正在阅读：金山毒霸5月安全报告:挂马减少威胁未减金山毒霸5月安全报告:挂马减少威胁未减

　　6月11日，国内知名的信息网络安全厂商金山软件正式发布《2009年5月份中国电脑病毒疫情及互联网安全报告》。报告显示，2009年5月份，新增电脑病毒、木马2,389,476个，较上月增长38%，病毒、木马感染电脑数量为20,083,015台次，也有较大增长。

图1 金山毒霸中国互联网月度安全报告

一、五月安全状况简述

　　1、网马挂马数量明显减少，但是威胁并未降低

　　金山毒霸云安全系统在整个五月份所监测到的挂马网址数量，较四月份时大幅减少，如果将3月份的数据一同回顾，可以发现降幅十分明显。

图2 三月至五月的挂马拦截量分别为272,221→116,577→95,161

　　网页挂马挂马的数量降低，很大程度上与刑法新条例的进一步实施有联系，由于明确了挂马攻击属于违法行为，大部分的挂马集团投鼠忌器，再不像过去那么猖狂的进行挂马攻击。

　　不过，仍有少数挂马集团依靠频繁更换挂马服务器的办法来试图对抗网警以及安全软件厂商的追踪。有些甚至不使用自己的服务器，而是先攻击一些安全等级弱的网站，将木马文件藏在这些网站的服务器中，然后再去对其它网站进行挂马攻击。这样，当用户遭遇挂马时，脚本木马就会到之前被攻陷的网站去下载木马，实现“嫁祸”。

　　此外，由于临近高考，各高校、招生类网站的浏览量都大量增加，这对挂马集团来说是难以抵挡的诱惑，这意味着他们能对更多的用户发起攻击。因此，部分挂马集团铤而走险，继续攻击上述网站，使得用户仍然面临威胁。

　　2、文件夹病毒出现变种，利用U盘继续扩大感染范围

　　五月感染量最大的病毒是一款借助U盘传播的文件夹病毒，在四月时它就已经是感染量排行上的首位。进入五月，借助变种的协助，该毒的感染量得到进一步扩大。这印证了我们之前做出的预测，就是由于对挂马传播的打击力度不断加大，传统的传播得以“复苏”。

　　而由于该文件夹病毒“绑架”了U盘和系统中的文件夹图标，造成用户必须点击它，才能进入原来的文件夹，这也就绕过了用户对U盘自启动的封锁。这些都充分展现了病毒团伙在面临巨大非法利益时所展现出的“才智”。同时也再次提醒安全界的人士们，面对病毒传播方式的变化，必须思考更有效、更灵活的解决方案，

　　3、病毒团伙全面进入“互助模式”，共享用户资源应对“经济危机”

　　毒霸安全专家在宝马下载器的下载列表中，发现了其它一些下载器的身影，而这些下载器又会反过来下载宝马。这种互相下载的行为被称为“互助模式”。

　　事实上，下载器之间互相帮助并不是新鲜事，早在几年前，我们就已经发现这种情况，并且也发出过预警。

　　可是，最近出现的“互助模式”比以往的更为复杂。通过对多款木马下载器的分析，我们发现它们之间的关联关系比较复杂。比如宝马下载器都会下载某款广告木马，此木马同时也具备下载器的功能，会下载更多同样具备下载功能的后门程序、广告插件和盗号器。而这些恶意程序的下载名单中，又包含了宝马的下载地址。

　　于是，一旦用户在某个环节不注意染到一个木马，就会很快有更多的木马进入系统，病毒木马们各取所需，疯狂洗劫用户电脑中有价值的数据，弹出各种令人厌烦的广告窗口。木马们的“互助”从未像现在这样密切过。毒霸安全专家认为，这一系列现象，其实暴露出的是病毒团伙的“生意”越来越难做，伴随着相关法制的健全和安全技术的进步，病毒团伙尚未寻找到有效的对抗手段，生存的压力越来越大，俨然进入了“经济危机”，不得不互助过冬。

二、五月安全相关数据

　　病毒样本数：2,389,476个；

　　病毒感染机器数：20,181,320台次；

　　新增漏洞：10个，均为微软操作系统漏洞；

　　挂马网址：95,161个。

　　1、十大病毒排行榜

　　此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。

图3 五月十大病毒排行榜

　　（1）Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）

　　展开描述： 模仿文件夹图标，欺骗用户点击

　　卡巴命名： P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

　　瑞星命名： Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

　　NOD32命名： virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

　　麦咖啡命名： W32.Madangel.b virus、W32.Fujacks.aw virus

　　非常值得注意的情况，四月份感染量最大的病毒Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者），在五月依然保持着它的排名。

　　此毒是一个U盘病毒，它将自己的图标伪装成系统文件夹的样子，用户在U盘中看到一个陌生文件夹时，多半都会去点击。如此一来，即使用户禁止了U盘自动播放，该毒依然能够实现运行。运行后，此毒会下载一些别的恶意程序，执行多种破坏行为。

　　此外，有一些脚本挂马也会帮助该毒传播，一旦它们利用系统安全漏洞攻入电脑，就会立即下载包括“文件夹模仿者”在内的其它恶意程序。

　　根据变种的不同，此毒会呈现多种症状，其中比较明显的一种，是用户系统中的文件夹全部变为病毒的EXE文件，用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行，如果该变种所携带的执行模块是广告插件，那么就会尽可能多的弹出广告网页。

　　阻止此毒进入系统的最佳办法，是打齐系统补丁并安装金山安全实验室的“网盾”，该工具目前由数十万人参与测试，稳定性不断增强，可100%拦截包括0day漏洞在内的所有漏洞利用代码，粉碎黑客的挂马攻击意图。

　　（2）Win32.troj.fakefoldert.yo.1406378（文件夹模仿者变种）

　　展开描述： 模仿文件夹图标，欺骗用户点击

　　卡巴命名： Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

　　瑞星命名：Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

　　NOD32命名：Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

　　麦咖啡命名： W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

　　此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，其感染量在五月出现大幅增长，最终与前者共同位居感染量排行榜前列，具体的破坏行为也完全一致。此变种挺进感染量TOP10，标志着利用U盘传播的文件夹病毒已经取代传统盗号木马，成为广大电脑用户近期将要面临的最大威胁。

　　（3）Win32.troj.killav.121352（宝马下载器变种）

　　展开描述： 变种数量大，频繁免杀，下载恶意程序

　　卡巴命名： Trojan.Win32.AntiAV.bck、Trojan.Win32.AntiAV.bcy

　　瑞星命名： Trojan.DL.Win32.Mnless.daq\n

　　NOD32命名： Trojan.Win32.AntiAV.NAA

　　如果要说有什么病毒是“文件夹模仿者”最强的竞争对手，肯定非“宝马”莫属。该毒具备有对抗杀毒软件的能力，会采用多种方式尝试中止杀软进程或禁止杀软的服务，甚至还会释放驱动来用于穿透系统还原保护和某些杀软的“主动防御”。随后下载各种恶意程序到电脑上执行，比如盗号木马或广告插件。

　　早在4月份时，依靠网页挂马为主要传播手段的宝马下载器在感染量TOP10中就占据了两项排名，分别是第6名和第9名。而在5月份，宝马下载器依靠另外两款变种，将自己的排名上升至第3名和第7名。

　　这表明，尽管面临刑法新条例的严厉打击，病毒团伙还是不愿意轻易放弃传统的木马传播手段。一些比较小的病毒团伙可能会无法生存下去，但像“宝马”这样成熟的大鳄，绝不会轻易退出舞台。

　　毒霸可拦截该毒和它所下载的盗号木马，如果发现自己电脑上频繁出现此毒，并非该毒“杀不掉”，而是表明有别的未知下载器不断的将其“复活”，毒霸安全专家已经在多款其它的下载器中，发现了“宝马”的身影，这些充分说明在挂马传播日益难做的情况下，病毒团伙之间的“互助”日趋紧密。而对于这种情况，只需下载安装金山安全实验室的“系统急救箱”，就可解决问题。

　　（4）Win32.troj.sysjunk2.ak.196608 （干扰弹AK）

　　展开描述：干扰反病毒工作者，阻止查杀

　　瑞星命名：RootKit.Win32.Undef.bzl\n

　　在上四月的安全月报中已经上榜的“干扰弹AK”，5月份依然在用户频繁露脸。

　　“干扰弹AK”（win32.troj.sysjunk2.ak.196608），是个“加花指令”。

　　所谓的“加花”，是指这种病毒文件本身不会对系统有什么危害，但它包含的大量的垃圾数据，可用来来干扰反病毒人员的分析工作。如果杀毒软件厂商的反病毒工程师技术不强，就有可能无法处理此毒。

　　（5）Win32.troj.cfgt.ex.38507（CFG网游盗号器变种）

　　展开描述：依靠网页挂马传播，盗窃网游帐号

　　卡巴命名：Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

　　瑞星命名：Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

　　NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　“CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）主要依靠网页挂马传播，它能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞，就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒，或者先下载一个类似宝马下载器这样的普通下载器，再下载此盗号木马。

　　打齐系统补丁是防御此毒的最好办法，只要堵住系统中的安全漏洞，感染“CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）的几率就会大大减小。

　　如果毒霸频繁提示发现此毒，表明系统中很可能存在未知的下载器，造成每次删除后又再次下载。这种情况不用慌，只需安装并运行金山安全实验室免费提供的“系统急救箱”，对未知下载器进行灭活，即可解决问题。

　　（6）Win32.troj.fuckcryptt.d.114176（流氓外壳D）

　　展开描述：加密病毒文件，对抗安全软件

　　卡巴命名：Worm.Win32.FlyStudio.cd、not-a-virus.AdWare.Win32.FlyStudio.h

　　瑞星命名：AdWare.Win32.Mnless.aut\n、Worm.Win32.Autorun.fje\n

　　Win32.troj.fuckcryptt.d.114176（流氓外壳D）是一个壳文件，其本身没有什么破坏能力，但是依靠它所包含的病毒技术，病毒作者能对别的病毒进行加密处理，以阻止安全软件对它们进行查杀。

　　壳文件并不是第一次受到我们的关注，很早以前毒霸曾发出过预警的“会飞的乌龟壳”，也是一个很典型的壳。

　　“壳”本身是一种中立性质的文件加密技术，最早时是用来保护软件的版权，但近年来，病毒作者开发出专门的“壳”，越来越多的用在保护病毒文件、对抗安全软件查杀上。

　　（7）Win32.trojdownloader.bmwat.ex.117184 （宝马下载器变种）

　　展开描述：变种数量大，频繁免杀，下载恶意程序

　　卡巴命名：Trojan-Dropper.Win32.Mudrop.aht、Trojan-Dropper.Win32.Mudrop.afr

　　瑞星命名：Trojan.Win32.KillAV.bem\n、Trojan.Win32.KillAV.bfd\n

　　NOD32命名：Trojan.Win32.Genetik

　　麦咖啡命名：StartPage-HR trojan

　　行为与排名第3的Win32.troj.killav.121352完全一致，只是在免杀手段上略有不同。由于病毒团伙重点推广的原因，它与Win32.troj.killav.121352的感染量在若干宝马变种中，显得“鹤立鸡群”。

　　（8）Win32.vbt.hl.84701 （无公害感染源）

　　展开描述：感染系统文件，帮助病毒传播

　　卡巴命名：Virus.Win32.VB.bu

　　瑞星命名：Trojan.PSW.SBoy.a\n

　　NOD32命名：virus.Win32.Sality.NAC

　　麦咖啡命名：PWS-LegMir trojan

　　“无公害感染源”（win32.vbt.hl.84701）连续三个月荣登安全月报的排行榜，在刚过去的5月份，它的感染成绩接近220万台次。

　　该毒具有很强的感染能力，可感染所有的exe文件，但对系统本身不具备直接的破坏能力。不过这并不意味着它就对系统安全不具备威胁。

　　该毒虽然不能直接破坏系统，可是它具有能与其它模块相连接的接口，这使得它能够帮助那些具有恶意行为的病毒模块进行传播。至于它们“合体”后会有哪些危害，则要看木马执行模块的功能如何安排，不同的变种可能具有不同的功能。

　　（9）Win32.troj.addownload.ef.26184 （非法插件安装器）

　　展开描述：擅自安装插件，传播流氓软件

　　瑞星命名：Trojan.DL.Win32.Mnless.dhm\n

　　当盗号木马受到越来越严的打击，以弹广告和刷流量为主要目的的流氓软件，就又开始成为病毒团伙“亲睐”的产品。曾在四月安全月报中介绍过的“非法插件安装器”（win32.troj.addownload.ef.26184），在进入五月份后，感染量增长的速度有所放缓，可是总感染量还是超过了两百万台次。

　　此毒是一个专门帮助流氓软件进入用户电脑安装的下载器。它借助一些脚本木马的帮助，或者捆绑于其它程序，入侵用户电脑。

　　一旦入侵成功，就会下载一个文件名为kxsosetup.exe的浏览器插件，并将其强行安装到用户电脑中，随后就不时弹出广告窗口，十分烦人。

　　如发现电脑中混入这个kxsosetup.exe插件，使用金山清理专家的“恶意软件查杀”功能即可将其清除。如果遭遇特别顽固的变种，那么也可以借助清理专家“安全百宝箱”中的“文件粉碎机”功能将其粉碎。

　　（10）Win32.trojdownloader.agent.175694（伪装下载器捆绑包）

　　展开描述：捆绑其它程序混入电脑，下载木马

　　卡巴命名：Trojan-Downloader.Win32.Small.juk、Trojan-Downloader.Win32.Agent.ajw

　　瑞星命名：Trojan.DL.Win32.Undef.ehg\n

　　NOD32命名：Trojan.Win32.TrojanDropper.Agent.NNO

　　麦咖啡命名：BackDoor-CEO trojan

　　5月份，出于规避刑法新条例中关于网页挂马的严厉惩罚，病毒团伙大幅减少了挂马攻击的投入。不过他们可不会轻易放弃“市场”，于是，就像我们在上一期月报中所预测过的那样，一些传统的病毒传播方式重新“升温”。捆绑程序就是这样一种传播方式，其代表就是Win32.trojdownloader.agent.175694（伪装下载器捆绑包）。

　　此毒为一款木马下载器，主要是下载广告程序，弹出广告窗口。毒霸云安全系统监测到，它捆绑于多款热门的视频播放软件中进行传播，如果用户从一些小规模的下载站点下载这些视频播放软件，就很容易“引狼入室”。

　　2、本月重大漏洞介绍

　　如果不是因为DirectShow，5月基本可以算得上是一个很平静的初夏。

　　5月28日，微软公布其操作系统中存在一个DirectShow漏洞，所谓DirectShow，是微软公司在ActiveMovie和Video for Windows的基础上推出的一种基于COM的流媒体处理的开发包，与DirectX开发包一起发布。

　　这个漏洞，使得电脑在播放某些经过特殊构造（简单的说就是嵌入了恶意代码）的QuickTime媒体文件时，可能导致远程任意代码执行，令用户电脑变为“肉鸡”。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻击，而Windows Vista和 Windows Server 2008的所有版本则相对不容易受影响。

　　在公布此漏洞后，微软放出了补丁和可供第三方安全厂商参考的临时解决方案，金山毒霸已经在第一时间为使用毒霸的用户做了微软官方补丁升级，因此，毒霸用户可以不必担心此漏洞的威胁。

　　对于非毒霸用户，我们推荐使用金山安全实验室的网页防挂马工具“网盾”，此工具可对潜在的漏洞建立拦截，阻止恶意脚本通过网页挂马进入电脑，目前网盾拥有数十万名测试用户，在大家的共同努力下，它目前可100%拦截包括DirectShow漏洞利用代码在内的任何挂马入侵。

　　3、十大影响较大的被挂马网站

　　此榜中的网站，均曾在5月遭到过病毒团伙攻击，并被挂上脚本木马。我们从记录到的挂马网站中，按知名度、访问量人数，以及网站代表性进行综合评估，选出十个，得出此榜。 截止本期月报完成时止，一些网站的挂马已经解除，而有一些仍然被挂着。

　　其中值得一提的是，中华人民共和国水利部网站是目前为止我们所发现的遭受挂马攻击的最高级别行政单位网站；而上海美术电影制片厂的网站则是在四月时就曾遭受过挂马攻击，五月又再次遭受袭击。

　　中华人民共和国水利部  hxxp://www.mwr.gov.cn/jswm/jinwutuan.htm

　　中国人民大学          hxxp://art.ruc.edu.cn/

　　北京大学              hxxp://ccls.pku.edu.cn

　　北京外国语大学        hxxp://aa.bfsu.edu.cn

　　土猫论坛              hxxp://bbs.luckycats.net/index.asp

　　鼎盛军事              hxxp://mil.jschina.com.cn/

　　上海美术电影制片厂    hxxp://www.ani-sh.com

　　中国地质大学          hxxp://dxy.cug.edu.cn/list.asp?unid=122

　　贵阳市质量技术监督局  hxxp://www.gyszjj.gov.cn/qyzc/mnbql/contact.asp

　　陕西新闻出版网        hxxp://www.sxxwcb.gov.cn/

　　北京林业大学党委      hxxp://zzb.bjfu.edu.cn/www/index.asp

　　4、国内疫情地域分布TOP10

　　此排名根据金山毒霸云安全系统监测数据换算得出，所体现的是整个5月期间，国内遭受恶意程序感染次数最多的前10个地区。如果某地区遭受攻击电脑数量偏高，通常与该地区电脑拥有量、用户上网习惯、地区门户网站挂马情况，以及黑客所使用工具的扫描或攻击规则等有关。

图4 五月国内疫情地域分布TOP10

三、六月安全趋势提示

　　根据5月所观察与收集到的数据，金山毒霸反病毒工程师对6月份的安全形式做出以下估计与提示：

　　1、继续警惕恶意网页挂马

　　虽然网页挂马存在下降的趋势，但由于这种传播手段历史悠久、感染成功率高，病毒团伙绝不会甘心就这样放弃。随着高考临近，教育相关网站的浏览量激增，这对病毒团伙来说是很大的诱惑，他们很有可能顶风作案。

　　金山毒霸所推荐的解决方案，是安装金山安全实验室的“网盾”，对潜在的网页挂马进行彻底拦截。“网盾”由数十万名用户参与测试，拦截技术不断提高和完善，对利用0day漏洞的恶意脚本也可100%拦截。

　　2、谨慎下载非法外挂和黑客工具

　　利用捆绑或感染其它程序进行传播的病毒，很可能会继续保持较高的传播态势。在五月份的十大病毒中，有三款具有捆绑传播的功能。毒霸安全专家认为，像这类传统的传播方式，在6月份很有可能会受到病毒团伙更大的重视。

　　而网游外挂和黑客工具则是病毒团伙首选的捆绑对象。

　　前者的用户群体针对性较强，基本都是网游玩家，可以方便病毒团伙精确定位盗窃对象，当你下载了一款WOW外挂时，它里面很有可能就捆绑了一个针对WOW的盗号木马。至于后者，由于相当部分下载黑客工具的人其实并不了解安全常识，又被黑客工具夸大的功能所吸引，也容易中招，而且由于“动机不纯”，在中招后羞于启齿，很少会报警或向安全厂商求助，只能吃哑巴亏。

　　3、病毒团伙“互助模式”将会继续，可能出现更复杂的关联

　　做出这一推测的理由是，我们发现下载器们“互助”的复杂性，是随着时间推移逐渐加深的。刚开始时只有少数几个单纯的下载器互助下载，但后来广告插件、盗号木马、远程程序等也陆续加入。

　　如果这种互助模式的确能带来“增收”，在未来很可能会有更多的病毒团伙加入到这一“运营模式”中来，甚至不排除不同病毒团伙合作开发新型病毒技术的可能，值得我们警惕。