2011年第3季度安全威胁
本季安全警示:
本季安全警示: PE病毒,漏洞, MBR感染型病毒
2011年第3季度流行病毒概况
本季度趋势科技在中国地区发现新的未知病毒约15万种。截止2011.9.30日中国区传统病毒码8.462.60可检测病毒数约350万种。
新增的病毒类型最多的仍然为木马(TROJ),木马大部分有盗号的特性。木马的比其他类型的电脑病毒更容易编写且更容易使病毒制造者获益。在经济利益的促使下,更多病毒制作者开始制造木马病毒。
我们看到本季度新增病毒种类中RTKT也进入了前十名中。RTKT为rootkit,其主要功能为:隐藏其他程序进程的软件. 可能是一个或一个以上的软件组合。我们怀疑此类病毒的增加,可能与 TDL3/TDL4 的流行有关。
2011第3季度中国地区新增病毒类型
本季度趋势科技在中国地区拦截到新的恶意URL地址以及相关恶意文件约10.2万个。比上季度有所减少(上季度为14.1万)。 其中通过Web传播的恶意程序中,约有21.4%为JS(脚本类型文件)。向网站页面代码中插入包含有恶意代码的脚本仍然是黑客或恶意网络行为者的主要手段。这些脚本将导致被感染的用户连接到其它恶意网站并下载其他恶意程序,或者IE浏览器主页被修改等。一般情况下这些脚本利用各种漏洞(IE 漏洞,或其他应用程序漏洞,系统漏洞)以及使用者不良的上网习惯而得以流行。
2011第3季度中国地区web威胁文件类型
通过对拦截的Web威胁进行分析,我们发现。约有78.5%的威胁来自于General exploit (针对漏洞的通用检测)。
其中包括利用Adobe 软件的漏洞(例如:一些.SWF类型的web威胁文件)。利用跨站脚本漏洞攻击,对正常网站注入恶意JS脚本,或插入恶意php,html 代码。 另外一些带有病毒文件的链接也会被加载到某些网站中,一旦访问了这些网站即会重定向到病毒链接下载并执行病毒。
2011第3季度中国地区前20名通过web感染的病毒
以下网站中也发现有漏洞或恶意代码,这些可能和政府网站被挂马有关:
hxxp://a.dnpk.net:82/dt.asp?www.rzjs.gov.cn
hxxp://a.dnpk.net:82/hx.asp?jcx.pljc.gov.cn
hxxp://bm.wuyishan.gov.cn:80/count/count.js
[url=http://a.dnpk.net:82/sg.asp?www.hx.gov.cn]hxxp://a.dnpk.net:82/sg.asp?www.hx.gov.cn[/url]
[url=http://a.dnpk.net:82/dt.asp?www.funing.gov.cn]hxxp://a.dnpk.net:82/dt.asp?www.funing.gov.cn[/url]
hxxp://a.dnpk.net:82/dt.asp?www.hnhhsw.gov.cn
hxxp://immigration.gov.ph:80/administrator/components/com_media/old/atualizar.exe
hxxp://www.hdcentenario.gov.co:80/~lazzoz/paypal/us/webscr.php?cmd=_login-run
本季度趋势科技在中国地区客户终端检测并清除恶意程序约4021万次。
2011第2季度中国地区各类型病毒感染数量比例图
本季度木马病毒数量及所占比例大幅上升,蠕虫病毒以及PE感染类型病毒比例也稍有下降所占比例分别为10.8%与6.6%。 蠕虫病毒最主要的特性是能够主动地通过网络,电子邮件,以及可移动存储设备将自身传播到其它计算机中。与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,即可进行自身的复制
目前比较流行的PE病毒,会感染一些蠕虫或者木马病毒。随着木马病毒以及蠕虫病毒在网络内的传播导致网络环境中越来越多的电脑被PE病毒感染。 RTKT 类型病毒是近几个季度以来首次进入病毒感染类型排名中。可见近期该类型病毒急速增加。rootkit真正目的是在于隐藏其他进程,注册表以及程序。使用了rootkit 技术的病毒往往非常难以清理。 我们有理由怀疑RTKT类型病毒的增加与TDL3/TDL4的流行有关,而这类病毒也有可能导致了最近一段时间MBR 感染类型病毒的增加。
2011年第3季度流行病毒分析
2011第3季度中国地区病毒流行度排名
本季度最流行病毒依旧是WORM_DOWNAD.AD,该病毒目前仍然在很多企业用户网络内流行。相对于上一个季度WORM_DOWNAD.AD病毒的流行程度不但没有降低,反而有了小小的上升。这是出乎我们意料之外的。
在这里仍然需要提醒用户,该病毒持续流行的原因有几点:
1.用户内网中电脑系统补丁安装率较低
2.网络中存在弱密码的或空密码的电脑管理员账号
3.网络内存在有未安装防毒软件,或防毒软件已损坏的感染源电脑
4.没有针对U盘等移动存储设备的安全管理策略
由于目前尚未发现关于该病毒的新变种,使用之前发布的专杀工具以及解决方案即可处理此病毒 本季度流行病毒中PE_SALITY 家族病毒排名上升,趋势科技病毒实验室也接到多起关于该病毒的案件。
这只病毒的感染方式从2003年出现以来并没有什么很大的改变。这是一个混合型病毒。具有多种病毒的行为特征。会终止安全相关软件和服务,感染EXE和SCR文件,下载其他病毒文件进入系统。它创建自身拷贝到可移动设备或者网络共享中,以达到传播的目的。
感染了该病毒的主要特征为:
AMSINT服务被安装.
打开注册表编辑器(开始-运行 输入regedit) ,
检查是否有以下内容:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32ImagePath='\??\%System%\drivers\{随机文件名}.sys'
系统无法进入安全模式.
病毒会修改以下注册表键值来禁用安全模式: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot
共享文件夹及其子文件夹下存在LNK和TMP文件最新的PE_SALITY变种会利用最新的Windows快捷方式漏洞。
另外一种可能感染此病毒的特征为在网络共享中存在恶意的LNK和TMP文件:
存在恶意的AUTORUN.INF
PE_SALITY将创建一个病毒母体文件的拷贝和自动执行该母体文件的AUTORUN.INF至所有驱动器.当你进入被感染驱动器后,就会自动执行病毒。这个恶意的AUTORUN.INF包含以下内容:
禁用Windows安全程序和防火墙
该恶意软件也禁用安全相关的程序, 以及Windows Security和防火墙. 除此之外, 它也创建以下注册表键值来禁用Windows Security和防火墙。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter
AntiVirusDisableNotify=1
AntiVirusOverride=1
FirewallDisableNotify=1
FirewallOverride=1
UacDisableNotify=1
UpdatesDisableNotify=1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA=0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall=0
DoNotAllowExceptions=0
DisableNotifications=1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
{病毒路径以及文件名称}='{病毒路径以及文件名称}:*:Enabled:ipsec'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings
GlobalUserOffline= dword:00000000
禁用任务管理器和注册表编辑器
和其他的病毒相似, PE_SALITY也会禁用任务管理器和注册表编辑器。当用户打算打开以上应用程序,将会出现以下错误信息:
该病毒的主要传播途径以及预防措施:
1.Windows快捷方式缺陷
微软已经发布了一个补丁来解决这个问题。
http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx
因此我们建议保持最新补丁级别。
关于此威胁的一个变通方案就是禁用显示图标。
2.可移动存储设备
趋势科技检测Autorun.inf为Mal_Otorun1。以防止执行引用的文件,配置产品,执行在插入新设备后执行扫描。
3.被感染的文件
被感染的文件已经被趋势科技检测为PE_SALITY.RL.请更新最新的病毒码,以保证被感染文件能够及时被检测以及清除:http://www.trendmicro.com/download/pattern.asp
4.网络(驱动器,共享,P2P,IM)
使用TDA/NVW并且下载最新病毒码文件。
当一台计算机有威胁,将它从网络隔离。
确保用户和程序使用最低权限来完成任务。
5.从Internet下载
阻止相关恶意URL。
使用防火墙来监视源于Internet的入站连接。
避免访问不受信任的站点。 6.电子邮件
避免打开不知情的附件。
配置你的电子邮件服务器阻止或清除类似vbs,bat,exe,pif,scr格式的文件。另外,趋势科技病毒实验室提供以下专杀工具以清理该病毒:
http://www.trendmicro.com/ftp/pr ... Clean-PE_SALITY.zip
2011年第3季度最新安全威胁信息
2011年8月,中国地区发现新的蠕虫病毒
趋势科技在中国地区发现一种新的蠕虫病毒WORM_MORTO.SMA,该病毒利用远程桌面
协议(RDP)传播
被该病毒感染的电脑会用一种非常特别的方式进行拒绝服务攻击(DOS)。
并且被感染电脑将被恶意控制,成为肉鸡。
当该病毒被加载后,他会将其自身的恶意代码加密保存于注册表
HKEY_LOCAL_MACHINE\SYSTEM\WPA中。并删除其母体文件。使得其很难被发现
http://about-threats.trendmicro. ... name=WORM_MORTO.SMA
2011年9月,恶意软件SpyEye可盗取短信验证码
有银行客户在使用互联网银行服务时,发现有恶意软件盗取他们的个人资料,并尝试进行转账。据了解,目前并没有任何人因此蒙受财务损失。新加坡银行公会昨天发布文告,表示有些网上银行用户的电脑,被一个叫做“SpyEye”的恶意软件(malware)所感染。这相信是银行公会多年来,首次公开提醒银行客户要慎防恶意软件入侵.
用户一旦使用受SpyEye感染的电脑来登录银行网站,页面就会出现指示,要用户耐心等候,因为网站需要1至10分钟来“检查用户的安全设置”。SpyEye此时就开始暗中操作,盗取用户的网上银行服务资料。
这是SpyEye最明显的特征。银行公会表示,银行网站在正常情况下,不会要求用户等上那么久的时间,“这表示恶意软件在盗取用户的资料。”
银行公会是个非盈利组织,代表银行业在新加坡的利益,属下有117个本土和海外银行成员。
http://blog.trendmicro.com/soldier-spyeyes-a-jackpot/
本报告数据来自趋势科技智能防护网(SPN)以及趋势科技TMES监控中心(MOC) |
发表于 2011-10-26 10:36:09