2011 ASEC Report Vol.1 安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的 ASE C 制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。 详细内容可以在[www.ahn.com.cn]里确认。 ASEC 2011-02-10
2011 ASEC Report Vol.1
安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response
Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的 ASE
C 制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。
详细内容可以在[www.ahn.com.cn]里确认。
ASEC
2011-02-10
Ⅰ. 本月安全趋势 ....................................................................... 3
1. 病毒趋势 ......................................................................... 3
(1) 病毒统计 ....................................................................... 3
(2) 病毒疫情 ....................................................................... 7
2. 安全趋势 ........................................................................ 18
(1) 安全统计 ...................................................................... 18
(2) 安全疫情 ...................................................................... 20
Ⅰ. 本月安全趋势
1. 病毒趋势
(1) 病毒统计
2011 年 1 月病毒统计状况如下。
排行 降级 病毒诊断名 次数 比率
1 1 TextImage/Autorun 1,234,652 28.8 %
2 5 JS/Exploit 373,502 8.7 %
3 0 Win32/Induc 361,335 8.4 %
4 NEW Win-Trojan/Downloader.59904.AK 272,897 6.4 %
5 NEW Win-Trojan/Bho.1840640 217,031 5.1 %
6 -1 Win32/Parite 202,671 4.7 %
7 NEW Win-Trojan/Overtls11.Gen 186,291 4.3 %
8 NEW Win-Trojan/Winsoft17.Gen 184,713 4.3 %
9 0 Win32/Olala.worm.57344 126,954 3.0 %
10 0 Win32/Conficker.worm.Gen 123,614 2.9 %
11 NEW JS/Cve-2010-0806 123,575 2.9 %
12 0 Win32/Palevo1.worm.Gen 118,545 2.8 %
13 -2 VBS/Solow.Gen 109,899 2.6 %
14 3 Win32/Virut.F 98,409 2.3 %
15 -14 JS/Agent 98,317 2.3 %
16 -8 JS/Downloader 96,264 2.2 %
17 -4 VBS/Autorun 95,180 2.2 %
18 NEW Win-Trojan/Patched.CR 93,306 2.2 %
19 -4 Win32/Virut 93,283 2.2 %
20 -2 Win32/Kido.worm.156691 76,032 1.7 %
4,286,470 100 %
[表 1-1] 病毒感染报告 Top 20
2011 年 1 月份病毒感染报告中占据第 1位的是 TextImage/Autorun。
紧接着 JS/Exploit 与 Win32/Induc 分别以 373,502 与 361,335 排第 2和第 3。进
入排名前 20 的新病毒为 6种,特别需要关注的是排名第 4位的 Win-
Trojan/Downlo
ader.59904.AK,虽然此病毒属于 2010 年 12 月末开始登场的新病毒,但是其传播
速度较快。
下图为按病毒代表性诊断名分类重新整理的报告。据此可以掌握病毒的传播趋
势。
排行 降级 病毒名 次数 比率
1 1 TextImage/Autorun 1,234,816 12.9 %
2 1 Win-Trojan/Onlinegamehack 1,196,089 12.5 %
3 4 Win-Trojan/Downloader 799,998 8.4 %
4 1 Win-Trojan/Agent 779,942 8.2 %
5 13 Win-Trojan/Adload 711,961 7.4 %
6 10 Win-Trojan/Winsoft 657,767 6.9 %
7 -3 Win32/Autorun.worm 572,795 6.0 %
8 -2 Win32/Conficker 439,407 4.6 %
9 NEW JS/Exploit 373,502 3.9 %
10 -2 Win32/Induc 361,467 3.8 %
11 -1 Win32/Virut 328,446 3.4 %
12 NEW Win-Trojan/Bho 306,643 3.2 %
13 -2 Win32/Kido 281,117 2.9 %
14 NEW Win-Trojan/Patched 267,051 2.8 %
15 -3 Win32/Palevo 245,257 2.6 %
16 -2 VBS/Solow 216,530 2.3 %
17 -2 Win32/Parite 207,397 2.2 %
18 -5 Dropper/OnlineGameHack 205,999 2.2 %
19 NEW Win-Trojan/Overtls11 186,291 1.9 %
20 NEW Win-Trojan/Winsoft17 184,713 1.9 %
9,557,188 100 %
[表 1-2] 病毒代表性诊断名感染报告 Top 20
2011 年 1 月份的感染报告中 TextImage/Autorun 以 1,234,816 件,在 Top20 中占
据 12.9%,排行第一。Win-Trojan/Onlinegamehack 以 1,196,089 件排行第二,
Win-Trojan/Downloader 以 799,998 件排行第三。
下图表为安博士公司在 2011 年 1 月收集并统计的按病毒类型分类的感染比率。
按
占
与上个月
出增长趋
成器(DRO
类型分类查
据最大比重
月的按病毒类
趋势,然而
OPPER)下载
[
查看 2011 年
重,蠕虫(W
[图 1-2]
类型分类的
蠕虫(WORM
载者(DOWNLO
图 1-1] 按病
年 1 月份的
WORM)为 14.
按病毒类型分
的感染比率
M),脚本(S
OADER)有害
病毒类型分类
的感染报告数
.2%,脚本
分类的感染比
比较,木马
SCRIPT),病
害程序(APP
类的感染报告
数量,可以
(SCRIPT)为
比率与上个月
马,间谍软
病毒(VIRU
CARE)比上
比率
以发现木马(
为 8.7%。
的比较
件(SPYWAR
S),广告软
个月有所减
(TROJAN)以
RE)比上个月
软件(ADWAR
减少。
以 50.3%
月兑现
RE),生
1월의 악
감염 보
1 月份
排行
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
악성코드 월
고건수 18,
份的病毒感
行
Win-T
Win-T
Win-T
Win-T
Win-T
Win-T
Win-T
Win-T
Win-T
0 Win-T
1 Win-T
2 Win-T
3 Win-T
4 Win-T
5 Win-T
6 Win-A
월별 감염보
,404,101건
感染数量为 1
Trojan/Dow
Trojan/Ove
Trojan/Win
Trojan/Pat
Trojan/Win
Trojan/Win
Trojan/Age
Trojan/Adl
Trojan/Age
Trojan/Win
Trojan/Win
Trojan/Win
Trojan/Dow
Trojan/Win
Trojan/Adl
Adware/BHO
[图 1-3]
보고 건수는
건에 비해
17,304,230
病毒名
wnloader.5
ertls11.Ge
nsoft17.Ge
tched.CR
nsoft.2631
nsoft.2631
ent.339968
load.77312
ent.323584
nsoft18.Ge
nsoft.2810
nsoft.2810
wnloader.5
nsoft.2631
load.26931
O.WowLinke
每月病毒感染
는 17,304,
1,099,871
0 件,比 12
59904.AK
en
en
168.KX
168.LO
8.EI
2.LPU
4.FK
en
088.GHF
088.GGM
550912
168.LR
12.B
er.615424
染数量
230건으로
1건이 감소
2 月份的 18
로, 12월의
소하였다.
8,404,101
次数
272,89
186,29
184,71
93,30
66,68
64,20
61,31
58,49
51,94
41,49
36,72
34,71
31,25
28,87
27,27
27,21
의 악성코드
件有所减少
数 비比
97 19.
91 13.
13 13.
06 6.
89 4.
02 4.
5 4.
97 4.
44 3.
99 3.
21 2.
9 2.
52 2.
72 2.
75 2.
1 2.
드 월별
少。
率
9 %
6 %
5 %
8 %
9 %
7 %
5 %
3 %
8 %
0 %
7 %
5 %
3 %
1 %
0 %
0 %
17
18
19
20
1 月份
Troja
Troja
1 月份的
据 4%,生 (2) 病
■ DDo
1 月份收
已知国
击行为
视频文
7 Win-T
8 Win-T
9 Win-T
0 Win-T
份最新病毒
an/Downloa
an/Overtls
的按最新病毒
生成器占据
病毒疫情
oS 攻击 恶性
收到 分布式
内有名的社
的可疑人是
件,国内有
Trojan/Adl
Trojan/Ldp
Trojan/Adl
Trojan/Adl
感染报告 T
ader.59904
s11.Gen 以
[图
毒类型分类
据 3%
性代码
式服务攻击
社交网站,
是十多岁的
有名企业的
load.26777
pinch.2708
load.26982
load.26726
[表 1-3] 最
Top20 中 Wi
4.AK 以 272
186,291 件
1-4] 按最新
类的分布图中
击 (Distrib
网络广播,
的年轻男子。
的自动升级程
76.F
848.B
24
64.B
最新病毒感染
in-
2,897 件,
件排第二。
新病毒类型分
中木马占据
bute Denia
门户网站
本次被发
程序等 通过
染报告 Top20
19.9%占据
分类的分布图
据 92%,排行
al of Serv
站等受到影响
发现的 DDOS
过 P2p,博客
27,08
26,48
25,64
24,31
1,370,9
据第一,Win
行第一。紧
vice, 为 D
响. 经过调
攻击的恶性
客方式进行
83 2.
89 1.
41 1.
6 1.
932 10
n-
接着广告软
0 %
9 %
8 %
7 %
0 %
软件占
DDoS)的恶性
调查研究发现
性嗲吗主要
行传播。若被
性代码,
现此攻
要伪装成
被该恶
性代码感染会在每秒发 100 次以上的数据包执行对网站的 DDOS 攻击。
[图 1-5] DDoS 攻击数据包的信息
该 DDOS 的攻击方法是如[图 1-5]所显示一样会在攻击网站上添加 Cache-Control:no-
store,must-realidate 选项,并占用该网站上的服务器系统资源导致服务器系统崩
溃。为了防止此类事件的发生需用户加强防范意识,而且对于不可信的网站,甚至在
不可信的网站上下载程序需要慎重,有必要再一次确认是否为可疑等等的措施。
■自称 美国白宫 传播的 Zeus 变种 Kneber
[图 1-8] 趋势公开 自称为白宫进行邮件传播
该恶性代码由趋势公开的[图 1-8]一样,自称为白宫通过邮件的方式进行传播。每当
年末迎新年气氛愉悦的时,犯罪分子会恶用此时进行传播恶性代码。像去年 2010 年会
在圣诞节,伪装成圣诞卡传播 Prolaco(Ackantta)蠕虫病毒, 2009 年也是利用伪装圣
诞卡传播恶性代码的。本次从白宫传播的伪装成新年贺卡的邮件,我们 V3 产品系列诊
断为如下:
- Win-Trojan/Zbot.177152.AC
- Win-Trojan/Zbot.179712.P
- Win-Trojan/Agent.900769
■MS Internet Explorer CVE-2010-3971 漏洞
2010 年 12 月 22 日,微软 IE 浏览器 CSS 解析远程代码执行漏洞是当 mshtml.dll 解析
CSS(Cascading Style Sheets)文件时,CSharedStyleSheet::Notify()函数存在的
Use-after-free 漏洞。远程攻击者通过构造包含多个@import 的命令的畸形 CSS 文件
可导致 IE6,IE7,IE8 远程拒绝服务或远程代码执行漏洞。
攻击者将利用代码放在网站上诱使用户访问,当用户使用存在该漏洞的 IE 浏览器访问
该利用代码后,利用代码将在用户电脑上运行,攻击者可以获取当前用户相同的权
限,攻击者可下载、安装恶意软件,远程控制,用户信息窃取等操作。
目前受影响的 IE 浏览器有 IE6,IE7 和 IE8。
微软到目前还没有发布该漏洞的相关补丁
[图 1-9] 利用 IE 0-day 漏洞的恶意脚本
对于本次利用 IE 0-day 漏洞的恶意脚本我们 V3 系列诊断为如下:
- JS/CVE-2010-3971
■Twitter 上利用 Google 短 RUL 传播 恶意代码
2011 年 1 月 21 日 国外有名的社交服务网 (Social Network Service, 又称
SNS)上传播引诱访问虚假杀软的 Google 链接。有关此信息已 SANS 的"Possible new
Twitter worm"博文上公开。SANS 上公开的图 [图 1-10]上显示,包含很多 Google 提
供的 URL 地址 。
[图 1-10] 利用 Google URL 传播的 Twitter 信息
如果链接此地址会经过 3次链接(Redirection)最终会链接虚假杀软网站。
参考[图 1-11]的内容:
[그림 1–11] 3 단계로 이어지는 구글 단축 URL 악용
通过 3次步骤后最终链接到虚假杀软的网站,若下载此文件并运行会弹出[图 1-12]
所显示的内容。
[图 1-12] 安装成功提示的虚假杀软
若安装后没有用户允许进行全盘扫描,把正常文件诊断成恶意文件,还提示 45 个文件
为恶意文件的虚假信息。
[图 1-13] 提示恶意代码被发现的虚假信息的虚假杀软
弹出“治疗“提示窗口,点击如[图 1-14]显示一样,只要交 79.92 美元会给用户永久
性服务。
[图 1-14] 交 79 美元给永久性的序列号和技术支持的服务
Twitter 的社交网上传播的此虚假软件,在我们 V3 产品系列当中诊断为如下:
- Win-Trojan/Fakeav.311808.AC
■出现免杀云安全软件的恶性代码
美国当地时间 2011 年 1 月 18 日,MS 公司的 Microsoft Malware Protection Center
发现,一些恶性代码利用名为“Bohu Takes Aim at the Cloud”的帖子可以绕过最近
很多安全公司购用的云安全(Cloud Anti-Virus)软件的监测。本次发现的恶性代码
可以绕过中国一部分安全公司制作的云安全软件的监测,非法弹出广告并盗取中国特
定门户网站的用户信息。该恶性代码是由 Nullsoft PiMP 制作的安装文件,以“SUYU
高清影音”的名字伪装成视频安装向导。[图 1-15]
[图 1-15] 伪装为视频安装向导的恶性代码
如果执行该文件,在后台隐秘地生成以下文件并执行。
- C:\Program Files\baidu\msfsg.exe (369,664 字节)
- C:\Program Files\baidu\uninst18.exe
生成的 msfsg.exe(369,664 字节)文件执行恶意行为的同时绕过云安全软件的监
测,之后生成以下文件。
- C:\Program Files\baidu\spass.dll (710,656 字节)
- C:\Program Files\baidu\siglow.sys (17,024 字节)
- C:\Program Files\baidu\siglow.dll (37,888 字节)
以上生成文件都被 msfsg.exe(369,664 字节)文件加载到内存后全部删除,画面上
显示视频向导程序导致以为是正常程序。图 1-16.
[图 1-16] 执行中的视频播放器
生成文件当中绕过云安全软件监测的文件是 siglow.sys(17,024 字节),该驱动文
件以 siglow 的名字加载到系统,在 NDIS(Network Driver Interface
Specification) 阶段 hook 网络数据包。并且发送到外部数据包当中包含驱动文件里
相同中国安全公司制作的云安全软件的网络地址的话,阻止该链接。图 1-17
[图 1-17] 被阻止的云安全反病毒服务器地址
该恶性代码制作者了解到云安全反病毒软件为了监测恶性代码用网络传送相关资料,
于是不让相关服务器得到资料阻止了网络连接。这次发现的绕过云安全反病毒软件的
恶性代码在 V3 被诊断为以下诊断名。
- Win-Trojan/Bohu.2229512
- Win-Trojan/Bohu.17024
- Win-Trojan/Bohu.37888
- Win-Trojan/Bohu.710656
这次发现的 Bohu 特洛伊木马是最早的 Anti-Cloud 恶性代码。如果发现恶性代码制作
者使用新方法,反病毒公司马上会研究对应的监测和响应方法。该恶性代码的出现说
明以后会有更多的绕过云安全反病毒软件的恶性代码。
这样的新免杀方式会一直发现下去,拥有新反云安全功能的恶性代码将不断出现。
2. 安全趋势
(1) 安全统计
■一月份微软安全更新现况
这次微软发表的更新项有两个。
[图 2-1]按攻击对象为标准的 MS 安全更新
危险度 漏洞 PoC
重要 MS11-001 Windows 备份管理者的公开漏洞 有
紧急 MS11-002 Microsoft Data Access Components 漏洞(DSN
Overflow) 无
紧急 MS11-002 Microsoft Data Access Components 漏洞(ADO Record
Memory) 有
[表 2-1] 2011 年 1 月 MS 主要安全更新
本月发表了两个 Patch。MS11-01 是 Windows 备份管理员在特定制作的库文件和相同网
络路径下打开文件时执行的远程代码漏洞。MS11-02 是 Microsoft Data Access
Components 漏洞,在打开改造的网页时执行远程代码使攻击者获取用户权利的漏洞。
由于一部分 PoC 公开,需要引起注意。还有,一月初发表的 0-day 相关漏洞 CVE-
2010-3971(IE CSS 漏洞), CVE-2010-3970(MS 图像引擎漏洞)本月没有包含在内。
■病毒侵害网站现况
[图 2-2] 2011 年 1 月侵害网站现况
以上统计为按月份整理的侵害网站现况图,比上个月有所增加。这次发现特别内容将
在‘3. 网站安全趋势’里详细说明。
(2) 安全疫情
■Windows Graphics Rendering Engine漏洞. CVE-2010-3970
在 Windows Graphics Rendering Engine(Shimgvw.dll)处理 thumbnail image 的时候
所发生的 Stack-based Buffer Overflow 来执行任意代码。
[그림 2-3] 윈도우 그래픽 렌더링 엔진 취약점. CVE-2010-3970
이 취약점은 국내 보안 콘퍼런스에서 Moti & Xu Hao가 발표한 것으로, 아직
공격사례는 발생하고 있지 않으나 PoC가 공개된 만큼 각별한 주의가 필요하다.
또한, 해당 취약점은 사용자가 폴더 보기옵션 중 ‘미리 보기’를 설정할 때만
발생하므로 이 옵션이 불필요한 경우 해제하는 것이 좋다.
■ 2011 스톰웜 봇넷
StormWorm 是木马病毒,是在 2007 年 1 月 17 日发现的,同年 1 月 19 日急速扩散,感
染了全世界 PC 的 8%。这个病毒是通过电子邮件伪装成天气紧急新闻,使用户下载执
行文件。2008 年出现了伪装成‘FBI vs FaceBook’的 Strom Worm。就像这样伪装成
社会疫情的关键词,通过邮件传播的蠕虫叫 Strom Worm 或者 Wale Dac 来命名。2010
年 12 月 30 日出现了伪装成年末休假的垃圾邮件。Steven Adair 把这个命名为
Waledac 2.0 或者 Storm Worm 3.0。下载并执行垃圾邮件所包含的伪装链接或文件,
会感染蠕虫。感染的 PC 将被恶意使用为垃圾邮件的发送地。连接被蠕虫感染的网站或
服务器,33byte 或 417byte 有效载荷里包含以“0102010101010201”开始的数据。
[图 2-4] Storm Worm 有效载荷
到目前为止恶性样本持续增加,主要通过邮件来传播,所有不要随意阅读或打开疑似
邮件。
病毒按类型分布中,间谍软件 22,371 个占 28.3%为第一位,释放(Dropper)有 22,183
个占 28.1%为第二位。
■病毒分布顺序
顺序 升落 病毒名 数量 比率
1 - Win-Adware/Shortcut.InlivePlayerActiveX.234 13,938 29.3 %
2 1 Win-Adware/Shortcut.Tickethom.36864 5,275 11.1 %
3 NEW Win32/Virut.D 4,853 10.2 %
4 NEW Dropper/Natice.52224 4,839 10.2 %
5 NEW Win-Trojan/Qqpass.37376.B 4,767 10 %
6 NEW Dropper/Onlinegamehack.36864.J 3,989 8.4 %
7 NEW Dropper/Win32.Natice 2,676 5.6 %
8 NEW Win32/Virut.F 2,526 5.3 %
9 NEW Dropper/Win32.Infostealer 2,434 5.1 %
10 NEW Trojan/Win32.Qqpass 2,200 4.6 %
[表 3-3]通过网络分布的病毒 Top 10
如[表 3-3]所示,Win-Adware/Shortcut.InlivePlayerActiveX.234 有 13.938 个为第一
位,Top10 中有新出现的 Win32/Virut.D 等有 8个。