金山毒霸2009年4月安全报告

四月安全状况简述

恶意域名变化迅速

所谓的恶意域名，就是病毒团伙用于存放恶意程序的服务器的“地址”。如果您曾经阅读过前两期的安全月报，相信您对网页挂马行为和脚本木马已经有所认识，但脚本木马通常只是一个下载器(可以下载大量其他木马的病毒），它必须要下载其它恶意程序，才能给用户电脑造成实质的破坏与损失。而恶意程序，就是存放在那些恶意域名背后的黑客服务器上的。

为避免安全厂商和公安部门顺藤摸瓜，通过跟踪服务器动向来追查他们的行动规律和地理位置，病毒团伙频繁的更换服务器，服务器的域名自然也是随之改变。

根据金山毒霸“云安全”中心的监测，目前国内网络中，每天大约新增10个左右的恶意域名，这些域名可能指向同一个黑客服务器，也可能单独具有一个对应的服务器。而每款木马下载器中所包含的下载列表，两三天就会更新一次，基本上是每出一个木马新变种，病毒团伙都会立即更换恶意域名。

下载器免杀更加频繁，防御手段必须创新

进入4月后，各款恶意程序的更新频率都越来越高。过去我们所接触的一些著名病毒，如机器狗、磁碟机等，可能一周、甚至半个月才出一次变种。而近来被多次曝光的宝马下载器、脚本下载器系列等，更新频率竟然达到一天两次以上。

这种频繁的更新与过去那种缓慢更新有着很大的区别。在过去，病毒很长时间才更新一次，每次更新，都会添加一些新的功能，也许是对抗能力更强，也许是可执行的破坏行为更多。但现在这些每天更新的病毒，它们仅仅是做了免杀而已。

所谓免杀，简单的说就是改变病毒的某些特征，让杀毒软件无法识别，这种方法虽然简单，但对付常规的杀毒软件却非常有效，因为杀毒软件的升级具有延时性，并且由于体积庞大，不可能像病毒那样随意更新。

这样一来，杀毒软件既无法及时防御病毒，又增加了软件出错的风险，部分杀毒软件几乎是疲于奔命，最后遭殃的仍是用户。传统的杀毒措施已经无法对电脑进行有效防护，必须要有新的防护手段，在这种情况下，金山互联网安全实验室（http://labs.duba.net/）应运而生，相续开发出“网盾”、“系统急救箱”等深受用户欢迎的实验型安全工具。而其他安全厂商也相继推出了自己的新理念。

IE首页修改病毒增多

在过去的几个月里，我们从木马下载器的下载列表中查获的恶意程序，盗号木马占主要构成。而在四月，我们发现广告类木马出现了明显增长。

这些新增的广告木马与传统的广告木马有所不同，它们并非靠添加流氓插件来实现弹广告。而是利用恶意驱动来修改用户电脑中有关IE默认首页的文件，使得用户在启动IE时被强行指引到病毒作者指定的网站，为这些网站做推广和刷流量。

由于是利用驱动彻底改变了系统数据，普通的修复手段无法有效修复这种破坏，用户只有能两个选择：忍受广告或重装系统。金山毒霸对此所推出的方案，是利用“系统急救箱”进行暴力修复，在运行该工具时，电脑会蓝屏，但重启之后，一切就可恢复正常。

四月安全相关数据

新增病毒样本数：1,773,891个

病毒感染机器数：20,083,015台次

新增漏洞：29个，均为微软漏洞。

挂马网址：116,577个

十大病毒排行榜

此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。

排名 病毒名 金山毒霸中文病毒名 感染量（单位:台次) 

1 win32.troj.fakefoldert.yl.1407388 文件夹模仿者 6134080 
2 win32.troj.addownload.ef.26184 非法插件安装器 3560110 
3 win32.troj.gaopsget.49893 高频下载器 2927270 
4 win32.troj.sysjunk2.ak.196608 干扰弹AK 2511090 
5 win32.vbt.hl.84701 无公害感染源 2219330 
6 win32.trojdownloader.delf.td.145840 宝马下载器变种 2178080 
7 win32.troj.encodeie.ao.524288 传奇盗号下载器AO 2097050 
8 win32.troj.delf.ks.73728 U盘感染虫变种 2027830 
9 win32.troj.killav.ec.118784 宝马下载器变种 1438340 
10 win32.trojdownloader.mnless.16384 对抗型下载器 1378600 

Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）

展开描述： 模仿文件夹图标，欺骗用户点击

卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko、

瑞星命名: Trojan.Win32.ECode.een、orm.Win32.Agent.aaqn

NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

麦咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus
 
此毒将自己的图标伪装成系统文件夹的样子，用户在U盘中看到一个陌生文件夹时，多半都会去点击。如此一来，即使用户禁止了U盘自动播放，该毒依然能够实现运行。运行后，此毒会下载一些别的恶意程序，执行多种破坏行为。

此外，有一些脚本挂马也会帮助该毒传播，一旦它们利用系统安全漏洞攻入电脑，就会立即下载包括“文件夹模仿者”在内的其它恶意程序。

根据变种的不同，此毒会呈现多种症状，其中比较明显的一种，是用户系统中的文件夹全部变为病毒的EXE文件，用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行，如果该变种所携带的执行模块是广告插件，那么就会尽可能多的弹出广告网页。

阻止此毒进入系统的最佳办法，是打齐系统补丁并安装金山安全实验室的“网盾”，该工具目前由数十万人参与测试，稳定性不断增强，可100%拦截包括0day漏洞在内的所有漏洞利用代码，粉碎黑客的挂马攻击意图。

网盾下载地址 http://labs.duba.net/wd.shtml

Win32.troj.addownload.ef.26184 （非法插件安装器）

展开描述：擅自安装插件，传播流氓软件
 
“非法插件安装器”(win32.troj.addownload.ef.26184)在整个四月里，感染量始终在缓慢攀升。总的感染量超过359万台次。此毒是一个专门帮助流氓软件进入用户电脑安装的下载器。它借助一些脚本木马的帮助，或者捆绑于其它程序，入侵用户电脑。

一旦入侵成功，就会下载一个文件名为kxsosetup.exe的浏览器插件，并将其强行安装到用户电脑中，随后就不时弹出广告窗口，十分烦人。

如发现电脑中混入这个kxsosetup.exe插件，使用金山清理专家的“恶意软件查杀”功能即可将其清除。如果遭遇特别顽固的变种，那么也可以借助清理专家“安全百宝箱”中的“文件粉碎机”功能将其粉碎。
 
Win32.troj.gaopsget.49893（高频下载器）

展开描述： 频繁下载恶意软件 占用系统资源

卡巴命名: Trojan-Dropper.Win32.Microjoin.ap

瑞星命名: Dropper.Agent.naqn

NOD32命名: Trojan.Win32.TrojanDropper.MultiJoiner.13.B

麦咖啡命名: MultiDropper-MR trojan
 
“高频下载器”（win32.troj.gaopsget.49893）这款木马下载器在四月中旬时开始成为我们关注的焦点，此后的几天里，它的感染量一直缓慢上升，在四月的总感染量接近300万台次。

这是一个木马下载器。当它将自己的文件释放到系统临时目录后，就会开始下载大量的木马程序，其中大部分为网游盗号木马。只要不被删除，它在每次开机后都会执行一次下载，严重占用系统资源。

如果用户在自己电脑中发现有此毒的查杀报告，说明系统中存在某些安全漏洞，请尽快用清理专家打齐补丁，并清空系统缓存。

如果这样仍然不断报告说发现此毒，那么则表明将该毒引入您电脑的脚本木马，利用的是某种未知漏洞。这种情况下，下载“网盾”安装，即可堵住这些未知漏洞。

Win32.troj.sysjunk2.ak.196608 (干扰弹AK)

展开描述：干扰反病毒工作者，阻止查杀

瑞星命名:：RootKit.Win32.Undef.bzln
 
面对杀毒软件的围追堵截，病毒作者从来都不会愿意束手就擒，他们采用各种方法进行对抗。其中“加花指令”就是他们常用的一种手段。

“干扰弹AK”（win32.troj.sysjunk2.ak.196608），就是个“加花指令”。这种病毒文件本身不会对系统有任何危害，但里面包含有大量的垃圾数据，病毒作者希望以此来干扰反病毒人员的分析工作。如果杀毒软件厂商的反病毒工程师技术不强，就有可能无法处理此毒。

此外，通过对此毒分析，金山毒霸反病毒工程师发现，此毒在进入系统后会与病毒其它文件一起随机藏匿在一些比较深的目录中。如果用户发现电脑上出现此毒，建议进行全盘查杀，揪出它隐藏的“同伙”。

同时，下载安装金山安全实验室的“网盾”，封锁此毒借助脚本下载器进入电脑的通道。

网盾下载地址http://labs.duba.net/wd.shtml
 
Win32.vbt.hl.84701 (无公害感染源)

展开描述：

卡巴命名:Virus.Win32.VB.bu

瑞星命名:Trojan.PSW.SBoy.an

NOD32命名:virus.Win32.Sality.NAC

麦咖啡命名:PWS-LegMir trojan

“无公害感染源”（win32.vbt.hl.84701）在过去的两个月，一直是感染量排行榜中的常客。在4月份，它的感染总量继续上升，达到220万台次，这个数字比3月份时多出20万。

该毒本身没有任何破坏能力，它只是单纯的感染用户电脑中的EXE文件，也不会干扰被感染文件的正常运行。
但是，该毒现在的版本中增加了一些用于与其它模块相连接的接口，这使得它能够帮助那些具有恶意行为的病毒模块进行传播。至于它们“合体”后会有哪些危害，则要看木马执行模块的功能如何安排，不同的变种可能具有不同的功能。

此毒传播的方式多样，既借助网页挂马传播，又借助U盘传播，部分样本还与别的正常程序捆绑在一起，通过用户的下载混进电脑。

Win32.trojdownloader.delf.td.145840（宝马下载器变种）

展开描述：变种数量大，频繁免杀，下载恶意程序

卡巴命名: Trojan-Dropper.Win32.Agent.alqf

瑞星命名: Trojan.PSW.Win32.GameOL.xiwn

NOD32命名: Trojan.Win32.Agent.PDQ
 
毫无疑问，宝马下载器是整个四月里，传播范围最广的恶意程序。它的变种数量很大，每逢重要节假日，病毒作者都会“加班”推出一批新变种。win32.trojdownloader.delf.td.145840这个变种，在清明期间开始爆发，并成为四月感染量较大的病毒之一。

该毒具备有对抗杀毒软件的能力，会采用多种方式尝试中止杀软进程或禁止杀软的服务，甚至还会释放出一个驱动来用于穿透系统还原保护和某些杀软的“主动防御”。

毒霸可拦截该毒和它所下载的盗号木马，如果发现自己电脑上频繁出现此毒，并非该毒“杀不掉”，而是表明有别的未知下载器不断的将其“复活”，这种情况，只需下载安装金山安全实验室的“系统急救箱”，就可解决问题。

“系统急救箱”下载地址http://labs.duba.net/jjx.shtml，下载前请阅读说明。

Win32.troj.encodeie.ao.524288 (传奇盗号下载器AO)

展开描述：盗窃网游帐号，非法转移虚拟财产

卡巴命名：Trojan.Win32.BHO.nng

瑞星命名：RootKit.Win32.Agent.etjn
 
“传奇盗号下载器AO”（win32.troj.encodeie.ao.524288）在三月份时，就已被收录到当期的安全月报中。然而在四月，此毒依然猖獗。

通过不断更新变种和借助挂马推广，该毒始终保持着较高的感染量。毒霸反病毒工程师对其分析后发现，它可以下载许多别的木马到用户电脑中运行，但其自身也具有盗号功能，根据变种的不同，可以利用内存注入、键盘记录、消息截获等多种手段盗取《传奇》的帐号。

同时，根据变种不同，该毒也能盗取其它游戏的账号密码信息。

使用“系统清理专家”打齐系统补丁是免受此毒骚扰的最简单办法。
 
Win32.troj.delf.ks.73728 (U盘感染虫变种)

展开描述： 借助U盘传播，危害局域网

卡巴命名：Trojan-Downloader.Win32.Agent.bprr

瑞星命名: Worm.Win32.NSDownloader.aun

NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OMQ

麦咖啡命名: Downloader-BNM Trojan
 
Win32.troj.delf.ks.73728是个普通的U盘病毒，能通过释放AUTO文件在U盘等移动存储设备与电脑之间自由复制感染。此毒进入系统后的行为多变，根据变种的不同，可执行下载木马、远程控制、弹广告等多种破坏。这些都是比较传统的U盘病毒的特征。

之所以拥有较大的感染量，毒霸安全专家认为可能是有网页挂马在为此毒做推广，而该毒借助U盘在办公室局域网之间的传播，也很可能是它感染量较大的原因之一。

Win32.troj.killav.ec.118784（宝马下载器变种）

展开描述：变种数量大，频繁免杀，下载恶意程序

卡巴命名：Trojan-Downloader.Win32.Geral.aj,HEUR.Trojan.Win32.AntiAV

瑞星命名: Trojan.Win32.KillAV.azzn, Dropper.Win32.AntiAV.fn

NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OZY
 
win32.trojdownloader.delf.td.145840也是宝马下载器的一个变种。

该毒在对抗安全软件、下载恶意程序、威胁系统安全方面，与上面已经提到的win32.trojdownloader.delf.td.145840完全一致。

毒霸可拦截该毒和它所下载的盗号木马，如果发现自己电脑上频繁出现此毒，并非该毒“杀不掉”，而是表明有别的未知下载器不断的将其“复活”，这种情况，只需下载安装金山安全实验室的“系统急救箱”，就可解决问题。

“系统急救箱”下载地址http://labs.duba.net/jjx.shtml，下载前请阅读说明。

Win32.trojdownloader.mnless.16384（对抗型下载器）

展开描述：对抗安全软件，下载恶意程序

卡巴命名：Trojan-Downloader.Win32.Agent.bqsm, Rootkit.Win32.Agent.fia

瑞星命名：Trojan.DL.Win32.Mnless.csgn, RootKit.Win32.Agent.ehyn

NOD32命名：Trojan.Win32.Agent.ONG, Worm.Win32.AutoRun.Agent.EU
 
此毒的行为基本与宝马下载器一致，不过它们并不是同一类东西。这反映出了黑客们的技术共享有多么“融洽”，不同的病毒作者可以共享同一种病毒技术。

对付该毒不需要什么特别的办法，打齐系统补丁、安装网盾之类的防挂马工具即可。
 
本月重大漏洞介绍

在4月，微软更新了MS09-014漏洞补丁（对应补丁编号为KB963027），用于替换之前的MS09-002和MS08-078两个高危漏洞补丁，用户修补了MS09-014后可以不再修补另两个漏洞。

这种使用新补丁替换旧补丁的情况，被称为“累积性的安全更新”，也就是说，同一个漏洞问题，如果之前推出的补丁没能彻底解决，那么就出一个新的补丁再次升级，希望新的补丁可以解决此问题。从微软的这次更新我们可以看出，MS09-002和MS08-07依然是非常重要的漏洞。

事实上，自从爆出后，MS09-002和MS08-07就一直是深受脚本木马作者欢迎的漏洞，在金山毒霸所截获的脚本木马中，有相当数量都含有这两个漏洞利用脚本。从理论上说，只要用户按时升级，就可以堵住这两个漏洞，但是，出于各种复杂的原因，还是有不少用户的电脑存在这上述漏洞。

金山毒霸的清理专家模块具有自动监测系统漏洞补丁升级的功能，一旦微软推出新的安全补丁，就会在第一时间为用户自动安装。因此毒霸用户不必担心系统安全。对于非毒霸用户，我们则建议下载安装金山安全实验室的网页防挂马工具“网盾”，对潜在的漏洞建立拦截，阻止脚本木马通过网页挂马进入电脑。下载地址 http://labs.duba.net/wd.shtml

十大影响较大的被挂马网站

此榜中的网站，均曾在4月遭到过病毒团伙攻击，并被挂上脚本木马。我们从记录到的挂马网站中，按知名度、访问量人数，以及网站代表性进行综合评估，选出十个，得出此榜。

此外还需注意的是，著名网络社区“天涯”被金山云安全系统监测到存在严重安全漏洞。由于“天涯博客”没有对用户提交的日志进行过滤，导致用户可以提交任意带<script>标签的日志，造成XSS漏洞。该漏洞已经被挂马集团利用，但因为“天涯博客”的个人博客空间数量较多，我们暂时无法单独列举出全部的含毒空间。

海南省疾病预防控制中心 hxxp://www.hncdc.cn/
重庆志愿者总队   hxxp://www.yzyg.cq.cn
中国电影网             hxxp://www.chinafilm.com
上海美术电影制片厂  hxxp://www.safs.cn/
上海与台湾         hxxp://www.shtwo.gov.cn/gb/newscontent.asp?id=11288
盐城青年旅行社         hxxp://www.ycyts.com/
中国人民银行研究生部    hxxp://www.gspbc.edu.cn
四川大学          hxxp://ce.scu.edu.cn/bkjx/detail.asp?id=304
西北工业大学      hxxp://som.nwpu.edu.cn
中央民族学院          http://cwcx.cun.edu.cn/tool/chris/

国内遭袭地区前十排名

此排名根据金山毒霸云安全系统监测数据换算得出，所体现的是整个4月期间，国内遭受恶意程序感染次数最多的前10个地区。如果某地区遭受攻击电脑数量偏高，通常与该地区电脑拥有量、用户上网习惯、地区门户网站挂马情况，以及黑客所使用工具的扫描或攻击规则等有关。
 
排名 地区 被感染数量（台次） 

1 广东 9093510 
2 江苏 5625350 
3 山东 4943840 
4 四川 3971020 
5 浙江 3896860 
6 河南 3854340 
7 河北 3657710 
8 上海 3366480 
9 北京 3110640 
10 河北 2983280 

五月安全趋势提示

根据4月所观察与收集到的数据，金山毒霸反病毒工程师对5月份的安全形势做出以下估计与提示:

修改IE主页的恶意程序可能大幅增长

在四月露出增长苗头的IE主页修改型病毒，五月份很可能出现更大规模的爆发。这些病毒可能是单独的一段恶意修改代码，也有可能以流氓软件的形式存在。但它们修改IE主页，将用户指引到特定网页的动机，都无非是一个“利”字。

通过帮助这些特定网站做推广，病毒作者可以获得价值不菲的佣金，修改的电脑越多，被迫浏览这些网站的用户也就越多，那么这些网站获得的流量也就越大。相应的，病毒作者能拿到的提成也就越多。

为保证自己能长久的驻留电脑系统，这些恶意程序的对抗能力也会继续进化，越来越多的采用驱动级的修改，令普通的安全软件难以修复。

病毒传播方式可能出现复古现象

在过去的几个月中，网页挂马一直是深受病毒团伙喜爱的病毒推广方式，它高效的自动攻击，为病毒团伙换取了巨大的不法利润。不过，这种做法激起的民愤也是相当的大，网民们骂声一片，各安全厂商相继推出专门的防挂马工具，很快压缩了网页挂马的“生存空间”。

金山毒霸发现，在这种情况下，一些传统的病毒推广手段开始“复苏”，比如将病毒与普通文件捆绑，或者是在游戏外挂中直接嵌入恶意代码。虽然传统方法的推广效率较低，但如果巧妙的利用社会热点事件吸引网民下载“诱饵”，那么病毒团伙还是能捞上一笔。

不过，只要用户注意每次下载后先用杀毒软件扫描一遍所下载的文件，安全还是有保障的。而且，对于挂马传播，我们也应继续保持警惕。

第三方软件漏洞值得关注

同样是出于网页挂马生存空间的压缩，另一些病毒团伙很可能会将目光投向第三方软件的漏洞挖掘。在四月的最后几天，有关诺基亚手机操作系统漏洞和暴风影音0day漏洞的消息开始在黑客圈子中传播，前者可用于无限次的试探手机银行的密码，后者可用于在视频中嵌入恶意代码。

从理论上说，任何一款软件都是存在0day漏洞的，问题只在于，谁会先发现它。如果是软件的开发者，那么相关的补丁就会很快放出，堵住漏洞，将用户的损失降至最低；而如果是黑客组织先发现，那么这款软件的用户就将沦为任由宰割的肉鸡——美味可口、利润丰富。