中国地区2012年第三季度网络安全威胁报告

2012年第3季度安全威胁

本季安全警示：

 

PE病毒，宏病毒

2012年第3季度安全威胁概况

  本季度趋势科技中国区病毒码新增特征约60万条。截止2012.9.30日中国区传统病毒码9.430.60包含病毒特征数约400万条。

 

  本季度趋势科技在中国地区客户终端检测并拦截恶意程序约9850万次。

 

  本季度趋势科技在中国地区发现并拦截新的恶意URL地址约30万个。

 

2012年第3季度中国地区，木马病毒仍然占据新增病毒数量排名首位。大部分木马有盗号的特性，比其他类型的电脑病毒更容易编写且更容易使病毒制造者获益。在经济利益的驱使下，更多病毒制作者开始制造木马病毒。

 

第3季度的病毒检测数量排名中，PE病毒超过木马跃居第一位。本季度PE病毒感染情况严重：

 

PE_MUSTAN病毒在本季度爆发, 该病毒由WORM_MORTO（windows远程桌面蠕虫）病毒演变而来。该PE病毒除了能够通过感染文件，网络共享，以及可移动存储设备传播。还能通过远程桌面传播，并且具有感染可执行文件的能力.

 

PE_CORELINK病毒本季度进一步的扩散。这只在2007年使得大量电脑中招瘫痪的感染型病毒具有死灰复燃的趋势。该病毒会在系统windows 目录释放linkinfo.dll  使用rootkit 隐藏自身,通过网络共享以及移动存储设备传播。

 

上季度提到的2种PE病毒PE_PARITE.A，PE_SALITY.RL在本季度仍在流行中，其中PE_PARITE.A除了通过感染文件，网络共享，还能够通过电子邮件传播。而PE_SALITY.RL除了常规的PE病毒感染方式还会通过微软的快捷方式漏洞传播。

 

PE病毒，是一种破坏性较大的恶意程序。对感染的用户系统可能造成很大的影响。某些PE类型病毒甚至会将原文件替换导致无法修复。对于PE病毒我们认为加强防范才是最好的解决方案。

 

本季度，宏病毒的感染形势依然严峻。很多网站提供的下载的office文档都带有宏病毒 ，再次提醒用户在打开网站下载，或者邮件附件中的office文档时请务必先使用安全软件进行扫描。

 

在2012年第3季度趋势科技拦截新的恶意网站中钓鱼网站约有5000个(以域名计数)。各种钓鱼网站仿冒目标中，淘宝网首当其冲。成为各钓鱼网站最喜欢仿冒的对象。由于微博的影响力的扩大，以微博抽奖、中奖为名进行网络钓鱼数量大大增加。

 

2012年第3季度病毒威胁情况

2012年第3季度新增病毒类型分析

 

2012第3季度中国地区新增病毒类型

 

新增的病毒类型最多的仍然为木马（TROJ），本季度新增木马病毒特征343621个，大约占新增病毒数量的60% 。木马可使病毒制造者更直接的获利，在经济利益的驱使下大量的木马被制造并通过各方式被传入互联网中。木马也是我国目前存在数量最多的病毒类型。

   

本季度除了新增的后门病毒以及IRC类型病毒数量稍稍有所下降。其他类型病毒新增数量均有所上升。

 

宏病毒的传播速度十分快，并且不容易被发现。这是一种比较老的病毒，但是最近这种有了些历史的病毒又被翻新，并且采用了新的技术，使这种病毒可以做更多的事情。Office文件中往往保存了用户的重要数据和信息，宏病毒的增长也给数据安全带来了很大的挑战。

 

 

IRC病毒(IRCBOT)也值得我们特别的关注。IRC（internetrelay chat）是一款功能强大的即时聊天协议，IRCBOT是一些运行在后台的恶意程序，通过登陆某一个频道，分析接受到的内容并做出相应的动作。

 

ROOTKIT是指其主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。病毒采用rootkit 技术可以隐藏自身不被感染者甚至防毒软件发现。

 

 

2012年第3季度各类型病毒检测情况分析

 

 

2012第3季度中国地区各类型病毒检测数量比例图

 

 

2012年第3季度检测到的病毒种类中PE类型病毒感染数量已经超过木马病毒大约占到总检测数量的46%。PE病毒为感染型病毒，该类病毒的特征是将恶意代码插入正常的可执行文件中。感染比率上升可能是因为在上季度多种PE病毒同时爆发所导致。PE病毒通常会感染系统中所有的可执行文件。一旦被感染，系统中多数文件都会被检测。

 

蠕虫病毒基本与上季度持平。蠕虫病毒最主要的特性是能够主动地通过网络，电子邮件，以及可移动存储设备将自身传播到其它计算机中。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，即可进行自身的复制。第3季度感染比较多的蠕虫病毒仍然为WORM_DOWNAD以及文件夹病毒。另外某些PE病毒的母体也以蠕虫病毒的方式传播

      

目前比较流行的PE病毒，会感染一些蠕虫或者木马病毒。随着木马病毒以及蠕虫病毒在网络内的传播导致网络环境中越来越多的电脑被PE病毒感染。

 

 

2012年第3季度病毒拦截情况分析

 

 

2012 第3季度中国区拦截次数排名前20病毒

 

上图显示了2012年第3季度被拦截次数排名前20的病毒。被拦截次数多的病毒可能是感染文件数量较多的PE病毒，也可能是会反复感染难以清理的病毒。

 

2012年第3季度被趋势科技拦截次数最多仍然的为PE_PATCHED.ASA。该病毒被拦截次数约为410万次。远远超过其他病毒。跟上季度相比略有下降。

 

该病毒为被修改的sfc_os.dll，sfc_os.dll是用来保护系统文件的执行模块，该文件被修改后系统将失去文件保护的功能

 

由于该文件是系统文件，防毒软件强行查杀可能会导致系统崩溃。

 

对这只病毒目前的解决方法如下：

  将被修改的文件复制到其他目录使用杀毒软件清除以后再替换回去。

  使用干净的相同版本系统中的文件替换。

  ChinaRTL 已针对此病毒制作专杀，需要的用户可以到以下地址下载反病毒工具包进行处理：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/Release.zip

 

 

 

本季度PE_MUSTAN 大规模爆发，仅PE_MUSTAN.A检测次数就达到将近100万条。该病毒最早在2012年1月份左右被发现。通过代码分析可以发现该病毒继承于先前发现的WORM_MORTO 。

 

PE_MUSTAN.A

 

恶意行为：

 

  利用远程桌面协议（RDP）3389端口传播

  通过解析C&C server 的DNS TXT记录获得加密的恶意文件下载链接

  会连接到恶意网站下载恶意代码

  感染所有*.exe 文件

  会将恶意代码写入注册表，使自己不容易被清除干净从而导致反复感染

  会使用修改注册表的方式禁用某些安全软件的服务

 

感染方式：　

 

² 该病毒可能通过网络下载

² 其他恶意软件释放

² 通过远程桌面传染

² 通过被感染的文件传染

² 通过共享文件夹传染

 

技术细节：

1.   创建互斥量

 

2.   将代码注入以下进程：

Lsass.exe

Svchost.exe

 

3.   添加自启动项：

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\wmicucltsvc

ImagePath= "%System%\wmicuclt.exe"

 

4.   创建以下注册表键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wmicucltsvc

HKLM\SYSTEM\Select
v = "{病毒代码}"

HKLM\SYSTEM\Select
p = "{登陆密码}

HKLM\SYSTEM\Select
pu = "{登陆账号} - {登陆密码}"

HKLM\SYSTEM\Select
ext = "{从C&C server获得的插件代码}"

HKLM\SYSTEM\Select
plg = "{从C&C server获得的插件代码}"

HKLM\SYSTEM\Select
rmt = "{执行的日期}"

HKLM\SYSTEM\Select
{受害者的ip} = {执行的日期}

 

5.   病毒会猜解以下账号密码：

 

 

账号：

　　密码表：

 

 

解决方法：　

 

１． 升级防毒产品到最新病毒码并进行全盘扫描

 

２． 没有安装防毒产品的用户请到以下站点下载ATTK进行扫描：　

 

32位windows 操作系统请使用：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

 

64位windows操作系统请使用：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

（为了避免.exe 文件在下载到系统时被感染，请在下载时将该工具保存为.com）

 

防护方法：

 

1.   不要使用以上密码表中的账号密码

2.   尽量不要多台电脑使用相同密码

3.   使用China RTL  AVBtool 进行免疫

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/Release.zip

（解压缩密码：novirus）

    使用前请看readme:

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/readme.txt

 

 

关于该病毒以及相关病毒的详细信息请参阅：

http://about-threats.trendmicro.com/us/malware/pe_mustan.a

http://about-threats.trendmicro.com/us/malware/pe_mustan.a-1

http://about-threats.trendmicro.com/us/malware/pe_mustan.b

2012年第3季度流行病毒分析

 

2012第3季度中国地区病毒流行度排名

 

 

本季度最流行病毒依旧是WORM_DOWNAD。

 

 

不过相对于去年以及第一，二季度，该病毒的流行程度仍然处于下降,2011第4季度时有40%左右的用户正在或曾经遭受过Worm_Downad的攻击，第一季度度下降到了27%左右。而本季度仅有25%的客户环境中出现过此病毒，从数据显示该病毒已逐步得到控制。

 

在这里仍然需要提醒用户，Worm_Downad持续流行的原因有几点：

 

1.用户内网中电脑系统补丁安装率较低。

2.网络中存在弱密码的或空密码的电脑管理员账号。

3.网络内存在有未安装防毒软件，或防毒软件已损坏的感染源电脑。

4.没有针对U盘等移动存储设备的安全管理策略。

 

由于目前尚未发现关于该病毒的新变种，使用之前发布的专杀工具以及解决方案即可处理此病毒。

 

另外需要关注的为流行度排名第7的PE_CORELINK.C-1.这是一只在2007年时非常流行的PE感染型病毒。但是在近期有感染用户增加，死灰复燃的趋势.

 

PE_CORELINK.C-1

 

恶意行为：

 

  该病毒会感染电脑中除某些特定目录以外的所有exe文件

  该病毒会通过网络共享释放自身

  该病毒会下载其他恶意文件

  该病毒释放rootkit隐藏自身

  该病毒会终止某些进程

 

 

感染途径：

１．通过网络共享传播

２．通过被感染的文件传播

３．通过可移动存储设备传播

 

 

 

 

 

技术细节：

 

1.       该病毒在系统的windows目录中释放linkinfo.dll,利用explorer.exe调用dll的优先顺序使得自己被调用

2.       该病毒在释放以下驱动程序，起到rootkit作用,使linkinfo.dll以及相关的注册表键值被隐藏：

%System%\drivers\IsDrv122.sys

%System%\drivers\nvmini.sys

3.    添加以下注册表键值：

   HKEY\LOCALMACHINE\SYSTEM\CurrentControlset\Services\nvmini

4.    通过网络共享，向可访问目录中释放 setup.exe (该文件为其自身的复制)

 

 

解决方法：　

 

３． 升级防毒产品到最新病毒码并进行全盘扫描

 

４． 没有安装防毒产品的用户请到以下站点下载ATTK进行扫描：　

 

32位windows 操作系统请使用：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

 

64位windows操作系统请使用：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

（为了避免.exe 文件在下载到系统时被感染，请在下载时将该工具保存为.com）

 

 

防护方法：

 

1.    尽量避免网络中多台电脑使用相同的管理员账号密码

2.    使用officescan 在 c:\windows 文件夹中爆发阻止linkinfo.dll

3.    在注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\KnownDLLs

添加

REG_SZ linkinfo.dll

4.    安装防病毒软件并将病毒码更新至最新

 

 

 

X97M_OLEMAL.A在本季度仍然流行程度排名靠前。这种宏病毒不仅仅能感染EXCEL文件并且还会将感染系统中的EXCEL文件自动通过OUTLOOK发送

 

病毒防护与解决方法：

 

介于该病毒的传播以及感染方式，建议通过以下方法防护此病毒：

 

1.    将EXCEL 宏安全等级调高。在接受到别人发送来的EXCEL文件时最好先将宏安全等级调到最高，如果需要使用宏，请在先用防毒软件扫描

2.    OUTLOOK安全等级调高，禁止其他应用程序使用OUTLOOK发送邮件

 

解决方法：

 

目前趋势科技最新中国区病毒码9.244.60及以上版本病毒码以可检测此文件，感染此病毒机器请对系统进行全盘扫描

 

未安装趋势科技产品用户可至以下站点下载ATTK工具扫描系统:

 

32位windows 操作系统请使用：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

 

64位windows操作系统请使用：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

 

另外可以使用ChinaRTL 的AVBtool 可以查杀此病毒：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/Release.zip

（解压缩密码：novirus）

使用前请看readme:

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/readme.txt

 

 

该病毒的详细信息请参考以下链接：

http://about-threats.trendmicro.com/us/malware/x97m_olemal.a

 

2012年第3季度web安全威胁情况

2012年第3季度Web威胁文件类型分析

 

其中通过Web传播的恶意程序中，约有29%为JS（脚本类型文件）。向网站页面代码中插入包含有恶意代码的脚本仍然是黑客或恶意网络行为者的主要手段。这些脚本将导致用户连接到其它恶意网站并下载其他恶意程序，或者IE浏览器主页被修改等。一般情况下这些脚本利用各种漏洞（IE 漏洞，或其他应用程序漏洞，系统漏洞）以及使用者不良的上网习惯而进行其他恶意行为。

 

.exe 仍然是占很大比例的Web 威胁文件类型,企业用户建议在网关处控制某些类型的文件下载。

 

 

 

2012第3季度中国地区web威胁文件类型

  

 

2012年第3季度top10 恶意URL

 

2012第3季度中国地区已被wrs阻止的恶意url排名

 

 

 

2012年第3季度Web威胁病毒类型分析

 

 

 

 

通过对拦截的Web威胁进行分析，我们发现。约有68.8%的威胁来自于General exploit (针对漏洞的通用检测)。

 

其中包括利用Adobe 软件的漏洞（例如：一些.SWF类型的web威胁文件）。利用跨站脚本漏洞攻击，对正常网站注入恶意JS脚本，或插入恶意php，html 代码。

 

另外一些带有宏病毒的office文档被挂在internet 供公众下载，这些是宏病毒传播的一个主要途径。感染了宏病毒的电脑使用者在不知情的情况下将带有病毒的文档上传至网站，会导致下载阅读文件的用户感染。

 

 

2012年第3季度Web威胁钓鱼网站仿冒对象分析

 

 

从第３季度趋势科技捕获到的钓鱼网站数据来看，淘宝为钓鱼网站最喜欢仿冒的对象。

一些游戏的充值网站也是钓鱼网站制作者的目标。

银行网上支付的钓鱼网站也制作的非常逼真使人防不胜防。

提醒用户在网络上面进行任何交易时请小心谨慎。特别是通过淘宝网站购物时尽量不要点击聊天窗口中的url 进入支付页面。

 

另外对于无法辨别恶意与否的网站可以到趋势科技网站安全查询页面查询：

http://global.sitesafety.trendmicro.com/index.php

 

 

2012年第3季度最新安全威胁信息

2012.8 首个Linux、Mac OS X的跨平台病毒被发现

 

日前，国外研究人员发现了一种只在Linux和Mac OSX上存在的木马，当计算机被入侵之后，该木马会在机器上安装Wirenet-1键盘记录软件，捕获用户输入的密码和敏感信息。包括Opera、Firefox、Chrome浏览器提交的信息，一些app存储的信息，以及Email、Web组件和聊天应用程序的密码。该恶意软件收集到数据之后会将该数据传送到荷兰一台服务器上。俄罗斯反病毒公司Dr Web针对该病毒做了一些详细的介绍。

跨平台的病毒非常罕见，但并非没有先例。其中一个著名的例子包括最近的Crisis和super-worm。随着1995年JAVA语言的诞生，跨平台成为热点，“一次编译，跨平台运行”的“跨平台”概念成为可能。脱离平台限制正逐渐成为应用开发的趋势，而计算机病毒也同样不会放弃这样的机遇。因此可以预言，病毒也会进入真正的跨平台时代，并成为未来病毒的发展趋势。

 

相关链接：

http://www.freebuf.com/news/5500.html

 

 

2012.9 China RTL发现一种新的感染型病毒PE_MUSTAN正在爆发。

 

 

 

近期出现PE_MUSTAN的新变种,目前趋势科技检测名为(Cryp_Xed-15、Cryp_Xed-16 ).(之后可能会被更名为PE＿MUSTAN.B)

该PE病毒是由china RTL 之前公布过的WORM_MORTO 病毒演变而来,并且具有感染可执行文件的能力

 

此病毒主要行为如下：

 

    利用远程桌面协议（RDP）3389端口传播

    会连接到恶意网站下载恶意代码

    感染所有*.exe 文件

    会将恶意代码写入注册表，使自己不容易被清除干净从而导致反复感染

    会使用修改注册表的方式禁用某些安全软件的服务

 

相关链接：

http://security.ctocio.com.cn/87/12438587.shtml

 

 

2012.9黑客组织从 FBI 获得超过1200万份苹果 iOS 用户信息，公开了100万份

 

AntiSec 公开的文件片段

 

 

 

黑客组织AntiSec 今天公开了一份从美国联邦调查局(FBI)高级探员的电脑中获得的包含超过100万个苹果唯一设备标识符(UDID)的文件。该组织宣布他们从FBI一名高级特工的电脑中获得了超过1200万的ID，其中还包含了大量了诸如用户名、设备名、通知令牌、电话号码、用户地址等等信息。

 

该黑客组织在一份介绍文件中写道：

 

    2012年3月份的第二周，一台由FBI区域网络行动小组和纽约FBI办公室证据响应小组高级探员 Christopher K. Stangl 使用的戴尔 Vostro 笔记本电脑被利用JAVA 上的AtomicReferenceArray漏洞成功入侵。在 shell 会话期间，有一些文件从该电脑的桌面文件夹中成功下载，其中一个名为 NCFTA_iOS_devices_intel.csv的文件中包含了 12,367,232个苹果 iOS设备的唯一标识符、用户名、设备名、设备类型、苹果推送通知服务令牌、邮编、电话号码、用户地址等等信息。涉及到用户个人细节的字段有很多都是空的，以至于整个列表在很多部分并不完整。另外该文件夹中没有其他任何文件提到这个文件的用途。

 

AntiSec 组织表示公开这份包含1000001个 UDID号码的列表主要是为了呼吁人们对美国联邦调查局可能使用这些信息跟踪公民引起注意。其中绝大多数关于个人的数据已经被处理，从配图中大家可以看到仅仅是公开了UDID、设备名和用户名。

 

目前，美国联邦调查局(FBI)尚未对此事发表评论。同时该黑客组织表示他们在一个神秘的要求未得到满足之前不会

 

相关链接：

http://www.guomii.com/posts/30926

 

 

2012.9  新的IE 零日漏洞

 

9月趋势科技发现一个新的利用IE零日漏洞的病毒，趋势科技将它检测为HTML_EXPDROP.II

该漏洞所影响的IE浏览器版本为IE7,8,9.

该病毒会释放一个恶意的.swf 文件，该文件被趋势科技检测为BKDR_POISON.BMN.

 

相关链接：

http://blog.trendmicro.com/trendlabs-security-intelligence/new-ie-zero-day-exploit-leads-to-poisonivy/

 

 

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！