【51CTO.com 綜合消息】2009年的7月對于不法黑客來說，完全是個“快樂的暑假”。0day漏洞從未像這次這樣頻繁曝光過。微軟視頻0day（DirectShow 0day）、office 0day漏洞、火狐0day漏洞、Adobe Flash 0day漏洞相繼登場……用“0day之月”來形容，一點也不為過。

7月已經(jīng)結(jié)束，在整個7月中我們到底經(jīng)歷了怎樣的安全局勢，而在炎熱的8月，是否會有新的0day漏洞繼續(xù)發(fā)現(xiàn)？除了與漏洞有關(guān)的攻擊，不法黑客還會用別的什么方法攻網(wǎng)民？本期金山毒霸互聯(lián)網(wǎng)安全月報為您一一解析。  

七月安全狀況簡述? 

◆0day助紂為虐，掛馬攻擊“樂翻天”

在6月的安全報告中，我們曾對7月可能出現(xiàn)新的0day漏洞發(fā)出過預(yù)警。0day漏洞對掛馬攻擊案件的推波助瀾，威力不可小視，它使得黑客作案的技術(shù)門檻大大降低，同時提供了大量極具誘惑的目標——0day漏洞使得所有的機器都如同不設(shè)防的城市，不法分子只要動作敏捷，在漏洞補上前撈一票是再輕松不過的事。

借助一系列的0day漏洞，網(wǎng)頁掛馬攻擊呈現(xiàn)出了爆發(fā)式的增長。本月僅由金山毒霸云安全系統(tǒng)記錄到的掛馬網(wǎng)址數(shù)量，就高達1,211,387個。而實際的掛馬網(wǎng)址，還要遠遠大過這一數(shù)字。 

不過，使用金山毒霸2009的用戶受到上述漏洞影響的幾率，將遠遠小于其他用戶，因為金山毒霸2009的清理專家組件，已經(jīng)全面升級了網(wǎng)盾防掛馬模塊，這使得腳本木馬試圖通過網(wǎng)頁掛馬入侵電腦的可能趨于0。

對于非毒霸用戶，我們繼續(xù)奉行無償救急的服務(wù)理念，提供完全免費的獨立版清理專家和獨立版網(wǎng)盾，安裝其中的任何一個，都可獲得同樣完美的保護。

金山清理專家??http://www.duba.net/qing/??

金山網(wǎng)盾??http://labs.duba.net/wd.shtml??? 

◆捆綁式傳播流行

在本月金山毒霸所統(tǒng)計的感染量最高的前10個病毒中，利用捆綁手段進行傳播的病毒就有3個。它們的捆綁對象有個共同點：都是最受網(wǎng)民歡迎的視頻或小型程序。

選擇熱門文件和程序進行捆綁，是病毒團伙對用戶進行“飽和攻擊”的一種方式，這比網(wǎng)頁掛馬對用戶構(gòu)成的威脅更大，如果是網(wǎng)頁掛馬，用戶還能使用“網(wǎng)盾”這樣的防掛馬工具來攔截，而采用捆綁傳播，則如同是用戶主動下載病毒，使病毒能夠繞過用戶機器上防掛馬工具的防御。使用戶防不勝防。

對于這種傳播手段，其實有個比較簡單的辦法。目前包括金山毒霸在內(nèi)的大多數(shù)殺毒軟件，都具備定點掃描的功能，用戶只需在下載完畢后，使用殺軟掃描一遍，就可以極大的減少中招幾率。而如果是使用的是迅雷、QQ等知名下載器，它們本身自帶的就有綁定殺軟功能，可以在下載完畢后自動調(diào)用電腦中的殺軟對所下載文件進行掃描。? 

◆盜號木馬再成主流

在6月份時，我們曾發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒以后門程序為主，所占比例一度達到60%以上，但在7月份出現(xiàn)大規(guī)模0day漏洞后，網(wǎng)絡(luò)中的病毒構(gòu)成發(fā)生了非常明顯的變化。那就是盜號木馬重新成為了主流病毒。

根據(jù)金山毒霸云安全系統(tǒng)監(jiān)測的數(shù)據(jù)，各種下載器占全部病毒樣本的14%，它們所下載的木馬，都以cfg網(wǎng)游盜號系列為主，而這些cfg盜號木馬占據(jù)了全部病毒樣本的19.81%。后門程序則只占到1.35%。

通過分析文件特征和行為特征，我們發(fā)現(xiàn)目前的cfg家族是由過去的老cfg和comres盜號系列結(jié)合而成（cfg與comres都是過去曾流行過的網(wǎng)游盜號木馬家族，由于病毒代碼中帶有相關(guān)字符而得名）。至于針對QQ的盜號器，則相對較少。

這種病毒比例的變化，金山毒霸安全專家認為與0day漏洞的突然爆發(fā)有一定的聯(lián)系。0day漏洞所帶來的利潤巨大，又具有時效性，病毒團伙當然不會錯過這種能夠自由攻擊用戶的機會，因而調(diào)整了病毒傳播策略，將盈利時間相對較長的后門程序換成了能夠在短時間內(nèi)盜取大量虛擬財產(chǎn)的盜號木馬。 #p# 

七月安全相關(guān)數(shù)據(jù)

新增病毒樣本數(shù)：3,304,864個

病毒感染機器數(shù)：21,900,028臺次

新增安全漏洞補?。?0個微軟操作系統(tǒng)漏洞、1個Flash 0day漏洞

掛馬網(wǎng)址：1,211,387個

十大病毒排行榜

此排行榜是根據(jù)金山毒霸云安全系統(tǒng)的監(jiān)測統(tǒng)計，經(jīng)過特殊計算后得出的參考數(shù)據(jù)，反映的是感染總量最高的前十個病毒。考慮到潛在的數(shù)據(jù)丟失和監(jiān)視盲區(qū)，榜中數(shù)據(jù)均為保守值。該榜僅針對WINDOWS系統(tǒng)下的PE病毒單一樣本，一些總感染量很高的病毒，因為變種較多，分攤到各變種上的感染量反而小，因此未列入此榜。

1.Win32.troj.gameolt.zg.61529（網(wǎng)游盜號木馬ZG）

展開描述： 盜竊網(wǎng)游帳號，洗劫虛擬財產(chǎn)

癥狀：游戲密碼錯誤，裝備丟失，網(wǎng)游帳號被盜

卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic

瑞星命名:Trojan.PSW.Win32.GameOLx.cp\n

NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

麥咖啡命名: PWS-OnlineGames.ek trojan

該毒是一個針對網(wǎng)絡(luò)游戲的盜號木馬程序，它能盜竊多款流行網(wǎng)游的賬號密碼信息。此毒在7月出現(xiàn)感染量高增長，很大程度上是得益于頻發(fā)的0day漏洞問題。

大量的0day漏洞為各類腳本下載器的掛馬傳播提供了有利條件，而腳本下載器在進入系統(tǒng)后，就會下載不少傳統(tǒng)的木馬。Win32.troj.gameolt.zg.61529正是在這樣的情況下，實現(xiàn)感染量的大幅增長的。而如果用戶發(fā)現(xiàn)自己電腦中不斷出現(xiàn)此毒，那么表明系統(tǒng)中已經(jīng)潛入了某款未知下載器，這種情況，可下載運行金山安全實驗室的“金山急救箱”，對未知下載器滅活即可。

2.Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）

展開描述： 模仿文件夾圖標，欺騙用戶點擊

癥狀：U盤文件夾圖標被替換，殺毒后文件夾丟失

卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

瑞星命名: Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

麥咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus

Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者），7月份繼續(xù)保持高感染量，牢牢堅守著感染量第一的領(lǐng)先位置。

此毒是一個U盤病毒，它將自己的圖標偽裝成系統(tǒng)文件夾的樣子，用戶在U盤中看到一個陌生文件夾時，多半都會去點擊。如此一來，即使用戶禁止了U盤自動播放，該毒依然能夠?qū)崿F(xiàn)運行。運行后，此毒會下載一些別的惡意程序，執(zhí)行多種破壞行為。

此外，有一些腳本掛馬也會幫助該毒傳播，一旦它們利用系統(tǒng)安全漏洞攻入電腦，就會立即下載包括“文件夾模仿者”在內(nèi)的其它惡意程序。

根據(jù)變種的不同，此毒會呈現(xiàn)多種癥狀，其中比較明顯的一種，是用戶系統(tǒng)中的文件夾全部變?yōu)椴《镜腅XE文件，用戶必須點擊病毒文件才可進入文件夾。這使得病毒得以多次運行，如果該變種所攜帶的執(zhí)行模塊是廣告插件，那么就會盡可能多的彈出廣告網(wǎng)頁。

3.Win32.troj.fakefoldert.yo.1406378（文件夾模仿者變種）

展開描述： 模仿文件夾圖標，欺騙用戶點擊

癥狀：U盤文件夾圖標被替換，殺毒后文件夾丟失

卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

麥咖啡命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

此毒為Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）的一款變種，感染該毒后的所有癥狀均一致。它在7月脫離了Win32.Troj.FakeFolderT.yl.1407388的“戰(zhàn)壕”，不再與其保持同步的感染數(shù)據(jù)變化，感染量明顯減小，不過仍位列TOP10中。

而由于它的參戰(zhàn)，文件夾模仿者系列成為7月總感染量最高的病毒。。

4.Win32.troj.cfgt.ex.38507 (CFG網(wǎng)游盜號器變種)

展開描述：依靠網(wǎng)頁掛馬傳播，盜竊網(wǎng)游帳號

癥狀：游戲密碼失效，裝備丟失，網(wǎng)游帳號被盜

卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

瑞星命名:Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD “CFG網(wǎng)游盜號器變種”（win32.troj.cfgt.ex.38507）7月份繼續(xù)上榜，并且保持了與6月時相同的排名。這款盜號木馬主要依靠網(wǎng)頁掛馬傳播，能盜取多款流行網(wǎng)游的賬號和木馬。如果用戶系統(tǒng)中存在安全漏洞，就很容易受到腳本下載器的攻擊。然后腳本下載器就會直接下載此毒，或者先下載一個類似寶馬下載器這樣的普通下載器，再下載此盜號木馬。

打齊系統(tǒng)補丁是防御此毒的最好辦法，只要堵住系統(tǒng)中的安全漏洞，感染“CFG網(wǎng)游盜號器變種”（win32.troj.cfgt.ex.38507）的幾率就會大大減小。

如果毒霸頻繁提示發(fā)現(xiàn)此毒，表明系統(tǒng)中很可能存在未知的下載器，造成每次刪除后又再次下載。這種情況不用慌，只需安裝并運行金山安全實驗室免費提供的“金山急救箱”，對未知下載器進行滅活，即可解決問題。

5.Win32.trojdownloader.bmwat.ex.117184（寶馬下載器變種）

展開描述： 變種數(shù)量大，頻繁免殺，下載惡意程序

癥狀：殺軟失效，系統(tǒng)運行變卡，系統(tǒng)中出現(xiàn)大量不明文件，網(wǎng)游帳號被盜

卡巴命名：Trojan-Dropper.Win32.Mudrop.aht、Trojan-Dropper.Win32.Mudrop.afr

瑞星命名：Trojan.Win32.KillAV.bem\n、Trojan.Win32.KillAV.bfd\n

NOD32命名：Trojan.Win32.Genetik

麥咖啡命名：StartPage-HR trojan

“寶馬下載器”具備有對抗殺毒軟件的能力，會采用多種方式嘗試中止殺軟進程或禁止殺軟的服務(wù)，甚至還會釋放驅(qū)動來用于穿透系統(tǒng)還原保護和某些殺軟的“主動防御”。隨后下載各種惡意程序到電腦上執(zhí)行。

寶馬系列在7月的上半月時，曾出現(xiàn)過一段時間的“偃旗息鼓”，雖然Win32.trojdownloader.bmwat.ex.117184這個變種的感染量較高，可其它變種卻幾乎不見了蹤影。直到下半月，才出現(xiàn)了多款突然爆發(fā)的新變種。

6.Win32.troj.pastat.uv.160735（惡意安裝包）

展開描述：捆綁傳播、借機下載惡意木馬

癥狀：系統(tǒng)運行變慢，系統(tǒng)中出現(xiàn)不明文件，自動彈出瀏覽器窗口

卡巴命名：Trojan.Win32.Pasta.Ug、Trojan.Win32.Pasta.aua

還記得我們上個月的安全月報中提示過的捆綁型傳播嗎？此毒就是一個非常典型的利用捆綁其它軟件來傳播的木馬程序。根據(jù)金山毒霸云安全系統(tǒng)記錄到的數(shù)據(jù)，在7月份，最受病毒團伙歡迎的捆綁對象是Qvod播放器，幾乎每天都會發(fā)現(xiàn)捆綁該播放器傳播的木馬，而Win32.troj.pastat.uv.160735（惡意安裝包）是其中傳播量最大的。

此毒將自己與Qvod播放器的下載器捆綁，或者直接捆綁在Qvod的安裝包中。一旦用戶下載，就能趁機混入電腦。而當它運行后，就下載諸如廣告木馬、遠控木馬、盜號木馬等。

所有的受害用戶都有個共同點，就是他們下載該播放器的地點，均為小型下載站點或不良網(wǎng)站，這些網(wǎng)站由于安全防御等級較低，很容易被黑客入侵利用，或者根本就是黑客搭建的陷阱。

7.Win32.troj.trsrarsfxt.c.183296  (病毒寄生體)

展開描述：捆綁傳播 秘密下載

癥狀：系統(tǒng)運行變慢，系統(tǒng)中出現(xiàn)不明文件，自動彈出瀏覽器窗口

瑞星命名：Trojan.Win32.KillAV.bkk\n、AdWare.Win32.Undef.fap\n

NOD32命名：Trojan.VBS.StartPage.NAG、Trojan.VBS.StartPage.NAG

這是一個捆綁型的木馬程序。該毒通過將自己插入其它文件的方法進行傳播，目前發(fā)現(xiàn)它喜歡“寄生”的文件主要是各種視頻文件和如Qvod等熱門播放器的安裝包。這都是病毒團伙精心制造的陷阱。

當進入電腦后，就會在用戶播放視頻文件時實現(xiàn)運行，執(zhí)行破壞，比如執(zhí)行遠程控制和下載廣告木馬等。此外，一些受歡迎的視頻播放程序也成為它“寄生”的目標。

想要避免遭遇此毒，最好的辦法是不要去非法下載站點下載視頻或程序，另外，還需養(yǎng)成良好的防御習(xí)慣，就是每次下載完后，都用毒霸掃描一下，這樣可大大降低中招的概率。

8.Win32.troj.onlineg.cg.27251  (網(wǎng)游盜號木馬CG)

展開描述：盜取游戲賬號 侵犯虛擬財產(chǎn)安全

癥狀：游戲密碼錯誤，裝備丟失，網(wǎng)游帳號被盜

卡巴命名：Trojan-GameThief.Win32.Magania.biht

瑞星命名：Dropper.Win32.ExInject.f\n、"Trojan.PSW.Win32.GameOnline.dxx\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

麥咖啡命名：Generic Dropper.eb trojan 這是一個網(wǎng)游盜號木馬。該毒可借助捆綁程序和網(wǎng)頁掛馬等多種方法進行傳播，在7月份，由于多款軟件的0day漏洞被公布，它的感染量得以增加。病毒作者將該毒捆綁于一些受歡迎的小型程序上，只要用戶下載并運行這些程序，病毒就會一起運行起來。

此毒的行為非常簡單，一旦順利進入電腦，就修改注冊表實現(xiàn)自啟動，然后通過內(nèi)存讀取和消息截獲等多種方式記錄用戶系統(tǒng)中的網(wǎng)游的賬號密碼。

9.Win32.troj.encodeie.ao.524288（傳奇盜號下載器AO）

展開描述：感染系統(tǒng)文件，幫助病毒傳播

癥狀：系統(tǒng)中出現(xiàn)不明文件，系統(tǒng)資源被大量占用，電腦運行變慢，網(wǎng)游賬號被盜

卡巴命名：Trojan.Win32.BHO.nng

瑞星命名：RootKit.Win32.Agent.etj\n “傳奇盜號下載器AO”（win32.troj.encodeie.ao.524288）這個古老的盜號木馬近來又出現(xiàn)了感染量增長，我們認為這和近來曝出的多個0day漏洞有一定關(guān)系，雖然感染量并不是很大，不過也可作為一種老毒的“復(fù)活”現(xiàn)象有所關(guān)注。

此毒可以下載許多別的木馬到用戶電腦中運行，但其自身也具有盜號功能。

由于早期樣本大多以盜竊傳奇游戲為主，該毒被命名為傳奇盜號下載器。但實際上，根據(jù)變種的不同，它可以利用內(nèi)存注入、鍵盤記錄、消息截獲等多種手段盜取多款游戲的帳號。

使用“系統(tǒng)清理專家”打齊系統(tǒng)補丁是免受此毒騷擾的最簡單辦法。

10.Win32.troj.pastat.uv.328162（惡意安裝包）

展開描述：捆綁傳播、借機下載惡意木馬

癥狀：系統(tǒng)運行變慢，系統(tǒng)中出現(xiàn)不明文件，自動彈出瀏覽器窗口

卡巴命名：Trojan.Win32.Pasta.adz

該毒為win32.troj.pastat.uv.160735的一款變種。它所有傳播方式以及感染后的癥狀，均與前者相同，因此不做詳細介紹。此毒的上榜，使得惡意捆綁類的病毒成為了7月份對用戶影響最大的病毒群體。金山毒霸安全專家預(yù)計，在八月份，網(wǎng)民們將面臨病毒利用捆綁手段發(fā)起的更大規(guī)模攻擊。 #p#

本月重大漏洞介紹

7月是徹徹底底的0day之月，0day漏洞從未像這次這樣頻繁曝光過。微軟視頻0day（DirectShow 0day）、office 0day漏洞、火狐0day漏洞、Adobe Flash 0day漏洞相繼登場，造成7月的網(wǎng)頁掛馬案件迅速飆升。

所謂的0day，就是沒有被修復(fù)的漏洞，相對于普通漏洞而言，0day漏洞危害巨大。這是一個沒有補丁的漏洞，意味著只要安裝此類存在漏洞的軟件的用戶都有可能被攻擊。通常，被掛馬集團利用的0day漏洞觸發(fā)率要比普通的漏洞高，也就是說用戶會更容易感染病毒。

7月份為何出現(xiàn)這么多0day漏洞？金山毒霸安全專家認為，原因有三。

1.廣大安全廠商都加大了對網(wǎng)頁掛馬的防御力度，雖然使用的技術(shù)良莠不齊，但是總體來說白貓黑貓還是抓到了不少老鼠的，導(dǎo)致現(xiàn)在網(wǎng)頁掛馬如過街老鼠人人喊打，生意不好做。

2.刑法新條例頒布以后，讓蠢蠢欲動的后進黑客覺得作案風(fēng)險太大，導(dǎo)致掛馬市場規(guī)模的縮減，目前還存活的掛馬集團只剩下若干技術(shù)與反偵察能力較強的“老不死”還在折騰。

3.目前絕大多數(shù)在被利用的漏洞都是2007、2008發(fā)現(xiàn)的，可以說07，08是網(wǎng)頁掛馬的黃金時代，那時候各路黑客吃香喝辣的，掛馬市場一片紅紅火火。但這些老漏洞利用隨著軟件的不斷更新，已經(jīng)不存在利用價值，需要挖掘新的漏洞。

不過幸運的是，安全廠商對0day也同樣關(guān)注，比如金山毒霸。我們會在第一時間做出反應(yīng)，普通的電腦用戶只需多關(guān)注安全廠商發(fā)布的安全預(yù)警，就可以得到關(guān)于0day的信息。

通常，觸發(fā)率比較高的0day都會提供相應(yīng)的專補工具，下載專業(yè)的網(wǎng)頁防掛馬軟件也是一個不錯的選擇。我們對此當然是推薦金山安全實驗室開發(fā)的“網(wǎng)盾”與“急救箱”，每次出現(xiàn)0day安全事件時，只需先使用“急救箱”對系統(tǒng)進行清洗，然后安裝網(wǎng)盾展開防護，即可免遭掛馬攻擊的威脅。

金山急救箱下載地址 ??http://labs.duba.net/wd.shtml??

金山網(wǎng)盾下載地址 ??http://labs.duba.net/jjx.shtml??

十大影響較大的被掛馬網(wǎng)站

此榜中的網(wǎng)站，均曾在7月遭到過病毒團伙攻擊，并被掛上腳本木馬。我們從記錄到的掛馬網(wǎng)站中，按知名度、訪問量人數(shù)，以及網(wǎng)站代表性進行綜合評估，選出十個，得出此榜。 截止本期月報完成時止，它們依然被掛著。

其中，搜狗掛馬案件是黑客利用了搜狗快照對網(wǎng)頁的記錄功能，讓搜狗記錄下包含掛馬代碼的網(wǎng)頁，從而令搜狗染毒。百度和谷歌也曾受到過這種形式的掛馬攻擊。

而成飛集團網(wǎng)站被掛馬，則是本月最敏感的掛馬案件，成飛全稱成都飛機工業(yè)（集團）有限責(zé)任公司，是承擔(dān)我國重要國防工程的企業(yè)，梟龍、殲7等主力戰(zhàn)機均由該企業(yè)研發(fā)，如果本次掛馬攻擊是由敵對勢力所為，那么瀏覽該網(wǎng)的軍工界人士電腦均有可能已經(jīng)中招。

另外，鑫諾衛(wèi)星和南開大學(xué)網(wǎng)站于上月受到掛馬攻擊，本月又再次被發(fā)現(xiàn)中招，但也有可能是一直就沒解除過。? 

◆搜狗                hxxp://www.sogou.com? 

◆北京師范大學(xué)新聞網(wǎng)  hxxp://news.bnu.edu.cn/index.html? 

◆中華預(yù)防醫(yī)學(xué)會      hxxp://www.cpma.org.cn/bbs/index.asp?page=1  ? 

◆成飛集團            hxxp://www.cac.com.cn/diversification/content.aspx?id=136 ? 

◆中國農(nóng)民工維權(quán)網(wǎng)    hxxp://www.zgnmg.org/zhi/rdgz/3txt.asp?id=35? 

◆美菱集團            hxxp://www.meilinggroup.com/index.html? 

◆鑫諾衛(wèi)星            hxxp://www.sinosat.com.cn? 

◆海南瓊海市人民政府  hxxp://www.qionghai.gov.cn/jumin? 

◆南開大學(xué)商學(xué)院      ??http://ibs.nankai.edu.cn/marketing/index.htm??? 

◆延安市人事局        hxxp://srsj.yanan.gov.cn/xzzx/xzzx.asp

國內(nèi)疫情地域分布TOP10

此排名根據(jù)金山毒霸云安全系統(tǒng)監(jiān)測數(shù)據(jù)換算得出，所體現(xiàn)的是整個7月期間，國內(nèi)遭受惡意程序感染次數(shù)最多的前10個地區(qū)。如果某地區(qū)遭受攻擊電腦數(shù)量偏高，通常與該地區(qū)電腦擁有量、用戶上網(wǎng)習(xí)慣、地區(qū)門戶網(wǎng)站掛馬情況，以及黑客所使用工具的掃描或攻擊規(guī)則等有關(guān)。 

 #p#

八月安全趨勢提示

根據(jù)7月所觀察與收集到的據(jù)，金山毒霸反病毒工程師對8月份的安全形式做出以下估計與提示:? 

◆重點預(yù)防0day余震

7月的0day漏洞曝光得是如此頻繁，令人不得不心存疑慮：8月份還會有這么多的0day漏洞么？金山毒霸安全專家推測，8月份或許不會再出現(xiàn)這種高危漏洞扎堆現(xiàn)身的情況，用戶面臨的主要威脅是來自7月已曝光0day漏洞的“余震”。

7月所發(fā)現(xiàn)的0day漏洞，都已經(jīng)由其生產(chǎn)廠商放出了安全補丁，但由于用戶升級的時間會受各種因素推延，造成系統(tǒng)中的漏洞繼續(xù)存在，在很長一段時間里依然容易受到攻擊。比如7月的最后一個0day漏洞“Adobe Flash 0day ”，有超過90%的用戶安裝了FlashPlayer10，30%的用戶安裝了FlashPlayer9。此漏洞對所有的瀏覽器也具有巨大影響，IE、火狐、谷歌瀏覽器等都會被該漏洞通殺。金山毒霸云安全系統(tǒng)7月末所監(jiān)測到的掛馬網(wǎng)址中，已經(jīng)出現(xiàn)了利用這一漏洞網(wǎng)頁掛馬，我們認為，至少在未來一個月的時間里，此漏洞都會是掛馬團伙的“最愛”。

不過，用戶們也不必對0day漏洞過于恐慌，盡管它們的確具有高風(fēng)險，但只要采用正確的防御措施，就能夠“御敵于外”。我們推薦的防御方案是安裝免費的“金山清理專家”。金山清理專家具有的漏洞掃描功能，可幫助用戶發(fā)現(xiàn)系統(tǒng)的安全漏洞，并在第一時間進行修復(fù)。而它新加入的“網(wǎng)盾”防掛馬模塊，則可近乎100%的攔截基于任何0day漏洞的掛馬攻擊。

已經(jīng)安裝金山毒霸2009并升級到最新版的用戶，則不必再專門安裝金山清理專家，因為其中已經(jīng)包含有清理專家模塊了。

獨立版金山清理專家下載地址 ??http://www.duba.net/qing/??? 

◆警惕閱讀不明PDF文件

如果在郵箱中收到來歷不明的PDF文件，千萬別一時好奇打開閱讀，因為其中很有可能包含有漏洞攻擊腳本，一旦它們運行起來，就會聯(lián)網(wǎng)下載更多其它木馬，金山毒霸安全專家近來已經(jīng)發(fā)現(xiàn)這樣的案例有所增加。

借助PDF文件發(fā)起攻擊的腳本，與“Adobe Flash 0day 漏洞”有很大聯(lián)系，這是由于flash play 和pdf共同使用的某種組件技術(shù)有關(guān)，也就是說，如果系統(tǒng)中存在“Adobe Flash 0day 漏洞”，那么打開包含相關(guān)腳本木馬的PDF文檔時，也會中招。

好消息是，金山網(wǎng)盾對PDF惡意腳本也具有攔截效果，經(jīng)金山毒霸反病毒工程師測試，當打開包含腳本下載器的PDF文檔時，網(wǎng)盾可成功切斷下載器的聯(lián)網(wǎng)企圖。? 

◆警惕借助視頻播放器傳播的病毒

除了利用各種軟件漏洞發(fā)動攻擊，借助捆綁傳播這種傳統(tǒng)的病毒傳播方式，也是病毒團伙的招數(shù)之一。通過對7月的監(jiān)測數(shù)據(jù)進行觀察，我們已經(jīng)發(fā)現(xiàn)在感染量最高的10個病毒中，利用捆綁傳播的就有3個。而在8月，金山毒霸安全專家認為，捆綁傳播依然會受到病毒團伙的追捧，因為這是對掛馬傳播的一種補充形式。

從金山云安全系統(tǒng)監(jiān)控的數(shù)據(jù)來看，病毒團伙首選的捆綁目標，是那些受用戶歡迎的視頻播放器，比如近來流行的Qvod播放器，以及一些不良網(wǎng)站提供的專用播放器。捆綁前者，主要是將正常的播放器動過手腳后，在一些論壇和非法的小型下載網(wǎng)站“義務(wù)宣傳”，并提供下載；后者則很可能根本就是病毒團伙精心制作一個不良網(wǎng)站，然后誘使用戶下載特制的播放器。