引言
8 月,计算机攻击技术的“工业革命”
在刚刚过去的8 月,互联网安全界经历了几次几乎拥有“革命意义”的安全危机。我们突然发现,互 联网从程序员们的电脑开始,就变得不再安全,即使是软件厂商生产出的正版软件,也有可能成为你电脑 里的毒源;而使你每天获知好友动态的SNS 社区,也正成为病毒传播和钓鱼诈骗的乐土,不法分子只需搞 定一个用户,病毒木马和诈骗消息就能以几何增长般的速度自动扩散,而且你对他们完全没有提防的意识; 甚至连始终站在法律刀口上的挂马团伙,也找到了苟延残喘的好办法,依靠一组特殊代码就轻松躲过部分 杀软厂商的监控,继续危害网络。所有新技术、新手段都是为了一个目的:牟取暴利。
八月安全状况简述
挂马攻击的进一步复苏
7 月份挂马攻击的迅猛势头,在8 月份的到了非常完美的延续。尽管增长幅度并不像7
月0day 漏洞辈出时那么明显,但整个8 月中,仅由金山毒霸云安全系统监测到的被挂马页 面还是有1,507,116 个之多。除了利用0day 漏洞进攻网民的电脑,挂马集团还开发了新型的攻击模式,用以绕过杀毒软件厂商的防挂马工具。一些防御原理不是很科学的杀软,在面对这种情况时变得手足无措,其用户损失惨重。这些都反映出挂马团伙的生命力依旧“顽强”,他们仍然具有技术能力与杀软厂商抗衡周旋。
金山毒霸2012官方下载网址:http://xz.duba.net/
新型挂马攻击手段现身
一种新的挂马攻击模式,在8 月末被金山毒霸云安全系统发现。在8 月的最后几天,硅谷动力、IT168、pchome 等多家大型网站的网页或论坛连续被挂马。金山毒霸安全专家对他们的的挂马数据进行分析后发现,这几个页面上的挂马脚本为同一款,该毒被设计为“只有通过google、baidu、soso、sogou 等搜索引擎搜索上述网址,并亲自点击进入,恶意挂马才会执行”。这是一种新的挂马攻击模式,以前从未发现。结合目前网络安全大环境以及挂马技术的细节进行综合分析后,金山毒霸安全专家判定,这是黑客为了躲避安全软件厂商对挂马网页进行验证而精心设计的,而且可以判定,这几起案件为同一个黑客团伙所为。目前,国内某些安全软件厂商验证网站安全的办法是利用爬虫技术去爬网站,然后通过服务端来批量检查站点,如果发现这些站点有挂马触发,就判断他们为恶意域名。可是,一旦黑客为挂马设定特殊的触发条件,就将导致那些依赖于“爬虫+服务端检测”的安全软件失效,而这些安全软件的用户,自然也就无法获得有效保护。金山毒霸安全专家还发现,该毒利用了基于MS06-14、MS09-002、Mpeg 视频、Flash100day、Flash 9 0day、Office 0day 等漏洞的技术,如此众多热门漏洞利用代码出现在同一个脚本木马中,非常罕见,这也暴露出了病毒团伙的“大胃口”,看得出,他们是想借助这种“新挂马技术+海量漏洞”的手段大捞一笔。更详细的技术分析,可至金山毒霸官方博客查看。 Delphi
程序员的梦魇从软件的生产源头进行感染,一直是安全业界猜测是否会出现的攻击方式。而在8月,这种猜测不幸成为现实。借助金山毒霸云安全系统的帮助,我们在互联网浩瀚的数据海洋中发现了一款针对程序员电脑的病毒“Delphi 梦魇(Win32.Induc.a.820224、Win32.Induc.b.820224、Win32.Induc.c.820224),一旦感染此毒,程序员们所写出的文件都将带有病毒。“Delphi 梦魇”传播示意图(图片来源:金山毒霸官方博客)顾名思义,“Delphi 梦魇”
是专门感染具有Delphi 编译环境的电脑的。当随着被感染文件进入电脑系统,“Delphi 梦魇”就通过循环检测注册表键值的方法查找dephi 的安装目录,将恶意代码前排插入SysConst.pas 文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi 工程中。于是,程序员们所编写的程序就全部带毒了,一个个隐秘的“病毒兵工厂”就这样诞生。更可怕的是,通过对受感染文件的分析,金山毒霸反病毒工程师发现,该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招。 接下来,有一个好消息和一个坏消息。好消息是“Delphi 梦魇”不具备破坏能力,它仅仅是单纯的传播,炫耀其作者的技术。坏消息是,该毒源代码已经被国外安全技术研究者在网上完全公布,由于原理简单,极易被国内那些见利忘义的病毒团伙改造利用,赋予下载器、盗号木马等能力。
八月安全相关数据
新增病毒样本数:3,018,506个 病毒感染机器数:21,147,939台次
新增安全漏洞补丁:37个微软操作系统漏洞,金山清理专家已全部为用户完成同步升级 挂马网址:1,507,116个
十大病毒排行榜
此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反 映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守 值。该榜仅针对WINDOWS 系统下的PE 病毒单一样本,一些总感染量很高的病毒,因为 变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。 1. Win32.troj.onlinegamest.oc.53400(网游帐号吞吃兽) 展开描述:盗取帐号
症状:游戏装备丢失,帐号密码总输不对
卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic 瑞星命名:Trojan.PSW.Win32.GameOL.yjw\\n
NOD32 命名:Trojan.Win32.PSW.OnLineGames.NRD 麦咖啡命名: PWS-OnlineGames.ek trojan
这是一个针对多款流行网游的盗号木马。它会盗取魔兽世界等著名游戏的账号密码信 息,然后发送到病毒作者指定的地址。
该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助,入侵用户电脑,可盗窃包括魔 兽世界在内的一些流行网游的游戏账号,然后将其发送到病毒作者指定的地址,随后很快就 会被职业的洗号者将游戏账号中可自由交易的物品全部盗走,用户及时找回账号,能得到的 也只剩一个“一丝不挂”的游戏角色。
如发现系统中有此毒无法彻底删除,很可能是有未知下载器不断将该毒下载到电脑中, 可下载运行金山安全实验室的“金山急救箱”,将下载器灭活,同时运行清理专家的漏洞检 排名病毒名金山毒霸中文病毒名感染量(单位:台次) 威胁级别(最高五级) 1 win32.troj.onlinegamest.oc.53400 网游帐号吞吃兽5472370 ★★ 2 win32.troj.fakefoldert.yl.1407388 文件夹模仿者5254320 ★★★ 3 win32.troj.gameolt.zg.61529 网游盗号木马ZG 4663600 ★★
4 win32.induc.a.820224 Delphi 梦魇4418780 ★★★
5 win32.troj.injector.ms.225280 入侵者下载器4320760 ★★
6 win32.troj.fakefoldert.yo.1406378 文件夹模仿者变种4298590 ★★★
7 win32.induc.b.820224 Delphi 梦魇3897170 ★★★
8 win32.troj.cfgt.ex.38507 CFG 网游盗号器变种3635890 ★★ 9 win32.fujacks.s.106496 自由插孔下载器2455260 ★★★
10 win32.trojdownloader.mnless.16384 对抗型下载器2297510 ★★ 查功能,查看是否有安全漏洞需要更新。
2. Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者) 展开描述: 模仿文件夹图标,欺骗用户点击
症状:U 盘文件夹图标被替换,杀毒后文件夹丢失
卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko 瑞星命名: Trojan.Win32.ECode.ee\\n、orm.Win32.Agent.aaq\\n
NOD32 命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS 麦咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus
Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)是一个U 盘病毒,它将用户系 统中的文件夹图标全部变为自己的EXE 文件,用户必须点击病毒文件才可进入文件夹。这使 得病毒得以绕过系统或安全软件的U 盘监控功能。如果该变种所携带的执行模块是广告插 件,那么就会尽可能多的弹出广告网页。
不过该毒给很多用户带来的最大麻烦还不是频繁的广告,而是它会将用户的文件隐藏起 来,即使用户借助杀软将其删除,也难以恢复。这使得一些用户误以为是杀软将自己的文件 夹删除。
使用金山安全实验室的急救箱, 可完美解决该毒带来的这一问题。
微软于8 月下旬禁止了系统的U 盘自动播放功能,但对于这种采用新型启动技术的U 盘病毒,这招并不管用。
3. Win32.troj.gameolt.zg.61529(网游盗号木马ZG) 展开描述: 盗窃网游帐号,洗劫虚拟财产
症状:游戏密码错误,装备丢失,网游帐号被盗
卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic 瑞星命名:Trojan.PSW.Win32.GameOLx.cp\\n
NOD32 命名:Trojan.Win32.PSW.OnLineGames.NRD 麦咖啡命名: PWS-OnlineGames.ek trojan
该毒是一个针对网络游戏的盗号木马程序,此毒在7 月份时就已经流行,8 月只是延续 它的蔓延趋势。它能盗窃多款流行网游的账号密码信息。
大量的0day 漏洞为各类脚本下载器的挂马传播提供了有利条件,而脚本下载器在进入 系统后,就会下载不少传统的木马。Win32.troj.gameolt.zg.61529 正是在这样的情况下,实现
感染量的大幅增长的。而如果用户发现自己电脑中不断出现此毒,那么表明系统中已经潜入 了某款未知下载器,这种情况,可下载运行金山安全实验室的“金山急救箱”,对未知下载 器灭活即可。
4. Win32.induc.a.820224 (Delphi梦魇)
展开描述:感染Delphi 环境,从源头污染程序 症状:无任何症状
卡巴命名:Virus.Win32.Induc.a
NOD32 命名:virus.Win32.Induc.A
这是一个针对Delphi 程序员的病毒“Delphi 梦魇”,它专门感染Delphi 程序员的电脑, 一旦成功,程序员今后写出的任何程序,都将带有该毒。
当随着被感染文件进入电脑系统,“Delphi 梦魇”就开始检验系统中是否有Delphi 环境。 它通过循环检测注册表键值的方法查找dephi 的安装目录,如果找到dephi,就将恶意代码 前排插入SysConst.pas 文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被
添加到每个新的dephi 工程中。于是,Delphi 程序员们所编写的程序就全部带毒了。 该毒不具备破坏能行为,但由于其在技术和攻击方式上的突破,已经成为一些不法黑客 借鉴和改造的对象,基于该毒改写的下载器已经在技术上实现,一旦被广泛利用,后果难以 想像。而且目前国内除金山毒霸外,尚无别的杀软厂家具备查杀该毒的能力,这更加重了国 内网络的危险。
5. Win32.troj.injector.ms.225280(入侵者下载器变种) 展开描述:下载木马,盗窃帐号,弹广告 症状:出现陌生进程,电脑运行变卡
卡巴命名:Trojan-GameThief.Win32.OnLineGames.bmoi
瑞星命名:Trojan.Win32.Nodef.kvo\\n、Trojan.Win32.Inject.fhm\\n NOD32 命名:Trojan.Win32.TrojanDropper.Delf.NPX 麦咖啡命名:PWS-OnlineGames.eb trojan
这是一款木马下载器。它借助多款下载器的帮助进行传播,拥有大量变种,可下载包括 广告木马、盗号木马在内的多种恶意程序。由于每下载完一个木马后都会立即激活运行,电 脑中运行的木马程序会越来越多,对于一些系统配置低的电脑,用户能感觉到明显变卡。 因为是主要是依靠脚本下载器来潜入电脑,毒霸用户只要利用清理专家模块,打好补丁 就可降低大大感染该毒的几率。
6. Win32.troj.fakefoldert.yo.1406378(文件夹模仿者变种) 展开描述: 模仿文件夹图标,欺骗用户点击
症状:U 盘文件夹图标被替换,杀毒后文件夹丢失
卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af
瑞星命名:Trojan.Win32.ECode.ee\\n、Trojan.Win32.ECode.ee\\n
NOD32 命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ 麦咖啡命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus
此毒为Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)的一款变种,感染该毒后 的所有症状完全一致。
7. Win32.induc.b.820224 (Delphi梦魇)
展开描述:感染Delphi 环境,从源头污染程序 症状:无任何症状
瑞星命名:Virus.Win32.Induc.a
NOD32 命名:virus.Win32.Induc.A
此毒为Delphi 梦魇的另一特征,所有影响与Win32.induc.a.820224 完全一致。 8. Win32.troj.cfgt.ex.38507 (CFG网游盗号器变种) 展开描述:依靠网页挂马传播,盗窃网游帐号 症状:游戏密码失效,装备丢失,网游帐号被盗
卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu 瑞星命名:Trojan.PSW.Win32.GameOL.zql\\n、Trojan.PSW.Win32.XYOnline.alv\\n
NOD32 命名:Trojan.Win32.PSW.OnLineGames.NRD
“CFG 网游盗号器变种”(win32.troj.cfgt.ex.38507)已经是连续第三个月登上TOP 榜。 这款盗号木马主要依靠网页挂马传播,能盗取多款流行网游的账号和木马。如果用户系统中
存在安全漏洞,就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒,或者 先下载一个类似宝马下载器这样的普通下载器,再下载此盗号木马。
如果毒霸频繁提示发现此毒,表明系统中很可能存在未知的下载器,造成每次删除后又 再次下载。这种情况不用慌,只需安装并运行金山安全实验室免费提供的“金山急救箱”, 对未知下载器进行灭活,即可解决问题。
9. Win32.fujacks.s.106496(自由插孔下载器) 展开描述:借助U 盘传播,对抗安全软件,下载木马
症状:360安全卫士及360保险箱无法启动,各磁盘分区中出现autorun文件 卡巴命名:Packed.Win32.Katusha.b 瑞星命名:Win32.Agent.gi\\n
NOD32 命名:Worm.Win32.AutoRun.Agent.NZ McAfee 命名:W32.Fujacks.ay virus
长期赖在TOP10 里的宝马下载器终于不见了,不过,另一款对抗型的木马下载器又进
入了我们的排行榜,这就是Win32.fujacks.s.106496(自由插孔下载器)。该毒所对抗的安全
软件不如宝马那么全面,目前发现的变种仅仅是针对360 安全卫士及其保险箱。不过,由于 具备还原SSDT 表功能,它也能解除一些主防功能比较弱的杀软的武装。
该毒一旦成功关闭系统中的安全软件,就会到指定的服务器下载最新版本的下载列表, 进行下载。通过对列表中文件的分析,金山毒霸反病毒工程师发现它下载的主要都是网游盗 号木马,这也就解释了它之前为何要干掉360 保险箱。
该毒主要是利用U 盘进行传播,它会在各磁盘分区中生成AUTO 文件,一旦嗅探到用 户使用U 盘等移动存储设备,就传染上去。
使用金山清理专家关闭U 盘自动播放功能,可降低感染该毒的几率。 10. Win32.trojdownloader.mnless.16384(对抗型下载器) 展开描述:对抗安全软件,下载恶意程序
症状:杀毒软件自动关闭,系统中出现陌生进程
卡巴命名:Trojan-Downloader.Win32.Agent.bqsm, Rootkit.Win32.Agent.fia 瑞星命名:Trojan.DL.Win32.Mnless.csg\\n, RootKit.Win32.Agent.ehy\\n NOD32 命名:Trojan.Win32.Agent.ONG, Worm.Win32.AutoRun.Agent.EU
此毒曾在四月份时流行过一段时间,如今又再次现身。而且排名比较有趣,依然是第10 名。
该毒具有一定程度的对抗能力,在进入系统后会搜索是否有主流安全软件,并尝试将其 关闭,随后执行下载命令。在8 月发现的新版本中,它除了进行了新的免杀处理和更换了新 的下载列表外,与老版本并无任何差异。
十大影响较大的被挂马网站
此榜中的网站,均曾在8 月遭到过病毒团伙攻击,并被挂上脚本木马。我们从记录到的 挂马网站中,按知名度、访问量人数,以及网站代表性进行综合评估,选出十个,得出此榜。 截止本期月报完成时止,它们依然被挂着。
其中,远景论坛是广大系统爱好者研究系统的福地。很多win7 泄露版下载都来自此论
坛,因此,此次挂马还是影响较多用户。而且,这种针对业内人士的攻击,显得挂马团伙有 些猖狂。
另外,还有一个需要注意的情况,就是有相当数量的被挂马网站,属于长期挂马状态。 也就是说被挂马已经很长时间,却始终未解除,或者虽然解除,却在短时间内再次被挂。比
如成飞集团、鑫诺卫星、招商局物业、南开大学商学院、南阳市纪委、琼海市政府网等网站。 我们猜测,这应该与这些网站的管理人员监管策略存在漏洞有很大关系。
国内疫情地域分布TOP10
此排名根据金山毒霸云安全系统监测数据换算得出,所体现的是整个8 月期间,国内遭 受恶意程序感染次数最多的前10 个地区。如果某地区遭受攻击电脑数量偏高,通常与该地 区电脑拥有量、用户上网习惯、地区门户网站挂马情况,以及黑客所使用工具的扫描或攻击 规则等有关。
8 月全国疫情分布地图TOP10
排名地区被感染数量(台) 1 广东2,371,941 2 江苏1,578,065 3 山东1,465,091 4 河南1,179,542 5 河北1,166,761 6 浙江1,164,876 7 四川1,012,833 8 上海852,302 9 辽宁838,676 10 北京731,299
九月安全趋势提示
根据8 月所观察与收集到的据,金山毒霸反病毒工程师对9 月份的安全形式做出以下估 计与提示:
U 盘病毒无视微软安全补丁,继续传播
8 月25 号,微软发布KB971029 号补丁,关闭了Windows XP,Windows Server 2003, Windows Vista 和Windows Server 2008 中的自动播放功能,希望用于降低U 盘病毒 (AutoRun.inf 病毒)给用户构成的威胁。但金山毒霸安全专家认为,这一措施对目前流行 的U 盘病毒不会有明显影响,9 月份时,文件夹伪装者系列的U 盘病毒,还会继续蔓延。 如果大家曾经阅读过我们在今年早先时候发布的安全月报,一定对文件夹模仿者
(win32.troj.fakefoldert.yl.1407388、win32.troj.fakefoldert.yo.1406378)系列有印象。该
毒通过替换U 盘及系统盘中的文件夹图标为病毒文件的办法,来强迫用户点击。用户必须点 击病毒文件,才能进入真正的文件夹。这样一来,也就成功绕过了系统或安全软件的禁用U 盘自动播放功能。
这些都说明,在年初时,病毒团伙就已经研究出了绕过禁用自动播放的方法。文件夹模 仿者系列在如此长的时间里一直拥有极高的传播量,有力的证明了这项措施的有效性。因此, 微软在现在推出KB971029 号补丁,也许对普通的U 盘病毒会有点用,对于早已实施了“技 术革新”的新型U 盘病毒所带来的问题,恐怕只能是爱莫能助。用户想要避免遭受该毒带来 的损失,还是必须依靠杀毒软件。
来自SNS 社区的flash xss 蠕虫攻击
8 月下旬,校内网曝出存在视频播放漏洞,该漏洞可导致用户在查看好友的视频记录时, 自动运行一段恶意代码,执行flash xss 蠕虫攻击。
简单描述该漏洞原理,就是校内网在进行视频播放时,由于采用的playswf 函数存在缺
陷,会错误引用allowScriptAccess 属性,导致视频播放时能嵌入别的flash 文件,而这个 flash 文件能够执行任意的脚本,从而给黑客提供可趁之机,这种攻击方式被称为flash xss 蠕虫攻击。
通过基于这一漏洞的操作,黑客可使用户在点击好友分享的视频时,首先打开一个经过 精心伪装的flash 文件,这个flash 将链接至黑客事先设计好的恶意脚本并执行。然后,才 加载真正的视频文件进行播放。于是恶意脚本就绕过了安全系统,在后台悄悄执行,而为了 加快自己的传播速度,该脚本还能令用户自动分享所播放的视频,这样一来,该毒就可以有 更多机会传播到用户好友的机器上,一传十、十传百„„
本次曝出的这一恶意脚本仅仅是单纯的传播,没有实质的破坏。但由于该消息已在网上 广泛传播,金山毒霸安全专家担心会有动机不纯者利用这一漏洞牟利。我们建议广大SNS 社区的管理人员,加大对社区安全机制的检查,否则一旦发生大规模flash xss 蠕虫攻击,用户损失将非常惨重,社区也会因此遭遇严重的信任危机。
Delphi 梦魇的延续
“Delphi 梦魇”在9 月份很可能会是离用户们距离最近的病毒。自从8 月中旬该毒被发 现后,全球各家知名杀软厂商都陆续推出了清除策略,为自己的用户清除该毒。在国内,金 山毒霸也为上百万台电脑清除了Delphi 梦魇,并修复了受该毒感染的文件。不过,由于目前国内仅金山毒霸一家杀毒软件能够有效查杀“Delphi 梦魇”和修复受该毒感染的文件,再加上我国互联网发展迅速、个人电脑拥有总量庞大,被迫与“Delphi 梦魇”共处的电脑用户依旧是一个非常庞大的群体。金山毒霸反病毒工程师估算,目前国内至少有一千万台以上的电脑依旧被“Delphi 梦魇”寄生着。国家计算机病毒应急处理中心已于8 月30 日发布通告,建议计算机用户立即升级系统中的防病毒软件,扫描所有的开发工具软件Delphi编写的可执行文件,清除这一潜伏已久的病毒。作为国内目前唯一一家可查杀该毒并提供修复服务的杀毒软件,金山毒霸计划无条件免费为全国用户提供“Delphi 梦魇”专杀工具,这样,即便没有安装金山毒霸的电脑,也可及时清除该毒,恢复系统安全。
因篇幅问题不能全部显示,请点此查看更多更全内容