2011年第 1 季度安全威脅
本季安全警示:
蠕蟲以及 PE 感染型病毒
2011年第 1 季度流行病毒概況
<!--[if !supportLists]-->
<!--[endif]-->本季度趨勢科技在中國區發現新的未知病毒約
13
萬種。截止
2011.3.31
日中國區傳統病毒碼
7.940.60
可檢測病毒數量已超過
340
萬種。
新增的病毒類型最多的仍然為木馬( TROJ ),木馬大部分有盜號的特性。木馬的比其他類型的電腦病毒更加能夠直接的使病毒制造者獲益 。在經濟利益的促使下,更多病毒制造者選擇編寫木馬程序。
值得注意的是本季度趨勢科技中國區新增病毒種類中 AndroidOS 類型病毒數量有明顯增加。這是針對于安卓平臺移動設備上感染的病毒,惡意程序的檢測類型。
2011 第 1 季度中國區新增病毒類型
<!--[if !supportLists]-->
<!--[endif]-->本季度趨勢科技在中國區攔截到新的惡意
URL
地址以及相關惡意文件約
31.1
萬個。
比上季度有所增加(上季度為 29.3 萬個)。
其中通過 Web 傳播的惡意程序中,約有 23% 為 JS (腳本類型文件)。向網站頁面代碼中插入包含有惡意代碼的腳本仍然是黑客或惡意網絡行為者的主要手段。這些腳本將導致被感染的用戶連接到其它惡意網站并下載其他惡意程序,或者 IE 瀏覽器主頁被修改等。一般情況下這些腳本利用各種漏洞( IE 漏洞,或其他應用程序漏洞,系統漏洞)以及使用者不良的上網習慣而得以流行。
2011 第 1 季度 中國區 web 威脅文件類型
通過對攔截的 Web 威脅進行分析,我們發現。約有 85% 的威脅來自于 General exploit ( 針對漏洞的通用檢測 ) 。
其中包括利用 Adobe 軟件的漏洞(例如:一些 .SWF 類型的 web 威脅文件)。利用跨站腳本漏洞攻擊,對正常網站注入惡意 JS 腳本,或插入惡意 php , html 代碼。
另外,在網頁中置放惡意的可執行文件使用戶誤點或錯誤的下載并執行,從而導致電腦被病毒感染也是目前 web 威脅傳播的一個重要類型。
Web 頁面,也是木馬類型病毒被下載以及傳播的主要渠道。
2011 第 1 季度 中國區 主要幾種通過 web 感染的病毒
<!--[if !supportLists]-->
<!--[endif]-->本季度趨勢科技在中國區客戶終端檢測并清除惡意程序約
6406
萬次。
2011 第 1 季度 中國區各類型病毒感染數量比例圖
本季度木馬病毒數量及所占比例均有明顯上升,蠕蟲病毒以及 PE 感染類型病毒比例也有所上升,分別達到了 17% 和 13% 。
蠕蟲病毒最主要的特性是能夠主動地通過網絡,電子郵件,以及可移動存儲設備將自身傳播到其它計算機中。與一般病毒不同,蠕蟲不需要將其自身附著到 宿主程序 ,即可進行自身的復制
目前比較流行的 PE 病毒,會感染一些蠕蟲或者木馬病毒。隨著木馬病毒以及蠕蟲病毒在網絡內的傳播導致網絡環境中越來越多的電腦被 PE 病毒感染。
另外,這些病毒往往帶有下載功能,被感染的文件又會連接網絡下載新的木馬及盜號軟件。
2011年第 1 季度流行病毒分析
2011 第 1 季度 中國區病毒流行度排名
<!--[if !supportLists]-->
<!--[endif]-->本季度最流行病毒依舊是
WORM_DOWNAD.AD,
該病毒目前仍然在很多企業用戶網絡內流行。
該病毒持續流行的原因有幾點:
1. 用戶內網中電腦系統補丁安裝率較低
2. 網絡中存在弱密碼的或空密碼的電腦管理員賬號
3. 網絡內存在有未安裝防毒軟件,或防毒軟件已損壞的感染源電腦
4. 沒有針對 U 盤等移動存儲設備的安全管理策略
由于目前尚未發現關于該病毒的新變種,使用之前發布的專殺工具以及解決方案即可
處理此病毒
<!--[if !supportLists]-->
<!--[endif]-->本季度流行病毒中
WORM_ECODE.E-CN
,
WORM_OTURUN.D-CN.
在前幾季也有出現,但是在本季排名直線上升。
這兩種檢測名的病毒絕大多數為文件夾病毒。
文件夾病毒主要特征為: 被感染電腦會遍歷本地磁盤目錄以及映射到本地的網絡共享文件夾,將查找到的所有文件夾隱藏并釋放與文件夾名稱相同的可執行文件 。這樣用戶一旦誤點了偽裝成文件夾的可執行文件,電腦即被感染
一般情況下,企業用戶網絡環境中的文件服務器或開放共享的計算機非常容易感染此類病毒。
在很多時候,防毒軟件可以直接將病毒文件刪除,但是如果網絡內有感染該病毒的機器。則會導致被攻擊電腦文件夾不斷被隱藏,導致用戶無法正常訪問。
出現該情況的解決方法:
<!--[if !supportLists]--> 1. <!--[endif]-->使用系統審核策略或放火墻監控的方法找到感染源電腦
<!--[if !supportLists]--> 2. <!--[endif]-->對感染源電腦使用殺毒軟件進行全盤掃描
<!--[if !supportLists]-->
<!--[endif]-->本季需要關注的病毒
PE_VIRUX;
以上這種 PE 病毒,是 2011 年 1 季度在企業用戶網絡內出現的最需要關注的高危病毒。
這一系列病毒,感染手段極為復雜,并附帶有多種病毒行為。能夠極快的在企業用戶網絡中傳播并感染電腦中正常應用程序。
傳播途徑:
<!--[if !supportLists]--> 1. <!--[endif]-->通過互連網下載而來
當在互聯網中搜索以下關鍵字時,搜索結果中即有可能包含此病毒 :
|
keygen.exe |
crack.exe |
Microsoft |
|
serial.exe |
number.exe |
world of warcraft |
|
setup.exe |
trend micro |
f1 racing |
<!--[if !supportLists]--> 2. <!--[endif]-->通過感染文件傳播
該病毒會感染系統中 .exe 或 .scr 類型文件,當感染文件被執行時,則會導致系統中更多文件被感染
<!--[if !supportLists]--> 3. <!--[endif]--> PDF 漏洞傳播。 PDF 漏洞會從網上下載病毒文件,其中包括 PE_VIRUX
<!--[if !supportLists]--> 4. <!--[endif]-->網絡共享傳播
<!--[if !supportLists]--> 5. <!--[endif]-->可移動存儲設備傳播
病毒行為:
注入 winlogon.exe 進程,并開啟后門從而將 windows 文件保護功能關閉
下載以下惡意文件:
- xhttp://megavipsite.cn/soft95/184/install.exe
- xhttp://85.114.143.2/is160719.exe
- xhttp://ahryafujpb.com/26.exe
- xhttp://bfahfmpyga.net/l26.exe
- xhttp://bglhnvxueb.net/exe1.exe
- xhttp://spaeioer.com/719f.exe
- xhttp://setdoc.cn/exe/0032.exe
- xhttp://59.125.229.78/x
- xhttp://horobl.cn/ex/0032.exe
- xhttp://thaexp.cn/dll/al.txt
- xhttp://thaexp.cn/ex/a.php
- xhttp://goasi.cn/ex/a.php
連接以下遠程服務器:
- 61.235.117.80:80
- 61.235.117.81:80
- 58.65.232.34:80
- 58.65.234.90:65520
在受感染電腦上可能還會出現以下病毒:
- TROJ_AGENT.ALHH
- TROJ_DLOADER.UTI
- TROJ_FAKEAV.AID
- TROJ_INJECTOR.AR
- TROJ_AGENT.ATE – (supposedly a MARIOFEV)
- TROJ_DLOADR.IS
阻止用戶訪問以下站點:
感染以下類型文件:
- .EXE
- .SCR
并在系統中以下類型文件中添加惡意腳本:
- .ASP
- .HTM
- .PHP
防護及處理方法:
<!--[if !supportLists]--> 1. <!--[endif]-->阻止病毒相關網站
<!--[if !supportLists]--> 2. <!--[endif]-->當網絡中有電腦被此病毒感染時請盡快將它短網隔離處理
<!--[if !supportLists]--> 3. <!--[endif]-->加強共享的賬號權限管理
<!--[if !supportLists]--> 4. <!--[endif]-->禁用移動存儲設備的自動播放功能
<!--[if !supportLists]--> 5. <!--[endif]-->盡量避免使用破解軟件及注冊機
<!--[if !supportLists]--> 6. <!--[endif]-->及時將防毒軟件病毒碼更新至最新
如已經感染此病毒,請聯系趨勢科技中國區病毒實驗室,我們將提供具有針對性的免疫工具及解決方案
2011年第 1 季度最新安全威脅信息
<!--[if !supportLists]-->
<!--[endif]-->
2011
年
3
月,如果在
Google
上搜索
Lizamoon.com(
中文稱之為:麗莎月亮),會發現有大量網站被
SQL
注入該網站的鏈接。
報告中曾指出最近 sql 注入攻擊包括了一個危險的網站——“ lizamoon.com ”。這里要說明,該網站并非受害者,而是于 2011 年 3 月 25 日通過注冊虛假域名建立的。
這次事件涉及的其他一些網站可能真的是被利用了,但是卻也都是可疑的。因為它們均過期將近一年,并使用 gmail 或 hotmailbox 賬戶注冊域名,而且當前大部分已經失效了,只有一部分網頁還能瀏覽。
趨勢科技已經將所有涉及此次事件的網站屏蔽。使用了 Web Reputation 的用戶不會受到此次事件影響。另外, Deep Security 能主動阻止 SQL 數據庫注入攻擊。
在這些攻擊中,常見的案例是使用 FAKEAV 作為罪犯手段。 FAKEAV 是一種攻擊手段多樣的惡意軟件,常常欺騙用戶以悄無聲息地傳播其他惡意程序。一些特定網站,如“ defender-uqko . in ”,在之前就與 FAKEAV 攻擊有關,這些 FAKEAV 會攜帶其他惡意程序,如 koobface 。另外于 3.12 日注冊的“ Alisa-carter . com ”也攜帶了 FAKEAV 。
其他涉及此次事件的受害網站還有“ koreandvds . com ”和“ thailandmedicaltourismcluster . org. ”。
應說明的是 sql 注入攻擊并非才出現的威脅。事實上,它們和以社交網站用戶為目標的惡意程序手法一樣常見。
http://www.zdnet.com/blog/security/mass-sql-injection-attack-leads-to-scareware/8510
<!--[if !supportLists]-->
<!--[endif]-->
2011
年
1
月,很多中國銀行網銀用戶收到網上銀行
E
令升級的短信。隨后登陸短信中提到的相關釣魚網站,導致賬號中資金被盜。
首先,被騙用戶會收到 132******** 手機發送的短信。內容是: ” 尊敬的網銀用戶:您的中行 E 領即將過期,請您登陸 www.boc***.c om
進行升級,給您帶來的不便敬請諒解 [ 中國銀行 ] 服務熱線 : 95566”
中國銀行的官方網站網址為 www.boc.cn ,釣魚網站名字和他很接近 。 并短信末尾有中國銀行的客服熱線。不細心的用戶往往會誤認為短信即為中國銀行所發。
一旦用戶登錄短信中提示的釣魚網站,并且進行 E 令升級的操作就很可能導致賬戶失竊。
目前趨勢科技已將我們已經收到的所有相關釣魚網站加入 WRS 阻止列表中,請開啟相關功能進行防護。另外如果您有發現此類網站請及時聯系技術支持部以已獲得幫助。
網路釣魚
為竊取個人身分資訊(最終目的為竊取金錢)意圖所進行之任何透過電話、電子郵件、即時通訊 (IM) 或傳真嘗試取得您個人身分資訊的行為。這些網路釣魚行為大部分皆會以合法的目的做掩飾;也就是說,它們乍看之下合法,實際上卻是由不法的企業組織所為。典型的電子網路釣魚攻擊包含兩種元件:幾可亂真的電子郵件和網頁。這讓網路釣魚成為特別難以察覺對付的危險犯罪行為,因為犯罪者善于將其用來誘騙受害者,使他們認同其合法性。采用 HTML 格式的電子郵件通常包含公司標志、色彩、圖形、字型樣式和其他網頁素材,且主旨通常為帳戶問題、帳戶驗證、安全性升級,及新產品或服務贈送等。這些電子郵件中的 Web 連結大都具有復制自合法網站的外觀,使行為幾乎無法被偵測出來。
如何分辨您是否已遭網路釣魚
現今,若出現任何要求私密資料的狀況,應視為可疑行為。合法的公司企業 - 包括銀行、信用卡公司、線上拍賣網站等 - 皆不會以電子郵件要求或驗證個人資訊。此外,除非您已開始要求進行此類資訊的電話對談,否則應將此類要求視為行為。
如何保護您的電腦和移動設備不受網路釣魚的威脅
- 保持警戒。不要依賴個人判斷力來分辨此私密資料的要求是否合法。從事網路釣魚和網址轉嫁的人都是十分狡猾的犯罪者,他們善于,即便是最精明的使用者也可能會上當。
- 絕對不要向陌生的個人或公司透露個人資訊 - 尤其是在您并未啟動通訊時。
- 刪除所有要求私密資料的電子郵件。如果您確信此為合法要求,請使用已建立的電話號碼確認該要求;僅透過電話告知此資訊。
- 購買并安裝網路釣魚防護程式的軟件
- 讓所有的電子郵件和即時通訊安全補丁維持在最新狀態。
本報告數據來自趨勢科技智能防護網 (SPN) 以及趨勢科技 TMES 監控中心 (MOC)
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
