1. win32.troj.sysjunkt.hh (NS窺視器)
病毒特征:加花加密,協(xié)助遠(yuǎn)程木馬對(duì)抗殺軟
卡巴命名:Trojan.Win32.BHO.kqd
瑞星命名:RootKit.Win32.Undef.bks
N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus
麥咖啡命名:DNSChanger.gen trojan
BitDefender命名:Trojan.Obfuscated.KU
自本月4號(hào)開始爆發(fā)后,"NS窺視器"(win32.troj.sysjunkt.hh)的感染量就一直居高不下�。2月份的總感染量�,高達(dá)1542180臺(tái)次�����,現(xiàn)在��,除最早發(fā)現(xiàn)的利用網(wǎng)頁(yè)掛馬和捆綁其它程序的辦法外���,該病毒部分變種的身影也出現(xiàn)在了一些下載器的下載列表中����。
此毒為一款遠(yuǎn)程木馬的組成部分�。它的真身是個(gè)經(jīng)過加花的木馬驅(qū)動(dòng)。
受到"NS窺視器"入侵的電腦���,會(huì)在臨時(shí)目錄中出現(xiàn)一個(gè)nsy8199.tmp文件���,文件開頭兩個(gè)字母為NS,這是它的一個(gè)典型標(biāo)志����。
一旦進(jìn)入用戶電腦,它就修改注冊(cè)表服務(wù)項(xiàng)�����,將自己從屬的木馬冒充成系統(tǒng)進(jìn)程�����,或采用隨機(jī)命名的進(jìn)程名,實(shí)現(xiàn)開機(jī)自啟動(dòng)�����。它在后臺(tái)悄悄調(diào)用IE瀏覽器�,連接到病毒作者指定的黑客服務(wù)器,只要完成連接�,用戶的電腦就會(huì)被黑客徹底控制。至于具體利用受害電腦來(lái)干什么��,就由黑客決定�����。
2.win32.vbt.hl.84701 (無(wú)公害感染源)
病毒特征:感染文件��,幫助木馬傳播
卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.a
N0D32命名:virus.Win32.Sality.NAC
麥咖啡命名:PWS-LegMir trojan
BitDefender命名:Trojan.PWS.OnlineGames.WJP
"無(wú)公害感染源"(win32.vbt.hl.84701)這個(gè)老牌病毒的保守感染量在2月份又有了大幅的上升���,達(dá)到近87萬(wàn)臺(tái)次���。
"無(wú)公害感染源"本身沒有任何破壞能力,它只是單純的感染用戶電腦中的EXE文件�,也不會(huì)干擾被感染文件的正常運(yùn)行。但較以前的版本而言����,代碼中增加了一些用于與其它模塊相連接的接口����?�?磥?lái)����,病毒作者已經(jīng)完成了測(cè)試�,開始將該病毒投入實(shí)戰(zhàn)。
盡管在感染文件后�,病毒依然不會(huì)直接破壞系統(tǒng),卻能與別的木馬模塊相配合了�。至于它們"合體"后會(huì)有哪些危害,則要看木馬執(zhí)行模塊的功能如何安排�����,不同的變種可能具有不同的功能���。
3.win32.troj.iagent.ie.1118208 (偽裝搜索者)
病毒特征:非法記錄用戶上網(wǎng)數(shù)據(jù)��,彈出廣告
卡巴命名:not-a-virus.AdWare.Win32.WSearch.
瑞星命名:AdWare.Win32.Agent.ctw
N0D32命名:Win32.Adware.WSearch
BitDefender命名:Adware.Generic.52164
"偽裝搜索者"(win32.troj.iagent.ie.1118208)這個(gè)木馬本身不具備破壞能力��,在用戶電腦中只是干些偷偷記錄上網(wǎng)記錄的勾當(dāng)����。在金山毒霸云安全系統(tǒng)的統(tǒng)計(jì),上月該病毒保守感染量為74萬(wàn)臺(tái)電腦��。
這個(gè)木馬的母體��,主要是借助下載器的幫助或著是偽裝成某些綠色小軟件欺騙用戶下載����,進(jìn)入電腦后,母體就解壓自己����,釋放出"偽裝搜索者"和其它模塊。這些模塊的功能五花八門��,有的能執(zhí)行洪水攻擊��,有的能連接遠(yuǎn)程黑客服務(wù)器����,還有些只能發(fā)信。
而"偽裝搜索者"(win32.troj.iagent.ie.1118208)這一模塊����,則是記錄用戶訪問過的網(wǎng)址����,將它們與自帶的地址列表比對(duì)后�,發(fā)送給通訊模塊,由通訊模塊將這些數(shù)據(jù)發(fā)送出去�。這樣的行為�,應(yīng)該是在為廣告軟件服務(wù),目的是了解用戶的上網(wǎng)習(xí)慣����,以便制作精確的廣告投放。
4.win32.troj.onlinegamet.fd.295241 (網(wǎng)游盜號(hào)木馬295241)
病毒特征:瘋狂盜竊網(wǎng)游帳號(hào)�����,侵吞玩家虛擬財(cái)產(chǎn)
卡巴命名:Worm.Win32.Downloader.zd
瑞星命名:Trojan.PSW.Win32.GameOL.udx
N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM
BitDefender命名:Trojan.Generic.1393932
"網(wǎng)游盜號(hào)木馬295241"(win32.troj.onlinegamet.fd.295241)�����,這是一個(gè)網(wǎng)游盜號(hào)木馬��。根據(jù)變種的不同�,它可盜竊多款網(wǎng)游的帳號(hào)和密碼�����。該病毒最早出現(xiàn)于去年9月上旬����,這次以新變種的身份再次作亂��。目前發(fā)現(xiàn)的主要傳播方式時(shí)借助木馬下載器的幫助����。
這個(gè)盜號(hào)木馬新變種的對(duì)抗能力其實(shí)并不強(qiáng),與去年9月時(shí)的版本相比����,幾乎就沒有技術(shù)上的變化,只不過調(diào)整了幾個(gè)盜竊目標(biāo)的參數(shù)���,以便能盜竊更多游戲而已���。
但由于借助了一些比較流行的下載器的幫助(比如貓癬等),它近來(lái)的感染量有所增加,保守感染量為722300臺(tái)次�����。
5.win32.troj.pebinder.vi.425984 (木馬下載器425984)
病毒特征:下載病毒木馬,竊取機(jī)密數(shù)據(jù)
卡巴命名:Trojan.Win32.Zapchast.ro
瑞星命名:Dropper.Win32.Undef.oz
N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OUG
BitDefender命名:Dropped:Generic.Malware.P!BTk.8DEE9164
"木馬下載器425984"(win32.troj.pebinder.vi.425984)是一個(gè)木馬下載器程序��,它能下載大量的盜號(hào)木馬和遠(yuǎn)程控制木馬到用戶電腦中運(yùn)行����,這些木馬能盜竊用戶電腦中有價(jià)值的信息,甚至控制用戶電腦去做黑客所希望的事情����。
"木馬下載器425984"母體的對(duì)抗能力并不強(qiáng),必須借助專門的對(duì)抗模塊來(lái)對(duì)付殺毒軟件�����。目前主要依靠JS腳本木馬來(lái)進(jìn)行傳播�����,當(dāng)用戶電腦中了某些JS掛馬后�����,這些掛馬就會(huì)下載此病毒���,然后由它來(lái)執(zhí)行更復(fù)雜的下載任務(wù)��。
2月��,此病毒的感染成績(jī)?yōu)?35784臺(tái)次�,這個(gè)數(shù)字不小��,值得重視���。而防御"木馬下載器425984"最好的辦法就是打齊系統(tǒng)補(bǔ)丁��。
6.Win32.Troj.QQPswT.bs.116858 (QQ小偷)
病毒特征:盜竊QQ帳號(hào)�����,洗劫用戶Q幣
卡巴命名:Trojan-PSW.Win32.QQPass.fqt
瑞星命名:rojan.PSW.Win32.QQPass.dzm
N0D32命名:Trojan.Win32.PSW.Delf.NLZ
BitDefender命名:Generic.PWStealer.B2169547
隨著近來(lái)一些系統(tǒng)安全漏洞的公布����,JS腳本木馬在網(wǎng)絡(luò)中大肆掛馬���,很多老牌病毒借著這股"東風(fēng)"���,又出來(lái)興風(fēng)作浪��、為害網(wǎng)絡(luò)����。"QQ小偷"就是其中之一��。
這是一款針對(duì)QQ即時(shí)聊天工具的盜號(hào)木馬��,在之前版本中����,它是依靠AUTO及時(shí)來(lái)進(jìn)行自動(dòng)傳播的。它每進(jìn)入一臺(tái)電腦����,就在各磁盤分區(qū)中生成自己的AUTO文件,一旦用戶在中毒電腦上使用U盤等移動(dòng)存儲(chǔ)設(shè)備�,這些AUTO文件就會(huì)立刻將其感染。這樣一來(lái)�����,該病毒就能隨著U盤到處傳播了���。
目前受"QQ小偷"威脅最大的,主要是網(wǎng)吧等公共電腦。因?yàn)檫@些電腦的U盤使用率較高�,U盤來(lái)源也復(fù)雜,并且每次電腦重啟后都會(huì)刪除之前下載的文件�,以保護(hù)系統(tǒng)的清潔。但實(shí)際上�����,這樣也會(huì)將補(bǔ)丁也一同刪除���,使得電腦極易遭受那些包含有該病毒下載鏈接的掛馬的攻擊���。
7.win32.hack.thinlpackert.a.378833 (會(huì)飛的烏龜殼378833)
病毒特征:保護(hù)病毒木馬,躲避殺軟查殺
卡巴命名:trojan-Download.Win32.Banload.
瑞星命名:Packer.Win32.Agent.r
N0D32命名:Trojan.Win32.Spy.Banker.ADOZ
麥咖啡命名:PWS-Banker trojan
BitDefender命名:Trojan.AgenMB.
自2月8號(hào)發(fā)出相關(guān)預(yù)警后�,"會(huì)飛的烏龜殼378833"果然出現(xiàn)大幅度的傳播趨勢(shì)。這個(gè)"殼"的當(dāng)月保守感染量達(dá)到39萬(wàn)余臺(tái)次���。
這個(gè)病毒是一個(gè)比較老的"殼"���,早在去年11月份就已出現(xiàn)。它能夠?qū)ζ渌《具M(jìn)行加密���,保護(hù)它們不受安全軟件的查殺�����。病毒"殼"本身沒有任何破壞能力�����,但它可以包裹其它病毒文件���,試圖讓安全軟件無(wú)法識(shí)別出這些病毒��。當(dāng)進(jìn)入用戶系統(tǒng)后���,它會(huì)先獲得控制權(quán),得以運(yùn)行�����,然后釋放出體內(nèi)的病毒�。這些病毒才是帶來(lái)真正麻煩的罪犯。
給軟件加殼�����,在正常軟件中也很常見��,這可用于程序的自保護(hù)����。但有些加密極為復(fù)雜、且充斥大量垃圾信息的"殼"�����,明顯是專為對(duì)抗安全軟件而設(shè)計(jì)���,"會(huì)飛的烏龜殼378833"就是此類��。金山毒霸反病毒工程師認(rèn)為��,這很可能代表病毒作者正試圖借助它來(lái)推廣另外的某些病毒��。
8.win32.troj.sysjunk2.ak.32768 (木馬驅(qū)動(dòng)器32768)
病毒特征:修改系統(tǒng)數(shù)據(jù)�,保證木馬順利運(yùn)行
就和普通制造業(yè)的模塊化一樣�,病毒制作也在走向模塊化。病毒作者不必親自寫完所有代碼����,而只需要挑選自己喜歡的模塊相組合,就能得到想要的病毒���。"木馬驅(qū)動(dòng)器32768"就是一個(gè)這樣的模塊����。
這個(gè)驅(qū)動(dòng)文件,加密加花比較強(qiáng)����。主要用于恢復(fù)系統(tǒng)SSDT表,以及獲取系統(tǒng)權(quán)限����,還可以破壞一些常見安全軟件的驅(qū)動(dòng)。這些行為直接決定了木馬是否可以成功入侵��,難怪病毒作者如此費(fèi)心的對(duì)其進(jìn)行加密�,并且還放上許多花指令試圖干擾反病毒工作者的分析。
根據(jù)金山毒霸云安全系統(tǒng)的統(tǒng)計(jì)�����,"木馬驅(qū)動(dòng)器32768"整個(gè)2月份在國(guó)內(nèi)網(wǎng)絡(luò)中�,至少嘗試攻擊了380500臺(tái)次的電腦,但與它同時(shí)入侵的其它木馬模塊���,卻又各有不同���,也就是說,有多款木馬都利用了此模塊��??磥?lái),這款產(chǎn)品還真受廣大病毒作者的歡迎�����。
9.win32.troj.agent.49242 (摘星者下載器)
病毒特征:對(duì)抗殺軟��,下載網(wǎng)游盜號(hào)木馬
這個(gè)木馬早在2007年就曾流行過一次���,因?yàn)槟荜P(guān)閉瑞星的安全提示窗口����,被命名為"摘星者"�。在銷聲匿跡一年半后,它又出現(xiàn)了�,而且感染量增長(zhǎng)迅猛,保守感染值從2月初的不到800臺(tái)次驟然飆升至月底的37萬(wàn)臺(tái)次����。這次發(fā)現(xiàn)的變種���,對(duì)抗范圍大大增加,包含了目前業(yè)內(nèi)大部分的安全軟件�。
該病毒自帶有一個(gè)龐大的字符庫(kù),內(nèi)容為各安全軟件的提示窗口字符和編碼�����。"摘星者"利用它來(lái)搜索系統(tǒng)中是否有安全軟件的提示窗口彈出�����,一經(jīng)發(fā)現(xiàn)��,便搶在它們顯示出來(lái)前�,將它們關(guān)閉,阻止用戶獲知系統(tǒng)中的異常��。
隨后的行為���,就與其它下載器一樣�,下載列表中幾乎都是網(wǎng)游盜號(hào)木馬�,這是也算是國(guó)內(nèi)木馬下載器的一個(gè)特色了。
10.win32.troj.iagent.ie.1114624 (玩家廣告機(jī))
病毒特征:彈出廣告窗口,浪費(fèi)網(wǎng)絡(luò)流量
卡巴命名:not-a-virus.AdWare.Win32.WSearch.ks
瑞星命名:AdWare.Win32.Undef.eme
N0D32命名:Win32.Adware.WSearch
BitDefender命名:Application.Generic.30657
通常來(lái)說�,廣告軟件帶給用戶的損失并不大,它們不盜取帳號(hào)�、不破壞系統(tǒng),只是不時(shí)彈幾個(gè)廣告窗口或?qū)E首頁(yè)改成廣告網(wǎng)站��,讓人覺得心煩��。不過��,"玩家廣告機(jī)"這個(gè)廣告程序��,它帶來(lái)的麻煩就比較大���。
2月"玩家廣告機(jī)"達(dá)到近25萬(wàn)臺(tái)次的保守感染量。雖然"玩家廣告機(jī)"進(jìn)入系統(tǒng)后干的活與其它廣告軟件無(wú)異����,但病毒在用戶正啟動(dòng)某些大型程序時(shí)彈出窗口,就會(huì)導(dǎo)致系統(tǒng)由于資源緊張而死機(jī)�。設(shè)想一下,如果你正在使用PS軟件或做大型報(bào)表�,突然死機(jī)了,該怎么辦�?
"玩家廣告機(jī)"目前的版本無(wú)法自動(dòng)傳播,必須借助下載器的幫助。另外�����,病毒團(tuán)伙有時(shí)候也會(huì)將這類廣告軟件偽裝成某些軟件的啟動(dòng)圖標(biāo)����,捆綁與程序中,欺騙用戶下載和點(diǎn)擊�����。
二月重大漏洞介紹
2月份的高危漏洞很明顯屬于MS09002�。在傳播量最大的10個(gè)腳本木馬中,就有5個(gè)是主要借助這一漏洞進(jìn)行傳播的��。金山毒霸預(yù)測(cè)���,在3月份����,它也依然會(huì)是利用得最多的漏洞�����。
至于adobe reader和adobe flash10最新爆出的漏洞,因?yàn)槭桥R近月底才開始流行��,目前為止利用它們的腳本木馬并不多���。不過���,它們很可能成為3月份最流行的漏洞。
十大腳本木馬及其利用漏洞
js.downloader.iv.2101 MS09002漏洞
js.downloader.a.1868 MS09002漏洞
js.downloader.a.4631 MS09002漏洞
js.downloader.gm.2690 MS06014漏洞
js.downloader.xu.1320 MS06014漏洞
js.downloader.pz.2677 MS06014漏洞
vbs.downloader.tq.2694 MS09002漏洞
js.downloader.dl.1831 flash漏洞
js.downloader.zk.1830 flash漏洞
js.ms09002ax.vw.5276 MS09002漏洞
十大影響較大的被掛馬網(wǎng)站
此榜中的網(wǎng)站�,均曾在2月遭到過病毒團(tuán)伙攻擊,并被掛上腳本木馬��。我們從記錄到的掛馬網(wǎng)站中��,按知名度��、訪問量人數(shù)��,以及網(wǎng)站代表性進(jìn)行綜合評(píng)估��,選出十個(gè)����,得出此榜�����。
百事可樂北京站 http://www.bjpepsi.com.cn/
中國(guó)語(yǔ)文網(wǎng) http://www.cnyww.com
國(guó)家公務(wù)員考試網(wǎng) http://www.gjgwy.org/
瑞麗女性網(wǎng) http://www.rayli.com.cn
華南師范大學(xué) http://eitc.scnu.edu.cn/application/index.htm
鐵道網(wǎng) http://www.railcn.net/news/railway-express/83135.html
北京大學(xué)中國(guó)公益彩票事業(yè)研究所 http://ccls.pku.edu.cn
開封信息港 http://kf.shangdu.com/news/moshou/?35143
安徽財(cái)經(jīng)大學(xué) http://www1.aufe.edu.cn/zsjy/index.asp
天空游戲網(wǎng) http://download.tkgame.com/down/tkbd/2006-07-07/69.html
三月安全趨勢(shì)提示
根據(jù)2月所觀察與收集到的數(shù)據(jù),金山毒霸反病毒工程師對(duì)3月份的安全形式做出以下估計(jì)與提示:
提防微軟高危漏洞MS09-002通過網(wǎng)站掛馬傳播
根據(jù)金山毒霸反病毒工程師們的監(jiān)測(cè)��,病毒團(tuán)伙已經(jīng)開始從各被掛馬網(wǎng)站的撤下利用MS08-78漏洞的腳本木馬���,轉(zhuǎn)而掛上針對(duì)MS09-002漏洞的腳本木馬����。通過云安全系統(tǒng)所捕獲的普通病毒中��,也已經(jīng)出現(xiàn)了可利用MS09-002漏洞在局域網(wǎng)中發(fā)動(dòng)攻擊的木馬下載器��。
金山毒霸反病毒工程師相信���,在3月份����,MS09-002漏洞會(huì)是病毒團(tuán)伙借以謀取暴利的主要工具���。
關(guān)注網(wǎng)游�����、網(wǎng)銀賬號(hào)安全
通過對(duì)近期的大量下載器樣本進(jìn)行分析����,金山毒霸反病毒工程師發(fā)現(xiàn),無(wú)論是腳本下載器還是普通的PE下載器���,絕大部分下載器所下載的都是盜號(hào)木馬�,它們的目標(biāo)是用戶電腦中的各種網(wǎng)絡(luò)游戲和即時(shí)聊天工具��,個(gè)別特別囂張膽大的下載器����,甚至還會(huì)下載針對(duì)網(wǎng)銀的盜號(hào)木馬。
事實(shí)上����,關(guān)注網(wǎng)游����、網(wǎng)銀帳號(hào)的安全,已經(jīng)是老生常談���。作為包含巨大經(jīng)濟(jì)利益的物品�,它們永遠(yuǎn)都是不法分子眼中的"唐僧肉"。
關(guān)注移動(dòng)設(shè)備安全
在2月下旬���,金山毒霸反病毒工程師發(fā)現(xiàn)����,Autorun類U盤病毒有抬頭的趨勢(shì)��,一些U盤老毒出現(xiàn)具備對(duì)抗能力的新變種�,而新誕生的U盤病毒在繞開殺軟監(jiān)控方面也是下足功夫。
因此���,在3月份����,網(wǎng)吧��、企業(yè)等局域網(wǎng)用戶須做好相應(yīng)的防御���,比如關(guān)閉U盤等移動(dòng)設(shè)備的自動(dòng)播放功能��,避免病毒在局域網(wǎng)擴(kuò)散�。
同時(shí)�,即便局域網(wǎng)中的已經(jīng)電腦安裝有還原卡��,我們也仍然建議網(wǎng)管抽出點(diǎn)時(shí)間�����,為你們的電腦及時(shí)安裝漏洞補(bǔ)丁���。AV終結(jié)者、磁碟機(jī)����、機(jī)器狗等無(wú)數(shù)的猛毒已經(jīng)證明,還原卡并不是保護(hù)系統(tǒng)安全的有效措施�����,唯有按時(shí)打齊漏洞補(bǔ)丁��,才能將來(lái)自網(wǎng)絡(luò)的威脅降至最低��。
病毒團(tuán)伙會(huì)因?yàn)橄嚓P(guān)法律的加強(qiáng)而金盆洗手嗎�����?
從2月份統(tǒng)計(jì)到的網(wǎng)頁(yè)掛馬數(shù)據(jù)來(lái)看����,病毒團(tuán)伙開始頻繁更新下載器所指向的服務(wù)器域名和服務(wù)器IP,跟殺毒廠商和執(zhí)法部門玩起"躲貓貓"�����。而就在2月28日��,《中華人民共和國(guó)刑法修正案(七)》已由中華人民共和國(guó)第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第七次會(huì)議審議通過���,并于3月1日起施行����。
新法對(duì)盜號(hào)和抓肉雞等行為都做出了明確的定義��,并說明了具體的懲罰措施��,這代表這國(guó)家對(duì)計(jì)算機(jī)違法事件的監(jiān)管越來(lái)越強(qiáng)����,病毒團(tuán)伙是繼續(xù)頂風(fēng)作案,還是會(huì)金盆洗手呢��?也許我們需要再觀察一個(gè)月,請(qǐng)大家拭目以待���。
