病毒特征:修改系统数据,保证木马顺利运行
就和普通制造业的模块化一样,病毒制作也在走向模块化。病毒作者不必亲自写完所有代码,而只需要挑选自己喜欢的模块相组合,就能得到想要的病毒。“木马驱动器32768”就是一个这样的模块。
这个驱动文件,加密加花比较强。主要用于恢复系统SSDT表,以及获取系统权限,还可以破坏一些常见安全软件的驱动。这些行为直接决定了木马是否可以成功入侵,难怪病毒作者如此费心的对其进行加密,并且还放上许多花指令试图干扰反病毒工作者的分析。
根据金山毒霸云安全系统的统计,“木马驱动器32768”整个2月份在国内网络中,至少尝试攻击了380500台次的电脑,但与它同时入侵的其它木马模块,却又各有不同,也就是说,有多款木马都利用了此模块。看来,这款产品还真受广大病毒作者的欢迎。
9.win32.troj.agent.49242(摘星者下载器)
病毒特征:对抗杀软,下载网游盗号木马
这个木马早在2007年就曾流行过一次,因为能关闭瑞星的安全提示窗口,被命名为“摘星者”。在销声匿迹一年半后,它又出现了,而且感染量增长迅猛,保守感染值从2月初的不到800台次骤然飙升至月底的37万台次。这次发现的变种,对抗范围大大增加,包含了目前业内大部分的安全软件。
该病毒自带有一个庞大的字符库,内容为各安全软件的提示窗口字符和编码。“摘星者”利用它来搜索系统中是否有安全软件的提示窗口弹出,一经发现,便抢在它们显示出来前,将它们关闭,阻止用户获知系统中的异常。
随后的行为,就与其它下载器一样,下载列表中几乎都是网游盗号木马,这是也算是国内木马下载器的一个特色了。
10.win32.troj.iagent.ie.1114624(玩家广告机)
病毒特征:弹出广告窗口,浪费网络流量
卡巴命名:not-a-virus.AdWare.Win32.WSearch.ks
瑞星命名:AdWare.Win32.Undef.emen
N0D32命名:Win32.Adware.WSearch
BitDefender命名:Application.Generic.30657
通常来说,广告软件带给用户的损失并不大,它们不盗取帐号、不破坏系统,只是不时弹几个广告窗口或将IE首页改成广告网站,让人觉得心烦。不过,“玩家广告机”这个广告程序,它带来的麻烦就比较大。
2月“玩家广告机”达到近25万台次的保守感染量。虽然“玩家广告机”进入系统后干的活与其它广告软件无异,但病毒在用户正启动某些大型程序时弹出窗口,就会导致系统由于资源紧张而死机。设想一下,如果你正在使用PS软件或做大型报表,突然死机了,该怎么办?
“玩家广告机”目前的版本无法自动传播,必须借助下载器的帮助。另外,病毒团伙有时候也会将这类广告软件伪装成某些软件的启动图标,捆绑与程序中,欺骗用户下载和点击。
二月重大漏洞介绍
2月份的高危漏洞很明显属于MS09002。在传播量最大的10个脚本木马中,就有5个是主要借助这一漏洞进行传播的。金山毒霸预测,在3月份,它也依然会是利用得最多的漏洞。
至于adobe reader和adobe flash10最新爆出的漏洞,因为是临近月底才开始流行,目前为止利用它们的脚本木马并不多。不过,它们很可能成为3月份最流行的漏洞。
十大脚本木马及其利用漏洞
js.downloader.iv.2101 MS09002漏洞
js.downloader.a.1868 MS09002漏洞
js.downloader.a.4631 MS09002漏洞
js.downloader.gm.2690 MS06014漏洞
js.downloader.xu.1320 MS06014漏洞
js.downloader.pz.2677 MS06014漏洞
vbs.downloader.tq.2694 MS09002漏洞
js.downloader.dl.1831 flash漏洞
js.downloader.zk.1830 flash漏洞
js.ms09002ax.vw.5276 MS09002漏洞
十大影响较大的被挂马网站
此榜中的网站,均曾在2月遭到过病毒团伙攻击,并被挂上脚本木马。我们从记录到的挂马网站中,按知名度、访问量人数,以及网站代表性进行综合评估,选出十个,得出此榜。
百事可乐北京站 http://www.bjpepsi.com.cn/
中国语文网 http://www.cnyww.com
国家公务员考试网 http://www.gjgwy.org/
瑞丽女性网 http://www.rayli.com.cn
华南师范大学 http://eitc.scnu.edu.cn/application/index.htm
铁道网 http://www.railcn.net/news/railway-express/83135.html
北京大学中国公益彩票事业研究所http://ccls.pku.edu.cn
开封信息港 http://kf.shangdu.com/news/moshou/?35143
安徽财经大学 http://www1.aufe.edu.cn/zsjy/index.asp
天空游戏网 http://download.tkgame.com/down/tkbd/2006-07-07/69.html
三月安全趋势提示
根据2月所观察与收集到的数据,金山毒霸反病毒工程师对3月份的安全形式做出以下估计与提示:
·提防微软高危漏洞MS09-002通过网站挂马传播
根据金山毒霸反病毒工程师们的监测,病毒团伙已经开始从各被挂马网站的撤下利用MS08-78漏洞的脚本木马,转而挂上针对MS09-002漏洞的脚本木马。通过云安全系统所捕获的普通病毒中,也已经出现了可利用MS09-002漏洞在局域网中发动攻击的木马下载器。
金山毒霸反病毒工程师相信,在3月份,MS09-002漏洞会是病毒团伙借以谋取暴利的主要工具。
·关注网游、网银账号安全
通过对近期的大量下载器样本进行分析,金山毒霸反病毒工程师发现,无论是脚本下载器还是普通的PE下载器,绝大部分下载器所下载的都是盗号木马,它们的目标是用户电脑中的各种网络游戏和即时聊天工具,个别特别嚣张胆大的下载器,甚至还会下载针对网银的盗号木马。
事实上,关注网游、网银帐号的安全,已经是老生常谈。作为包含巨大经济利益的物品,它们永远都是不法分子眼中的“唐僧肉”。
·关注移动设备安全
在2月下旬,金山毒霸反病毒工程师发现,Autorun类U盘病毒有抬头的趋势,一些U盘老毒出现具备对抗能力的新变种,而新诞生的U盘病毒在绕开杀软监控方面也是下足功夫。
因此,在3月份,网吧、企业等局域网用户须做好相应的防御,比如关闭U盘等移动设备的自动播放功能,避免病毒在局域网扩散。
同时,即便局域网中的已经电脑安装有还原卡,我们也仍然建议网管抽出点时间,为你们的电脑及时安装漏洞补丁。AV终结者、磁碟机、机器狗等无数的猛毒已经证明,还原卡并不是保护系统安全的有效措施,唯有按时打齐漏洞补丁,才能将来自网络的威胁降至最低。
·病毒团伙会因为相关法律的加强而金盆洗手吗?
从2月份统计到的网页挂马数据来看,病毒团伙开始频繁更新下载器所指向的服务器域名和服务器IP,跟杀毒厂商和执法部门玩起“躲猫猫”。而就在2月28日,《中华人民共和国刑法修正案(七)》已由中华人民共和国第十一届全国人民代表大会常务委员会第七次会议审议通过,并于3月1日起施行。
新法对盗号和抓肉鸡等行为都做出了明确的定义,并说明了具体的惩罚措施,这代表这国家对计算机违法事件的监管越来越强,病毒团伙是继续顶风作案,还是会金盆洗手呢?也许我们需要再观察一个月,请大家拭目以待。
- 第3页:病毒特征:非法记录用户上网数据,弹出广告
- 第4页:病毒特征:修改系统数据,保证木马顺利运行
- 相关阅读:
- ·2017年亚洲反病毒大会将由赛可达主办
//soft.zol.com.cn/556/5566918.html - ·金山词霸2016再次更新 支持高分辨率
//soft.zol.com.cn/549/5491113.html - ·新型安卓病毒出现 用户谨防“中招"
//soft.zol.com.cn/546/5468032.html - ·金山词霸2016更新 取词悬浮窗全面优化
//soft.zol.com.cn/546/5464180.html - ·金山毒霸2015最新版 支持Win10系统
//soft.zol.com.cn/544/5444904.html