金山发布2009年3月安全报告

三月安全状况简述

泛滥的"肉鸡"

3月份最引人关注的威胁是什么？没错，就是肉鸡！

当央视315晚会播出了关于黑客利用远程木马控制用户电脑，盗窃网银等敏感数据的节目后，"肉鸡"这个词就以迅雷不及掩耳之势传遍了全国。

肉鸡并不是病毒，它指的是那些被病毒木马所控制、任由黑客宰割的电脑。只不过由于"肉鸡"这个词汇更为形象，很多电脑用户对它的印像也就最深。

神通广大的黑客组织，出于一股见不得光的经济利益链条，借助远程控制木马，任意盗取用户电脑中有价值的数据。早在2007年之前，毒霸就已经揭露过黑色产业链，但由于只是在网络媒体中传播，舆论反响并不强烈。央视的315晚会，第一次把这个早已为网民们见惯不怪、却又依旧神秘的病毒群体，以及它们后面的黑色产业链通过电视这一传统媒体展现到全国人民的面前，终于引起了极大的讨论。

但就在央视揭开"肉鸡"内幕的同时，黑客组织的病毒生产线并未停转，"死牛下载器"、"猫癣"等知名病毒依旧隔三差五的就出现新变种，单日感染量动辄高达数十万。

网银盗号木马

同"肉鸡"一道被关注的关键词是"网银盗号木马"。

对于盗号木马，大家并不陌生，几乎所有网民都有过QQ号被盗、游戏账号被盗的悲惨经历。网银盗号木马出现的频率，远小于网游盗号木马，但它造成为危害却是最大的，甚至有可能令用户倾家荡产。

3月份知名度最多高的网银盗号木马是"顶狐结巴"，这同样缘于央视315晚会的曝光。"顶狐"已被警方粉碎，今后不会再危害网络，而其它的网银木马依旧在伺机作案。比如就在央视曝光"顶狐"的同时，一款名为"IK网银盗号器"的网银木马，就计划着接替"顶狐"，成为新的"网银木马代表"。

"IK网银盗号器"利用邮件传播，如果您的邮箱中收到一封来自"刘娜 "来的邮件，对它的附件可要千万当心，这就是"IK网银盗号器"的邮件。

通过对该毒的技术追查，金山毒霸反病毒工程师发现，此毒近来在网上非常猖獗，许多黑客网站甚至公开出售。随便找一个搜索引擎，输入"IKlogger0.1"，就可以查询到关于该毒的大量买卖、介绍信息。一些出售该毒的黑客网站声称此毒是从阿根廷进口，如购买，还可提供一对一的操作教学。

网页挂马依然猖獗

3月份，网页挂马给互联网带来的安全局势越来越严峻。

除了像上个月那样，频繁攻击各类门户、平台类网站进行挂马外，毒霸的反病毒工程师发现，黑客已摸索出了一系列新的挂马手段：他们利用百度竞价、百度快照、谷歌图片来提高挂马攻击的效率。

利用百度竞价：黑客们山寨了一些热门网站，比如某些网游的聊天工具、外挂、私服网站，然后通过购买百度竞价，让这些山寨网站位于用户搜索结果的前列，这样，点击量就大大提高。当然，毫无疑问的，这些网站上挂满了脚本木马。

利用百度快照：基于百度快照的记录原理，百度会把当时挂马的页面不加处理的保存下来，使得快照导向网马服务器的地址。这样，即便这些网站被关闭，只要快照还在，黑客就仍然能达到传播病毒之目的。

利用谷歌图片：黑客将脚本木马嵌入到图片文件中，将这些图片的名称和描述设置为热门关键词，这样一来，含毒图片就能位于GOOGLE图片搜索的首位。当用户搜索图片时，就很容易点击含毒图片，从而遭到攻击。

网页挂马的猖獗，很自然的催生了不少防挂马产品，但由于各厂商技术能力各不相同，这些防挂马工具的效果也是良萎不齐。而病毒制作团伙，就专捡软柿子捏。通过脚本变形加密、小写变大写、修改端口号等方式，不少山寨的防挂马产品形同虚设、折戟沉沙，电脑用户照样遭殃。

在安装防挂马产品时，用户们最好选择权威厂家的产品。我们推荐使用金山安全实验室开发的防挂马产品"网盾"，可以毫不夸张的说，这是目前国内能找到的最有效的网页防挂马工具，连0day漏洞下的脚本木马都可100%拦截。

三月安全相关数据

新增病毒样本数：4,176,352个

病毒感染机器数：23,362,045台次

新增漏洞：34个，均为微软漏洞。

挂马网址：272,221个

十大影响较大的被挂马网站

此榜中的网站，均曾在3月遭到过病毒团伙攻击，并被挂上脚本木马。我们从记录到的挂马网站中，按知名度、访问量人数，以及网站代表性进行综合评估，选出十个，得出此榜。

洛阳市中心血站 http://www.xuezhan.com/

陕西省延安市公安局 http://sgaj.yanan.gov.cn

辽宁互联星空 http://ln.vnet.cn

华侨大学 http://tyxy.hqu.edu.cn/

南开大学 http://ibs.nankai.edu.cn/marketing/marketingbbs/default.htm

周杰伦中文网 http://www.jaycn.com/

小护士护肤品官网 http://www.mininursegarnier.com/index

中国电信辽宁分公司 http://www.lntele.com

老舍纪念馆 http://www.bjlsjng.com

NBA在线 http://www.nbaxianchang.cn/

下月安全趋势提示

根据本月所观察与收集到的数据，金山毒霸反病毒工程师对4月份的安全形式做出以下估计与提示:

提防木马下载器的再度爆发v

整个3月份，病毒团伙的精力都放在制造网页挂马上，猫癣、死牛等传统的木马下载器几乎停止了更新。但是，随着各厂家对网页挂马的严打，病毒作者是否会进行"战略转移"，重新投入研究更强大的木马下载器呢？

金山毒霸认为这并非不可能，毒霸云安全系统监测到一些奇怪的举动，比如某些脚本下载器的下载列表里，频繁出现一些新下载器的身影，每个版本变种的对抗功能都较上一个变种略有提高，可是它们的挂马范围却明显被故意局限在一些小网站，看上去是不是很像正规软件的公测？

我们认为，这是病毒团伙的一种试验，也许，某种威力更大的下载器即将"横空出世"。

继续关注网页挂马

网页挂马依然会是最受欢迎的木马传播手段。在四月，特别需要注意一些大型的挂马集团在网页下设置的陷阱。从"网盾"的拦截数据推测，黑客（挂马集团）的目标仍会放在学校、政府机构、门户等网站上。他们似乎是派有专人实时嗅探这些网站的漏洞，一旦有机可趁，就立即将木马挂上去。

除了这些传统"猎物"，黑客也开始将魔爪伸向了一些公益组织，比如献血站、慈善基金会、环保组织的网站，将访客们的善良当成他们实施作案的工具，非常可恶。

而为了躲避杀软厂商的跟踪，黑客会更加频繁的更换用于存放病毒的服务器，域名也是变化多端，不过毒霸也会相应的加强对他们的追踪，让这些见不得光的东西无处遁逃。

病毒团伙的挣扎将更加激烈

通过对3月份捕获的病毒进行分析，我们发现，病毒作者开始把对抗重点放在了一些安全辅助软件的身上，这些安全辅助软件有个共同点，就是喜欢宣称自己功能强大，能解决多种安全问题。因此，很多用户误认为它们就是杀毒软件，从而只在电脑里安装了这些软件，而不安装正规的杀毒软件。

经过长时间信息收集后，病毒团伙发现了这一现象，这对他们来说是个很好的消息。因为这些安全辅助软件的自保护功能非常弱，可以被轻易中止。即便不关闭，它们实际上也并不能应对相对复杂的对抗型病毒。

而那些技术能力较强，产品功能明确的杀软产品，也被病毒作者盯梢。例如死牛下载器的作者，不惜特意开发和维护一个驱动，专门用来干掉国内的几家知名杀毒软件。这种情况下，如果单靠传统的查杀手段，杀毒软件也会难以应付。因此，杀软厂商必须开发新的查杀措施。金山安全实验室的产品"系统急救箱"和"网盾"就是在这样的情况下诞生的。

未经允许不得转载：DOIT » 金山发布2009年3月安全报告