安博士Asec 2011年1月安全报告

1. 2011 ASEC Report
Vol.1
安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response
Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的 ASE
C 制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。
详细内容可以在[www.ahn.com.cn]里确认。
ASEC
2011-02-10

2. Ⅰ. 本月安全趋势 ....................................................................... 3
1. 病毒趋势 ......................................................................... 3
(1) 病毒统计 ....................................................................... 3
(2) 病毒疫情 ....................................................................... 7
2. 安全趋势 ........................................................................ 18
(1) 安全统计 ...................................................................... 18
(2) 安全疫情 ...................................................................... 20

3. Ⅰ. 本月安全趋势
1. 病毒趋势
(1) 病毒统计
2011 年 1 月病毒统计状况如下。
排行 降级 病毒诊断名 次数 比率
1 1 TextImage/Autorun 1,234,652 28.8 %
2 5 JS/Exploit 373,502 8.7 %
3 0 Win32/Induc 361,335 8.4 %
4 NEW Win-Trojan/Downloader.59904.AK 272,897 6.4 %
5 NEW Win-Trojan/Bho.1840640 217,031 5.1 %
6 -1 Win32/Parite 202,671 4.7 %
7 NEW Win-Trojan/Overtls11.Gen 186,291 4.3 %
8 NEW Win-Trojan/Winsoft17.Gen 184,713 4.3 %
9 0 Win32/Olala.worm.57344 126,954 3.0 %
10 0 Win32/Conficker.worm.Gen 123,614 2.9 %
11 NEW JS/Cve-2010-0806 123,575 2.9 %
12 0 Win32/Palevo1.worm.Gen 118,545 2.8 %
13 -2 VBS/Solow.Gen 109,899 2.6 %
14 3 Win32/Virut.F 98,409 2.3 %
15 -14 JS/Agent 98,317 2.3 %
16 -8 JS/Downloader 96,264 2.2 %
17 -4 VBS/Autorun 95,180 2.2 %
18 NEW Win-Trojan/Patched.CR 93,306 2.2 %
19 -4 Win32/Virut 93,283 2.2 %
20 -2 Win32/Kido.worm.156691 76,032 1.7 %
4,286,470 100 %
[表 1-1] 病毒感染报告 Top 20
2011 年 1 月份病毒感染报告中占据第 1 位的是 TextImage/Autorun。
紧接着 JS/Exploit 与 Win32/Induc 分别以 373,502 与 361,335 排第 2 和第 3。进
入排名前 20 的新病毒为 6 种，特别需要关注的是排名第 4 位的 Win-
Trojan/Downlo
ader.59904.AK，虽然此病毒属于 2010 年 12 月末开始登场的新病毒，但是其传播
速度较快。

4. 下图为按病毒代表性诊断名分类重新整理的报告。据此可以掌握病毒的传播趋
势。
排行 降级 病毒名 次数 比率
1 1 TextImage/Autorun 1,234,816 12.9 %
2 1 Win-Trojan/Onlinegamehack 1,196,089 12.5 %
3 4 Win-Trojan/Downloader 799,998 8.4 %
4 1 Win-Trojan/Agent 779,942 8.2 %
5 13 Win-Trojan/Adload 711,961 7.4 %
6 10 Win-Trojan/Winsoft 657,767 6.9 %
7 -3 Win32/Autorun.worm 572,795 6.0 %
8 -2 Win32/Conficker 439,407 4.6 %
9 NEW JS/Exploit 373,502 3.9 %
10 -2 Win32/Induc 361,467 3.8 %
11 -1 Win32/Virut 328,446 3.4 %
12 NEW Win-Trojan/Bho 306,643 3.2 %
13 -2 Win32/Kido 281,117 2.9 %
14 NEW Win-Trojan/Patched 267,051 2.8 %
15 -3 Win32/Palevo 245,257 2.6 %
16 -2 VBS/Solow 216,530 2.3 %
17 -2 Win32/Parite 207,397 2.2 %
18 -5 Dropper/OnlineGameHack 205,999 2.2 %
19 NEW Win-Trojan/Overtls11 186,291 1.9 %
20 NEW Win-Trojan/Winsoft17 184,713 1.9 %
9,557,188 100 %
[表 1-2] 病毒代表性诊断名感染报告 Top 20
2011 年 1 月份的感染报告中 TextImage/Autorun 以 1,234,816 件，在 Top20 中占
据 12.9%，排行第一。Win-Trojan/Onlinegamehack 以 1,196,089 件排行第二，
Win-Trojan/Downloader 以 799,998 件排行第三。
下图表为安博士公司在 2011 年 1 月收集并统计的按病毒类型分类的感染比率。

5. [图 1-1] 按病
病毒类型分类
类的感染报告比率
按类型分类查 2011 年 1 月份的
查看 的感染报告数 数量，可以 以发现木马( (TROJAN)以 50.3%
以
占据最大比重
重，蠕虫(W WORM)为 14.
.2%，脚本(SCRIPT)为 8.7%。
为
[图 1-2] 按病毒类型分
分类的感染比
比率与上个月的比较
与上个月月的按病毒类 类型分类的 的感染比率比较，木马 马，间谍软件(SPYWAR
RE)比上个月月兑现
出增长趋趋势，然而 蠕虫(WORM M)，脚本(S SCRIPT)，病
病毒(VIRUS)，广告软
软件(ADWAR
RE)，生
成器(DRO
OPPER)下载
载者(DOWNLO
OADER)有害
害程序(APPCARE)比上个月有所减 减少。

6. [图 1-3] 每月病毒感染
染数量
1 월의 악
악성코드 월 감염보 건수는 17,304,230 건으로 12 월의 악성코드 월별
월별 보고 는 로, 의 드
감염 보고건수 18,
,404,101 건 비해 1,099,871 건이 감소
건에 1 소하였다.
1 月份
份的病毒感
感染数量为 1
17,304,230 件，比 12 月份的 18
0 2 8,404,101 件有所减少
少。
排行
行 病毒名 次数
数 비比率
1 Win-T
Trojan/Dow
wnloader.5
59904.AK 272,8997 19.9 %
2 Win-T
Trojan/Ove
ertls11.Ge
en 186,2991 13.6 %
3 Win-T
Trojan/Win
nsoft17.Ge
en 184,7113 13.5 %
4 Win-T
Trojan/Pat
tched.CR 93,30
06 6.8 %
5 Win-T
Trojan/Win
nsoft.2631
168.KX 66,68
89 4.9 %
6 Win-T
Trojan/Win
nsoft.2631
168.LO 64,20
02 4.7 %
7 Win-T
Trojan/Age
ent.339968
8.EI 61,315 4.5 %
8 Win-T
Trojan/Adl
load.77312
2.LPU 58,49
97 4.3 %
9 Win-T
Trojan/Age
ent.323584
4.FK 51,94
44 3.8 %
100 Win-T
Trojan/Win
nsoft18.Ge
en 41,49
99 3.0 %
111 Win-T
Trojan/Win
nsoft.2810
088.GHF 36,72
21 2.7 %
122 Win-T
Trojan/Win
nsoft.2810
088.GGM 34,719 2.5 %
133 Win-T
Trojan/Dow
wnloader.5
550912 31,25
52 2.3 %
144 Win-T
Trojan/Win
nsoft.2631
168.LR 28,87
72 2.1 %
155 Win-T
Trojan/Adl
load.26931
12.B 27,27
75 2.0 %
166 Win-A
Adware/BHO
O.WowLinke
er.615424 27,211 2.0 %

7. 17
7 Win-T
Trojan/Adl
load.26777
76.F 27,08
83 2.0 %
18
8 Win-T
Trojan/Ldp
pinch.2708
848.B 26,48
89 1.9 %
19
9 Win-T
Trojan/Adl
load.26982
24 25,64
41 1.8 %
20
0 Win-T
Trojan/Adl
load.26726
64.B 24,316 1.7 %
1,370,9932 100 %
[表 1-3] 最
最新病毒感染
染报告 Top20
1 月份份最新病毒感染报告 T Top20 中 Wi
in-
Troja
an/Downloa
ader.59904
4.AK 以 272
2,897 件，19.9%占据
据第一，Win
n-
Troja
an/Overtls
s11.Gen 以 186,291 件
件排第二。
[图 1-4] 按最新
新病毒类型分
分类的分布图
1 月份的的按最新病毒毒类型分类
类的分布图中
中木马占据 92%，排行
据 行第一。紧接着广告软
软件占
据 4%，生生成器占据 3%
据
(2) 病
病毒疫情
■ DDo 攻击 恶性
oS 性代码
1 月份收
收到 分布式
式服务攻击 (Distrib
击 bute Denia of Serv
al vice, 为 D
DDoS)的恶性
性代码,
已知国内有名的社 社交网站，网络广播，门户网站 站等受到影响 经过调响. 调查研究发现 现此攻
击行为的可疑人是 是十多岁的
的年轻男子。本次被发 发现的 DDOS 攻击的恶性 性嗲吗主要 要伪装成
视频文件，国内有 有名企业的
的自动升级程 程序等 通过 P2p，博客
过 客方式进行 行传播。若被 被该恶

8. 性代码感染会在每秒发 100 次以上的数据包执行对网站的 DDOS 攻击。
[图 1-5] DDoS 攻击数据包的信息
该 DDOS 的攻击方法是如[图 1-5]所显示一样会在攻击网站上添加 Cache-Control:no-
store,must-realidate 选项，并占用该网站上的服务器系统资源导致服务器系统崩
溃。为了防止此类事件的发生需用户加强防范意识，而且对于不可信的网站，甚至在
不可信的网站上下载程序需要慎重，有必要再一次确认是否为可疑等等的措施。
■自称 美国白宫 传播的 Zeus 变种 Kneber

9. [图 1-8] 趋势公开 自称为白宫进行邮件传播
该恶性代码由趋势公开的[图 1-8]一样，自称为白宫通过邮件的方式进行传播。每当
年末迎新年气氛愉悦的时，犯罪分子会恶用此时进行传播恶性代码。像去年 2010 年会
在圣诞节，伪装成圣诞卡传播 Prolaco(Ackantta)蠕虫病毒, 2009 年也是利用伪装圣
诞卡传播恶性代码的。本次从白宫传播的伪装成新年贺卡的邮件，我们 V3 产品系列诊
断为如下：
- Win-Trojan/Zbot.177152.AC
- Win-Trojan/Zbot.179712.P
- Win-Trojan/Agent.900769

10. ■MS Internet Explorer CVE-2010-3971 漏洞
2010 年 12 月 22 日，微软 IE 浏览器 CSS 解析远程代码执行漏洞是当 mshtml.dll 解析
CSS（Cascading Style Sheets）文件时，CSharedStyleSheet::Notify()函数存在的
Use-after-free 漏洞。远程攻击者通过构造包含多个@import 的命令的畸形 CSS 文件
可导致 IE6，IE7，IE8 远程拒绝服务或远程代码执行漏洞。
攻击者将利用代码放在网站上诱使用户访问，当用户使用存在该漏洞的 IE 浏览器访问
该利用代码后，利用代码将在用户电脑上运行，攻击者可以获取当前用户相同的权
限，攻击者可下载、安装恶意软件，远程控制，用户信息窃取等操作。
目前受影响的 IE 浏览器有 IE6，IE7 和 IE8。
微软到目前还没有发布该漏洞的相关补丁
[图 1-9] 利用 IE 0-day 漏洞的恶意脚本
对于本次利用 IE 0-day 漏洞的恶意脚本我们 V3 系列诊断为如下：
- JS/CVE-2010-3971

11. ■Twitter 上利用 Google 短 RUL 传播 恶意代码
2011 年 1 月 21 日 国外有名的社交服务网 (Social Network Service, 又称
SNS)上传播引诱访问虚假杀软的 Google 链接。有关此信息已 SANS 的"Possible new
Twitter worm"博文上公开。SANS 上公开的图 [图 1-10]上显示，包含很多 Google 提
供的 URL 地址 。
[图 1-10] 利用 Google URL 传播的 Twitter 信息
如果链接此地址会经过 3 次链接(Redirection)最终会链接虚假杀软网站。
参考[图 1-11]的内容：

12. [그림 1–11] 3 단계로 이어지는 구글 단축 URL 악용
通过 3 次步骤后最终链接到虚假杀软的网站，若下载此文件并运行会弹出[图 1-12]
所显示的内容。
[图 1-12] 安装成功提示的虚假杀软
若安装后没有用户允许进行全盘扫描，把正常文件诊断成恶意文件，还提示 45 个文件
为恶意文件的虚假信息。

13. [图 1-13] 提示恶意代码被发现的虚假信息的虚假杀软
弹出“治疗“提示窗口，点击如[图 1-14]显示一样，只要交 79.92 美元会给用户永久
性服务。

14. [图 1-14] 交 79 美元给永久性的序列号和技术支持的服务
Twitter 的社交网上传播的此虚假软件，在我们 V3 产品系列当中诊断为如下：
- Win-Trojan/Fakeav.311808.AC
■出现免杀云安全软件的恶性代码
美国当地时间 2011 年 1 月 18 日，MS 公司的 Microsoft Malware Protection Center
发现，一些恶性代码利用名为“Bohu Takes Aim at the Cloud”的帖子可以绕过最近
很多安全公司购用的云安全（Cloud Anti-Virus）软件的监测。本次发现的恶性代码
可以绕过中国一部分安全公司制作的云安全软件的监测，非法弹出广告并盗取中国特
定门户网站的用户信息。该恶性代码是由 Nullsoft PiMP 制作的安装文件，以“SUYU
高清影音”的名字伪装成视频安装向导。[图 1-15]

15. [图 1-15] 伪装为视频安装向导的恶性代码
如果执行该文件，在后台隐秘地生成以下文件并执行。
- C:Program Filesbaidumsfsg.exe (369,664 字节)
- C:Program Filesbaiduuninst18.exe
生成的 msfsg.exe（369,664 字节）文件执行恶意行为的同时绕过云安全软件的监
测，之后生成以下文件。
- C:Program Filesbaiduspass.dll (710,656 字节)
- C:Program Filesbaidusiglow.sys (17,024 字节)
- C:Program Filesbaidusiglow.dll (37,888 字节)
以上生成文件都被 msfsg.exe（369,664 字节）文件加载到内存后全部删除，画面上

16. 显示视频向导程序导致以为是正常程序。图 1-16.
[图 1-16] 执行中的视频播放器
生成文件当中绕过云安全软件监测的文件是 siglow.sys（17,024 字节），该驱动文
件以 siglow 的名字加载到系统，在 NDIS(Network Driver Interface
Specification) 阶段 hook 网络数据包。并且发送到外部数据包当中包含驱动文件里
相同中国安全公司制作的云安全软件的网络地址的话，阻止该链接。图 1-17

17. [图 1-17] 被阻止的云安全反病毒服务器地址
该恶性代码制作者了解到云安全反病毒软件为了监测恶性代码用网络传送相关资料，
于是不让相关服务器得到资料阻止了网络连接。这次发现的绕过云安全反病毒软件的
恶性代码在 V3 被诊断为以下诊断名。
- Win-Trojan/Bohu.2229512
- Win-Trojan/Bohu.17024
- Win-Trojan/Bohu.37888
- Win-Trojan/Bohu.710656
这次发现的 Bohu 特洛伊木马是最早的 Anti-Cloud 恶性代码。如果发现恶性代码制作
者使用新方法，反病毒公司马上会研究对应的监测和响应方法。该恶性代码的出现说
明以后会有更多的绕过云安全反病毒软件的恶性代码。
这样的新免杀方式会一直发现下去，拥有新反云安全功能的恶性代码将不断出现。

18. 2. 安全趋势
(1) 安全统计
■一月份微软安全更新现况
这次微软发表的更新项有两个。
[图 2-1]按攻击对象为标准的 MS 安全更新
危险度 漏洞 PoC
重要 MS11-001 Windows 备份管理者的公开漏洞 有
MS11-002 Microsoft Data Access Components 漏洞(DSN
紧急 无
Overflow)

19. MS11-002 Microsoft Data Access Components 漏洞(ADO Record
紧急 有
Memory)
[表 2-1] 2011 年 1 月 MS 主要安全更新
本月发表了两个 Patch。MS11-01 是 Windows 备份管理员在特定制作的库文件和相同网
络路径下打开文件时执行的远程代码漏洞。MS11-02 是 Microsoft Data Access
Components 漏洞，在打开改造的网页时执行远程代码使攻击者获取用户权利的漏洞。
由于一部分 PoC 公开，需要引起注意。还有，一月初发表的 0-day 相关漏洞 CVE-
2010-3971(IE CSS 漏洞), CVE-2010-3970(MS 图像引擎漏洞)本月没有包含在内。
■病毒侵害网站现况
[图 2-2] 2011 年 1 月侵害网站现况
以上统计为按月份整理的侵害网站现况图，比上个月有所增加。这次发现特别内容将
在‘3. 网站安全趋势’里详细说明。

20. (2) 安全疫情
■Windows Graphics Rendering Engine漏洞. CVE-2010-3970
在 Windows Graphics Rendering Engine(Shimgvw.dll)处理 thumbnail image 的时候
所发生的 Stack-based Buffer Overflow 来执行任意代码。
[그림 2-3] 윈도우 그래픽 렌더링 엔진 취약점. CVE-2010-3970
이 취약점은 국내 보안 콘퍼런스에서 Moti & Xu Hao 가 발표한 것으로, 아직
공격사례는 발생하고 있지 않으나 PoC 가 공개된 만큼 각별한 주의가 필요하다.
또한, 해당 취약점은 사용자가 폴더 보기옵션 중 ‘미리 보기’를 설정할 때만
발생하므로 이 옵션이 불필요한 경우 해제하는 것이 좋다.
■ 2011 스톰웜 봇넷
StormWorm 是木马病毒，是在 2007 年 1 月 17 日发现的，同年 1 月 19 日急速扩散，感
染了全世界 PC 的 8%。这个病毒是通过电子邮件伪装成天气紧急新闻，使用户下载执
行文件。2008 年出现了伪装成‘FBI vs FaceBook’的 Strom Worm。就像这样伪装成
社会疫情的关键词，通过邮件传播的蠕虫叫 Strom Worm 或者 Wale Dac 来命名。2010
年 12 月 30 日出现了伪装成年末休假的垃圾邮件。Steven Adair 把这个命名为
Waledac 2.0 或者 Storm Worm 3.0。下载并执行垃圾邮件所包含的伪装链接或文件，
会感染蠕虫。感染的 PC 将被恶意使用为垃圾邮件的发送地。连接被蠕虫感染的网站或

21. 服务器，33byte 或 417byte 有效载荷里包含以“0102010101010201”开始的数据。
[图 2-4] Storm Worm 有效载荷
到目前为止恶性样本持续增加，主要通过邮件来传播，所有不要随意阅读或打开疑似
邮件。
病毒按类型分布中，间谍软件 22,371 个占 28.3%为第一位，释放（Dropper）有 22,183
个占 28.1%为第二位。
■病毒分布顺序
顺序 升落 病毒名 数量 比率
1 - Win-Adware/Shortcut.InlivePlayerActiveX.234 13,938 29.3 %
2 1 Win-Adware/Shortcut.Tickethom.36864 5,275 11.1 %
3 NEW Win32/Virut.D 4,853 10.2 %
4 NEW Dropper/Natice.52224 4,839 10.2 %
5 NEW Win-Trojan/Qqpass.37376.B 4,767 10 %
6 NEW Dropper/Onlinegamehack.36864.J 3,989 8.4 %
7 NEW Dropper/Win32.Natice 2,676 5.6 %
8 NEW Win32/Virut.F 2,526 5.3 %
9 NEW Dropper/Win32.Infostealer 2,434 5.1 %
10 NEW Trojan/Win32.Qqpass 2,200 4.6 %
[表 3-3]通过网络分布的病毒 Top 10

22. 如[表 3-3]所示，Win-Adware/Shortcut.InlivePlayerActiveX.234 有 13.938 个为第一
位，Top10 中有新出现的 Win32/Virut.D 等有 8 个。