金山毒霸20黑桃K平台09年4月安全报告

刷欢乐豆 http://www.cnmpsolar 评论

所谓的恶意域名,就是病毒团伙用于存放恶意程序的服务器的“地址”。如果您曾经阅读过前两期的安全月报,相信您对网页挂马行为和脚本木马已经有所认识,但脚本木马通常只是一个下载器(可以下载大量其他木马的病毒),它必须要下载其它恶意程序,才能给用户

所谓的恶意域名,就是病毒团伙用于存放恶意程序的服务器的“地址”。如果您曾经阅读过前两期的安全月报,相信您对网页挂马行为和脚本木马已经有所认识,但脚本木马通常只是一个下载器(可以下载大量其他木马的病毒),它必须要下载其它恶意程序,才能给用户电脑造成实质的破坏与损失。而恶意程序,就是存放在那些恶意域名背后的黑客服务器上的。

为避免安全厂商和公安部门顺藤摸瓜,通过跟踪服务器动向来追查他们的行动规律和地理位置,病毒团伙频繁的更换服务器,服务器的域名自然也是随之改变。

根据金山毒霸“云安全”中心的监测,目前国内网络中,每天大约新增10个左右的恶意域名,这些域名可能指向同一个黑客服务器,也可能单独具有一个对应的服务器。而每款木马下载器中所包含的下载列表,两三天就会更新一次,基本上是每出一个木马新变种,病毒团伙都会立即更换恶意域名。

下载器免杀更加频繁,防御手段必须创新

进入4月后,各款恶意程序的更新频率都越来越高。过去我们所接触的一些著名病毒,如机器狗、磁碟机等,可能一周、甚至半个月才出一次变种。而近来被多次曝光的宝马下载器、脚本下载器系列等,更新频率竟然达到一天两次以上。

这种频繁的更新与过去那种缓慢更新有着很大的区别。在过去,病毒很长时间才更新一次,每次更新,都会添加一些新的功能,也许是对抗能力更强,也许是可执行的破坏行为更多。但现在这些每天更新的病毒,它们仅仅是做了免杀而已。

所谓免杀,简单的说就是改变病毒的某些特征,让杀毒软件无法识别,这种方法虽然简单,但对付常规的杀毒软件却非常有效,因为杀毒软件的升级具有延时性,并且由于体积庞大,不可能像病毒那样随意更新。

这样一来,杀毒软件既无法及时防御病毒,又增加了软件出错的风险,部分杀毒软件几乎是疲于奔命,最后遭殃的仍是用户。传统的杀毒措施已经无法对电脑进行有效防护,必须要有新的防护手段,在这种情况下,金山互联网安全实验室()应运而生,相续开发出“网盾”、“系统急救箱”等深受用户欢迎的实验型安全工具。而其他安全厂商也相继推出了自己的新理念。

IE首页修改病毒增多

在过去的几个月里,我们从木马下载器的下载列表中查获的恶意程序,盗号木马占主要构成。而在四月,我们发现广告类木马出现了明显增长。

这些新增的广告木马与传统的广告木马有所不同,它们并非靠添加流氓插件来实现弹广告。而是利用恶意驱动来修改用户电脑中有关IE默认首页的文件,使得用户在启动IE时被强行指引到病毒作者指定的网站,为这些网站做推广和刷流量。

由于是利用驱动彻底改变了系统数据,普通的修复手段无法有效修复这种破坏,用户只有能两个选择:忍受广告或重装系统。金山毒霸对此所推出的方案,是利用“系统急救箱”进行暴力修复,在运行该工具时,电脑会蓝屏,但重启之后,一切就可恢复正常。

四月安全相关数据

新增病毒样本数:1,773,891个

病毒感染机器数:20,083,015台次

新增漏洞:29个,均为微软漏洞。

挂马网址:116,577个

十大病毒排行榜

此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。

排名 病毒名 金山毒霸中文病毒名 感染量(单位:台次) 

1 win32.troj.fakefoldert.yl.1407388 文件夹模仿者 6134080 
2 win32.troj.addownload.ef.26184 非法插件安装器 3560110 
3 win32.troj.gaopsget.49893 高频下载器 2927270 
4 win32.troj.sysjunk2.ak.196608 干扰弹AK 2511090 
5 win32.vbt.hl.84701 无公害感染源 2219330 
6 win32.trojdownloader.delf.td.145840 宝马下载器变种 2178080 
7 win32.troj.encodeie.ao.524288 传奇盗号下载器AO 2097050 
8 win32.troj.delf.ks.73728 U盘感染虫变种 2027830 
9 win32.troj.killav.ec.118784 宝马下载器变种 1438340 
10 win32.trojdownloader.mnless.16384 对抗型下载器 1378600 

Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)

展开描述: 模仿文件夹图标,欺骗用户点击

卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko、

瑞星命名: Trojan.Win32.ECode.een、orm.Win32.Agent.aaqn

NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

麦咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus
 
此毒将自己的图标伪装成系统文件夹的样子,用户在U盘中看到一个陌生文件夹时,多半都会去点击。如此一来,即使用户禁止了U盘自动播放,该毒依然能够实现运行。运行后,此毒会下载一些别的恶意程序,执行多种破坏行为。

此外,有一些脚本挂马也会帮助该毒传播,一旦它们利用系统安全漏洞攻入电脑,就会立即下载包括“文件夹模仿者”在内的其它恶意程序。

根据变种的不同,此毒会呈现多种症状,其中比较明显的一种,是用户系统中的文件夹全部变为病毒的EXE文件,用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行,如果该变种所携带的执行模块是广告插件,那么就会尽可能多的弹出广告网页。

阻止此毒进入系统的最佳办法,是打齐系统补丁并安装金山安全实验室的“网盾”,该工具目前由数十万人参与测试,稳定性不断增强,可100%拦截包括0day漏洞在内的所有漏洞利用代码,粉碎黑客的挂马攻击意图。

网盾下载地址

Win32.troj.addownload.ef.26184 (非法插件安装器)

展开描述:擅自安装插件,传播流氓软件
 
“非法插件安装器”(win32.troj.addownload.ef.26184)在整个四月里,感染量始终在缓慢攀升。总的感染量超过359万台次。此毒是一个专门帮助流氓软件进入用户电脑安装的下载器。它借助一些脚本木马的帮助,或者捆绑于其它程序,入侵用户电脑。

一旦入侵成功,就会下载一个文件名为kxsosetup.exe的浏览器插件,并将其强行安装到用户电脑中,随后就不时弹出广告窗口,十分烦人。

金山毒霸20黑桃K平台09年4月安全报告

大发捕鱼_黑桃K平台:金山毒霸20黑桃K平台09年4月安全报告

喜欢 (0) or 分享 (0)
发表我的评论
取消评论

表情

您的回复是我们的动力!

  • 昵称 (必填)

网友最新评论