【51CTO.com 綜合消息】9月，秋天的感覺(jué)開(kāi)始深了，這是一個(gè)收獲的季節(jié)，也是一個(gè)開(kāi)始走入寒冷的季節(jié)。安全廠商開(kāi)始陸續(xù)發(fā)布2010版本的產(chǎn)品，用戶的安全得到進(jìn)一步加強(qiáng)。而這對(duì)不法黑客來(lái)說(shuō)則是一個(gè)糟糕的消息，因?yàn)檫@意味著他們必須投入更多的精力研究對(duì)抗技術(shù)，否則財(cái)路就要被斷掉。如果不盡快找到新的攻擊模式，可能還等不到冬天到來(lái)，他們就得完蛋。

于是，9月的安全局勢(shì)開(kāi)始有了變化，比如掛馬攻擊減少了，轉(zhuǎn)而一些更為隱蔽的攻擊模式開(kāi)始流行。老掉牙的捆綁式傳播，由于捆綁對(duì)象變成了非常受歡迎的文件，病毒木馬們得以有更多的機(jī)會(huì)混進(jìn)電腦，甚至連一些比較古老的軟件安全漏洞也被黑客們重新挖掘出來(lái)嘗試?yán)?。而?guó)慶的臨近，讓中國(guó)受到更多的關(guān)注，境外黑客這個(gè)時(shí)候也跑來(lái)湊熱鬧，頻繁攻擊國(guó)內(nèi)網(wǎng)站。

9月，互聯(lián)網(wǎng)安全又進(jìn)入了一輪新的微妙變化。 

九月安全狀況簡(jiǎn)述? 

掛馬的秋天？

在9月，網(wǎng)頁(yè)掛馬數(shù)量出現(xiàn)了明顯下降。掛馬網(wǎng)址的數(shù)量從8月的1,507,116個(gè)驟降至1,244,572個(gè)，如同這個(gè)季節(jié)的樹(shù)葉一般。

各家殺軟的防掛馬工具在這一時(shí)間段內(nèi)并沒(méi)有什么明顯的技術(shù)升級(jí)和推廣活動(dòng)，但掛馬團(tuán)伙不會(huì)平白無(wú)故的“鳴金收兵”，掛馬網(wǎng)址的減少一定是有其它原因的。

結(jié)合大環(huán)境考慮，我們認(rèn)為掛馬團(tuán)伙的“收斂”應(yīng)該與國(guó)慶臨近有較大關(guān)系。隨著國(guó)慶的日益臨近，相關(guān)部門(mén)加大了對(duì)網(wǎng)絡(luò)安全的監(jiān)查，在這種情況下，國(guó)內(nèi)的黑客組織自然不敢有什么大動(dòng)作，生怕撞上槍口。

但更擔(dān)心的，是出現(xiàn)了更為隱蔽、低調(diào)的攻擊模式。在十月初，金山毒霸云安全系統(tǒng)的確截獲到了一些比較隱蔽的黑客攻擊案例，它們相對(duì)掛馬來(lái)說(shuō)更為“溫和”和“低調(diào)”。我們正在研究它們是否有可能替代掛馬成為主流的網(wǎng)絡(luò)攻擊手段。詳情可見(jiàn)后面的十月預(yù)警。 

Delphi夢(mèng)魘，如期而至

如同我們?cè)?jīng)預(yù)測(cè)的那樣，Delphi夢(mèng)魘（win32.induc.b.820224系列）成為了9月份總感染量最高病毒，全月它共擁有超過(guò)600萬(wàn)臺(tái)次的感染量。（當(dāng)時(shí)的詳情可在毒霸官博查看 ??http://blog.duba.net/post/delphi-workers-nightmare_9013.html??）

該毒的出現(xiàn)，為廣大黑客指出了一條非常具有挑戰(zhàn)的“前進(jìn)方向”，Delphi夢(mèng)魘通過(guò)感染程序員的電腦，令軟件產(chǎn)品從生產(chǎn)地開(kāi)始，就染上病毒，并隨著軟件產(chǎn)品的發(fā)售安裝，傳播到更多的電腦上。有什么是比這更高效的病毒傳播方式呢？

Delphi夢(mèng)魘源代碼流出沒(méi)多久，金山毒霸云安全系統(tǒng)就在網(wǎng)絡(luò)中捕獲了基于該毒技術(shù)的木馬下載器。從代碼上看，這一下載器很簡(jiǎn)單，似乎僅僅是為了測(cè)試而制作。我們當(dāng)然希望這僅僅是國(guó)內(nèi)黑客出于技術(shù)研究而生產(chǎn)的，但毒霸還是進(jìn)行了同步升級(jí)，因?yàn)槲覀儾桓曳潘删?。誰(shuí)也不能保證一定不會(huì)有利益熏心的木馬團(tuán)伙利用該毒原理來(lái)為非作歹。

最大的擔(dān)憂，是由于國(guó)內(nèi)使用破解版軟件的網(wǎng)民較多，Delphi夢(mèng)魘在電腦上反復(fù)感染的可能性非常高，因?yàn)槟切┯糜谥谱髌平廛浖钠平夤ぞ?，多半已?jīng)被Delphi夢(mèng)魘所感染，用它們制造的破解版軟件，自然也就不干凈。用戶很容易由于下載了某些破解軟件，而再次感染該毒。

作為目前國(guó)內(nèi)唯一一款可查殺Delphi夢(mèng)魘、并修復(fù)被其感染的delphi環(huán)境的殺毒軟件，金山毒霸已經(jīng)在第一時(shí)間放出了完全免費(fèi)的專殺，即便沒(méi)有安裝金山毒霸的電腦，也可及時(shí)清除該毒，恢復(fù)系統(tǒng)安全?！癉elphi夢(mèng)魘專殺工具”下載地址：

??http://cu003.www.duba.net/duba/tools/dubatools/usb/fixdelphi.exe??? 

捆綁型傳播漸成主流

借助社會(huì)關(guān)注熱點(diǎn)，將病毒木馬與其它文件捆綁到一起，已經(jīng)是被越來(lái)越多的不法黑客采用的傳播手段。當(dāng)網(wǎng)頁(yè)掛馬的難度，由于執(zhí)法部門(mén)加大監(jiān)察、殺軟廠商采用新技術(shù)等原因增大后，黑客們重新?lián)炱鹆诉@種古老的病毒傳播方式。

其中被利用得最多的捆綁目標(biāo)，就是各類視頻播放器。但幾乎所有因此中招的用戶，都有一個(gè)共同點(diǎn)，就是他們所下載的播放器，并非在播放器官方授權(quán)的下載站點(diǎn)下載，而是一些不知名的小站點(diǎn)或不良視頻論壇。這一切都是不法黑客搞的鬼。他們將木馬捆綁在Qvod等流行的播放器上，到處投放下載鏈接，甚至不惜專門(mén)搭建一個(gè)不良網(wǎng)站吸引用戶前去訪問(wèn)，一旦用戶下載，就會(huì)中招。 #p#

九月安全相關(guān)數(shù)據(jù)

新增病毒樣本數(shù)：2,919,640個(gè)

病毒感染機(jī)器數(shù)：22,767,670臺(tái)次

新增安全漏洞補(bǔ)?。何④?月共發(fā)布61個(gè)不同版本的安全補(bǔ)丁，對(duì)應(yīng)windows操作系統(tǒng)上的13個(gè)安全漏洞，金山清理專家已全部為用戶完成同步升級(jí)。關(guān)于其中的重要漏洞，可見(jiàn)微軟官方公告 ??http://www.microsoft.com/china/technet/Security/bulletin/ms09-sep.mspx#EUC??

掛馬網(wǎng)址：1,244,572個(gè)

十大病毒排行榜

此排行榜是根據(jù)金山毒霸云安全系統(tǒng)的監(jiān)測(cè)統(tǒng)計(jì)，經(jīng)過(guò)特殊計(jì)算后得出的參考數(shù)據(jù)，反映的是感染總量最高的前十個(gè)病毒?？紤]到潛在的數(shù)據(jù)丟失和監(jiān)視盲區(qū)，榜中數(shù)據(jù)均為保守值。該榜僅針對(duì)WINDOWS系統(tǒng)下的PE病毒單一樣本，一些總感染量很高的病毒，因?yàn)樽兎N較多，分?jǐn)偟礁髯兎N上的感染量反而小，因此未列入此榜。

1.  Win32.induc.a.820224 (Delphi夢(mèng)魘)

展開(kāi)描述：感染Delphi環(huán)境，從源頭污染程序

癥狀：無(wú)任何癥狀

卡巴命名:Virus.Win32.Induc.a

NOD32命名：virus.Win32.Induc.A
 
這是一個(gè)針對(duì)Delphi程序員的病毒“Delphi夢(mèng)魘”，它專門(mén)感染Delphi程序員的電腦，一旦成功，程序員今后寫(xiě)出的任何程序，都將帶有該毒。

當(dāng)隨著被感染文件進(jìn)入電腦系統(tǒng)，“Delphi夢(mèng)魘”就開(kāi)始檢驗(yàn)系統(tǒng)中是否有Delphi環(huán)境。它通過(guò)循環(huán)檢測(cè)注冊(cè)表鍵值的方法查找dephi 的安裝目錄，如果找到dephi，就將惡意代碼前排插入SysConst.pas文件，這個(gè)文件編譯的時(shí)候，會(huì)生成SysConst.dcu，而這個(gè)文件會(huì)被添加到每個(gè)新的dephi工程中。于是，Delphi程序員們所編寫(xiě)的程序就全部帶毒了。

該毒不具備破壞能行為，但由于其在技術(shù)和攻擊方式上的突破，已經(jīng)成為一些不法黑客借鑒和改造的對(duì)象，基于該毒改寫(xiě)的下載器已經(jīng)在技術(shù)上實(shí)現(xiàn)，一旦被廣泛利用，后果難以想像。而且目前國(guó)內(nèi)除金山毒霸外，尚無(wú)別的殺軟廠家具備查殺該毒的能力，這更加重了國(guó)內(nèi)網(wǎng)絡(luò)的危險(xiǎn)。

2.  Win32.troj.geralt.kb.190962（病毒寄生播放器）

展開(kāi)描述：捆綁視頻播放器、下載器，彈廣告并下載木馬

癥狀：彈出廣告窗口，陌生進(jìn)程迅速增多

卡巴命名:Trojan.Win32.Vilsel.gyj、Trojan.Win32.Vilsel.gpc

瑞星命名: Trojan.Win32.KillAV.caq\n、Worm.Win32.Autorun.sta\n

NOD32命名: Trojan.Win32.AntiAV.NCL,Trojan.Win32.AntiAV.NCL

這是一款依靠捆綁傳播的木馬程序，它會(huì)執(zhí)行彈廣告、下載木馬等行為。該毒主要借助捆綁于流行的播放器來(lái)傳播，比如最近比較受歡迎的Qvod。隨著各種在線播放器的流行，木馬團(tuán)伙也找到了新的傳播渠道：他們將木馬捆綁在某些比較受歡迎的播放器或視頻下載器中，然后設(shè)法欺騙用戶下載經(jīng)過(guò)他們改造的播放器，使得用戶中招。

該毒的大部分樣本被發(fā)現(xiàn)捆綁于非官方下載頁(yè)面的Qvod播放器以及某些視頻下載器中。金山毒霸安全專家分析，木馬團(tuán)伙是在一些論壇、社區(qū)或不良視頻網(wǎng)站投放下載鏈接，然后以熱播影片引誘用戶下載。

一旦用戶安裝這些被動(dòng)過(guò)手腳的播放器或下載器，木馬就會(huì)立即運(yùn)行起來(lái)，執(zhí)行木馬團(tuán)伙設(shè)定的指令，主要是彈出廣告窗口和下載其它木馬。

3.  Win32.troj.onlinegamest.oc.53400（網(wǎng)游帳號(hào)吞吃獸）

展開(kāi)描述：盜取帳號(hào)

癥狀：游戲裝備丟失，帳號(hào)密碼總輸不對(duì)

卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic

瑞星命名:Trojan.PSW.Win32.GameOL.yjw\n

NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名: PWS-OnlineGames.ek trojan

這是一個(gè)針對(duì)多款流行網(wǎng)游的盜號(hào)木馬。它會(huì)盜取魔獸世界等著名游戲的賬號(hào)密碼信息，然后發(fā)送到病毒作者指定的地址。

該毒依靠掛馬下載器和捆綁于其它文件的下載器的幫助，入侵用戶電腦，可盜竊包括魔獸世界在內(nèi)的一些流行網(wǎng)游的游戲賬號(hào)，然后將其發(fā)送到病毒作者指定的地址，隨后很快就會(huì)被職業(yè)的洗號(hào)者將游戲賬號(hào)中可自由交易的物品全部盜走，用戶及時(shí)找回賬號(hào)，能得到的也只剩一個(gè)“一絲不掛”的游戲角色。

如發(fā)現(xiàn)系統(tǒng)中有此毒無(wú)法徹底刪除，很可能是有未知下載器不斷將該毒下載到電腦中，可下載運(yùn)行金山安全實(shí)驗(yàn)室的“金山急救箱”，將下載器滅活，同時(shí)運(yùn)行清理專家的漏洞檢查功能，查看是否有安全漏洞需要更新。

“金山急救箱”下載地址 ??http://labs.duba.net/jjx.shtml??

4.  Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）

展開(kāi)描述： 模仿文件夾圖標(biāo)，欺騙用戶點(diǎn)擊

癥狀：U盤(pán)文件夾圖標(biāo)被替換，殺毒后文件夾丟失

卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

瑞星命名: Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

McAfee命名: W32.Madangel.b virus、W32.Fujacks.aw virus

Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）是一個(gè)U盤(pán)病毒，它將用戶系統(tǒng)中的文件夾圖標(biāo)全部變?yōu)樽约旱腅XE文件，用戶必須點(diǎn)擊病毒文件才可進(jìn)入文件夾。這使得病毒得以繞過(guò)系統(tǒng)或安全軟件的U盤(pán)監(jiān)控功能。如果該變種所攜帶的執(zhí)行模塊是廣告插件，那么就會(huì)盡可能多的彈出廣告網(wǎng)頁(yè)。

該毒給很多用戶帶來(lái)的最大麻煩是它會(huì)將用戶的文件隱藏起來(lái)，即使用戶借助殺軟將其刪除，也難以恢復(fù)。這使得一些用戶誤以為是殺軟將自己的文件夾刪除。

使用金山安全實(shí)驗(yàn)室的急救箱，可完美解決該毒帶來(lái)的這一問(wèn)題。下載地址 ??http://labs.duba.net/jjx.shtml??

5.  Win32.troj.fakefoldert.yo.1406378（文件夾模仿者變種）

展開(kāi)描述： 模仿文件夾圖標(biāo)，欺騙用戶點(diǎn)擊

癥狀：U盤(pán)文件夾圖標(biāo)被替換，殺毒后文件夾丟失

卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

McAfee命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

此毒為Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）的一款變種，感染該毒后的所有癥狀完全一致。

6.  Win32.trojdownloader.agent.151552（小廣告下載器）

展開(kāi)描述：彈廣告并且下載其它木馬的流氓插件

癥狀：IE瀏覽器自動(dòng)彈出窗口，陌生進(jìn)程增多

卡巴命名: Trojan-Downloader.Win32.Agent.cqlm、Trojan-Dropper.Win32.StartPage.aw

瑞星命名:Trojan.Win32.StartPage.nbk\n

NOD32命名:Trojan.Win32.StartPage.NMW

該毒為一款能修改IE瀏覽器默認(rèn)主頁(yè)的流氓程序，它同時(shí)也具備下載器的功能，會(huì)下載一些別的惡意程序到電腦中運(yùn)行。

它在進(jìn)入系統(tǒng)后，會(huì)將IE瀏覽器的默認(rèn)主頁(yè)修改成病毒作者指定的地址，以便在用戶每次啟動(dòng)IE時(shí)彈出廣告。但由于它加入了下載器功能，會(huì)下載更多的其它木馬，因而帶來(lái)的潛在影響就更大。病毒作者可以通過(guò)修改下載列表，把任何一種病毒木馬傳輸?shù)接脩綦娔X中。

此毒在9月末的最后幾天爆發(fā)，迅速飆升為單日感染量最高的病毒，金山毒霸反病毒工程師預(yù)計(jì)，這一病毒在10月初依然會(huì)保持這樣的強(qiáng)勢(shì)。

7.  Win32.pswtroj.gameol.226416 (網(wǎng)游盜號(hào)者OL)

展開(kāi)描述：盜竊網(wǎng)游賬號(hào)

癥狀：游戲突然中斷，賬號(hào)無(wú)法登陸，裝備無(wú)故丟失

卡巴命名：Trojan-GameThief.Win32.Magania.bzjz

瑞星命名：Trojan.PSW.Win32.GameOL.yjw\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名：PWS-OnlineGames.ek trojan

“網(wǎng)游盜號(hào)者OL”（win32.pswtroj.gameol.226416）在9月初時(shí)，感染量曾呈現(xiàn)出快速增長(zhǎng)的勢(shì)頭。金山毒霸安全專家認(rèn)為是有病毒團(tuán)伙在背后進(jìn)行推廣有關(guān)。

該盜號(hào)木馬的行為非常簡(jiǎn)單，但是卻在如此短的時(shí)間內(nèi)傳播得如此廣，通過(guò)對(duì)金山云安全系統(tǒng)捕獲的病毒樣本進(jìn)行分析，我們發(fā)現(xiàn)該毒完全是依靠某款下載器在進(jìn)行傳播。

病毒團(tuán)伙將精心構(gòu)造的腳本木馬掛到一些網(wǎng)站上，一旦存在某些系統(tǒng)漏洞的電腦訪問(wèn)網(wǎng)站，就會(huì)被腳本木馬感染，隨后這些腳本木馬會(huì)將功能更強(qiáng)的木馬下載器下載到電腦上，再由木馬下載器來(lái)下載“網(wǎng)游盜號(hào)者OL”（win32.pswtroj.gameol.226416）。

如果發(fā)現(xiàn)電腦中出現(xiàn)此毒且無(wú)法徹底清除，表明系統(tǒng)中已經(jīng)混入了經(jīng)過(guò)精心免殺處理的未知下載器，用戶可下載運(yùn)行金山安全實(shí)驗(yàn)室的金山急救箱，即可將未知下載器滅活。

金山急救箱下載地址 ??http://labs.duba.net/jjx.shtml??

8.  Win32.troj.cfgt.ex.38507  (CFG網(wǎng)游盜號(hào)器變種)

展開(kāi)描述：依靠網(wǎng)頁(yè)掛馬傳播，盜竊網(wǎng)游帳號(hào)

癥狀：游戲密碼失效，裝備丟失，網(wǎng)游帳號(hào)被盜

卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

瑞星命名:Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD “CFG網(wǎng)游盜號(hào)器變種”（win32.troj.cfgt.ex.38507）已經(jīng)是繼續(xù)在我們的TOP榜上露臉。這款盜號(hào)木馬主要依靠網(wǎng)頁(yè)掛馬傳播，能盜取多款流行網(wǎng)游的賬號(hào)和木馬。如果用戶系統(tǒng)中存在安全漏洞，就很容易受到腳本下載器的攻擊。然后腳本下載器就會(huì)直接下載此毒，或者先下載一個(gè)類似寶馬下載器這樣的普通下載器，再下載此盜號(hào)木馬。

如果毒霸頻繁提示發(fā)現(xiàn)此毒，表明系統(tǒng)中很可能存在未知的下載器，造成每次刪除后又再次下載。這種情況不用慌，只需安裝并運(yùn)行金山安全實(shí)驗(yàn)室免費(fèi)提供的“金山急救箱”，對(duì)未知下載器進(jìn)行滅活，即可解決問(wèn)題。

9.  Win32.troj.gameolt.zg.61529（網(wǎng)游盜號(hào)木馬ZG）

展開(kāi)描述： 盜竊網(wǎng)游帳號(hào)，洗劫虛擬財(cái)產(chǎn)

癥狀：游戲密碼錯(cuò)誤，裝備丟失，網(wǎng)游帳號(hào)被盜

卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic

瑞星命名:Trojan.PSW.Win32.GameOLx.cp\n

HOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名: PWS-OnlineGames.ek trojan

該毒是一個(gè)針對(duì)網(wǎng)絡(luò)游戲的盜號(hào)木馬程序，此毒在7月份時(shí)就已經(jīng)開(kāi)始流行。它能盜竊多款流行網(wǎng)游的賬號(hào)密碼信息。

大量的0day漏洞為各類腳本下載器的掛馬傳播提供了有利條件，而腳本下載器在進(jìn)入系統(tǒng)后，就會(huì)下載不少傳統(tǒng)的木馬。Win32.troj.gameolt.zg.61529正是在這樣的情況下，實(shí)現(xiàn)感染量的大幅增長(zhǎng)的。而如果用戶發(fā)現(xiàn)自己電腦中不斷出現(xiàn)此毒，那么表明系統(tǒng)中已經(jīng)潛入了某款未知下載器，這種情況，可下載運(yùn)行金山安全實(shí)驗(yàn)室的“金山急救箱”，對(duì)未知下載器滅活即可。

10.  Win32.Troj.Shutdown.c.45056（拔插頭病毒）

展開(kāi)描述：逼迫用戶重啟電腦，令木馬得以盡快運(yùn)行

癥狀：電腦自動(dòng)關(guān)機(jī)，或突然死機(jī)

卡巴命名：Virus.Win32.Sality.k

瑞星命名：Win32.Sality.ar\n

NOD32命名：virus.Win32.Sality.NAC

McAfee命名：W32.Sality.m virus

此毒為一款木馬程序的組成模塊。它運(yùn)行后就強(qiáng)行關(guān)機(jī)，逼迫用戶重啟電腦，以便令木馬主程序盡快的得以運(yùn)行。

當(dāng)木馬的母體完成注冊(cè)表修改，這一模塊就運(yùn)行起來(lái)，篡取電腦的電源控制權(quán)限，命令電腦立刻關(guān)機(jī)。如此一來(lái)用戶必然重啟電腦，木馬也就可以更快速的運(yùn)行了。

但這樣做的結(jié)果，就是用戶可能會(huì)遭受比木馬入侵更大的損失。比如正在進(jìn)行的重要工作被迫中斷、電腦硬件因突然斷電而受損等。如果用戶遇到電腦莫名其妙自動(dòng)關(guān)機(jī)，很有可能就是遇到了該毒或是類似的惡意程序。

十大影響較大的被掛馬網(wǎng)站

此榜中的網(wǎng)站，均曾在9月遭到過(guò)病毒團(tuán)伙攻擊，并被掛上腳本木馬。我們從記錄到的掛馬網(wǎng)站中，按知名度、訪問(wèn)量人數(shù)，以及網(wǎng)站代表性進(jìn)行綜合評(píng)估，選出十個(gè)，得出此榜。 截止本期月報(bào)完成時(shí)止，它們依然被掛著。? 

黑龍江省人民政府參事室    hxxp://www.hljcsswsg.gov.cn/index.html? 

湖北省農(nóng)業(yè)廳網(wǎng)站          hxxp://www.hbagri.gov.cn/index.html? 

人民網(wǎng)廣西視窗            hxxp://www.fj.xinhuanet/dszx  ? 

新華網(wǎng)福建頻道安南在線    hxxp://ie.cass.cn ? 

廣州住房公積金中心網(wǎng)站    hxxp://www.gzgjj.gov.cn? 

CCTV旅游論壇            hxxp://bbs.u.cctv.com/? 

老舍紀(jì)念館                hxxp://www.bjlsjng.com? 

志高空調(diào)                  hxxp://www.china-chigo.com/cn/index.asp? 

中央民族大學(xué)              hxxp://http://cwcx.cun.edu.cn/tool/chris/27035? 

科比中文網(wǎng)                hxxp://www.kobechina.com.cn/web

國(guó)內(nèi)疫情地域分布TOP10

此排名根據(jù)金山毒霸云安全系統(tǒng)監(jiān)測(cè)數(shù)據(jù)換算得出，所體現(xiàn)的是整個(gè)9月期間，國(guó)內(nèi)遭受惡意程序感染次數(shù)最多的前10個(gè)地區(qū)。如果某地區(qū)遭受攻擊電腦數(shù)量偏高，通常與該地區(qū)電腦擁有量、用戶上網(wǎng)習(xí)慣、地區(qū)門(mén)戶網(wǎng)站掛馬情況，以及黑客所使用工具的掃描或攻擊規(guī)則等有關(guān)。9月的疫情分布情況與8月基本一致，僅僅是個(gè)別地區(qū)的感染量有小幅波動(dòng)。 

 #p#

十月安全趨勢(shì)提示

根據(jù)9月所觀察與收集到的據(jù)，金山毒霸反病毒工程師對(duì)10月份的安全形式做出以下估計(jì)與提示:? 

隱蔽型黑客攻擊案例或增加

近日，金山毒霸安全專家發(fā)現(xiàn)了一種新型的“隱蔽式黑客攻擊”。

這種黑客攻擊手法目前主要是在一些政府網(wǎng)站中發(fā)現(xiàn)。黑客是將一些廣告鏈接嵌入到網(wǎng)站的源代碼中秘密運(yùn)行，無(wú)論是用戶還是網(wǎng)站管理員，都不易發(fā)現(xiàn)網(wǎng)站已經(jīng)被黑。而由于嵌入的是廣告鏈接而非惡意攻擊代碼，世面上的防掛馬工具也不會(huì)有任何警告。 

隱藏在某網(wǎng)站源碼中的廣告鏈接

但只要網(wǎng)民訪問(wèn)被黑頁(yè)面，這些被嵌入的廣告鏈接代碼就會(huì)被激活，從而為這些鏈接所指向的網(wǎng)站刷取流量。

金山毒霸安全專家認(rèn)為，從經(jīng)濟(jì)角度來(lái)看，這種黑客攻擊模式不會(huì)給被黑網(wǎng)站和訪客造成什么明顯的損失。但對(duì)于被黑網(wǎng)站的管理員來(lái)說(shuō)，則是一種極大的諷刺，因?yàn)槭怯捎诰W(wǎng)站框架搭建和監(jiān)管存在漏洞，才導(dǎo)致黑客能夠成功發(fā)起攻擊。同時(shí)，也不排除部分廣告鏈接是由網(wǎng)管自己加入的可能，這樣他們可以“公私兼顧”，利用公家的流量為自己順帶撈點(diǎn)外快。

目前還不清楚這種新型攻擊方式與9月的掛馬數(shù)量減少是否有關(guān)，但在十月份，相信這種隱蔽的黑客攻擊案例會(huì)有所增加，網(wǎng)管們應(yīng)經(jīng)常檢查網(wǎng)站，及時(shí)修復(fù)可能出現(xiàn)的問(wèn)題。? 

來(lái)自境外的大規(guī)模黑客攻擊

從9月下旬開(kāi)始，境外黑客組織對(duì)中國(guó)網(wǎng)絡(luò)的攻擊頻率越來(lái)越高，這其中原因復(fù)雜，中國(guó)互聯(lián)網(wǎng)這個(gè)由數(shù)億臺(tái)個(gè)人電腦構(gòu)成的龐大網(wǎng)絡(luò)，為黑客們研究攻防技術(shù)、謀取經(jīng)濟(jì)利益提供了足夠的“訓(xùn)練器械”和“儲(chǔ)備肉雞”，這本身就是吸引境外黑客的一個(gè)重要因素。同時(shí)，某些國(guó)外反華勢(shì)力的行動(dòng)，也是使中國(guó)網(wǎng)絡(luò)遭受境外攻擊案件增加的原因。

以HEXB00T3R這一黑客組織來(lái)說(shuō)。該組織來(lái)自土耳其，是一個(gè)于前年開(kāi)始活躍的黑客組織，隨著國(guó)慶的臨近，該組織加大了對(duì)我國(guó)網(wǎng)站的攻擊力度。根據(jù)金山毒霸云安全系統(tǒng)的監(jiān)測(cè)，他們目前每天攻擊的網(wǎng)站多達(dá)到70個(gè)，幾乎都是中國(guó)網(wǎng)站。地方政府網(wǎng)站、企業(yè)網(wǎng)站、公益組織、交友社區(qū)、游戲私服、個(gè)人空間等均在他們的攻擊范圍內(nèi)。 

HEXB00T3R在被其黑掉的網(wǎng)站上咒罵中國(guó)、美國(guó)、丹麥和以色列，并宣揚(yáng)極端宗教理論

在攻擊成功后，HEXB00T3R會(huì)留下“HACKED by HEXB00T3R”之類的標(biāo)記，或者直接在受害網(wǎng)站中插入自己的頁(yè)面，宣揚(yáng)一些極端言論，甚至?xí)r直接打電話向被黑站長(zhǎng)挑釁。他們污蔑中國(guó)是“懦弱的恐怖分子”，他們還經(jīng)常在留言中表示美國(guó)、丹麥、以色列等國(guó)家的敵視。我們猜測(cè)，HEXB00T3R的成員很可能是些極端民族主義者和極端宗教主義者。

金山毒霸安全專家提醒廣大站長(zhǎng)，在整個(gè)10月，應(yīng)對(duì)網(wǎng)站加強(qiáng)相應(yīng)的防御措施，防備遭遇來(lái)自境外黑客的攻擊。 

AdobeReader漏洞恐再遭利用

由于更新升級(jí)機(jī)制一直存在問(wèn)題，Adobe Reader的一款老漏洞最近又被黑客利用了。

金山毒霸云安全系統(tǒng)近日截獲一款借郵件中的PDF文檔傳播的后門(mén)木馬。毒郵件的發(fā)信人稱自己是現(xiàn)居北京的《金融時(shí)報(bào)》編輯“帕姆”，他要求收件人閱讀附件PDF文檔中的名單，協(xié)助他完成一個(gè)所謂的經(jīng)濟(jì)研究課題訪談。但如果你閱讀了這個(gè)PDF附件，那么你會(huì)立即掉進(jìn)黑客的陷阱，因?yàn)槲臋n中包含一個(gè)后門(mén)木馬文件，它會(huì)將你的電腦與黑客遠(yuǎn)程服務(wù)器連接起來(lái)，等候黑客指令。

被利用的漏洞是由于Adobe Acrobat和Reader無(wú)法正確地處理PDF文檔中所包含的惡意JavaScript所引起的。Adobe Acrobat和Reader的內(nèi)部函數(shù)在處理一個(gè)特制的文件名參數(shù)時(shí)就會(huì)發(fā)生溢出事件，導(dǎo)致木馬可以繞過(guò)系統(tǒng)安全模塊運(yùn)行。不過(guò)經(jīng)測(cè)試它無(wú)法繞過(guò)金山網(wǎng)盾的攔截，金山毒霸對(duì)該毒的命名為Win32.Troj.PdfDropper.eq和Win32.Troj.PdfDropper.ty。

2. 早在今年4月份時(shí)，這一漏洞就已經(jīng)被安全業(yè)內(nèi)人士發(fā)現(xiàn)并發(fā)出了警告，但由于Adobe Reader等PDF閱讀器的升級(jí)機(jī)制問(wèn)題，總還是會(huì)有不少用戶電腦中依然存在這一漏洞。黑客很可能是掌握了這一規(guī)律，才精心制作了這封毒郵件。但我們更擔(dān)心的是，這一消息會(huì)刺激黑客更深入的挖掘Adobe Reader的0day安全漏洞，因?yàn)橐坏┌l(fā)現(xiàn)一個(gè)漏洞，就能在很長(zhǎng)的時(shí)間里都利用它，為黑客們最大限度的帶來(lái)利潤(rùn)。