2023年12月8日发(作者:)

金山毒霸2009年10月互联网安全报告目录十月安全状况简述�挂马疫情相对稳定...............................................2�色情网站通过多种方法攻击用户...................................3�新型盗号木马现身,密保卡自身难保...............................4十大病毒排行榜..................................................5十大影响较大的被挂马网站.......................................10国内疫情地域分布10十一月安全趋势提示�捆绑式病毒传播将继续加重......................................12�每天1%政府网站被黑,政府网站需加强安全防御...................12�捆绑型病毒可能借助正规网站进行传播............................13引言……气温继续降低,互联网中的捣乱分子们似乎也有了冬眠的迹象。挂马网站疫情与9月基本持平,也没有什么“骇人听闻”的猛毒现身,看上去,网络清静了许多。但实际上,不法黑客依旧在蠢蠢欲动,针对密保卡的盗号木马现身,妄图继续挑战游戏厂商和安全厂商的防御机制。同时,他们也将精力越来越多的投入到捆绑型传播上,大量挖掘各类传播渠道,不论是非法网站还是正规网站,都出现了捆绑型病毒木马的身影一旦入侵成功就乱弹广告窗口。而每天200个政府网站的陷落,也显示出隐蔽式黑客攻击正在渐渐猖狂起来。各种招数用尽,最终指向的目标都与网站流量、排名有关。十月安全状况简述�挂马疫情相对稳定10月份的挂马疫情与9月基本持平,仅小幅下降了几百点。金山毒霸安全专家认为这与不法黑客将主要精力投入到捆绑式传播上有关,相比受到政府和安全厂商联手打击、越来越不景气的挂马传播,捆绑式传播可利用的价值还更大些,用户的中招几率也比挂马高。同时,国庆结束后社会,10月份的社会新闻热点大幅减少,也是对挂马传播不利的一个因素。不过,由于在10月末又出现了一些形形色色的“门”,我们对11月的挂马传播趋势还应多加留意。10月的挂马网址数量与9月份基本持平�色情网站通过多种方法攻击用户随着有关部门对病毒木马传播行为的打击,一些黑客团伙转而将精力投向色情网站的建设,一个个免费的色情网站如雨后春笋般搭建起来,这些网站与传统的会员制色情网站不同,他们是完全免费的,因此吸引了大量网民访问,为了避开警方的封锁,他们还向网民提供免费的代理工具。但俗话说:天下没有免费的午餐,色情网站之所以可以生存,必然有它的经营之道,而这种经营是以侵害浏览者的利益实现的。大家最常遇到的情况,是浏览网页时弹出一个接一个的网页,充斥着大量对你来说完全无用的信息,这是很典型的广告行为,为的是给这些网页刷流量、提升排名,让它们更容易被搜索引擎发现,从而进一步增加曝光量。而同时,部分网页的内容会深深抓住你的好奇心,提供各种各样有吸引力的产品(如透视镜,监听软件,迷魂药等),但一旦购买就等着上当受骗吧。色情网站另一个盈利模式是传播挂马。当你浏览这些色情网站时,将会执行一些黑客精心构造的恶意脚本。如果此时你的系统依然存在flash漏洞、office漏洞、IE漏洞、windows系统漏洞,电脑就会自动下载一个脚本下载器,然后这个下载器会下载多种盗号木马,盗取你的网游帐号密码,让你的虚拟财产瞬间蒸发。随后,色情网站的经营者就会与不法黑客分成,传播的木马越多,他们分到的钱也越多。对于这些色情网站所采取的攻击模式,金山毒霸安全专家提醒广大网民一定要养成良好的上网习惯,自觉抵制不健康的网站。同时,金山安全实验室推出的最新版本“金山网盾”,已经加装了搜索引擎保护模块,从而具备了成人上网保护功能,可在用户登录不良网站前予以危险提示,劝说用户停止浏览。并且在用户继续浏览网页时,为用户完全拦截网站中隐藏的恶意代码。金山云安全系统对不良网站的标识�新型盗号木马现身,密保卡自身难保玩游戏的网民应该都知道,密保卡是游戏公司推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在游戏中转让装备、修改密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。但是,现在已经有盗号木马开始想办法绕过这一安全策略,甚至连密保卡都偷走。金山毒霸云安全系统近日发现了这样一种新型木马:该毒通过搜索特征码的方式判断用户何时输入用户名密码,然后在用户输入密保卡时,查找Windows图片传真查看器、画图板和ACDSee窗口等图片查看工具的窗口,并通过查找包含特殊字符串的方法得到密保卡所在路径。木马通过查找包含特殊字符串的方法得到密保卡所在路径如果用以上的方法不能定位到图片密保卡文件,木马就会使用截图方式,对整个屏幕进行截屏保存,然后链接黑客服务器,上传盗取的数据。金山毒霸可以有效查杀该毒,不过,我们还是要提醒玩家,最好是在打开游戏登陆界面之前记录密保卡相关信息。这样,当出现登陆框的时候直接输入数据,可以避免登陆框和密保卡图片同时存在桌面的情况。也可以考虑其他密码保护方式,比如纸介质密保卡和手机验证码等。十月安全相关数据新增病毒样本数:3,031,921个病毒感染机器数:20,812,698台次新增安全漏洞补丁:微软10月共发布53个系统安全漏洞的升级补丁,金山清理专家已全部为用户完成同步升级,由于大型补丁较多,增加了“补丁盒子”帮助用户进行管理。挂马网址:1,244,286个十大病毒排行榜此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。排名病毒名.180224金山毒霸中文病毒名小广告下载器病毒寄生播放器网游盗号木马ZG文件夹模仿者文件夹模仿者变种Delphi梦魇在线盗号器CTCFG网游盗号器变种网游帐号吞吃兽IE主页篡改器ZE感染量(单位:台次)95659372200威胁级别(最高五级)★★★★★★★★★★★★★★★★★★★★★★★★.151552(小广告下载器)展开描述:弹广告并且下载其它木马的流氓插件症状:IE浏览器自动弹出窗口,陌生进程增多卡巴命名:、瑞星命名:D32命名:该毒自上个月末开始爆发,为一款能修改IE浏览器默认主页的流氓程序,它同时也具备下载器的功能,会下载一些别的恶意程序到电脑中运行,经过一个月的蔓延,已经成为10月份感染量最高的病毒。它在进入系统后,会将IE浏览器的默认主页修改成病毒作者指定的地址,以便在用户每次启动IE时弹出广告。但由于它加入了下载器功能,会下载更多的其它木马,因而带来的潜在影响就更大。病毒作者可以通过修改下载列表,把任何一种病毒木马传输到用户电脑中。.190962(病毒寄生播放器)展开描述:捆绑视频播放器、下载器,弹广告并下载木马症状:弹出广告窗口,陌生进程迅速增多卡巴命名:、瑞星命名:、D32命名:,这是一款依靠捆绑传播的木马程序,它会执行弹广告、下载木马等行为。该毒主要借助捆绑于流行的播放器来传播,比如最近比较受欢迎的Qvod。随着各种在线播放器的流行,木马团伙也找到了新的传播渠道:他们将木马捆绑在某些比较受欢迎的播放器或视频下载器中,然后设法欺骗用户下载经过他们改造的播放器,使得用户中招。该毒的大部分样本被发现捆绑于非官方下载页面的Qvod播放器以及某些视频下载器中。金山毒霸安全专家分析,木马团伙是在一些论坛、社区或不良视频网站投放下载链接,然后以热播影片引诱用户下载。一旦用户安装这些被动过手脚的播放器或下载器,木马就会立即运行起来,执行木马团伙设定的指令,主要是弹出广告窗口和下载其它木马。.61529(网游盗号木马ZG)展开描述:盗窃网游帐号,洗劫虚拟财产症状:游戏密码错误,装备丢失,网游帐号被盗卡巴命名:、c瑞星命名:32命名:fee命名:an该毒是一个针对网络游戏的盗号木马程序,此毒在7月份时就已经开始流行。它能盗窃多款流行网游的账号密码信息。大量的0day漏洞为各类脚本下载器的挂马传播提供了有利条件,而脚本下载器在进入系统后,就会下载不少传统的木马。.61529正是在这样的情况下,实现感染量的大幅增长的。而如果用户发现自己电脑中不断出现此毒,那么表明系统中已经潜入了某款未知下载器,这种情况,可下载运行金山安全实验室的“金山急救箱”,对未知下载器灭活即可。.1407388(文件夹模仿者)展开描述:模仿文件夹图标,欺骗用户点击症状:U盘文件夹图标被替换,杀毒后文件夹丢失卡巴命名:、瑞星命名:、D32命名:.L、ee命名:、.1407388(文件夹模仿者)是一个U盘病毒,它将用户系统中的文件夹图标全部变为自己的EXE文件,用户必须点击病毒文件才可进入文件夹。这使得病毒得以绕过系统或安全软件的U盘监控功能。如果该变种所携带的执行模块是广告插件,那么就会尽可能多的弹出广告网页。该毒给很多用户带来的最大麻烦是它会将用户的文件隐藏起来,即使用户借助杀软将其删除,也难以恢复。这使得一些用户误以为是杀软将自己的文件夹删除。使用金山安全实验室的急救箱,可完美解决该毒带来的这一问题。下载地址/.1406378(文件夹模仿者变种)展开描述:模仿文件夹图标,欺骗用户点击症状:U盘文件夹图标被替换,杀毒后文件夹丢失卡巴命名:、瑞星命名:、32命名:、ee命名:s、s此毒为.1407388(文件夹模仿者)的一款变种,感染该毒后的所有症状完全一致。.a.820224(Delphi梦魇)展开描述:感染Delphi环境,从源头污染程序症状:无任何症状卡巴命名:32命名:.A这是一个针对Delphi程序员的病毒“Delphi梦魇”,它专门感染Delphi程序员的电脑,一旦成功,程序员今后写出的任何程序,都将带有该毒。当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi,就将恶意代码前排插入文件,这个文件编译的时候,会生成,而这个文件会被添加到每个新的dephi工程中。于是,Delphi程序员们所编写的程序就全部带毒了。该毒不具备破坏能行为,但由于其在技术和攻击方式上的突破,已经成为一些不法黑客借鉴和改造的对象,基于该毒改写的下载器已经在技术上实现,一旦被广泛利用,后果难以想像。而且目前国内除金山毒霸外,尚无别的杀软厂家具备查杀该毒的能力,这更加重了国内网络的危险。).73816(在线盗号器ZTZT)展开描述:盗窃网游账号症状:找不到系统文件卡巴命名:、c瑞星命名:32命名:fee命名:an、an10月份,关于“C:”的询问量有所增加。很多用户发现自己电脑里的这个文件丢失了,造成系统异常,这其实是病毒感染造成的。某些下载器和盗号木马在运行过程中感染了这一文件,对其造成严重破坏,无法正常修复。而.73816(在线盗号器ZT)就是一个这种类型的木马。此毒近来频繁出现在网游玩家的电脑中,它一旦运行就会搜索多款流行网游的进程注入,执行盗窃账号的任务。金山毒霸反病毒工程师对该毒进行分析后,发现它主要是由一些木马下载器下载到用户电脑中的,而这些下载器又多半与一些游戏外挂插件捆绑。因此,避免遭遇该毒的最好办法就是不要下载那些未经游戏运营商认证的插件,以免被此毒混入电脑。如果您电脑上的毒霸频繁报告发现该毒,可使用金山清理专家中的垃圾文件清理功能,清空系统缓存。并下载运行免费的金山急救箱对可能存在的下载器母体进行灭活。然后,从网上或其它正常电脑上复制文件到自己电脑的相应路径下,再重启系统即可。金山急救箱下载地址/.38507(CFG网游盗号器变种)展开描述:依靠网页挂马传播,盗窃网游帐号症状:游戏密码失效,装备丢失,网游帐号被盗卡巴命名:、瑞星命名:、D32命名:“CFG网游盗号器变种”(.38507)本月继续在TOP榜中保持上月的排名。这款盗号木马主要依靠网页挂马传播,能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞,就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒,或者先下载一个类似宝马下载器这样的普通下载器,再下载此盗号木马。如果毒霸频繁提示发现此毒,表明系统中很可能存在未知的下载器,造成每次删除后又再次下载。这种情况不用慌,只需安装并运行金山安全实验室免费提供的“金山急救箱”,对未知下载器进行灭活,即可解决问题。.53400(网游帐号吞吃兽)展开描述:盗取帐号症状:游戏装备丢失,帐号密码总输不对卡巴命名:、c瑞星命名:D32命名:fee命名:an这款盗号木马也是安全月报中的老面孔了,在上期月报中我们就对它做过介绍,所不同的是,本月它的感染量下降了一半。该毒会盗取多款著名游戏的账号密码信息,然后发送到病毒作者指定的地址。该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助,入侵用户电脑,盗窃游戏账号后将其发送到病毒作者指定的地址,随后很快就会被职业的洗号者将游戏账号中可自由交易的物品全部盗走,用户即时找回账号,能得到的也只剩一个“一丝不挂”的游戏角色。如发现系统中有此毒无法彻底删除,很可能是有未知下载器不断将该毒下载到电脑中,可下载运行金山安全实验室的“金山急救箱”,将下载器灭活,同时运行清理专家的漏洞检查功能,查看是否有安全漏洞需要更新。“金山急救箱”下载地址/.180224(IE主页篡改器ZE)展开描述:修改IE主页,弹出广告页面症状:IE弹出广告页面,桌面出现网页文件卡巴命名:、瑞星命名:D32命名:“IE主页篡改器ZE”(.180224)这个广告程序在9月底时开始流行,近日又开始频频现身。该毒主要是随着一些小型软件传播,病毒团伙将该毒捆绑在某些受欢迎的小程序里,当用户下载这些程序时,该毒就跟着混进电脑。然后它就修改IE浏览器的数据,将主页锁定为病毒作者规定的地址。这样一来,用户每次打开IE浏览器都要被迫浏览广告页面,为这些网站“贡献”流量。而病毒团伙也就可以从中获取提成,牟取不义之财。避免遭遇该毒的最简单办法,是不要去那些不知名的小型下载站点或不良网站,这些地方提供的视频播放器或工具多半包含此毒或类似的病毒木马。十大影响较大的被挂马网站此榜中的网站,均曾在10月遭到过病毒团伙攻击,并被挂上脚本木马。我们从记录到的挂马网站中,按知名度、访问量人数,以及网站代表性进行综合评估,选出十个,得出此榜。其中一些网站的挂马,截止本期月报截稿时尚未清除。其中,中国农民工维权网、福建省医药价格信息网、成都市劳动保障信息网等网站这些网站属于社会服务性质,对他们下手,某种程度上显示出黑客在道德方面的缺失。而公安现役部队招募报名系统被挂马,则有可能造成应征者的个人信息泄露。����������中国农民工维权网福建省医药价格信息网贵州茅台酒厂齐鲁晚报沧州住房公积金管理中心中国华东进出口商品交易会公安现役部队招募报名系统天气预报网龙门石窟成都市劳动保障信息网hxxp:///zhi/rdgz/?id=38hxxp:///xyty/p://:///tianqihxxp:///?ywlc=5hxxp:///hxxp:///hr/?module=loginhxxp:///city/p:///wyhhxxp:///?link=3国内疫情地域分布TOP10此排名根据金山毒霸云安全系统监测数据换算得出,所体现的是整个10月期间,国内遭受恶意程序感染次数最多的前10个地区。如果某地区遭受攻击电脑数量偏高,通常与该地区电脑拥有量、用户上网习惯、地区门户网站挂马情况,以及黑客所使用工具的扫描或攻击规则等有关。10月全国疫情分布地图TOP10排名地区广东江苏山东河南河北四川浙江辽宁上海湖北被感染数量(台)2355277177十一月安全趋势提示根据10月所观察与收集到的据,金山毒霸反病毒工程师对11月份的安全形式做出以下估计与提示:�捆绑式病毒传播将继续加重喜欢使用游戏外挂或看网络小说的网友,在11月需要更加小心,因为捆绑型病毒的感染量越来越大了。在10月末,金山毒霸安全专家对国内的病毒木马感染情况做了一个抽样统计,我们取最后一周感染量排名前十的病毒(以下简称TOP10)进行分析,发现其中有五个木马是依靠捆绑方式进行传播的。TOP10的总感染量约为1400万台次,而五个捆绑型木马的感染量之和就达到750万台次以上,占到TOP10总感染量的53.5%!金山毒霸安全反病毒工程师对大量样本进行分析后发现,最受黑客团伙欢迎的捆绑对象,为网游外挂、电子书阅读程序、视频播放器。而几乎所有因为下载这些程序中招的用户,都有一个共同点,就是他们所下载的程序要么非官方下载链接,要么就是些连数字签名都没有的“三无产品”。而这些都是很容易被不法黑客动手脚的地方,很有可能你所去的下载网站就是黑客精心搭建或被其攻陷利用的,在这种情况下,你所下载的程序就极有可能被捆绑病毒木马,甚至程序本身就具有盗号、远程控制的功能。�每天1%政府网站被黑,政府网站需加强安全防御继上期安全月报对“隐蔽式黑客攻击”进行揭露后,金山毒霸反病毒工程师在十月末开展了一次大规模检测行动。借助金山毒霸云安全系统得帮助,网盾小组对每天随机挑选出的15000个政府网站进行了恶意代码分析,之所以选择政府网站作为检测对象,是因为上期月报中我们曾对国庆期间针对政府网站的网络攻击做过预测,希望可以验证一下。经过一周的跟踪检测,发现在这些随机选出的网站中,平均每天有近200个受到有效的隐蔽式黑客攻击,被植入恶意代码主要为游戏私服、外挂、交友、不良网站等网站的链接,还有部分为具有挑衅语气的黑客签名。按照200:15000的比例计算,每天全国至少有1%的政府网站受到隐蔽式黑客攻击。由于在统计过程中我们仅计算当日有效的被黑域名,实际的被黑网址数量应该更多。日期2009-10-232009-10-242009-10-252009-10-262009-10-272009-10-282009-10-29被黑网站数2-10-3018310月23日至30日期间的攻击数据这些网站的最大安全漏洞,依然是口令问题和文件漏洞问题,过于简单的口令设置和漏洞百出的网站相关文件,让黑客不费吹灰之力就能获得控制权限,任意添加自己想要的东西。考虑到这部分被黑网站的网管人员反应相对迟缓,我们猜测在11月份,还会有相当数量的政府网站受到这种形式的攻击。�捆绑型病毒可能借助正规网站进行传播相信大家都有这样的经历:进入一个下载网站搜索自己想要的软件后,会发现页面上密密麻麻全是下载链接,但其实里面只有少数几个是你想要的软件。一旦误选,用户最终下载到得就是其他程序,白白浪费宝贵的时间和流量。这其实是下载网站为了赚取软件推广费而故意设置的,目的是让用户尽可能多的下载程序。真假难辨的下载链接,哪些是你想要的,哪些染毒?不过,我们更要担心的,是现在一些黑客团伙开始利用这种下载方式推广自己的病毒木马。他们利用一些下载网站求利心切、对合作伙伴所提供的下载链接审核不严的漏洞,买下链接位。然后就可以等着用户自投罗网,主动下载种有病毒木马的程序。比如,国庆后开始,有一个被命名为的广告木马的感染量就居高不下,该系列木马利用捆绑式传播入侵用户电脑,而被其利用的网站,既有非法下载站点,也有不少正规网站。并且,由于处于正规下载网站的“保护伞”下,用户更容易麻痹大意,中招率明显更高。系列的木马不断更新那么,要怎样让自己尽量避免下载到病毒的情况呢?金山毒霸安全专家建议:首先,我们要加强自己的防范意识,在点击下载之前先仔细看一下其下载按钮旁边的简短文字提示,不要盲目的点击,以为所有的下载链接都可以下到您想要的,有时候它会在旁边告诉您它的真实作用。其次,在将软件下载到本机后,查看它的属性信息是否和你原本想下载的软件一致,如果相差比较大,我们就建议您不要安装,即使它不是病毒,也不会是您需要的软件。最后,我们建议您装上一款查杀和防御效果都比较不错的杀毒软件,它可以在第一时间帮您拦截很多未知的风险程序,查杀许多流行病毒,让您无忧无虑上网,随心所欲下载。