金山毒霸2009大发捕鱼年3月安全报告(全文)

刷欢乐豆 http://www.cnmpsolar 评论

泛滥的“肉鸡” 3月份最引人关注的威胁是什么?没错,就是肉鸡! 当央视315晚会播出了关于黑客利用远程木马控制用户电脑,盗窃网银等敏感数据的节目后,“肉鸡”这个词就以迅雷不及掩耳之势传遍了全国。 肉鸡并不是病毒,它指的是那些被病毒木马所控制、任

泛滥的“肉鸡”
 
3月份最引人关注的威胁是什么?没错,就是肉鸡!

当央视315晚会播出了关于黑客利用远程木马控制用户电脑,盗窃网银等敏感数据的节目后,“肉鸡”这个词就以迅雷不及掩耳之势传遍了全国。

肉鸡并不是病毒,它指的是那些被病毒木马所控制、任由黑客宰割的电脑。只不过由于“肉鸡”这个词汇更为形象,很多电脑用户对它的印像也就最深。

神通广大的黑客组织,出于一股见不得光的经济利益链条,借助远程控制木马,任意盗取用户电脑中有价值的数据。早在2007年之前,毒霸就已经揭露过黑色产业链,但由于只是在网络媒体中传播,舆论反响并不强烈。央视的315晚会,第一次把这个早已为网民们见惯不怪、却又依旧神秘的病毒群体,以及它们后面的黑色产业链通过电视这一传统媒体展现到全国人民的面前,终于引起了极大的讨论。

但就在央视揭开“肉鸡”内幕的同时,黑客组织的病毒生产线并未停转,“死牛下载器”、“猫癣”等知名病毒依旧隔三差五的就出现新变种,单日感染量动辄高达数十万。

网银盗号木马

同“肉鸡”一道被关注的关键词是“网银盗号木马”。

对于盗号木马,大家并不陌生,几乎所有网民都有过QQ号被盗、游戏账号被盗的悲惨经历。网银盗号木马出现的频率,远小于网游盗号木马,但它造成为危害却是最大的,甚至有可能令用户倾家荡产。

3月份知名度最多高的网银盗号木马是“顶狐结巴”,这同样缘于央视315晚会的曝光。“顶狐”已被警方粉碎,今后不会再危害网络,而其它的网银木马依旧在伺机作案。比如就在央视曝光“顶狐”的同时,一款名为“IK网银盗号器”的网银木马,就计划着接替“顶狐”,成为新的“网银木马代表”。

“IK网银盗号器”利用邮件传播,如果您的邮箱中收到一封来自“刘娜<mnbppp@163.com> ”来的邮件,对它的附件可要千万当心,这就是“IK网银盗号器”的邮件。

通过对该病毒的技术追查,金山毒霸反病毒工程师发现,“IK网银盗号器”近来在网上非常猖獗,许多黑客网站甚至公开出售。随便找一个搜索引擎,输入“IKlogger0.1”,就可以查询到关于“IK网银盗号器”的大量买卖、介绍信息。一些出售该毒的黑客网站声称此病毒是从阿根廷进口,如购买,还可提供一对一的操作教学。

网页挂马依然猖獗

3月份,网页挂马给互联网带来的安全局势越来越严峻。

除了像上个月那样,频繁攻击各类门户、平台类网站进行挂马外,金山毒霸反病毒工程师发现,黑客已摸索出了一系列新的挂马手段:他们利用百度竞价、百度快照、谷歌图片来提高挂马攻击的效率。

利用百度竞价:黑客们山寨了一些热门网站,比如某些网游的聊天工具、外挂、私服网站,然后通过购买百度竞价,让这些山寨网站位于用户搜索结果的前列,这样,点击量就大大提高。当然
,毫无疑问的,这些网站上挂满了脚本木马。

利用百度快照:基于百度快照的记录原理,百度会把当时挂马的页面不加处理的保存下来,使得快照导向网马服务器的地址。这样,即便这些网站被关闭,只要快照还在,黑客就仍然能达到传播病毒之目的。

利用谷歌图片:黑客将脚本木马嵌入到图片文件中,将这些图片的名称和描述设置为热门关键词,这样一来,含毒图片就能位于GOOGLE图片搜索的首位。当用户搜索图片时,就很容易点击含毒图片,从而遭到攻击。

网页挂马的猖獗,很自然的催生了不少防挂马产品,但由于各厂商技术能力各不相同,这些防挂马工具的效果也是良萎不齐。而病毒制作团伙,就专捡软柿子捏。通过脚本变形加密、小写变大写、修改端口号等方式,使得不少山寨的防挂马产品形同虚设,电脑用户照样遭殃。

在安装防挂马产品时,用户们最好选择权威厂家的产品。我们推荐使用金山安全实验室开发的防挂马产品“网盾”,可以毫不夸张的说,这是目前国内能找到的最有效的网页防挂马工具,连0day漏洞下的脚本木马都可100%拦截。
 
三月安全相关数据

新增病毒样本数:4,176,352个

病毒感染机器数:23,362,045台次

新增漏洞:34个,均为微软漏洞。

挂马网址:272,221个

十大病毒排行榜

此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,如猫癣,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。至于脚本病毒,由于其特殊的攻击方式,我们将单独制作排行。

排名 病毒名 金山毒霸中文病毒名 感染量(单位:台次) 

1 win32.vbt.hl.84701 无公害感染源 2279580 
2 win32.troj.small.ag.7680 迷你下载器AG 1652350 
3 win32.troj.sysjunkt.hh NS窥视器 1559380 
4 win32.troj.encodeie.ao.524288 传奇盗号下载器AO 1496680 
5 win32.troj.onlinegamet.fd.295241 网游盗号木马295241 1446300 
6 win32.troj.onlinegames.de.36864 cfg寻仙盗号器变种 1359340 
7 win32.troj.dropper.jg.210338 盗号木马下载器JG 1349380 
8 win32.binder.agent.ar.110592 地下城盗贼 1311540 
9 win32.troj.sysjunk2.ak.32768 木马驱动器32768 1217900 
10 win32.troj.qqpswt.bs.116858 QQ小偷 1196430 

win32.vbt.hl.84701 (无公害感染源)

展开描述:感染文件,帮助木马传播

卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.an
N0D32命名:virus.Win32.Sality.NAC
麦咖啡命名:PWS-LegMir trojan

“无公害感染源”(win32.vbt.hl.84701)在2月时就已经是感染量排行很高的病毒。在3月份,它的感染量更是实现了“跨越式”发展,达到200万台次。

该病毒本身没有任何破坏能力,它只是单纯的感染用户电脑中的EXE文件,也不会干扰被感染文件的正常运行。但较以前的版本而言,代码中增加了一些用于与其它模块相连接的接口。看来病毒作者已经完成了测试,开始将该病毒投入实战。

尽管在感染文件后,“无公害感染源”依然不会直接破坏系统,却能与别的木马模块相配合了。至于它们“合体”后会有哪些危害,则要看木马执行模块的功能如何安排,不同的变种可能具有不同的功能。
 
win32.troj.small.ag.7680 (迷你下载器AG)

展开描述:下载木马 存放于临时目录 占用系统资源

卡巴命名:Trojan-Downloader.Win32.Agent.bhyn
瑞星命名:Trojan.DL.Win32.Mnless.cbrn
N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OQW

这个木马下载器早在2月份就已经诞生了,不过当时感染量并不大,一直徘徊在1万以下。从3月4号起,它开始爆发,每天的感染量一路飙升,最高时达到7万余台次。

它是以一个dll文件的形式存在,行后会创建一个线程,解密自带的下载地址,从下载地址中下载另一些下载器,再利用这些下载器把一堆各式各样的盗号木马引到系统的临时目录下运行,伺机搜刮电脑中的各类网游帐号。

更特别的是,迷你下载器AG所下载的部分盗号木马也具有下载器功能,这就会造成进入用户电脑的恶意程序越来越多,随着它们陆续运行,系统资源会被逐渐蚕食,电脑变得越来越卡。

win32.troj.sysjunkt.hh (NS窥视器)

展开描述:加花加密,协助远程木马对抗杀软

金山毒霸2009大发捕鱼年3月安全报告(全文)

大发捕鱼_黑桃K平台:金山毒霸2009大发捕鱼年3月安全报告(全文)

喜欢 (0) or 分享 (0)
发表我的评论
取消评论

表情

您的回复是我们的动力!

  • 昵称 (必填)

网友最新评论