安博士ASEC 2011年1月安全报告

 2011 ASEC Report Vol.1 安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的ASEC制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。 详细内容可以在[www.ahn.com.cn]里确认。 ASEC 2011-02-10 Ⅰ. 本月安全趋势 ....................................................................... 3 1. 病毒趋势 ......................................................................... 3 (1) 病毒统计 ....................................................................... 3 (2) 病毒疫情 ....................................................................... 7 2. 安全趋势 ........................................................................ 18 (1) 安全统计 ...................................................................... 18 (2) 安全疫情 ...................................................................... 20

Ⅰ. 本月安全趋势

1. 病毒趋势

(1) 病毒统计

2011年1月病毒统计状况如下。 排行 降级 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

1 5 0 NEW NEW -1 NEW NEW 0 0 NEW 0 -2 3 -14 -8 -4 NEW -4 -2

病毒诊断名

TextImage/Autorun JS/Exploit Win32/Induc

Win-Trojan/Downloader.59904.AK Win-Trojan/Bho.18400 Win32/Parite

Win-Trojan/Overtls11.Gen Win-Trojan/Winsoft17.Gen Win32/Olala.worm.57344 Win32/Conficker.worm.Gen JS/Cve-2010-0806

Win32/Palevo1.worm.Gen VBS/Solow.Gen Win32/Virut.F JS/Agent

JS/Downloader VBS/Autorun

Win-Trojan/Patched.CR Win32/Virut

Win32/Kido.worm.156691

[表 1-1] 病毒感染报告Top 20

次数 比率

1,234,652 28.8 %373,502 8.7 %361,335 8.4 %272,7 6.4 %217,031 5.1 %202,671 4.7 %186,291 4.3 %184,713 4.3 %126,954 3.0 %123,614 2.9 %123,575 2.9 %118,545 2.8 %109,9 2.6 %98,409 2.3 %98,317 2.3 %96,2 2.2 %95,180 2.2 %93,306 2.2 %93,283 2.2 %76,032 1.7 %4,286,470 100 %

2011年1月份病毒感染报告中占据第1位的是TextImage/Autorun。

紧接着JS/Exploit与Win32/Induc分别以373,502与361,335排第2和第3。进入排名前20的新病毒为6种，特别需要关注的是排名第4位的Win-Trojan/Downlo

ader.59904.AK，虽然此病毒属于2010年12月末开始登场的新病毒，但是其传播速度较快。

下图为按病毒代表性诊断名分类重新整理的报告。据此可以掌握病毒的传播趋势。 排行 降级 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

1 1 4 1 13 10 -3 -2 NEW -2 -1 NEW -2 NEW -3 -2 -2 -5 NEW NEW

病毒名

TextImage/Autorun

Win-Trojan/Onlinegamehack Win-Trojan/Downloader Win-Trojan/Agent Win-Trojan/Adload Win-Trojan/Winsoft Win32/Autorun.worm Win32/Conficker JS/Exploit Win32/Induc Win32/Virut Win-Trojan/Bho Win32/Kido

Win-Trojan/Patched Win32/Palevo VBS/Solow Win32/Parite

Dropper/OnlineGameHack Win-Trojan/Overtls11 Win-Trojan/Winsoft17

次数 1,234,816 1,196,0 799,998 779,942 711,961 657,767 572,795 439,407 373,502 361,467 328,446 306,3 281,117 267,051 245,257 216,530 207,397 205,999 186,291 184,713 9,557,188

比率 12.9 %12.5 %8.4 %8.2 %7.4 %6.9 %6.0 %4.6 %3.9 %3.8 %3.4 %3.2 %2.9 %2.8 %2.6 %2.3 %2.2 %2.2 %1.9 %1.9 %100 %

[表 1-2] 病毒代表性诊断名感染报告 Top 20

2011年1月份的感染报告中TextImage/Autorun以1,234,816件，在Top20中占据12.9%，排行第一。Win-Trojan/Onlinegamehack以1,196,0件排行第二，Win-Trojan/Downloader以799,998件排行第三。

下图表为安博士公司在2011年1月收集并统计的按病毒类型分类的感染比率。

[图 1-1] 按病病毒类型分类类的感染报告比率按类型分类查查看2011年1月份的的感染报告数数量，可以以发现木马((TROJAN)以以50.3%占据最大比重重，蠕虫(WWORM)为14..2%，脚本(SCRIPT)为为8.7%。 [图 1-2] 按病毒类型分分类的感染比比率与上个月的比较与上个月月的按病毒类类型分类的的感染比率比较，木马马，间谍软件(SPYWARRE)比上个月月兑现出增长趋趋势，然而蠕虫(WORMM)，脚本(SSCRIPT)，病病毒(VIRUS)，广告软软件(ADWARRE)，生成器(DROOPPER)下载载者(DOWNLOOADER)有害害程序(APPCARE)比上个月有所减减少。 [图 1-3] 每月病毒感染染数量1월의 악성코드악 월별월 감염보보고 건수는는 17,304,230건으로로, 12월의의 악성코드드 월별감염 보고건수 18,,404,101건에건 비해1,099,8711건이 감소소하였다. 1月份份的病毒感感染数量为17,304,23010件，比122月份的188,404,101件有所减少少。 排行行 1 2 3 4 5 6 7 8 9 100 111 122 133 144 155 166 病毒名 Win-TTrojan/Dowwnloader.559904.AKWin-TTrojan/Oveertls11.Geen Win-TTrojan/Winnsoft17.Geen Win-TTrojan/Pattched.CRWin-TTrojan/Winnsoft.2631168.KX Win-TTrojan/Winnsoft.2631168.LO Win-TTrojan/Ageent.3399688.EI Win-TTrojan/Adlload.773122.LPU Win-TTrojan/Ageent.3235844.FK Win-TTrojan/Winnsoft18.Geen Win-TTrojan/Winnsoft.2810088.GHF Win-TTrojan/Winnsoft.2810088.GGM Win-TTrojan/Dowwnloader.5550912 Win-TTrojan/Winnsoft.2631168.LR Win-TTrojan/Adlload.2693112.B Win-AAdware/BHOO.WowLinkeer.615424次数数 272,97 186,2991 184,7113 93,3006 66,68 ,2002 61,315 58,4997 51,9444 41,4999 36,7221 34,719 31,2552 28,8772 27,2775 27,211 비比率19.9 %13.6 %13.5 %6.8 %4.9 %4.7 %4.5 %4.3 %3.8 %3.0 %2.7 %2.5 %2.3 %2.1 %2.0 %2.0 %177 188 199 200 Win-TTrojan/Adlload.2677776.F Win-TTrojan/Ldppinch.2708848.B Win-TTrojan/Adlload.2698224 Win-TTrojan/Adlload.26726.B [表 1-3] 最最新病毒感染染报告Top2027,0883 26,48 25,41 24,316 1,370,9932 2.0 %1.9 %1.8 %1.7 %100 %1月份份最新病毒感染报告Top20T中Wiin-Trojaan/Downloaader.599044.AK以2722,7件，19.9%占据据第一，Winn-Trojaan/Overtlss11.Gen以186,291件排第二。件 [图 1-4] 按最新新病毒类型分分类的分布图1月份的的按最新病毒毒类型分类类的分布图中中木马占据据92%，排行行第一。紧接着广告软软件占据4%，生生成器占据据3% (2) 病病毒疫情 ■ DDooS攻击 恶性性代码 1月份收收到 分布式式服务攻击击 (Distribbute Deniaal of Servvice, 为DDDoS)的恶性性代码, 已知国内有名的社社交网站，网络广播，门户网站站等受到影响响. 经过调调查研究发现现此攻击行为的可疑人是是十多岁的的年轻男子。本次被发发现的DDOS攻击的恶性性嗲吗主要要伪装成有名企业的的自动升级程程序等 通过过P2p，博客客方式进行行传播。若被被该恶视频文件，国内有性代码感染会在每秒发100次以上的数据包执行对网站的DDOS攻击。

[图1-5] DDoS攻击数据包的信息

该DDOS的攻击方法是如[图1-5]所显示一样会在攻击网站上添加Cache-Control:no-store,must-realidate选项，并占用该网站上的服务器系统资源导致服务器系统崩溃。为了防止此类事件的发生需用户加强防范意识，而且对于不可信的网站，甚至在不可信的网站上下载程序需要慎重，有必要再一次确认是否为可疑等等的措施。

■自称 美国白宫 传播的Zeus变种Kneber

[图 1-8] 趋势公开 自称为白宫进行邮件传播

该恶性代码由趋势公开的[图1-8]一样，自称为白宫通过邮件的方式进行传播。每当年末迎新年气氛愉悦的时，犯罪分子会恶用此时进行传播恶性代码。像去年2010年会在圣诞节，伪装成圣诞卡传播Prolaco(Ackantta)蠕虫病毒, 2009年也是利用伪装圣诞卡传播恶性代码的。本次从白宫传播的伪装成新年贺卡的邮件，我们V3产品系列诊断为如下：

- Win-Trojan/Zbot.177152.AC - Win-Trojan/Zbot.179712.P - Win-Trojan/Agent.900769

■MS Internet Explorer CVE-2010-3971漏洞

2010年12月 22日，微软IE浏览器CSS解析远程代码执行漏洞是当mshtml.dll解析CSS（Cascading Style Sheets）文件时，CSharedStyleSheet::Notify()函数存在的Use-after-free漏洞。远程攻击者通过构造包含多个@import的命令的畸形CSS文件可导致IE6，IE7，IE8远程拒绝服务或远程代码执行漏洞。

攻击者将利用代码放在网站上诱使用户访问，当用户使用存在该漏洞的IE浏览器访问该利用代码后，利用代码将在用户电脑上运行，攻击者可以获取当前用户相同的权限，攻击者可下载、安装恶意软件，远程控制，用户信息窃取等操作。 目前受影响的IE浏览器有IE6，IE7和IE8。 微软到目前还没有发布该漏洞的相关补丁

[图 1-9] 利用IE 0-day漏洞的恶意脚本

对于本次利用IE 0-day漏洞的恶意脚本我们V3系列诊断为如下：

- JS/CVE-2010-3971

■Twitter上利用Google 短RUL 传播 恶意代码

2011年1月21日 国外有名的社交服务网 (Social Network Service, 又称

SNS)上传播引诱访问虚假杀软的Google链接。有关此信息已SANS的\"Possible new Twitter worm\"博文上公开。SANS上公开的图 [图 1-10]上显示，包含很多Google提供的URL地址 。

[图 1-10] 利用Google URL传播的Twitter信息

如果链接此地址会经过3次链接(Redirection)最终会链接虚假杀软网站。 参考[图1-11]的内容：

[그림 1–11] 3 단계로 이어지는 구글 단축 URL 악용

通过3次步骤后最终链接到虚假杀软的网站，若下载此文件并运行会弹出[图1-12] 所显示的内容。

[图 1-12] 安装成功提示的虚假杀软

若安装后没有用户允许进行全盘扫描，把正常文件诊断成恶意文件，还提示45个文件为恶意文件的虚假信息。

[图 1-13] 提示恶意代码被发现的虚假信息的虚假杀软

弹出“治疗“提示窗口，点击如[图1-14]显示一样，只要交79.92美元会给用户永久性服务。

[图 1-14] 交79美元给永久性的序列号和技术支持的服务

Twitter的社交网上传播的此虚假软件，在我们V3产品系列当中诊断为如下：

- Win-Trojan/Fakeav.311808.AC

■出现免杀云安全软件的恶性代码

美国当地时间2011年1月18日，MS公司的Microsoft Malware Protection Center发现，一些恶性代码利用名为“Bohu Takes Aim at the Cloud”的帖子可以绕过最近很多安全公司购用的云安全（Cloud Anti-Virus）软件的监测。本次发现的恶性代码可以绕过中国一部分安全公司制作的云安全软件的监测，非法弹出广告并盗取中国特定门户网站的用户信息。该恶性代码是由Nullsoft PiMP制作的安装文件，以“SUYU高清影音”的名字伪装成视频安装向导。[图 1-15]

[图 1-15] 伪装为视频安装向导的恶性代码

如果执行该文件，在后台隐秘地生成以下文件并执行。

- C:\\Program Files\\baidu\\msfsg.exe (369,6 字节) - C:\\Program Files\\baidu18.exe

生成的msfsg.exe（369,6 字节）文件执行恶意行为的同时绕过云安全软件的监测，之后生成以下文件。

- C:\\Program Files\\baidu\\spass.dll (710,656 字节) - C:\\Program Files\\baidu\\siglow.sys (17,024 字节) - C:\\Program Files\\baidu\\siglow.dll (37,888 字节)

以上生成文件都被msfsg.exe（369,6 字节）文件加载到内存后全部删除，画面上

显示视频向导程序导致以为是正常程序。图 1-16.

[图 1-16] 执行中的视频播放器

生成文件当中绕过云安全软件监测的文件是siglow.sys（17,024 字节），该驱动文件以siglow的名字加载到系统，在NDIS(Network Driver Interface

Specification) 阶段hook网络数据包。并且发送到外部数据包当中包含驱动文件里相同中全公司制作的云安全软件的网络地址的话，阻止该链接。图 1-17

[图 1-17] 被阻止的云安全反病毒服务器地址

该恶性代码制作者了解到云安全反病毒软件为了监测恶性代码用网络传送相关资料，于是不让相关服务器得到资料阻止了网络连接。这次发现的绕过云安全反病毒软件的恶性代码在V3被诊断为以下诊断名。

- - - -

这次发现的Bohu特洛伊木马是最早的Anti-Cloud恶性代码。如果发现恶性代码制作者使用新方法，反病毒公司马上会研究对应的监测和响应方法。该恶性代码的出现说明以后会有更多的绕过云安全反病毒软件的恶性代码。

这样的新免杀方式会一直发现下去，拥有新反云安全功能的恶性代码将不断出现。

Win-Trojan/Bohu.2229512 Win-Trojan/Bohu.17024 Win-Trojan/Bohu.37888 Win-Trojan/Bohu.710656

2. 安全趋势

(1) 安全统计

■一月份微软安全更新现况

这次微软发表的更新项有两个。

[图 2-1]按攻击对象为标准的MS安全更新

危险度 漏洞

重要 MS11-001 Windows备份管理者的公开漏洞

MS11-002 Microsoft Data Access Components漏洞(DSN 紧急

Overflow)

PoC 有 无

紧急

MS11-002 Microsoft Data Access Components漏洞(ADO Record Memory)

[表 2-1] 2011年 1月 MS主要安全更新

有

本月发表了两个Patch。MS11-01是Windows备份管理员在特定制作的库文件和相同网络路径下打开文件时执行的远程代码漏洞。MS11-02是Microsoft Data Access

Components漏洞，在打开改造的网页时执行远程代码使攻击者获取用户权利的漏洞。由于一部分PoC公开，需要引起注意。还有，一月初发表的0-day相关漏洞 CVE-2010-3971(IE CSS漏洞), CVE-2010-3970(MS 图像引擎漏洞)本月没有包含在内。

■病毒侵害网站现况

[图 2-2] 2011年 1月侵害网站现况

以上统计为按月份整理的侵害网站现况图，比上个月有所增加。这次发现特别内容将在‘3. 网站安全趋势’里详细说明。

(2) 安全疫情

■Windows Graphics Rendering Engine漏洞. CVE-2010-3970

在Windows Graphics Rendering Engine(Shimgvw.dll)处理thumbnail image的时候所发生的Stack-based Buffer Overflow来执行任意代码。

[그림 2-3] 윈도우 그래픽 렌더링 엔진 취약점. CVE-2010-3970

이 취약점은 국내 보안 콘퍼런스에서 Moti & Xu Hao가 발표한 것으로, 아직 공격사례는 발생하고 있지 않으나 PoC가 공개된 만큼 각별한 주의가 필요하다. 또한, 해당 취약점은 사용자가 폴더 보기옵션 중 ‘미리 보기’를 설정할 때만 발생하므로 이 옵션이 불필요한 경우 해제하는 것이 좋다.

■ 2011 스톰웜 봇넷

StormWorm是木马病毒，是在2007年1月17日发现的，同年1月19日急速扩散，感染了全世界PC的8%。这个病毒是通过电子邮件伪装成天气紧急新闻，使用户下载执行文件。2008年出现了伪装成‘FBI vs FaceBook’的Strom Worm。就像这样伪装成社会疫情的关键词，通过邮件传播的蠕虫叫Strom Worm或者Wale Dac来命名。2010年12月30日出现了伪装成年末休假的垃圾邮件。Steven Adair把这个命名为Waledac 2.0 或者 Storm Worm 3.0。下载并执行垃圾邮件所包含的伪装链接或文件，会感染蠕虫。感染的PC将被恶意使用为垃圾邮件的发送地。连接被蠕虫感染的网站或

服务器，33byte或417byte有效载荷里包含以“0102010101010201”开始的数据。

[图 2-4] Storm Worm 有效载荷

到目前为止恶性样本持续增加，主要通过邮件来传播，所有不要随意阅读或打开疑似邮件。

病毒按类型分布中，间谍软件22,371个占28.3%为第一位，释放（Dropper）有22,183个占28.1%为第二位。

■病毒分布顺序

顺序 升落 1 2 3 4 5 6 7 8 9 10

病毒名 数量 比率13,938 29.3 %5,275 11.1 %4,853 10.2 %4,839 10.2 %4,767 10 %3,9 8.4 %2,676 5.6 %2,526 5.3 %2,434 5.1 %2,200 4.6 %

- Win-Adware/Shortcut.InlivePlayerActiveX.234 1 Win-Adware/Shortcut.Tickethom.368 NEW Win32/Virut.D

NEW Dropper/Natice.52224

NEW Win-Trojan/Qqpass.37376.B

NEW Dropper/Onlinegamehack.368.J NEW Dropper/Win32.Natice NEW Win32/Virut.F

NEW Dropper/Win32.Infostealer NEW Trojan/Win32.Qqpass

[表 3-3]通过网络分布的病毒 Top 10

如[表3-3]所示，Win-Adware/Shortcut.InlivePlayerActiveX.234有13.938个为第一位，Top10中有新出现的Win32/Virut.D等有8个。