五月又再次遭受袭击。
中华人民共和国水利部
中国人民大学
北京大学
北京外国语大学
土猫论坛
鼎盛军事
上海美术电影制片厂
中国地质大学
贵阳市质量技术监督局
陕西新闻出版网
北京林业大学党委
重大漏洞介绍
如果不是因为DirectShow,5月基本可以算得上是一个很平静的初夏。
5月28日,微软公布其操作系统中存在一个DirectShow漏洞,所谓DirectShow,是微软公司在ActiveMovie和Video for Windows的基础上推出的一种基于COM的流媒体处理的开发包,与DirectX开发包一起发布。
这个漏洞,使得电脑在播放某些经过特殊构造(简单的说就是嵌入了恶意代码)的QuickTime媒体文件时,可能导致远程任意代码执行,令用户电脑变为“肉鸡”。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003易受攻击,而Windows Vista和Windows Server 2008的所有版本则相对不容易受影响。
在公布此漏洞后,微软放出了补丁和可供第三方安全厂商参考的临时解决方案,金山毒霸已经在第一时间为使用毒霸的用户做了微软官方补丁升级,因此,毒霸用户可以不必担心此漏洞的威胁。
对于非毒霸用户,我们推荐使用金山安全实验室的网页防挂马工具“网盾”,此工具可对潜在的漏洞建立拦截,阻止恶意脚本通过网页挂马进入电脑,目前网盾拥有数十万名测试用户,在大家的共同努力下,它目前可100%拦截包括DirectShow漏洞利用代码在内的任何挂马入侵。
六月安全状况提示
·继续警惕恶意网页挂马
虽然网页挂马存在下降的趋势,但由于这种传播手段历史悠久、感染成功率高,病毒团伙绝不会甘心就这样放弃。随着高考临近,教育相关网站的浏览量激增,这对病毒团伙来说是很大的诱惑,他们很有可能顶风作案。
金山毒霸所推荐的解决方案,是安装金山安全实验室的“网盾”,对潜在的网页挂马进行彻底拦截。“网盾”由数十万名用户参与测试,拦截技术不断提高和完善,对利用0day漏洞的恶意脚本也可100%拦截。
·谨慎下载非法外挂和黑客工具
利用捆绑或感染其它程序进行传播的病毒,很可能会继续保持较高的传播态势。在五月份十大病毒中,有三款具有捆绑传播功能。毒霸安全专家认为,像这类传统传播方式,在6月份很有可能会受到病毒团伙更大的重视。
而网游外挂和黑客工具则是病毒团伙首选的捆绑对象。
前者的用户群体针对性较强,基本都是网游玩家,可以方便病毒团伙精确定位盗窃对象,当你下载了一款WOW外挂时,它里面很有可能就捆绑了一个针对WOW的盗号木马。至于后者,由于相当部分下载黑客工具的人其实并不了解安全常识,又被黑客工具夸大的功能所吸引,也容易中招,而且由于“动机不纯”,在中招后羞于启齿,很少会报警或向安全厂商求助,只能吃哑巴亏。
·病毒团伙“互助模式”将会继续,可能出现更复杂的关联
做出这一推测的理由是,我们发现下载器们“互助”的复杂性,是随着时间推移逐渐加深的。刚开始时只有少数几个单纯的下载器互助下载,但后来广告插件、盗号木马、远程程序等也陆续加入。
如果这种互助模式的确能带来“增收”,在未来很可能会有更多的病毒团伙加入到这一“运营模式”中来,甚至不排除不同病毒团伙合作开发新型病毒技术的可能,值得我们警惕。
