安全报告全文：7-8月安全状况综述　　十大病毒排行　　十大影响较大被挂马网站　　重大漏洞介绍　　8-9月安全状况提示

●0day助纣为虐，挂马攻击“乐翻天”

上月的安全报告中，我们曾对本月可能出现新的0day漏洞发出过预警。0day漏洞对挂马攻击案件推波助澜，威力不可小视，它使得黑客作案技术门槛大大降低，同时提供了大量极具诱惑的目标——0day漏洞使得所有的机器都如同不设防的城市，不法分子只要动作敏捷，在漏洞补上前捞一票是再轻松不过的事。

借助一系列的0day漏洞，网页挂马攻击呈现出了爆发式的增长。本月仅由金山毒霸云安全系统记录到的挂马网址数量，就高达1,211,387个。而实际的挂马网址，还要远远大过这一数字。

解决方案：金山毒霸用户对上述漏洞不必过于担心，因为金山毒霸2009已经全面升级了网盾防挂马模块，使得脚本木马试图通过网页挂马入侵电脑的可能趋于0。 对于非毒霸用户，我们继续奉行无偿救急的服务理念，提供完全免费的独立版金山清理专家和金山网盾，安装其中的任何一个，都可获得同样完美的保护。

●捆绑式传播流行

在本月金山毒霸所统计的感染量最高的前10个病毒中，利用捆绑手段进行传播的病毒就有3个。它们的捆绑对象有个共同点：都是最受网民欢迎的视频或小型程序。如“摸奶门”、“脱裤门”、“秋千门”等颇有争议的视频文件，以及最近比较流行的Qvod播放器，另外还有一些不良网站提供的专用播放器或下载器。

解决方案：选择热门文件和程序进行捆绑，是病毒团伙对用户进行“饱和攻击”的一种方式，这比网页挂马对用户构成的威胁更大，如果是网页挂马，用户还能使用“网盾”这样的防挂马工具来拦截，而采用捆绑传播，则如同是用户主动下载病毒，使病毒能够绕过用户机器上防挂马工具的防御。使用户防不胜防。

对于这种传播手段，其实有个比较简单的办法。目前包括金山毒霸在内的大多数杀毒软件，都具备定点扫描的功能，用户只需在下载完毕后，使用杀软扫描一遍，就可以极大的减少中招几率。而如果是使用的是迅雷、QQ等知名下载器，它们本身自带的就有绑定杀软功能，可以在下载完毕后自动调用电脑中的杀软对所下载文件进行扫描。

●盗号木马再成主流

在6月份时，我们曾发现网络中的病毒以后门程序为主，所占比例一度达到60%以上，但在7月份出现大规模0day漏洞后，网络中的病毒构成发生了非常明显的变化。那就是盗号木马重新成为了主流病毒。

根据金山毒霸云安全系统监测的数据，各种下载器占全部病毒样本的14%，它们所下载的木马，都以cfg网游盗号系列为主，而这些cfg盗号木马占据了全部病毒样本的19.81%。后门程序则只占到1.35%。

通过分析文件特征和行为特征，我们发现目前的cfg家族是由过去的老cfg和comres盗号系列结合而成（cfg与comres都是过去曾流行过的网游盗号木马家族，由于病毒代码中带有相关字符而得名）。至于针对QQ的盗号器，则相对较少。

解决方案：这种病毒比例的变化，金山毒霸安全专家认为与0day漏洞的突然爆发有一定的联系。0day漏洞所带来的利润巨大，又具有时效性，病毒团伙当然不会错过这种能够自由攻击用户的机会，因而调整了病毒传播策略，将盈利时间相对较长的后门程序换成了能够在短时间内盗取大量虚拟财产的盗号木马。

在出现0day漏洞时，我们建议使用免费的“金山系统急救箱”对系统进行清洗，然后安装免费的“金山网盾”展开防护，即可免遭挂马攻击的威胁。

重大漏洞介绍

7月是彻彻底底的0day之月，0day漏洞从未像这次这样频繁曝光过。微软视频0day（DirectShow 0day）、office 0day漏洞、火狐0day漏洞、Adobe Flash 0day漏洞相继登场，造成7月的网页挂马案件迅速飙升。

所谓的0day，就是没有被修复的漏洞，相对于普通漏洞而言，0day漏洞危害巨大。这是一个没有补丁的漏洞，意味着只要安装此类存在漏洞的软件的用户都有可能被攻击。通常，被挂马集团利用的0day漏洞触发率要比普通的漏洞高，也就是说用户会更容易感染病毒。

7月份为何出现这么多0day漏洞？金山毒霸安全专家认为，原因有三：

1.广大安全厂商都加大了对网页挂马的防御力度，导致现在网页挂马如过街老鼠人人喊打，生意不好做。

2.刑法新条例颁布以后，后进黑客觉得作案风险太大，导致挂马市场规模缩减，目前存活的挂马集团只剩下若干技术与反侦察能力较强的“老不死”还在折腾。

3.目前绝大多数在被利用的漏洞都是2007、2008发现的，可以说那是网页挂马的黄金时代，挂马市场一片红红火火。但这些老漏洞利用随着软件的不断更新，已经不存在利用价值，需要挖掘新的漏洞。

幸运的是，安全厂商对0day也同样关注，金山毒霸就是其中一员。我们会在第一时间做出反应，普通的电脑用户只需多关注安全厂商发布的安全预警，就可以得到关于0day的信息。

通常，触发率比较高的0day都会提供相应的专补工具，下载专业的网页防挂马软件也是一个不错的选择。我们对此当然是推荐金山安全实验室开发的“金山网盾”与“金山系统急救箱”，每次出现0day安全事件时，只需先使用“急救箱”对系统进行清洗，然后安装网盾展开防护，即可免遭挂马攻击的威胁。

【返回顶部 ↑】

●重点预防0day余震

7月的0day漏洞曝光得是如此频繁，令人不得不心存疑虑：8月份还会有这么多的0day漏洞么？金山毒霸安全专家推测，8月份或许不会再出现这种高危漏洞扎堆现身的情况，用户面临的主要威胁是来自7月已曝光0day漏洞的“余震”。

7月所发现的0day漏洞，都已经由其生产厂商放出了安全补丁，但由于用户升级的时间会受各种因素推延，造成系统中的漏洞继续存在，在很长一段时间里依然容易受到攻击。比如7月的最后一个0day漏洞“Adobe Flash 0day”，有超过90%的用户安装了FlashPlayer10，30%的用户安装了FlashPlayer9。此漏洞对所有的浏览器也具有巨大影响，IE、火狐、谷歌浏览器等都会被该漏洞通杀。金山毒霸云安全系统7月末所监测到的挂马网址中，已经出现了利用这一漏洞网页挂马，我们认为，至少在未来一个月的时间里，此漏洞都会是挂马团伙的“最爱”。

解决方案：尽管0day漏洞的确具有高风险，但只要采用正确的防御措施，就能够“御敌于外”。我们推荐的防御方案是安装免费的“金山清理专家”。金山清理专家具有的漏洞扫描功能，可帮助用户发现系统的安全漏洞，并在第一时间进行修复。而它新加入的“网盾”防挂马模块，则可近乎100%的拦截基于任何0day漏洞的挂马攻击。

已经安装金山毒霸2009并升级到最新版的用户，则不必再专门安装金山清理专家，因为其中已经包含有清理专家模块了。

●警惕阅读不明PDF文件

如果在邮箱中收到来历不明的PDF文件，千万别一时好奇打开阅读，因为其中很有可能包含有漏洞攻击脚本，一旦它们运行起来，就会联网下载更多其它木马，金山毒霸安全专家近来已经发现这样的案例有所增加。

借助PDF文件发起攻击的脚本，与“Adobe Flash 0day 漏洞”有很大联系，这是由于flash play 和pdf共同使用的某种组件技术有关，也就是说，如果系统中存在“Adobe Flash 0day 漏洞”，那么打开包含相关脚本木马的PDF文档时，也会中招。

解决方案：好消息是，金山网盾对PDF恶意脚本具有拦截效果，经金山毒霸反病毒工程师测试，当打开包含脚本下载器的PDF文档时，网盾可成功切断下载器联网企图。

●警惕借助视频播放器传播的病毒

除了利用各种软件漏洞发动攻击，借助捆绑传播这种传统的病毒传播方式，也是病毒团伙的招数之一。通过对7月的监测数据进行观察，我们发现在感染量最高的10个病毒中，利用捆绑传播的就有3个。而在8月，金山毒霸安全专家认为，捆绑传播依然会受到病毒团伙的追捧，因为这是对挂马传播的一种补充形式。

从金山云安全系统监控的数据来看，病毒团伙首选的捆绑目标，是那些受用户欢迎的视频播放器，比如近来流行的Qvod播放器，以及一些不良网站提供的专用播放器。捆绑前者，主要是将正常的播放器动过手脚后，在一些论坛和非法的小型下载网站“义务宣传”，并提供下载；后者则很可能根本就是病毒团伙精心制作一个不良网站，然后诱使用户下载特制的播放器。

解决方案：由于病毒和视频捆绑在一起相当于用户主动下载病毒，这样就使使病毒能够绕过用户机器上防挂马工具的防御。在这样的情况下就需要使用杀毒软件来清理病毒，我们推荐使用金山毒霸2009

【返回顶部 ↑】