SlideShare a Scribd company logo

安博士Asec 2011年1月安全报告

A
ahnlabchina
1 of 22
Download to read offline
2011 ASEC Report Vol.1 安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的 ASE C 制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。 详细内容可以在[www.ahn.com.cn]里确认。 ASEC 2011-02-10
Ⅰ. 本月安全趋势 ....................................................................... 3 1. 病毒趋势 ......................................................................... 3 (1) 病毒统计 ....................................................................... 3 (2) 病毒疫情 ....................................................................... 7 2. 安全趋势 ........................................................................ 18 (1) 安全统计 ...................................................................... 18 (2) 安全疫情 ...................................................................... 20
Ⅰ. 本月安全趋势 1. 病毒趋势 (1) 病毒统计 2011 年 1 月病毒统计状况如下。 排行 降级 病毒诊断名 次数 比率 1 1 TextImage/Autorun 1,234,652 28.8 % 2 5 JS/Exploit 373,502 8.7 % 3 0 Win32/Induc 361,335 8.4 % 4 NEW Win-Trojan/Downloader.59904.AK 272,897 6.4 % 5 NEW Win-Trojan/Bho.1840640 217,031 5.1 % 6 -1 Win32/Parite 202,671 4.7 % 7 NEW Win-Trojan/Overtls11.Gen 186,291 4.3 % 8 NEW Win-Trojan/Winsoft17.Gen 184,713 4.3 % 9 0 Win32/Olala.worm.57344 126,954 3.0 % 10 0 Win32/Conficker.worm.Gen 123,614 2.9 % 11 NEW JS/Cve-2010-0806 123,575 2.9 % 12 0 Win32/Palevo1.worm.Gen 118,545 2.8 % 13 -2 VBS/Solow.Gen 109,899 2.6 % 14 3 Win32/Virut.F 98,409 2.3 % 15 -14 JS/Agent 98,317 2.3 % 16 -8 JS/Downloader 96,264 2.2 % 17 -4 VBS/Autorun 95,180 2.2 % 18 NEW Win-Trojan/Patched.CR 93,306 2.2 % 19 -4 Win32/Virut 93,283 2.2 % 20 -2 Win32/Kido.worm.156691 76,032 1.7 % 4,286,470 100 % [表 1-1] 病毒感染报告 Top 20 2011 年 1 月份病毒感染报告中占据第 1 位的是 TextImage/Autorun。 紧接着 JS/Exploit 与 Win32/Induc 分别以 373,502 与 361,335 排第 2 和第 3。进 入排名前 20 的新病毒为 6 种,特别需要关注的是排名第 4 位的 Win- Trojan/Downlo ader.59904.AK,虽然此病毒属于 2010 年 12 月末开始登场的新病毒,但是其传播 速度较快。
下图为按病毒代表性诊断名分类重新整理的报告。据此可以掌握病毒的传播趋 势。 排行 降级 病毒名 次数 比率 1 1 TextImage/Autorun 1,234,816 12.9 % 2 1 Win-Trojan/Onlinegamehack 1,196,089 12.5 % 3 4 Win-Trojan/Downloader 799,998 8.4 % 4 1 Win-Trojan/Agent 779,942 8.2 % 5 13 Win-Trojan/Adload 711,961 7.4 % 6 10 Win-Trojan/Winsoft 657,767 6.9 % 7 -3 Win32/Autorun.worm 572,795 6.0 % 8 -2 Win32/Conficker 439,407 4.6 % 9 NEW JS/Exploit 373,502 3.9 % 10 -2 Win32/Induc 361,467 3.8 % 11 -1 Win32/Virut 328,446 3.4 % 12 NEW Win-Trojan/Bho 306,643 3.2 % 13 -2 Win32/Kido 281,117 2.9 % 14 NEW Win-Trojan/Patched 267,051 2.8 % 15 -3 Win32/Palevo 245,257 2.6 % 16 -2 VBS/Solow 216,530 2.3 % 17 -2 Win32/Parite 207,397 2.2 % 18 -5 Dropper/OnlineGameHack 205,999 2.2 % 19 NEW Win-Trojan/Overtls11 186,291 1.9 % 20 NEW Win-Trojan/Winsoft17 184,713 1.9 % 9,557,188 100 % [表 1-2] 病毒代表性诊断名感染报告 Top 20 2011 年 1 月份的感染报告中 TextImage/Autorun 以 1,234,816 件,在 Top20 中占 据 12.9%,排行第一。Win-Trojan/Onlinegamehack 以 1,196,089 件排行第二, Win-Trojan/Downloader 以 799,998 件排行第三。 下图表为安博士公司在 2011 年 1 月收集并统计的按病毒类型分类的感染比率。
[图 1-1] 按病 病毒类型分类 类的感染报告比率 按类型分类查 2011 年 1 月份的 查看 的感染报告数 数量,可以 以发现木马( (TROJAN)以 50.3% 以 占据最大比重 重,蠕虫(W WORM)为 14. .2%,脚本(SCRIPT)为 8.7%。 为 [图 1-2] 按病毒类型分 分类的感染比 比率与上个月的比较 与上个月月的按病毒类 类型分类的 的感染比率比较,木马 马,间谍软件(SPYWAR RE)比上个月月兑现 出增长趋趋势,然而 蠕虫(WORM M),脚本(S SCRIPT),病 病毒(VIRUS),广告软 软件(ADWAR RE),生 成器(DRO OPPER)下载 载者(DOWNLO OADER)有害 害程序(APPCARE)比上个月有所减 减少。
[图 1-3] 每月病毒感染 染数量 1 월의 악 악성코드 월 감염보 건수는 17,304,230 건으로 12 월의 악성코드 월별 월별 보고 는 로, 의 드 감염 보고건수 18, ,404,101 건 비해 1,099,871 건이 감소 건에 1 소하였다. 1 月份 份的病毒感 感染数量为 1 17,304,230 件,比 12 月份的 18 0 2 8,404,101 件有所减少 少。 排行 行 病毒名 次数 数 비比率 1 Win-T Trojan/Dow wnloader.5 59904.AK 272,8997 19.9 % 2 Win-T Trojan/Ove ertls11.Ge en 186,2991 13.6 % 3 Win-T Trojan/Win nsoft17.Ge en 184,7113 13.5 % 4 Win-T Trojan/Pat tched.CR 93,30 06 6.8 % 5 Win-T Trojan/Win nsoft.2631 168.KX 66,68 89 4.9 % 6 Win-T Trojan/Win nsoft.2631 168.LO 64,20 02 4.7 % 7 Win-T Trojan/Age ent.339968 8.EI 61,315 4.5 % 8 Win-T Trojan/Adl load.77312 2.LPU 58,49 97 4.3 % 9 Win-T Trojan/Age ent.323584 4.FK 51,94 44 3.8 % 100 Win-T Trojan/Win nsoft18.Ge en 41,49 99 3.0 % 111 Win-T Trojan/Win nsoft.2810 088.GHF 36,72 21 2.7 % 122 Win-T Trojan/Win nsoft.2810 088.GGM 34,719 2.5 % 133 Win-T Trojan/Dow wnloader.5 550912 31,25 52 2.3 % 144 Win-T Trojan/Win nsoft.2631 168.LR 28,87 72 2.1 % 155 Win-T Trojan/Adl load.26931 12.B 27,27 75 2.0 % 166 Win-A Adware/BHO O.WowLinke er.615424 27,211 2.0 %
17 7 Win-T Trojan/Adl load.26777 76.F 27,08 83 2.0 % 18 8 Win-T Trojan/Ldp pinch.2708 848.B 26,48 89 1.9 % 19 9 Win-T Trojan/Adl load.26982 24 25,64 41 1.8 % 20 0 Win-T Trojan/Adl load.26726 64.B 24,316 1.7 % 1,370,9932 100 % [表 1-3] 最 最新病毒感染 染报告 Top20 1 月份份最新病毒感染报告 T Top20 中 Wi in- Troja an/Downloa ader.59904 4.AK 以 272 2,897 件,19.9%占据 据第一,Win n- Troja an/Overtls s11.Gen 以 186,291 件 件排第二。 [图 1-4] 按最新 新病毒类型分 分类的分布图 1 月份的的按最新病毒毒类型分类 类的分布图中 中木马占据 92%,排行 据 行第一。紧接着广告软 软件占 据 4%,生生成器占据 3% 据 (2) 病 病毒疫情 ■ DDo 攻击 恶性 oS 性代码 1 月份收 收到 分布式 式服务攻击 (Distrib 击 bute Denia of Serv al vice, 为 D DDoS)的恶性 性代码, 已知国内有名的社 社交网站,网络广播,门户网站 站等受到影响 经过调响. 调查研究发现 现此攻 击行为的可疑人是 是十多岁的 的年轻男子。本次被发 发现的 DDOS 攻击的恶性 性嗲吗主要 要伪装成 视频文件,国内有 有名企业的 的自动升级程 程序等 通过 P2p,博客 过 客方式进行 行传播。若被 被该恶
性代码感染会在每秒发 100 次以上的数据包执行对网站的 DDOS 攻击。 [图 1-5] DDoS 攻击数据包的信息 该 DDOS 的攻击方法是如[图 1-5]所显示一样会在攻击网站上添加 Cache-Control:no- store,must-realidate 选项,并占用该网站上的服务器系统资源导致服务器系统崩 溃。为了防止此类事件的发生需用户加强防范意识,而且对于不可信的网站,甚至在 不可信的网站上下载程序需要慎重,有必要再一次确认是否为可疑等等的措施。 ■自称 美国白宫 传播的 Zeus 变种 Kneber
[图 1-8] 趋势公开 自称为白宫进行邮件传播 该恶性代码由趋势公开的[图 1-8]一样,自称为白宫通过邮件的方式进行传播。每当 年末迎新年气氛愉悦的时,犯罪分子会恶用此时进行传播恶性代码。像去年 2010 年会 在圣诞节,伪装成圣诞卡传播 Prolaco(Ackantta)蠕虫病毒, 2009 年也是利用伪装圣 诞卡传播恶性代码的。本次从白宫传播的伪装成新年贺卡的邮件,我们 V3 产品系列诊 断为如下: - Win-Trojan/Zbot.177152.AC - Win-Trojan/Zbot.179712.P - Win-Trojan/Agent.900769
■MS Internet Explorer CVE-2010-3971 漏洞 2010 年 12 月 22 日,微软 IE 浏览器 CSS 解析远程代码执行漏洞是当 mshtml.dll 解析 CSS(Cascading Style Sheets)文件时,CSharedStyleSheet::Notify()函数存在的 Use-after-free 漏洞。远程攻击者通过构造包含多个@import 的命令的畸形 CSS 文件 可导致 IE6,IE7,IE8 远程拒绝服务或远程代码执行漏洞。 攻击者将利用代码放在网站上诱使用户访问,当用户使用存在该漏洞的 IE 浏览器访问 该利用代码后,利用代码将在用户电脑上运行,攻击者可以获取当前用户相同的权 限,攻击者可下载、安装恶意软件,远程控制,用户信息窃取等操作。 目前受影响的 IE 浏览器有 IE6,IE7 和 IE8。 微软到目前还没有发布该漏洞的相关补丁 [图 1-9] 利用 IE 0-day 漏洞的恶意脚本 对于本次利用 IE 0-day 漏洞的恶意脚本我们 V3 系列诊断为如下: - JS/CVE-2010-3971
■Twitter 上利用 Google 短 RUL 传播 恶意代码 2011 年 1 月 21 日 国外有名的社交服务网 (Social Network Service, 又称 SNS)上传播引诱访问虚假杀软的 Google 链接。有关此信息已 SANS 的"Possible new Twitter worm"博文上公开。SANS 上公开的图 [图 1-10]上显示,包含很多 Google 提 供的 URL 地址 。 [图 1-10] 利用 Google URL 传播的 Twitter 信息 如果链接此地址会经过 3 次链接(Redirection)最终会链接虚假杀软网站。 参考[图 1-11]的内容:
[그림 1–11] 3 단계로 이어지는 구글 단축 URL 악용 通过 3 次步骤后最终链接到虚假杀软的网站,若下载此文件并运行会弹出[图 1-12] 所显示的内容。 [图 1-12] 安装成功提示的虚假杀软 若安装后没有用户允许进行全盘扫描,把正常文件诊断成恶意文件,还提示 45 个文件 为恶意文件的虚假信息。
[图 1-13] 提示恶意代码被发现的虚假信息的虚假杀软 弹出“治疗“提示窗口,点击如[图 1-14]显示一样,只要交 79.92 美元会给用户永久 性服务。
[图 1-14] 交 79 美元给永久性的序列号和技术支持的服务 Twitter 的社交网上传播的此虚假软件,在我们 V3 产品系列当中诊断为如下: - Win-Trojan/Fakeav.311808.AC ■出现免杀云安全软件的恶性代码 美国当地时间 2011 年 1 月 18 日,MS 公司的 Microsoft Malware Protection Center 发现,一些恶性代码利用名为“Bohu Takes Aim at the Cloud”的帖子可以绕过最近 很多安全公司购用的云安全(Cloud Anti-Virus)软件的监测。本次发现的恶性代码 可以绕过中国一部分安全公司制作的云安全软件的监测,非法弹出广告并盗取中国特 定门户网站的用户信息。该恶性代码是由 Nullsoft PiMP 制作的安装文件,以“SUYU 高清影音”的名字伪装成视频安装向导。[图 1-15]
[图 1-15] 伪装为视频安装向导的恶性代码 如果执行该文件,在后台隐秘地生成以下文件并执行。 - C:Program Filesbaidumsfsg.exe (369,664 字节) - C:Program Filesbaiduuninst18.exe 生成的 msfsg.exe(369,664 字节)文件执行恶意行为的同时绕过云安全软件的监 测,之后生成以下文件。 - C:Program Filesbaiduspass.dll (710,656 字节) - C:Program Filesbaidusiglow.sys (17,024 字节) - C:Program Filesbaidusiglow.dll (37,888 字节) 以上生成文件都被 msfsg.exe(369,664 字节)文件加载到内存后全部删除,画面上
显示视频向导程序导致以为是正常程序。图 1-16. [图 1-16] 执行中的视频播放器 生成文件当中绕过云安全软件监测的文件是 siglow.sys(17,024 字节),该驱动文 件以 siglow 的名字加载到系统,在 NDIS(Network Driver Interface Specification) 阶段 hook 网络数据包。并且发送到外部数据包当中包含驱动文件里 相同中国安全公司制作的云安全软件的网络地址的话,阻止该链接。图 1-17
[图 1-17] 被阻止的云安全反病毒服务器地址 该恶性代码制作者了解到云安全反病毒软件为了监测恶性代码用网络传送相关资料, 于是不让相关服务器得到资料阻止了网络连接。这次发现的绕过云安全反病毒软件的 恶性代码在 V3 被诊断为以下诊断名。 - Win-Trojan/Bohu.2229512 - Win-Trojan/Bohu.17024 - Win-Trojan/Bohu.37888 - Win-Trojan/Bohu.710656 这次发现的 Bohu 特洛伊木马是最早的 Anti-Cloud 恶性代码。如果发现恶性代码制作 者使用新方法,反病毒公司马上会研究对应的监测和响应方法。该恶性代码的出现说 明以后会有更多的绕过云安全反病毒软件的恶性代码。 这样的新免杀方式会一直发现下去,拥有新反云安全功能的恶性代码将不断出现。
2. 安全趋势 (1) 安全统计 ■一月份微软安全更新现况 这次微软发表的更新项有两个。 [图 2-1]按攻击对象为标准的 MS 安全更新 危险度 漏洞 PoC 重要 MS11-001 Windows 备份管理者的公开漏洞 有 MS11-002 Microsoft Data Access Components 漏洞(DSN 紧急 无 Overflow)
MS11-002 Microsoft Data Access Components 漏洞(ADO Record 紧急 有 Memory) [表 2-1] 2011 年 1 月 MS 主要安全更新 本月发表了两个 Patch。MS11-01 是 Windows 备份管理员在特定制作的库文件和相同网 络路径下打开文件时执行的远程代码漏洞。MS11-02 是 Microsoft Data Access Components 漏洞,在打开改造的网页时执行远程代码使攻击者获取用户权利的漏洞。 由于一部分 PoC 公开,需要引起注意。还有,一月初发表的 0-day 相关漏洞 CVE- 2010-3971(IE CSS 漏洞), CVE-2010-3970(MS 图像引擎漏洞)本月没有包含在内。 ■病毒侵害网站现况 [图 2-2] 2011 年 1 月侵害网站现况 以上统计为按月份整理的侵害网站现况图,比上个月有所增加。这次发现特别内容将 在‘3. 网站安全趋势’里详细说明。
(2) 安全疫情 ■Windows Graphics Rendering Engine漏洞. CVE-2010-3970 在 Windows Graphics Rendering Engine(Shimgvw.dll)处理 thumbnail image 的时候 所发生的 Stack-based Buffer Overflow 来执行任意代码。 [그림 2-3] 윈도우 그래픽 렌더링 엔진 취약점. CVE-2010-3970 이 취약점은 국내 보안 콘퍼런스에서 Moti & Xu Hao 가 발표한 것으로, 아직 공격사례는 발생하고 있지 않으나 PoC 가 공개된 만큼 각별한 주의가 필요하다. 또한, 해당 취약점은 사용자가 폴더 보기옵션 중 ‘미리 보기’를 설정할 때만 발생하므로 이 옵션이 불필요한 경우 해제하는 것이 좋다. ■ 2011 스톰웜 봇넷 StormWorm 是木马病毒,是在 2007 年 1 月 17 日发现的,同年 1 月 19 日急速扩散,感 染了全世界 PC 的 8%。这个病毒是通过电子邮件伪装成天气紧急新闻,使用户下载执 行文件。2008 年出现了伪装成‘FBI vs FaceBook’的 Strom Worm。就像这样伪装成 社会疫情的关键词,通过邮件传播的蠕虫叫 Strom Worm 或者 Wale Dac 来命名。2010 年 12 月 30 日出现了伪装成年末休假的垃圾邮件。Steven Adair 把这个命名为 Waledac 2.0 或者 Storm Worm 3.0。下载并执行垃圾邮件所包含的伪装链接或文件, 会感染蠕虫。感染的 PC 将被恶意使用为垃圾邮件的发送地。连接被蠕虫感染的网站或
服务器,33byte 或 417byte 有效载荷里包含以“0102010101010201”开始的数据。 [图 2-4] Storm Worm 有效载荷 到目前为止恶性样本持续增加,主要通过邮件来传播,所有不要随意阅读或打开疑似 邮件。 病毒按类型分布中,间谍软件 22,371 个占 28.3%为第一位,释放(Dropper)有 22,183 个占 28.1%为第二位。 ■病毒分布顺序 顺序 升落 病毒名 数量 比率 1 - Win-Adware/Shortcut.InlivePlayerActiveX.234 13,938 29.3 % 2 1 Win-Adware/Shortcut.Tickethom.36864 5,275 11.1 % 3 NEW Win32/Virut.D 4,853 10.2 % 4 NEW Dropper/Natice.52224 4,839 10.2 % 5 NEW Win-Trojan/Qqpass.37376.B 4,767 10 % 6 NEW Dropper/Onlinegamehack.36864.J 3,989 8.4 % 7 NEW Dropper/Win32.Natice 2,676 5.6 % 8 NEW Win32/Virut.F 2,526 5.3 % 9 NEW Dropper/Win32.Infostealer 2,434 5.1 % 10 NEW Trojan/Win32.Qqpass 2,200 4.6 % [表 3-3]通过网络分布的病毒 Top 10
如[表 3-3]所示,Win-Adware/Shortcut.InlivePlayerActiveX.234 有 13.938 个为第一 位,Top10 中有新出现的 Win32/Virut.D 等有 8 个。

Recommended

安博士Asec 2010年12月安全报告
安博士Asec 2010年12月安全报告安博士Asec 2010年12月安全报告
安博士Asec 2010年12月安全报告ahnlabchina
 
安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告ahnlabchina
 
2016年疾管署疫情監測週報(第42週)
2016年疾管署疫情監測週報(第42週)2016年疾管署疫情監測週報(第42週)
2016年疾管署疫情監測週報(第42週)
衛生福利部疾病管制署
 
The health of nigerians doctors
The health of nigerians doctorsThe health of nigerians doctors
The health of nigerians doctors
statisense
 
Enfermedades (ets)
Enfermedades (ets)Enfermedades (ets)
Enfermedades (ets)emelendeznegron
 
Taller N10 DIEGO ARLEY GIRALDO
Taller N10 DIEGO ARLEY GIRALDOTaller N10 DIEGO ARLEY GIRALDO
Taller N10 DIEGO ARLEY GIRALDO
DiegoArleyGiraldo
 
La Taqueria Case Study (Enplug Social Media Displays)
La Taqueria Case Study (Enplug Social Media Displays) La Taqueria Case Study (Enplug Social Media Displays)
La Taqueria Case Study (Enplug Social Media Displays)
Ryan Gushue
 
ИТ-аутсорсинг, Макаров, CNews
ИТ-аутсорсинг, Макаров, CNewsИТ-аутсорсинг, Макаров, CNews
ИТ-аутсорсинг, Макаров, CNews
Stanislav Makarov
 

Recommended

安博士Asec 2010年12月安全报告
安博士Asec 2010年12月安全报告安博士Asec 2010年12月安全报告
安博士Asec 2010年12月安全报告ahnlabchina
 
安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告ahnlabchina
 
2016年疾管署疫情監測週報(第42週)
2016年疾管署疫情監測週報(第42週)2016年疾管署疫情監測週報(第42週)
2016年疾管署疫情監測週報(第42週)
衛生福利部疾病管制署
 
The health of nigerians doctors
The health of nigerians doctorsThe health of nigerians doctors
The health of nigerians doctors
statisense
 
Enfermedades (ets)
Enfermedades (ets)Enfermedades (ets)
Enfermedades (ets)emelendeznegron
 
Taller N10 DIEGO ARLEY GIRALDO
Taller N10 DIEGO ARLEY GIRALDOTaller N10 DIEGO ARLEY GIRALDO
Taller N10 DIEGO ARLEY GIRALDO
DiegoArleyGiraldo
 
La Taqueria Case Study (Enplug Social Media Displays)
La Taqueria Case Study (Enplug Social Media Displays) La Taqueria Case Study (Enplug Social Media Displays)
La Taqueria Case Study (Enplug Social Media Displays)
Ryan Gushue
 
ИТ-аутсорсинг, Макаров, CNews
ИТ-аутсорсинг, Макаров, CNewsИТ-аутсорсинг, Макаров, CNews
ИТ-аутсорсинг, Макаров, CNews
Stanislav Makarov
 
Deaths in Alzheimers
Deaths in AlzheimersDeaths in Alzheimers
Deaths in Alzheimers
NHS IQ legacy organisations
 
What are subtle energies
What are subtle energiesWhat are subtle energies
What are subtle energiesenergiaprimordialreiki
 
2016_Apres_Lares_EC_29set2016
2016_Apres_Lares_EC_29set20162016_Apres_Lares_EC_29set2016
2016_Apres_Lares_EC_29set2016Eduardo Cazassa
 
Colombia y ODM
Colombia y ODMColombia y ODM
Colombia y ODM
OPS Colombia
 
Panduan penyelesaian sku siaga
Panduan penyelesaian sku siagaPanduan penyelesaian sku siaga
Panduan penyelesaian sku siaga
rulipesrok
 
25 Million Flows Later – Large-scale Detection of DOM-based XSS
25 Million Flows Later – Large-scale Detection of DOM-based XSS25 Million Flows Later – Large-scale Detection of DOM-based XSS
25 Million Flows Later – Large-scale Detection of DOM-based XSS
Ben Stock
 
St. Louis Industrial Outlook Q2 2016
St. Louis Industrial Outlook Q2 2016St. Louis Industrial Outlook Q2 2016
St. Louis Industrial Outlook Q2 2016
Blaise Tomazic
 
Go Zone Presentation
Go Zone PresentationGo Zone Presentation
Go Zone Presentation
PrestonDespenas
 
High_Performance_Catalog_1_EN
High_Performance_Catalog_1_ENHigh_Performance_Catalog_1_EN
High_Performance_Catalog_1_ENLeser UK
 
4 q13 earnings presentation final
4 q13 earnings presentation final4 q13 earnings presentation final
4 q13 earnings presentation finalfamilydollar22
 
NPI Evaluation of HOBY
NPI Evaluation of HOBYNPI Evaluation of HOBY
NPI Evaluation of HOBY
Nonprofit Investor
 
España revision de la ue
España revision de la ueEspaña revision de la ue
España revision de la ueManfredNolte
 
The Products List Of OLED Material
The Products List Of OLED MaterialThe Products List Of OLED Material
The Products List Of OLED Material
Boyi Shen
 
Apresentação 3Q12 EN
Apresentação 3Q12 ENApresentação 3Q12 EN
Apresentação 3Q12 EN
generalshoppingriweb
 
Microsoft Project
Microsoft ProjectMicrosoft Project
Microsoft ProjectShuang Zheng
 
20140516 prpc final1-1404-updated2
20140516 prpc final1-1404-updated220140516 prpc final1-1404-updated2
20140516 prpc final1-1404-updated2Алексей Тараненко
 
Early Grade Reading Activity Malawi (1)
Early Grade Reading Activity Malawi (1)Early Grade Reading Activity Malawi (1)
Early Grade Reading Activity Malawi (1)Sarah Bliss
 
安博士Utm性能参考
安博士Utm性能参考安博士Utm性能参考
安博士Utm性能参考ahnlabchina
 
Training apc-4.0
Training apc-4.0Training apc-4.0
Training apc-4.0ahnlabchina
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0ahnlabchina
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0ahnlabchina
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scmahnlabchina
 

More Related Content

Viewers also liked

Deaths in Alzheimers
Deaths in AlzheimersDeaths in Alzheimers
Deaths in Alzheimers
NHS IQ legacy organisations
 
2016_Apres_Lares_EC_29set2016
2016_Apres_Lares_EC_29set20162016_Apres_Lares_EC_29set2016
2016_Apres_Lares_EC_29set2016Eduardo Cazassa
 
Colombia y ODM
Colombia y ODMColombia y ODM
Colombia y ODM
OPS Colombia
 
Panduan penyelesaian sku siaga
Panduan penyelesaian sku siagaPanduan penyelesaian sku siaga
Panduan penyelesaian sku siaga
rulipesrok
 
25 Million Flows Later – Large-scale Detection of DOM-based XSS
25 Million Flows Later – Large-scale Detection of DOM-based XSS25 Million Flows Later – Large-scale Detection of DOM-based XSS
25 Million Flows Later – Large-scale Detection of DOM-based XSS
Ben Stock
 
St. Louis Industrial Outlook Q2 2016
St. Louis Industrial Outlook Q2 2016St. Louis Industrial Outlook Q2 2016
St. Louis Industrial Outlook Q2 2016
Blaise Tomazic
 
Go Zone Presentation
Go Zone PresentationGo Zone Presentation
Go Zone Presentation
PrestonDespenas
 
High_Performance_Catalog_1_EN
High_Performance_Catalog_1_ENHigh_Performance_Catalog_1_EN
High_Performance_Catalog_1_ENLeser UK
 
4 q13 earnings presentation final
4 q13 earnings presentation final4 q13 earnings presentation final
4 q13 earnings presentation finalfamilydollar22
 
NPI Evaluation of HOBY
NPI Evaluation of HOBYNPI Evaluation of HOBY
NPI Evaluation of HOBY
Nonprofit Investor
 
España revision de la ue
España revision de la ueEspaña revision de la ue
España revision de la ueManfredNolte
 
The Products List Of OLED Material
The Products List Of OLED MaterialThe Products List Of OLED Material
The Products List Of OLED Material
Boyi Shen
 
Apresentação 3Q12 EN
Apresentação 3Q12 ENApresentação 3Q12 EN
Apresentação 3Q12 EN
generalshoppingriweb
 
Early Grade Reading Activity Malawi (1)
Early Grade Reading Activity Malawi (1)Early Grade Reading Activity Malawi (1)
Early Grade Reading Activity Malawi (1)Sarah Bliss
 

Viewers also liked (17)

Deaths in Alzheimers
Deaths in AlzheimersDeaths in Alzheimers
Deaths in Alzheimers
 
What are subtle energies
What are subtle energiesWhat are subtle energies
What are subtle energies
 
2016_Apres_Lares_EC_29set2016
2016_Apres_Lares_EC_29set20162016_Apres_Lares_EC_29set2016
2016_Apres_Lares_EC_29set2016
 
Colombia y ODM
Colombia y ODMColombia y ODM
Colombia y ODM
 
Panduan penyelesaian sku siaga
Panduan penyelesaian sku siagaPanduan penyelesaian sku siaga
Panduan penyelesaian sku siaga
 
25 Million Flows Later – Large-scale Detection of DOM-based XSS
25 Million Flows Later – Large-scale Detection of DOM-based XSS25 Million Flows Later – Large-scale Detection of DOM-based XSS
25 Million Flows Later – Large-scale Detection of DOM-based XSS
 
St. Louis Industrial Outlook Q2 2016
St. Louis Industrial Outlook Q2 2016St. Louis Industrial Outlook Q2 2016
St. Louis Industrial Outlook Q2 2016
 
Go Zone Presentation
Go Zone PresentationGo Zone Presentation
Go Zone Presentation
 
High_Performance_Catalog_1_EN
High_Performance_Catalog_1_ENHigh_Performance_Catalog_1_EN
High_Performance_Catalog_1_EN
 
4 q13 earnings presentation final
4 q13 earnings presentation final4 q13 earnings presentation final
4 q13 earnings presentation final
 
NPI Evaluation of HOBY
NPI Evaluation of HOBYNPI Evaluation of HOBY
NPI Evaluation of HOBY
 
España revision de la ue
España revision de la ueEspaña revision de la ue
España revision de la ue
 
The Products List Of OLED Material
The Products List Of OLED MaterialThe Products List Of OLED Material
The Products List Of OLED Material
 
Apresentação 3Q12 EN
Apresentação 3Q12 ENApresentação 3Q12 EN
Apresentação 3Q12 EN
 
Microsoft Project
Microsoft ProjectMicrosoft Project
Microsoft Project
 
20140516 prpc final1-1404-updated2
20140516 prpc final1-1404-updated220140516 prpc final1-1404-updated2
20140516 prpc final1-1404-updated2
 
Early Grade Reading Activity Malawi (1)
Early Grade Reading Activity Malawi (1)Early Grade Reading Activity Malawi (1)
Early Grade Reading Activity Malawi (1)
 

More from ahnlabchina

安博士Utm性能参考
安博士Utm性能参考安博士Utm性能参考
安博士Utm性能参考ahnlabchina
 
Training apc-4.0
Training apc-4.0Training apc-4.0
Training apc-4.0ahnlabchina
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0ahnlabchina
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0ahnlabchina
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scmahnlabchina
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scmahnlabchina
 
White paper apc3.0
White paper apc3.0White paper apc3.0
White paper apc3.0ahnlabchina
 
White paper apc4.0
White paper apc4.0White paper apc4.0
White paper apc4.0ahnlabchina
 
White paper ahnlab scm
White paper ahnlab scmWhite paper ahnlab scm
White paper ahnlab scmahnlabchina
 
White paper ahn lab trusguard utm
White paper ahn lab trusguard utmWhite paper ahn lab trusguard utm
White paper ahn lab trusguard utmahnlabchina
 
Manual instruction apc3.0
Manual instruction apc3.0Manual instruction apc3.0
Manual instruction apc3.0ahnlabchina
 
Manual instruction apc4.0
Manual instruction apc4.0Manual instruction apc4.0
Manual instruction apc4.0ahnlabchina
 
Brochure ahn lab trusguard utm
Brochure ahn lab trusguard utmBrochure ahn lab trusguard utm
Brochure ahn lab trusguard utmahnlabchina
 
Brochure ahn lab-soc
Brochure ahn lab-socBrochure ahn lab-soc
Brochure ahn lab-socahnlabchina
 
Commercial model quality
Commercial model qualityCommercial model quality
Commercial model qualityahnlabchina
 
Commercial model program license
Commercial model program licenseCommercial model program license
Commercial model program licenseahnlabchina
 
Commercail model apc license model
Commercail model apc license modelCommercail model apc license model
Commercail model apc license modelahnlabchina
 
Commercial model technical
Commercial model technicalCommercial model technical
Commercial model technicalahnlabchina
 
Commercial model postsales services
Commercial model postsales servicesCommercial model postsales services
Commercial model postsales servicesahnlabchina
 

More from ahnlabchina (20)

安博士Utm性能参考
安博士Utm性能参考安博士Utm性能参考
安博士Utm性能参考
 
Training apc-4.0
Training apc-4.0Training apc-4.0
Training apc-4.0
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scm
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scm
 
White paper apc3.0
White paper apc3.0White paper apc3.0
White paper apc3.0
 
White paper apc4.0
White paper apc4.0White paper apc4.0
White paper apc4.0
 
White paper ahnlab scm
White paper ahnlab scmWhite paper ahnlab scm
White paper ahnlab scm
 
White paper ahn lab trusguard utm
White paper ahn lab trusguard utmWhite paper ahn lab trusguard utm
White paper ahn lab trusguard utm
 
Manual instruction apc3.0
Manual instruction apc3.0Manual instruction apc3.0
Manual instruction apc3.0
 
Manual instruction apc4.0
Manual instruction apc4.0Manual instruction apc4.0
Manual instruction apc4.0
 
Brochure apc4.0
Brochure apc4.0Brochure apc4.0
Brochure apc4.0
 
Brochure ahn lab trusguard utm
Brochure ahn lab trusguard utmBrochure ahn lab trusguard utm
Brochure ahn lab trusguard utm
 
Brochure ahn lab-soc
Brochure ahn lab-socBrochure ahn lab-soc
Brochure ahn lab-soc
 
Commercial model quality
Commercial model qualityCommercial model quality
Commercial model quality
 
Commercial model program license
Commercial model program licenseCommercial model program license
Commercial model program license
 
Commercail model apc license model
Commercail model apc license modelCommercail model apc license model
Commercail model apc license model
 
Commercial model technical
Commercial model technicalCommercial model technical
Commercial model technical
 
Commercial model postsales services
Commercial model postsales servicesCommercial model postsales services
Commercial model postsales services
 

安博士Asec 2011年1月安全报告

  • 1. 2011 ASEC Report Vol.1 安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的 ASE C 制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。 详细内容可以在[www.ahn.com.cn]里确认。 ASEC 2011-02-10
  • 2. Ⅰ. 本月安全趋势 ....................................................................... 3 1. 病毒趋势 ......................................................................... 3 (1) 病毒统计 ....................................................................... 3 (2) 病毒疫情 ....................................................................... 7 2. 安全趋势 ........................................................................ 18 (1) 安全统计 ...................................................................... 18 (2) 安全疫情 ...................................................................... 20
  • 3. Ⅰ. 本月安全趋势 1. 病毒趋势 (1) 病毒统计 2011 年 1 月病毒统计状况如下。 排行 降级 病毒诊断名 次数 比率 1 1 TextImage/Autorun 1,234,652 28.8 % 2 5 JS/Exploit 373,502 8.7 % 3 0 Win32/Induc 361,335 8.4 % 4 NEW Win-Trojan/Downloader.59904.AK 272,897 6.4 % 5 NEW Win-Trojan/Bho.1840640 217,031 5.1 % 6 -1 Win32/Parite 202,671 4.7 % 7 NEW Win-Trojan/Overtls11.Gen 186,291 4.3 % 8 NEW Win-Trojan/Winsoft17.Gen 184,713 4.3 % 9 0 Win32/Olala.worm.57344 126,954 3.0 % 10 0 Win32/Conficker.worm.Gen 123,614 2.9 % 11 NEW JS/Cve-2010-0806 123,575 2.9 % 12 0 Win32/Palevo1.worm.Gen 118,545 2.8 % 13 -2 VBS/Solow.Gen 109,899 2.6 % 14 3 Win32/Virut.F 98,409 2.3 % 15 -14 JS/Agent 98,317 2.3 % 16 -8 JS/Downloader 96,264 2.2 % 17 -4 VBS/Autorun 95,180 2.2 % 18 NEW Win-Trojan/Patched.CR 93,306 2.2 % 19 -4 Win32/Virut 93,283 2.2 % 20 -2 Win32/Kido.worm.156691 76,032 1.7 % 4,286,470 100 % [表 1-1] 病毒感染报告 Top 20 2011 年 1 月份病毒感染报告中占据第 1 位的是 TextImage/Autorun。 紧接着 JS/Exploit 与 Win32/Induc 分别以 373,502 与 361,335 排第 2 和第 3。进 入排名前 20 的新病毒为 6 种,特别需要关注的是排名第 4 位的 Win- Trojan/Downlo ader.59904.AK,虽然此病毒属于 2010 年 12 月末开始登场的新病毒,但是其传播 速度较快。
  • 4. 下图为按病毒代表性诊断名分类重新整理的报告。据此可以掌握病毒的传播趋 势。 排行 降级 病毒名 次数 比率 1 1 TextImage/Autorun 1,234,816 12.9 % 2 1 Win-Trojan/Onlinegamehack 1,196,089 12.5 % 3 4 Win-Trojan/Downloader 799,998 8.4 % 4 1 Win-Trojan/Agent 779,942 8.2 % 5 13 Win-Trojan/Adload 711,961 7.4 % 6 10 Win-Trojan/Winsoft 657,767 6.9 % 7 -3 Win32/Autorun.worm 572,795 6.0 % 8 -2 Win32/Conficker 439,407 4.6 % 9 NEW JS/Exploit 373,502 3.9 % 10 -2 Win32/Induc 361,467 3.8 % 11 -1 Win32/Virut 328,446 3.4 % 12 NEW Win-Trojan/Bho 306,643 3.2 % 13 -2 Win32/Kido 281,117 2.9 % 14 NEW Win-Trojan/Patched 267,051 2.8 % 15 -3 Win32/Palevo 245,257 2.6 % 16 -2 VBS/Solow 216,530 2.3 % 17 -2 Win32/Parite 207,397 2.2 % 18 -5 Dropper/OnlineGameHack 205,999 2.2 % 19 NEW Win-Trojan/Overtls11 186,291 1.9 % 20 NEW Win-Trojan/Winsoft17 184,713 1.9 % 9,557,188 100 % [表 1-2] 病毒代表性诊断名感染报告 Top 20 2011 年 1 月份的感染报告中 TextImage/Autorun 以 1,234,816 件,在 Top20 中占 据 12.9%,排行第一。Win-Trojan/Onlinegamehack 以 1,196,089 件排行第二, Win-Trojan/Downloader 以 799,998 件排行第三。 下图表为安博士公司在 2011 年 1 月收集并统计的按病毒类型分类的感染比率。
  • 5. [图 1-1] 按病 病毒类型分类 类的感染报告比率 按类型分类查 2011 年 1 月份的 查看 的感染报告数 数量,可以 以发现木马( (TROJAN)以 50.3% 以 占据最大比重 重,蠕虫(W WORM)为 14. .2%,脚本(SCRIPT)为 8.7%。 为 [图 1-2] 按病毒类型分 分类的感染比 比率与上个月的比较 与上个月月的按病毒类 类型分类的 的感染比率比较,木马 马,间谍软件(SPYWAR RE)比上个月月兑现 出增长趋趋势,然而 蠕虫(WORM M),脚本(S SCRIPT),病 病毒(VIRUS),广告软 软件(ADWAR RE),生 成器(DRO OPPER)下载 载者(DOWNLO OADER)有害 害程序(APPCARE)比上个月有所减 减少。
  • 6. [图 1-3] 每月病毒感染 染数量 1 월의 악 악성코드 월 감염보 건수는 17,304,230 건으로 12 월의 악성코드 월별 월별 보고 는 로, 의 드 감염 보고건수 18, ,404,101 건 비해 1,099,871 건이 감소 건에 1 소하였다. 1 月份 份的病毒感 感染数量为 1 17,304,230 件,比 12 月份的 18 0 2 8,404,101 件有所减少 少。 排行 行 病毒名 次数 数 비比率 1 Win-T Trojan/Dow wnloader.5 59904.AK 272,8997 19.9 % 2 Win-T Trojan/Ove ertls11.Ge en 186,2991 13.6 % 3 Win-T Trojan/Win nsoft17.Ge en 184,7113 13.5 % 4 Win-T Trojan/Pat tched.CR 93,30 06 6.8 % 5 Win-T Trojan/Win nsoft.2631 168.KX 66,68 89 4.9 % 6 Win-T Trojan/Win nsoft.2631 168.LO 64,20 02 4.7 % 7 Win-T Trojan/Age ent.339968 8.EI 61,315 4.5 % 8 Win-T Trojan/Adl load.77312 2.LPU 58,49 97 4.3 % 9 Win-T Trojan/Age ent.323584 4.FK 51,94 44 3.8 % 100 Win-T Trojan/Win nsoft18.Ge en 41,49 99 3.0 % 111 Win-T Trojan/Win nsoft.2810 088.GHF 36,72 21 2.7 % 122 Win-T Trojan/Win nsoft.2810 088.GGM 34,719 2.5 % 133 Win-T Trojan/Dow wnloader.5 550912 31,25 52 2.3 % 144 Win-T Trojan/Win nsoft.2631 168.LR 28,87 72 2.1 % 155 Win-T Trojan/Adl load.26931 12.B 27,27 75 2.0 % 166 Win-A Adware/BHO O.WowLinke er.615424 27,211 2.0 %
  • 7. 17 7 Win-T Trojan/Adl load.26777 76.F 27,08 83 2.0 % 18 8 Win-T Trojan/Ldp pinch.2708 848.B 26,48 89 1.9 % 19 9 Win-T Trojan/Adl load.26982 24 25,64 41 1.8 % 20 0 Win-T Trojan/Adl load.26726 64.B 24,316 1.7 % 1,370,9932 100 % [表 1-3] 最 最新病毒感染 染报告 Top20 1 月份份最新病毒感染报告 T Top20 中 Wi in- Troja an/Downloa ader.59904 4.AK 以 272 2,897 件,19.9%占据 据第一,Win n- Troja an/Overtls s11.Gen 以 186,291 件 件排第二。 [图 1-4] 按最新 新病毒类型分 分类的分布图 1 月份的的按最新病毒毒类型分类 类的分布图中 中木马占据 92%,排行 据 行第一。紧接着广告软 软件占 据 4%,生生成器占据 3% 据 (2) 病 病毒疫情 ■ DDo 攻击 恶性 oS 性代码 1 月份收 收到 分布式 式服务攻击 (Distrib 击 bute Denia of Serv al vice, 为 D DDoS)的恶性 性代码, 已知国内有名的社 社交网站,网络广播,门户网站 站等受到影响 经过调响. 调查研究发现 现此攻 击行为的可疑人是 是十多岁的 的年轻男子。本次被发 发现的 DDOS 攻击的恶性 性嗲吗主要 要伪装成 视频文件,国内有 有名企业的 的自动升级程 程序等 通过 P2p,博客 过 客方式进行 行传播。若被 被该恶
  • 8. 性代码感染会在每秒发 100 次以上的数据包执行对网站的 DDOS 攻击。 [图 1-5] DDoS 攻击数据包的信息 该 DDOS 的攻击方法是如[图 1-5]所显示一样会在攻击网站上添加 Cache-Control:no- store,must-realidate 选项,并占用该网站上的服务器系统资源导致服务器系统崩 溃。为了防止此类事件的发生需用户加强防范意识,而且对于不可信的网站,甚至在 不可信的网站上下载程序需要慎重,有必要再一次确认是否为可疑等等的措施。 ■自称 美国白宫 传播的 Zeus 变种 Kneber
  • 9. [图 1-8] 趋势公开 自称为白宫进行邮件传播 该恶性代码由趋势公开的[图 1-8]一样,自称为白宫通过邮件的方式进行传播。每当 年末迎新年气氛愉悦的时,犯罪分子会恶用此时进行传播恶性代码。像去年 2010 年会 在圣诞节,伪装成圣诞卡传播 Prolaco(Ackantta)蠕虫病毒, 2009 年也是利用伪装圣 诞卡传播恶性代码的。本次从白宫传播的伪装成新年贺卡的邮件,我们 V3 产品系列诊 断为如下: - Win-Trojan/Zbot.177152.AC - Win-Trojan/Zbot.179712.P - Win-Trojan/Agent.900769
  • 10. ■MS Internet Explorer CVE-2010-3971 漏洞 2010 年 12 月 22 日,微软 IE 浏览器 CSS 解析远程代码执行漏洞是当 mshtml.dll 解析 CSS(Cascading Style Sheets)文件时,CSharedStyleSheet::Notify()函数存在的 Use-after-free 漏洞。远程攻击者通过构造包含多个@import 的命令的畸形 CSS 文件 可导致 IE6,IE7,IE8 远程拒绝服务或远程代码执行漏洞。 攻击者将利用代码放在网站上诱使用户访问,当用户使用存在该漏洞的 IE 浏览器访问 该利用代码后,利用代码将在用户电脑上运行,攻击者可以获取当前用户相同的权 限,攻击者可下载、安装恶意软件,远程控制,用户信息窃取等操作。 目前受影响的 IE 浏览器有 IE6,IE7 和 IE8。 微软到目前还没有发布该漏洞的相关补丁 [图 1-9] 利用 IE 0-day 漏洞的恶意脚本 对于本次利用 IE 0-day 漏洞的恶意脚本我们 V3 系列诊断为如下: - JS/CVE-2010-3971
  • 11. ■Twitter 上利用 Google 短 RUL 传播 恶意代码 2011 年 1 月 21 日 国外有名的社交服务网 (Social Network Service, 又称 SNS)上传播引诱访问虚假杀软的 Google 链接。有关此信息已 SANS 的"Possible new Twitter worm"博文上公开。SANS 上公开的图 [图 1-10]上显示,包含很多 Google 提 供的 URL 地址 。 [图 1-10] 利用 Google URL 传播的 Twitter 信息 如果链接此地址会经过 3 次链接(Redirection)最终会链接虚假杀软网站。 参考[图 1-11]的内容:
  • 12. [그림 1–11] 3 단계로 이어지는 구글 단축 URL 악용 通过 3 次步骤后最终链接到虚假杀软的网站,若下载此文件并运行会弹出[图 1-12] 所显示的内容。 [图 1-12] 安装成功提示的虚假杀软 若安装后没有用户允许进行全盘扫描,把正常文件诊断成恶意文件,还提示 45 个文件 为恶意文件的虚假信息。
  • 13. [图 1-13] 提示恶意代码被发现的虚假信息的虚假杀软 弹出“治疗“提示窗口,点击如[图 1-14]显示一样,只要交 79.92 美元会给用户永久 性服务。
  • 14. [图 1-14] 交 79 美元给永久性的序列号和技术支持的服务 Twitter 的社交网上传播的此虚假软件,在我们 V3 产品系列当中诊断为如下: - Win-Trojan/Fakeav.311808.AC ■出现免杀云安全软件的恶性代码 美国当地时间 2011 年 1 月 18 日,MS 公司的 Microsoft Malware Protection Center 发现,一些恶性代码利用名为“Bohu Takes Aim at the Cloud”的帖子可以绕过最近 很多安全公司购用的云安全(Cloud Anti-Virus)软件的监测。本次发现的恶性代码 可以绕过中国一部分安全公司制作的云安全软件的监测,非法弹出广告并盗取中国特 定门户网站的用户信息。该恶性代码是由 Nullsoft PiMP 制作的安装文件,以“SUYU 高清影音”的名字伪装成视频安装向导。[图 1-15]
  • 15. [图 1-15] 伪装为视频安装向导的恶性代码 如果执行该文件,在后台隐秘地生成以下文件并执行。 - C:Program Filesbaidumsfsg.exe (369,664 字节) - C:Program Filesbaiduuninst18.exe 生成的 msfsg.exe(369,664 字节)文件执行恶意行为的同时绕过云安全软件的监 测,之后生成以下文件。 - C:Program Filesbaiduspass.dll (710,656 字节) - C:Program Filesbaidusiglow.sys (17,024 字节) - C:Program Filesbaidusiglow.dll (37,888 字节) 以上生成文件都被 msfsg.exe(369,664 字节)文件加载到内存后全部删除,画面上
  • 16. 显示视频向导程序导致以为是正常程序。图 1-16. [图 1-16] 执行中的视频播放器 生成文件当中绕过云安全软件监测的文件是 siglow.sys(17,024 字节),该驱动文 件以 siglow 的名字加载到系统,在 NDIS(Network Driver Interface Specification) 阶段 hook 网络数据包。并且发送到外部数据包当中包含驱动文件里 相同中国安全公司制作的云安全软件的网络地址的话,阻止该链接。图 1-17
  • 17. [图 1-17] 被阻止的云安全反病毒服务器地址 该恶性代码制作者了解到云安全反病毒软件为了监测恶性代码用网络传送相关资料, 于是不让相关服务器得到资料阻止了网络连接。这次发现的绕过云安全反病毒软件的 恶性代码在 V3 被诊断为以下诊断名。 - Win-Trojan/Bohu.2229512 - Win-Trojan/Bohu.17024 - Win-Trojan/Bohu.37888 - Win-Trojan/Bohu.710656 这次发现的 Bohu 特洛伊木马是最早的 Anti-Cloud 恶性代码。如果发现恶性代码制作 者使用新方法,反病毒公司马上会研究对应的监测和响应方法。该恶性代码的出现说 明以后会有更多的绕过云安全反病毒软件的恶性代码。 这样的新免杀方式会一直发现下去,拥有新反云安全功能的恶性代码将不断出现。
  • 18. 2. 安全趋势 (1) 安全统计 ■一月份微软安全更新现况 这次微软发表的更新项有两个。 [图 2-1]按攻击对象为标准的 MS 安全更新 危险度 漏洞 PoC 重要 MS11-001 Windows 备份管理者的公开漏洞 有 MS11-002 Microsoft Data Access Components 漏洞(DSN 紧急 无 Overflow)
  • 19. MS11-002 Microsoft Data Access Components 漏洞(ADO Record 紧急 有 Memory) [表 2-1] 2011 年 1 月 MS 主要安全更新 本月发表了两个 Patch。MS11-01 是 Windows 备份管理员在特定制作的库文件和相同网 络路径下打开文件时执行的远程代码漏洞。MS11-02 是 Microsoft Data Access Components 漏洞,在打开改造的网页时执行远程代码使攻击者获取用户权利的漏洞。 由于一部分 PoC 公开,需要引起注意。还有,一月初发表的 0-day 相关漏洞 CVE- 2010-3971(IE CSS 漏洞), CVE-2010-3970(MS 图像引擎漏洞)本月没有包含在内。 ■病毒侵害网站现况 [图 2-2] 2011 年 1 月侵害网站现况 以上统计为按月份整理的侵害网站现况图,比上个月有所增加。这次发现特别内容将 在‘3. 网站安全趋势’里详细说明。
  • 20. (2) 安全疫情 ■Windows Graphics Rendering Engine漏洞. CVE-2010-3970 在 Windows Graphics Rendering Engine(Shimgvw.dll)处理 thumbnail image 的时候 所发生的 Stack-based Buffer Overflow 来执行任意代码。 [그림 2-3] 윈도우 그래픽 렌더링 엔진 취약점. CVE-2010-3970 이 취약점은 국내 보안 콘퍼런스에서 Moti & Xu Hao 가 발표한 것으로, 아직 공격사례는 발생하고 있지 않으나 PoC 가 공개된 만큼 각별한 주의가 필요하다. 또한, 해당 취약점은 사용자가 폴더 보기옵션 중 ‘미리 보기’를 설정할 때만 발생하므로 이 옵션이 불필요한 경우 해제하는 것이 좋다. ■ 2011 스톰웜 봇넷 StormWorm 是木马病毒,是在 2007 年 1 月 17 日发现的,同年 1 月 19 日急速扩散,感 染了全世界 PC 的 8%。这个病毒是通过电子邮件伪装成天气紧急新闻,使用户下载执 行文件。2008 年出现了伪装成‘FBI vs FaceBook’的 Strom Worm。就像这样伪装成 社会疫情的关键词,通过邮件传播的蠕虫叫 Strom Worm 或者 Wale Dac 来命名。2010 年 12 月 30 日出现了伪装成年末休假的垃圾邮件。Steven Adair 把这个命名为 Waledac 2.0 或者 Storm Worm 3.0。下载并执行垃圾邮件所包含的伪装链接或文件, 会感染蠕虫。感染的 PC 将被恶意使用为垃圾邮件的发送地。连接被蠕虫感染的网站或
  • 21. 服务器,33byte 或 417byte 有效载荷里包含以“0102010101010201”开始的数据。 [图 2-4] Storm Worm 有效载荷 到目前为止恶性样本持续增加,主要通过邮件来传播,所有不要随意阅读或打开疑似 邮件。 病毒按类型分布中,间谍软件 22,371 个占 28.3%为第一位,释放(Dropper)有 22,183 个占 28.1%为第二位。 ■病毒分布顺序 顺序 升落 病毒名 数量 比率 1 - Win-Adware/Shortcut.InlivePlayerActiveX.234 13,938 29.3 % 2 1 Win-Adware/Shortcut.Tickethom.36864 5,275 11.1 % 3 NEW Win32/Virut.D 4,853 10.2 % 4 NEW Dropper/Natice.52224 4,839 10.2 % 5 NEW Win-Trojan/Qqpass.37376.B 4,767 10 % 6 NEW Dropper/Onlinegamehack.36864.J 3,989 8.4 % 7 NEW Dropper/Win32.Natice 2,676 5.6 % 8 NEW Win32/Virut.F 2,526 5.3 % 9 NEW Dropper/Win32.Infostealer 2,434 5.1 % 10 NEW Trojan/Win32.Qqpass 2,200 4.6 % [表 3-3]通过网络分布的病毒 Top 10
  • 22. 如[表 3-3]所示,Win-Adware/Shortcut.InlivePlayerActiveX.234 有 13.938 个为第一 位,Top10 中有新出现的 Win32/Virut.D 等有 8 个。