金山毒霸发布最新七月互联网安全报告
引言:2009年的7月对于不法黑客来说,完全是个“快乐的暑假”。0day漏洞从未像这次这样频繁曝光过。微软视频0day(DirectShow 0day)、office 0day漏洞、火狐0day漏洞、Adobe Flash 0day漏洞相继登场……用“0day之月”来形容,一点也不为过。
7月已经结束,在整个7月中我们到底经历了怎样的安全局势,而在炎热的8月,是否会有新的0day漏洞继续发现?除了与漏洞有关的攻击,不法黑客还会用别的什么方法攻网民?本期金山毒霸互联网安全月报为您一一解析。
七月安全状况简述
*0day助纣为虐,挂马攻击“乐翻天”
在6月的安全报告中,我们曾对7月可能出现新的0day漏洞发出过预警。0day漏洞对挂马攻击案件的推波助澜,威力不可小视,它使得黑客作案的技术门槛大大降低,同时提供了大量极具诱惑的目标——0day漏洞使得所有的机器都如同不设防的城市,不法分子只要动作敏捷,在漏洞补上前捞一票是再轻松不过的事。
借助一系列的0day漏洞,网页挂马攻击呈现出了爆发式的增长。本月仅由金山毒霸云安全系统记录到的挂马网址数量,就高达1,211,387个。而实际的挂马网址,还要远远大过这一数字。
不过,使用金山毒霸2009的用户受到上述漏洞影响的几率,将远远小于其他用户,因为金山毒霸2009的清理专家组件,已经全面升级了网盾防挂马模块,这使得脚本木马试图通过网页挂马入侵电脑的可能趋于0。
对于非毒霸用户,我们继续奉行无偿救急的服务理念,提供完全免费的独立版清理专家和独立版网盾,安装其中的任何一个,都可获得同样完美的保护。
*捆绑式传播流行
在本月金山毒霸所统计的感染量最高的前10个病毒中,利用捆绑手段进行传播的病毒就有3个。它们的捆绑对象有个共同点:都是最受网民欢迎的视频或小型程序。比如“摸*门”、“脱裤门”、“秋千门”等颇有争议的视频文件,以及最近比较流行的Qvod播放器,另外还有一些不良网站提供的专用播放器或下载器。
选择热门文件和程序进行捆绑,是病毒团伙对用户进行“饱和攻击”的一种方式,这比网页挂马对用户构成的威胁更大,如果是网页挂马,用户还能使用“网盾”这样的防挂马工具来拦截,而采用捆绑传播,则如同是用户主动下载病毒,使病毒能够绕过用户机器上防挂马工具的防御。使用户防不胜防。
对于这种传播手段,其实有个比较简单的办法。目前包括金山毒霸在内的大多数杀毒软件,都具备定点扫描的功能,用户只需在下载完毕后,使用杀软扫描一遍,就可以极大的减少中招几率。而如果是使用的是迅雷、QQ等知名下载器,它们本身自带的就有绑定杀软功能,可以在下载完毕后自动调用电脑中的杀软对所下载文件进行扫描。
*盗号木马再成主流
在6月份时,我们曾发现网络中的病毒以后门程序为主,所占比例一度达到60%以上,但在7月份出现大规模0day漏洞后,网络中的病毒构成发生了非常明显的变化。那就是盗号木马重新成为了主流病毒。
根据金山毒霸云安全系统监测的数据,各种下载器占全部病毒样本的14%,它们所下载的木马,都以cfg网游盗号系列为主,而这些cfg盗号木马占据了全部病毒样本的19.81%。后门程序则只占到1.35%。
通过分析文件特征和行为特征,我们发现目前的cfg家族是由过去的老cfg和comres盗号系列结合而成(cfg与comres都是过去曾流行过的网游盗号木马家族,由于病毒代码中带有相关字符而得名)。至于针对QQ的盗号器,则相对较少。
这种病毒比例的变化,金山毒霸安全专家认为与0day漏洞的突然爆发有一定的联系。0day漏洞所带来的利润巨大,又具有时效性,病毒团伙当然不会错过这种能够自由攻击用户的机会,因而调整了病毒传播策略,将盈利时间相对较长的后门程序换成了能够在短时间内盗取大量虚拟财产的盗号木马。