导言
本月,安全厂商开始陆续发布2010版本,互联网用户安全得到进一步加强。
与此同时,互联网安全又进入了一轮新的微妙变化:挂马攻击减少了,一些更为隐蔽的
攻击模式开始流行。老掉牙的捆绑式传播,由于捆绑对象变成了非常受欢迎的文件,病毒木
马们得以有更多的机会混进电脑,甚至连一些比较古老的软件安全漏洞也被黑客们重新挖掘
出来尝试利用。而国庆的临近,让中国受到更多的关注,境外黑客这个时候也跑来凑热闹,
频繁攻击国内网站。 
报告全文下载
·下载 [金山毒霸2009] 防御本月最新病毒 ·下载 [金山清理专家] 抵御木马攻击永久
本月安全提示
[太平洋电脑网]推荐杀毒软件
适合用户:笔记本 / 上网本 / 游戏用户
对电脑运行速度在意的PC用户
热点导读
安全报告全文:9-10月安全状况综述 十大病毒排行 十大影响较大被挂马网站 10-11月安全状况提示
● 挂马的秋天?
本月网页挂马数量出现了明显下降。挂马网址的数量从8月的1,507,116个骤降至1,244,572个。 各家杀毒软件的防挂马工具在这一时间段内并没有明显的技术升级和推广活动,挂马团伙难道是平白无故“鸣金收兵”了么?结合大环境,我们不难发现,挂马 团伙的“收敛”应该与国庆临近有较大关系:相关部门在国庆期间加大了对网络安全的监查,在这种情况下,国内的黑客组织生怕撞上枪口,自然不敢有什么大动 作。
但更担心的,是出现了更为隐蔽、低调的攻击模式。在十月初,金山毒霸云安全系统的确截获到了一些比较隐蔽的黑客攻击案例,它们相对挂马来说更为“温和” 和“低调”。我们正在研究它们是否有可能替代挂马成为主流的网络攻击手段。在后面的下月安全预警中,我们还会对此进行更详细的介绍。
● Delphi梦魇如期而至
如同我们曾经预测的那样,Delphi梦魇(win32.induc.b.820224系列)成为本月总感染量最高的病毒,全月共拥有超过600万台次的感染量(查看详情)。
该毒的出现,为广大黑客指出了一条非常具有挑战的“前进方向”:Delphi梦魇通过感染程序员的电脑,令软件产品从生产地开始,就染上病毒,并随着软件产 品的发售安装,传播到更多的电脑上。更大担忧,是国内使用破解版软件的网民较多,Delphi梦魇在电脑上反复感染的可能性非常高,因为那些用于制作破解软件的 破解工具,多半已经被Delphi梦魇所感染,用它们制造的破解版软件,自然也就不干净。用户很容易由于下载了某些破解软件,而再次感染该毒。
[解决方案]
金山毒霸云安全系统在Delphi梦魇源代码流出没多久,就从网络中捕获了基于该毒技术的木马下载器。从代码上看,这一下载器很简单,似乎仅仅是为了测试而 制作。我们希望这仅仅是国内黑客出于技术研究而生产的,出于安全方面的考虑,毒霸进行了同步升级,因为很难保证不会有利益熏心的木马团伙利用该毒原理来为 非作歹。
作为目前国内唯一一款可查杀Delphi梦魇、并修复被其感染的delphi环境的杀毒软件,金山毒霸已经在第一时间放出了完全免费的专杀,即便没有安装金山毒霸 的电脑,也可及时清除该毒,恢复系统安全。
免费下载使用【Delphi梦魇专杀工具】 (金山毒霸用户已自动升级本模块 无需单独下载)
● 捆绑型传播渐成主流
借助社会关注热点,将病毒木马与其它文件捆绑到一起,已经是被越来越多的不法黑客采用的传播手段。当网页挂马的难度,由于执法部门加大监察、杀软厂商 采用新技术等原因增大后,黑客们重新捡起了这种古老的病毒传播方式。
其中被利用得最多的捆绑目标,就是各类视频播放器。但几乎所有因此中招的用户,都有一个共同点,就是他们所下载的播放器,并非在播放器官方授权的下载 站点下载,而是一些不知名的小站点或不良视频论坛。这一切都是不法黑客搞的鬼。他们将木马捆绑在Qvod等流行的播放器上,到处投放下载链接,甚至不惜专门搭 建一个不良网站吸引用户前去访问,一旦用户下载,就会中招。
[解决方案]
金山毒霸2009已经全面升级了网盾防挂马模块,脚本木马试图通过网页挂马入侵电脑的可能趋于0,因此毒霸用户不必过于担心。
对于非毒霸用户,我们提供完全免费的独立版金山清理专家和金山网盾,安装其中的任何一个,都可获得同样的保护。
十大病毒排行榜 【查看详情】
十大影响较大的被挂马网站 【查看详情】
此榜中的网站,均曾在9月遭到过病毒团伙攻击,并被挂上脚本木马。我们从记录到的挂马网站中,按知名度、访问量人数,以及网站代表性进行综合评估,选出十个,得出此榜。 截止本期月报完成时止,它们依然被挂着。
 |
黑龙江省人民政府参事室 |  |
广州住房公积金中心网站 |
 |
湖北省农业厅网站 |  |
CCTV旅游论坛 |
 |
IT168 |  |
老舍纪念馆 |
 |
人民网广西视窗 |  |
志高空调 |
 |
新华网福建频道安南在线 |  |
科比中文网 |
● 隐蔽型黑客攻击案例或增加
近日,金山毒霸安全专家发现了一种新型的“隐蔽式黑客攻击”。
这种黑客攻击手法目前主要是在一些政府网站中发现。黑客是将一些广告链接嵌入到网站的源代码中秘密运行,无论是用户还是网站管理员,都不易发现网站已经 被黑。而由于嵌入的是广告链接而非恶意攻击代码,防挂马工具也不会有任何警告。如下图1:
● 来自SNS社区的flash xss蠕虫攻击
只要网民访问被黑页面,这些嵌入的广告链接就会被搜索引擎一起统计,这样做很可能是为了帮助这些链接所指向的网站提高排名。 金山毒霸安全专家认为,从经济角度来看,这种黑客攻击模式不会给被黑网站和访客造成什么明显损失。但对于被黑网站的管理员来说,则需要引起足够重视,因为是由于网站框架搭建和监管存在漏洞,才导致黑客能够成功发起攻击。同时,也不排除部分广告链接是由网管自己加入的可能,这样他们可以“公私兼 顾”,利用公家的流量为自己顺带捞点外快。
目前还不清楚这种新型攻击方式与9月的挂马数量减少是否有关,但在十月份,相信这种隐蔽的黑客攻击案例会有所增加,网管们应经常检查网站,及时修复 可能出现的问题。
● 来自境外的大规模黑客攻击
从9月下旬开始,境外黑客组织对中国网络的攻击频率越来越高,这其中原因复杂,中国互联网这个由数亿台个人电脑构成的庞大网络,为黑客们研究攻防技 术、谋取经济利益提供了足够的“训练器械”和“储备肉鸡”,这本身就是吸引境外黑客的一个重要因素。同时,某些国外反华势力的行动,也是使中国网络遭受 境外攻击案件增加的原因。
以HEXB00T3R这一黑客组织来说。该组织来自土耳其,是一个于前年开始活跃的黑客组织,随着国庆的临近,该组织加大了对我国网站的攻击力度。根据金山毒霸云安全系统的监测,他们目前每天攻击的网站多达到70个,几乎都是中国网站。地方政府网站、企业网站、公益组织、交友社区、游戏私服、个人空间等均在 他们的攻击范围内。
在攻击成功后,HEXB00T3R会留下“HACKED by HEXB00T3R”之类的标记(如上图2),或者直接在受害网站中插入自己的页面,宣扬一些极端言论,甚至时直接打电话向被黑站长挑衅。他们污蔑中国是“懦弱的恐怖分子”,他们还经常在留言中表示美国、丹麦、以色列等国家的敌视。我们猜测,HEXB00T3R的成员很可能是些极端民族主义者和极端宗教主义者。
金山毒霸安全专家提醒广大站长,在整个10月,应对网站加强相应的防御措施,防备遭遇来自境外黑客的攻击。
● AdobeReader漏洞恐再遭利用
由于更新升级机制一直存在问题,Adobe Reader的一款老漏洞最近又被黑客利用了。
金山毒霸云安全系统近日截获一款借邮件中的PDF文档传播的后门木马。毒邮件的发信人称自己是现居北京的《金融时报》编辑“帕姆”,他要求收件人阅读 附件PDF文档中的名单,协助他完成一个所谓的经济研究课题访谈。但如果你阅读了这个PDF附件,那么你会立即掉进黑客的陷阱,因为文档中包含一个后门木马文件,它会将你的电脑与黑客远程服务器连接起来,等候黑客指令。
被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特 制的文件名参数时就会发生溢出事件,导致木马可以绕过系统安全模块运行。不过经测试它无法绕过金山网盾的拦截,金山毒霸对该毒的命名为Win32.Troj.PdfDr opper.eq和Win32.Troj.PdfDropper.ty。
早在今年4月份时,这一漏洞就已经被安全业内人士发现并发出了警告,但由于Adobe Reader等PDF阅读器的升级机制问题,总还是会有不少用户电脑中依然存 在这一漏洞。黑客很可能是掌握了这一规律,才精心制作了这封毒邮件。但我们更担心的是,这一消息会刺激黑客更深入的挖掘Adobe Reader的0day安全漏洞,因为一旦发现一个漏洞,就能在很长的时间里都利用它,为黑客们最大限度的带来利润。