金山毒霸3月安全报告:泛滥的“肉鸡”

互联网 | 编辑: 杨剑锋 2009-04-10 10:22:00转载-投稿 返回原文

就在央视揭开“肉鸡”内幕的同时,黑客组织的病毒生产线并未停转,“死牛下载器”、“猫癣”等知名病毒依旧隔三差五的就出现新变种,单日感染量动辄高达数十万。

三月安全状况简述

三月安全状况简述

泛滥的“肉鸡”

3月份最引人关注的威胁是什么?没错,就是肉鸡!

当央视315晚会播出了关于黑客利用远程木马控制用户电脑,盗窃网银等敏感数据的节目后,“肉鸡”这个词就以迅雷不及掩耳之势传遍了全国。

肉鸡并不是病毒,它指的是那些被病毒木马所控制、任由黑客宰割的电脑。只不过由于“肉鸡”这个词汇更为形象,很多电脑用户对它的印像也就最深。

神通广大的黑客组织,出于一股见不得光的经济利益链条,借助远程控制木马,任意盗取用户电脑中有价值的数据。早在2007年之前,毒霸就已经揭露过黑色产业链,但由于只是在网络媒体中传播,舆论反响并不强烈。央视的315晚会,第一次把这个早已为网民们见惯不怪、却又依旧神秘的病毒群体,以及它们后面的黑色产业链通过电视这一传统媒体展现到全国人民的面前,终于引起了极大的讨论。

但就在央视揭开“肉鸡”内幕的同时,黑客组织的病毒生产线并未停转,“死牛下载器”、“猫癣”等知名病毒依旧隔三差五的就出现新变种,单日感染量动辄高达数十万。

网银盗号木马

同“肉鸡”一道被关注的关键词是“网银盗号木马”。

对于盗号木马,大家并不陌生,几乎所有网民都有过QQ号被盗、游戏账号被盗的悲惨经历。网银盗号木马出现的频率,远小于网游盗号木马,但它造成为危害却是最大的,甚至有可能令用户倾家荡产。

3月份知名度最多高的网银盗号木马是“顶狐结巴”,这同样缘于央视315晚会的曝光。“顶狐”已被警方粉碎,今后不会再危害网络,而其它的网银木马依旧在伺机作案。比如就在央视曝光“顶狐”的同时,一款名为“IK网银盗号器”的网银木马,就计划着接替“顶狐”,成为新的“网银木马代表”。

“IK网银盗号器”利用邮件传播,如果您的邮箱中收到一封来自“刘娜<mnbppp@163.com> ”来的邮件,对它的附件可要千万当心,这就是“IK网银盗号器”的邮件。

通过对该病毒的技术追查,金山毒霸反病毒工程师发现,“IK网银盗号器”近来在网上非常猖獗,许多黑客网站甚至公开出售。随便找一个搜索引擎,输入“IKlogger0.1”,就可以查询到关于“IK网银盗号器”的大量买卖、介绍信息。一些出售该毒的黑客网站声称此病毒是从阿根廷进口,如购买,还可提供一对一的操作教学。

网页挂马依然猖獗

3月份,网页挂马给互联网带来的安全局势越来越严峻。

除了像上个月那样,频繁攻击各类门户、平台类网站进行挂马外,金山毒霸反病毒工程师发现,黑客已摸索出了一系列新的挂马手段:他们利用百度竞价、百度快照、谷歌图片来提高挂马攻击的效率。

利用百度竞价:黑客们山寨了一些热门网站,比如某些网游的聊天工具、外挂、私服网站,然后通过购买百度竞价,让这些山寨网站位于用户搜索结果的前列,这样,点击量就大大提高。当然,毫无疑问的,这些网站上挂满了脚本木马。

利用百度快照:基于百度快照的记录原理,百度会把当时挂马的页面不加处理的保存下来,使得快照导向网马服务器的地址。这样,即便这些网站被关闭,只要快照还在,黑客就仍然能达到传播病毒之目的。

利用谷歌图片:黑客将脚本木马嵌入到图片文件中,将这些图片的名称和描述设置为热门关键词,这样一来,含毒图片就能位于GOOGLE图片搜索的首位。当用户搜索图片时,就很容易点击含毒图片,从而遭到攻击。

网页挂马的猖獗,很自然的催生了不少防挂马产品,但由于各厂商技术能力各不相同,这些防挂马工具的效果也是良萎不齐。而病毒制作团伙,就专捡软柿子捏。通过脚本变形加密、小写变大写、修改端口号等方式,使得不少山寨的防挂马产品形同虚设,电脑用户照样遭殃。

在安装防挂马产品时,用户们最好选择权威厂家的产品。我们推荐使用金山安全实验室开发的防挂马产品“网盾”,可以毫不夸张的说,这是目前国内能找到的最有效的网页防挂马工具,连0day漏洞下的脚本木马都可100%拦截。

三月安全相关数据

新增病毒样本数:4,176,352个

病毒感染机器数:23,362,045台次

新增漏洞:34个,均为微软漏洞。

挂马网址:272,221个

十大病毒排行榜

十大病毒排行榜

此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,如猫癣,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。至于脚本病毒,由于其特殊的攻击方式,我们将单独制作排行。

排名

病毒名

金山毒霸中文病毒名

感染量(单位:台次)

1

win32.vbt.hl.84701

无公害感染源

2279580

2

win32.troj.small.ag.7680

迷你下载器AG

1652350

3

win32.troj.sysjunkt.hh

NS窥视器

1559380

4

win32.troj.encodeie.ao.524288

传奇盗号下载器AO

1496680

5

win32.troj.onlinegamet.fd.295241

网游盗号木马295241

1446300

6

win32.troj.onlinegames.de.36864

cfg寻仙盗号器变种

1359340

7

win32.troj.dropper.jg.210338

盗号木马下载器JG

1349380

8

win32.binder.agent.ar.110592

地下城盗贼

1311540

9

win32.troj.sysjunk2.ak.32768

木马驱动器32768

1217900

10

win32.troj.qqpswt.bs.116858

QQ小偷

1196430

1. win32.vbt.hl.84701(无公害感染源)

展开描述:感染文件,帮助木马传播

卡巴命名:Virus.Win32.VB.bu

瑞星命名:Trojan.PSW.SBoy.an

N0D32命名:virus.Win32.Sality.NAC

麦咖啡命名:PWS-LegMir trojan

“无公害感染源”(win32.vbt.hl.84701)在2月时就已经是感染量排行很高的病毒。在3月份,它的感染量更是实现了“跨越式”发展,达到200万台次。

该病毒本身没有任何破坏能力,它只是单纯的感染用户电脑中的EXE文件,也不会干扰被感染文件的正常运行。但较以前的版本而言,代码中增加了一些用于与其它模块相连接的接口。看来病毒作者已经完成了测试,开始将该病毒投入实战。

尽管在感染文件后,“无公害感染源”依然不会直接破坏系统,却能与别的木马模块相配合了。至于它们“合体”后会有哪些危害,则要看木马执行模块的功能如何安排,不同的变种可能具有不同的功能。

2. win32.troj.small.ag.7680(迷你下载器AG)

展开描述:下载木马 存放于临时目录 占用系统资源

卡巴命名:Trojan-Downloader.Win32.Agent.bhyn

瑞星命名:Trojan.DL.Win32.Mnless.cbrn

N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OQW

这个木马下载器早在2月份就已经诞生了,不过当时感染量并不大,一直徘徊在1万以下。从3月4号起,它开始爆发,每天的感染量一路飙升,最高时达到7万余台次。

它是以一个dll文件的形式存在,行后会创建一个线程,解密自带的下载地址,从下载地址中下载另一些下载器,再利用这些下载器把一堆各式各样的盗号木马引到系统的临时目录下运行,伺机搜刮电脑中的各类网游帐号。

更特别的是,迷你下载器AG所下载的部分盗号木马也具有下载器功能,这就会造成进入用户电脑的恶意程序越来越多,随着它们陆续运行,系统资源会被逐渐蚕食,电脑变得越来越卡。

3. win32.troj.sysjunkt.hh(NS窥视器)

展开描述:加花加密,协助远程木马对抗杀软

卡巴命名:Trojan.Win32.BHO.kqd

瑞星命名:RootKit.Win32.Undef.bksn

N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus

麦咖啡命名:DNSChanger.gen trojan

“NS窥视器”(win32.troj.sysjunkt.hh)的3月份的总感染量为156万台次,与2月份相比略有增长。此病毒为一款远程木马的组成部分。它的真身是个经过加花的木马驱动。

一旦进入用户电脑,它就修改注册表服务项,将自己从属的木马冒充成系统进程,或采用随机命名的进程名,实现开机自启动。它在后台悄悄调用IE浏览器,连接到病毒作者指定的黑客服务器。

此病毒在3月份时,所协助的病毒除了远程后门外,还增加了一些广告木马。

4. win32.troj.encodeie.ao.524288    (传奇盗号下载器AO)

展开描述:盗窃《传奇》帐号,非法转移虚拟财产

卡巴命名:Trojan.Win32.BHO.nng

“传奇盗号下载器AO”(win32.troj.encodeie.ao.524288)曾一度以高达10万台次的感染量位居非脚本木马单日感染量排行的榜首。金山毒霸反病毒工程师对其分析后发现,它可以下载许多别的木马到用户电脑中运行,但其自身也具有盗号功能,根据变种的不同,可以利用内存注入、键盘记录、消息截获等多种手段盗取的就是《传奇》的帐号。

    “传奇盗号下载器AO”无法自动传播,因此可以断定,它必然也是借助那些大肆挂马的脚本下载器进入用户电脑。这样一来,打齐系统补丁也就成了免受“传奇盗号下载器AO”骚扰的最简单办法。

十大病毒排行榜

5. win32.troj.onlinegamet.fd.295241    (网游盗号木马295241)

展开描述:疯狂盗窃网游帐号,侵吞玩家虚拟财产

卡巴命名:Worm.Win32.Downloader.zd

瑞星命名:Trojan.PSW.Win32.GameOL.udxn

N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM

“网游盗号木马295241”(win32.troj.onlinegamet.fd.295241),这是一个网游盗号木马。根据变种的不同,它可盗窃多款网游的帐号和密码。

这个盗号木马新变种的对抗能力依然很弱,之所以拥有如此大的感染量,是因为借助了一些比较流行的下载器的帮助。在2月份是,它是借助“猫癣”,而3月份,不少脚本下载器的下载列表中出现了它的身影。

6. win32.troj.onlinegames.de.36864    (cfg寻仙盗号器变种)

展开描述:对抗杀软,《寻仙》问“盗”

卡巴命名:rojan-GameThief.Win32.Magania.awzg

瑞星命名:Trojan.PSW.Win32.GameOL.wezn

N0D32命名:Trojan.Win32.PSW.OnLineGames.NRD

BitDefender命名:Generic.Onlinegames.14.E204280A

135万台次的感染量,使得win32.troj.onlinegames.de.36864 (cfg寻仙盗号器变种)成为本排行榜的第6名。此病毒具有简单的对抗能力,它会尝试利用强制关闭进程的办法,中止一些常见杀软的进程,如果这些杀软的自保护比较弱,那么就会被它“干掉”。随后此病毒就搜寻并注入《寻仙》的进程,截取帐号信息。

从对该病毒的跟踪上,我们发现虽然感染量很大,但成功机率却不高,因为绝大部分时候,它刚进入电脑,就被金山毒霸查杀了。如果用户发现自己电脑中有此病毒并且又总是杀不干净,其实是因为电脑中有未知下载器在作怪。这时候仅需下载金山安全实验室的“系统急救箱”,就可将这个未知下载器消灭。

7. win32.troj.dropper.jg.210338    (盗号木马下载器JG)

展开描述:保护病毒木马,躲避杀软查杀

卡巴命名:Trojan-Dropper.Win32.Agent.aipa

瑞星命名:Dropper.Win32.Agent.zvfn

N0D32命名:Trojan.Win32.TrojanDropper.Agent.NNO

麦咖啡命名:Generic Dropper.cy trojan

BitDefender命名:Rootkit.Agent.AIWN

“盗号木马下载器JG”(win32.troj.dropper.jg.210338)在3月前半月的感染量非常之高,一度逼近单日10万台次。但从18号开始,迅速降低截止31日,每日仅有1千余台次的感染量。不过,它全月的总成绩还是很“不错”,为130万台次。

此病毒不具备对抗能力,为防止被杀软拦截,它的一些变种会被与具有对抗功能的木马模块相捆绑,进入系统后这些对抗模块先运行起来,尝试解决杀软。接着就开始疯狂下载各种盗号木马,在电脑中洗劫网游帐号。

只要打齐系统安全补丁,“盗号木马下载器JG”就无法进入电脑,因为它是借助脚本木马下载器才能进入电脑,而脚本木马又必须是利用系统安全漏洞才能成功实施攻击。

8. win32.binder.agent.ar.110592    (地下城盗贼)

   展开描述:添加注册表自启动 盗窃成功后自我删除

卡巴命名:Trojan-Dropper.Win32.Agent.ajat

瑞星命名:Binder.Win32.Agent.arn

N0D32命名:Trojan.Win32.TrojanDropper.Agent.NWE

脚本木马的影响是如此之大,借助脚本下载器的帮助,win32.binder.agent.ar.110592 (地下城盗贼)这个完全没有任何对抗能力的盗号木马,在3月份竟然获得了131万台次的总感染量。

当进入系统,该病毒就会搜索并注入网游《地下城与勇士》的进程,悄悄记录用户输入的帐号和密码。病毒作者为保证能收到偷来的游戏帐号,设置了4个接收网址,每次盗得帐号后,会往这四个地址都发送一份邮件。

9. win32.troj.sysjunk2.ak.32768    (木马驱动器32768)

展开描述:对抗杀软,下载网游盗号木马

就和普通制造业的模块化一样,病毒制作也在走向模块化。病毒作者不必亲自写完所有代码,而只需要挑选自己喜欢的模块相组合,就能得到想要的病毒。“木马驱动器32768”(win32.troj.sysjunk2.ak.32768)就是一个这样的模块。

此模块为一个驱动文件,加密加花比较强。金山毒霸反病毒工程师对其进行破解分析后,发现该驱动主要用于恢复系统SSDT表,以及获取系统权限,还可以破坏一些常见安全软件的驱动。 这些行为直接决定了木马是否可以成功入侵,难怪病毒作者如此费心的对其进行加密,并且还放上许多花指令试图干扰反病毒工作者的分析。

根据金山毒霸云安全系统的统计,此模块整个3月份的感染量为121万台次,远远高出2月份时的38万台次的电脑。

10. win32.troj.qqpswt.bs.116858    (QQ小偷)

展开描述:盗窃QQ帐号,洗劫用户Q币

卡巴命名:Trojan-PSW.Win32.QQPass.fqt

瑞星命名:rojan.PSW.Win32.QQPass.dzmn

N0D32命名:Trojan.Win32.PSW.Delf.NLZ

BitDefender命名:Generic.PWStealer.B2169547

病毒团伙对QQ小偷的推广力度,从2月份一直持续至今。该病毒可依靠AUTO及时来进行自动传播。每进入一台电脑,病毒就在各磁盘分区中生成自己的AUTO文件,一旦用户在中毒电脑上使用U盘等移动存储设备,这些AUTO文件就会立刻将其感染。这样一来,QQ小偷就能随着U盘到处传播了。

3月份,QQ小偷借助脚本下载器传播的力度不减。金山毒霸反病毒工程师在不少木马下载器中发现了该病毒的下载地址,保守感染量达到近120万台次。

受该病毒威胁最大的主要是网吧等公共电脑,因为这些电脑的U盘使用率较高,U盘来源也复杂,并且每次电脑重启后都会删除之前下载的文件,以保护系统的清洁。但实际上,这样也会将补丁也一同删除,使得电脑极易遭受那些包含有该病毒下载链接的挂马的攻击。

漏洞及被挂马网站介绍

本月重大漏洞介绍

3月份没有新的高危漏洞。本月被黑客们利用最多的漏洞,为MS09002、MS06014漏洞。金山毒霸云安全中心预测,在4月份,它们依然会是利用得最多的漏洞。

2月被担心的adobe reader和adobe flash10漏洞,在3月的确出现了较多利用它们的脚本木马,但并不像之前大家所想象中那么严重。

3月中旬,国内某安全厂商曾发出警报,称利用Conficker漏洞病毒将在4.1出现大规模大爆发,一时间网络中人心惶惶,甚至有该厂家的用户向毒霸求助,咨询到底该如何防范Conficker病毒。

然而时间已经过去,Conficker漏洞病毒大爆发在国内外都并未发生。事实上,Conficker病毒是很老的病毒家族,对于这类能在局域网中快速传播的病毒,早在去年10月份时,微软就已经推出了相关漏洞补丁,只要打上补丁,就不会受其影响。目前为止,似乎只有法国海军的内网被该毒大规模入侵过,而它在国内流行的概率更是趋向于零。也许宣布这一消息的厂家只是在跟大家开愚人节玩笑。

十大脚本木马及其利用漏洞

js.downloader.by.6325  MS09002漏洞

js.downloader.ef.2682  MS06014漏洞

js.Iframe.nj.914      flash漏洞

js.downloader.qc.1719  MS06014漏洞

js.downloader.so.6504  MS09002漏洞

js.downloader.me.2682  flash漏洞

js.downloader.be.1802 MS06014漏洞

js.downloader.ji.2679  MS06014漏洞

js.downloader.be.1833 flash漏洞

js.downloader.is.148   MS09002漏洞

十大影响较大的被挂马网站

此榜中的网站,均曾在3月遭到过病毒团伙攻击,并被挂上脚本木马。按知名度、访问量人数,以及网站代表性进行综合评估,选出十个,得出此榜。

洛阳市中心血站http://www.xuezhan.com/

陕西省延安市公安局  http://sgaj.yanan.gov.cn

辽宁互联星空    http://ln.vnet.cn

华侨大学http://tyxy.hqu.edu.cn/

南开大学    http://ibs.nankai.edu.cn/marketing/marketingbbs/default.htm

周杰伦中文网http://www.jaycn.com/

小护士护肤品官网http://www.mininursegarnier.com/index

中国电信辽宁分公司http://www.lntele.com

老舍纪念馆    http://www.bjlsjng.com

NBA在线    http://www.nbaxianchang.cn/

四月安全趋势

四月安全趋势提示

根据三月所观察与收集到的数据,金山毒霸反病毒工程师对4月份的安全形式做出以下估计与提示:

提防木马下载器的再度爆发

整个3月份,病毒团伙的精力都放在制造网页挂马上,猫癣、死牛等传统的木马下载器几乎停止了更新。但是,随着各厂家对网页挂马的严打,病毒作者是否会进行“战略转移”,重新投入研究更强大的木马下载器呢?

金山毒霸云安全系统监测到一些奇怪的举动,比如某些脚本下载器的下载列表里,频繁出现一些新下载器的身影,每个版本变种的对抗功能都较上一个变种略有提高,可是它们的挂马范围却明显被故意局限在一些小网站,看上去是不是很像正规软件的公测?

反病毒工程师认为,这是病毒团伙的一种试验,也许,某种威力更大的下载器即将“横空出世”。

继续关注网页挂马

网页挂马依然会是最受欢迎的木马传播手段。在四月,特别需要注意一些大型的挂马集团在网页下设置的陷阱。从“网盾”的拦截数据推测,黑客(挂马集团)的目标仍会放在学校、政府机构、门户等网站上。他们似乎是派有专人实时嗅探这些网站的漏洞,一旦有机可趁,就立即将木马挂上去。

除了这些传统“猎物”,黑客也开始将魔爪伸向了一些公益组织,比如献血站、慈善基金会、环保组织的网站,将访客们的善良当成他们实施作案的工具,非常可恶。

而为了躲避杀软厂商的跟踪,黑客会更加频繁的更换用于存放病毒的服务器,域名也是变化多端,不过金山毒霸也会相应的加强对他们的追踪,让这些见不得光的东西无处遁逃。

病毒团伙的挣扎将更加激烈

通过对3月份捕获的病毒进行分析发现,病毒作者开始把对抗重点放在了一些安全辅助软件的身上,这些安全辅助软件有个共同点,就是喜欢宣称自己功能强大,能解决多种安全问题。因此,很多用户误认为它们就是杀毒软件,从而只在电脑里安装了这些软件,而不安装正规的杀毒软件。

经过长时间信息收集后,病毒团伙发现了这一现象,这对他们来说是个很好的消息。因为这些安全辅助软件的自保护功能非常弱,可以被轻易中止。即便不关闭,它们实际上也并不能应对相对复杂的对抗型病毒。

而那些技术能力较强,产品功能明确的杀软产品,也被病毒作者盯梢。例如死牛下载器的作者,不惜特意开发和维护一个驱动,专门用来干掉国内的几家知名杀毒软件。这种情况下,如果单靠传统的查杀手段,杀毒软件也会难以应付。因此,杀软厂商必须开发新的查杀措施。金山安全实验室的产品“系统急救箱”和“网盾”就是在这样的情况下诞生的。

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑