目錄

1、三月安全狀況簡(jiǎn)述

1.1 泛濫的“肉雞”

1.2 網(wǎng)銀盜號(hào)木馬

1.3 網(wǎng)頁掛馬依然猖獗

2、十大病毒排行榜

3、本月重大漏洞介紹

4、十大影響較大的被掛馬網(wǎng)站

5、下月安全趨勢(shì)提示

5.1 提防木馬下載器的再度爆發(fā)

5.2 繼續(xù)關(guān)注網(wǎng)頁掛馬

5.3 病毒團(tuán)伙的掙扎將更加激烈

1、三月安全狀況簡(jiǎn)述

1.1 泛濫的“肉雞”

3月份最引人關(guān)注的威脅是什么？沒錯(cuò)，就是肉雞！

當(dāng)央視315晚會(huì)播出了關(guān)于黑客利用遠(yuǎn)程木馬控制用戶電腦，盜竊網(wǎng)銀等敏感數(shù)據(jù)的節(jié)目后，“肉雞”這個(gè)詞就以迅雷不及掩耳之勢(shì)傳遍了全國。

肉雞并不是病毒，它指的是那些被病毒木馬所控制、任由黑客宰割的電腦。只不過由于“肉雞”這個(gè)詞匯更為形象，很多電腦用戶對(duì)它的印像也就最深。

神通廣大的黑客組織，出于一股見不得光的經(jīng)濟(jì)利益鏈條，借助遠(yuǎn)程控制木馬，任意盜取用戶電腦中有價(jià)值的數(shù)據(jù)。早在2007年之前，毒霸就已經(jīng)揭露過黑色產(chǎn)業(yè)鏈，但由于只是在網(wǎng)絡(luò)媒體中傳播，輿論反響并不強(qiáng)烈。央視的315晚會(huì)，第一次把這個(gè)早已為網(wǎng)民們見慣不怪、卻又依舊神秘的病毒群體，以及它們后面的黑色產(chǎn)業(yè)鏈通過電視這一傳統(tǒng)媒體展現(xiàn)到全國人民的面前，終于引起了極大的討論。

但就在央視揭開“肉雞”內(nèi)幕的同時(shí)，黑客組織的病毒生產(chǎn)線并未停轉(zhuǎn)，“死牛下載器”、“貓癬”等知名病毒依舊隔三差五的就出現(xiàn)新變種，單日感染量動(dòng)輒高達(dá)數(shù)十萬。

1.2 網(wǎng)銀盜號(hào)木馬

同“肉雞”一道被關(guān)注的關(guān)鍵詞是“網(wǎng)銀盜號(hào)木馬”。

對(duì)于盜號(hào)木馬，大家并不陌生，幾乎所有網(wǎng)民都有過QQ號(hào)被盜、游戲賬號(hào)被盜的悲慘經(jīng)歷。網(wǎng)銀盜號(hào)木馬出現(xiàn)的頻率，遠(yuǎn)小于網(wǎng)游盜號(hào)木馬，但它造成為危害卻是最大的，甚至有可能令用戶傾家蕩產(chǎn)。

3月份知名度最多高的網(wǎng)銀盜號(hào)木馬是“頂狐結(jié)巴”，這同樣緣于央視315晚會(huì)的曝光。“頂狐”已被警方粉碎，今后不會(huì)再危害網(wǎng)絡(luò)，而其它的網(wǎng)銀木馬依舊在伺機(jī)作案。比如就在央視曝光“頂狐”的同時(shí)，一款名為“IK網(wǎng)銀盜號(hào)器”的網(wǎng)銀木馬，就計(jì)劃著接替“頂狐”，成為新的“網(wǎng)銀木馬代表”。

“IK網(wǎng)銀盜號(hào)器”利用郵件傳播，如果您的郵箱中收到一封來自“劉娜<mnbppp@163.com> ”來的郵件，對(duì)它的附件可要千萬當(dāng)心，這就是“IK網(wǎng)銀盜號(hào)器”的郵件。
通過對(duì)該病毒的技術(shù)追查，金山毒霸反病毒工程師發(fā)現(xiàn)，“IK網(wǎng)銀盜號(hào)器”近來在網(wǎng)上非常猖獗，許多黑客網(wǎng)站甚至公開出售。隨便找一個(gè)搜索引擎，輸入“IKlogger0.1”，就可以查詢到關(guān)于“IK網(wǎng)銀盜號(hào)器”的大量買賣、介紹信息。一些出售該毒的黑客網(wǎng)站聲稱此病毒是從阿根廷進(jìn)口，如購買，還可提供一對(duì)一的操作教學(xué)。

1.3 網(wǎng)頁掛馬依然猖獗

3月份，網(wǎng)頁掛馬給互聯(lián)網(wǎng)帶來的安全局勢(shì)越來越嚴(yán)峻。

除了像上個(gè)月那樣，頻繁攻擊各類門戶、平臺(tái)類網(wǎng)站進(jìn)行掛馬外，金山毒霸反病毒工程師發(fā)現(xiàn)，黑客已摸索出了一系列新的掛馬手段：他們利用百度競(jìng)價(jià)、百度快照、谷歌圖片來提高掛馬攻擊的效率。

利用百度競(jìng)價(jià)：黑客們山寨了一些熱門網(wǎng)站，比如某些網(wǎng)游的聊天工具、外掛、私服網(wǎng)站，然后通過購買百度競(jìng)價(jià)，讓這些山寨網(wǎng)站位于用戶搜索結(jié)果的前列，這樣，點(diǎn)擊量就大大提高。當(dāng)然，毫無疑問的，這些網(wǎng)站上掛滿了腳本木馬。

利用百度快照：基于百度快照的記錄原理，百度會(huì)把當(dāng)時(shí)掛馬的頁面不加處理的保存下來，使得快照導(dǎo)向網(wǎng)馬服務(wù)器的地址。這樣，即便這些網(wǎng)站被關(guān)閉，只要快照還在，黑客就仍然能達(dá)到傳播病毒之目的。

利用谷歌圖片：黑客將腳本木馬嵌入到圖片文件中，將這些圖片的名稱和描述設(shè)置為熱門關(guān)鍵詞，這樣一來，含毒圖片就能位于GOOGLE圖片搜索的首位。當(dāng)用戶搜索圖片時(shí)，就很容易點(diǎn)擊含毒圖片，從而遭到攻擊。

網(wǎng)頁掛馬的猖獗，很自然的催生了不少防掛馬產(chǎn)品，但由于各廠商技術(shù)能力各不相同，這些防掛馬工具的效果也是良萎不齊。而病毒制作團(tuán)伙，就專撿軟柿子捏。通過腳本變形加密、小寫變大寫、修改端口號(hào)等方式，使得不少山寨的防掛馬產(chǎn)品形同虛設(shè)，電腦用戶照樣遭殃。

在安裝防掛馬產(chǎn)品時(shí)，用戶們最好選擇權(quán)威廠家的產(chǎn)品。我們推薦使用金山安全實(shí)驗(yàn)室開發(fā)的防掛馬產(chǎn)品“網(wǎng)盾”，可以毫不夸張的說，這是目前國內(nèi)能找到的最有效的網(wǎng)頁防掛馬工具，連0day漏洞下的腳本木馬都可100%攔截。

#p#

三月安全相關(guān)數(shù)據(jù)

新增病毒樣本數(shù)：4,176,352個(gè)

病毒感染機(jī)器數(shù)：23,362,045臺(tái)次

新增漏洞：34個(gè)，均為微軟漏洞

掛馬網(wǎng)址：272,221個(gè)

2、十大病毒排行榜

此排行榜是根據(jù)金山毒霸云安全系統(tǒng)的監(jiān)測(cè)統(tǒng)計(jì)，經(jīng)過特殊計(jì)算后得出的參考數(shù)據(jù)，反映的是感染總量最高的前十個(gè)病毒?？紤]到潛在的數(shù)據(jù)丟失和監(jiān)視盲區(qū)，榜中數(shù)據(jù)均為保守值。該榜僅針對(duì)WINDOWS系統(tǒng)下的PE病毒單一樣本，一些總感染量很高的病毒，如貓癬，因?yàn)樽兎N較多，分?jǐn)偟礁髯兎N上的感染量反而小，因此未列入此榜。至于腳本病毒，由于其特殊的攻擊方式，我們將單獨(dú)制作排行。

一、win32.vbt.hl.84701 （無公害感染源）

展開描述：感染文件，幫助木馬傳播

卡巴命名:Virus.Win32.VB.bu

瑞星命名:Trojan.PSW.SBoy.a\n

N0D32命名:virus.Win32.Sality.NAC

麥咖啡命名:PWS-LegMir trojan

“無公害感染源”（win32.vbt.hl.84701）在2月時(shí)就已經(jīng)是感染量排行很高的病毒。在3月份，它的感染量更是實(shí)現(xiàn)了“跨越式”發(fā)展，達(dá)到200萬臺(tái)次。
 
該病毒本身沒有任何破壞能力，它只是單純的感染用戶電腦中的EXE文件，也不會(huì)干擾被感染文件的正常運(yùn)行。但較以前的版本而言，代碼中增加了一些用于與其它模塊相連接的接口。看來病毒作者已經(jīng)完成了測(cè)試，開始將該病毒投入實(shí)戰(zhàn)。

盡管在感染文件后，“無公害感染源”依然不會(huì)直接破壞系統(tǒng)，卻能與別的木馬模塊相配合了。至于它們“合體”后會(huì)有哪些危害，則要看木馬執(zhí)行模塊的功能如何安排，不同的變種可能具有不同的功能。

二、win32.troj.small.ag.7680 （迷你下載器AG）

展開描述：下載木馬 存放于臨時(shí)目錄 占用系統(tǒng)資源

卡巴命名:Trojan-Downloader.Win32.Agent.bhyn

瑞星命名:Trojan.DL.Win32.Mnless.cbr\n

N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OQW

這個(gè)木馬下載器早在2月份就已經(jīng)誕生了，不過當(dāng)時(shí)感染量并不大，一直徘徊在1萬以下。從3月4號(hào)起，它開始爆發(fā)，每天的感染量一路飆升，最高時(shí)達(dá)到7萬余臺(tái)次。

它是以一個(gè)dll文件的形式存在，行后會(huì)創(chuàng)建一個(gè)線程,解密自帶的下載地址,從下載地址中下載另一些下載器，再利用這些下載器把一堆各式各樣的盜號(hào)木馬引到系統(tǒng)的臨時(shí)目錄下運(yùn)行，伺機(jī)搜刮電腦中的各類網(wǎng)游帳號(hào)。

更特別的是，迷你下載器AG所下載的部分盜號(hào)木馬也具有下載器功能，這就會(huì)造成進(jìn)入用戶電腦的惡意程序越來越多，隨著它們陸續(xù)運(yùn)行，系統(tǒng)資源會(huì)被逐漸蠶食，電腦變得越來越卡。

三、win32.troj.sysjunkt.hh （NS窺視器）

展開描述：加花加密，協(xié)助遠(yuǎn)程木馬對(duì)抗殺軟

卡巴命名:Trojan.Win32.BHO.kqd

瑞星命名:RootKit.Win32.Undef.bks\n

N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus

麥咖啡命名:DNSChanger.gen trojan

“NS窺視器”（win32.troj.sysjunkt.hh）的3月份的總感染量為156萬臺(tái)次，與2月份相比略有增長(zhǎng)。此病毒為一款遠(yuǎn)程木馬的組成部分。它的真身是個(gè)經(jīng)過加花的木馬驅(qū)動(dòng)。

一旦進(jìn)入用戶電腦，它就修改注冊(cè)表服務(wù)項(xiàng)，將自己從屬的木馬冒充成系統(tǒng)進(jìn)程，或采用隨機(jī)命名的進(jìn)程名，實(shí)現(xiàn)開機(jī)自啟動(dòng)。它在后臺(tái)悄悄調(diào)用IE瀏覽器，連接到病毒作者指定的黑客服務(wù)器。

此病毒在3月份時(shí)，所協(xié)助的病毒除了遠(yuǎn)程后門外，還增加了一些廣告木馬。

四、win32.troj.encodeie.ao.524288 (傳奇盜號(hào)下載器AO)

展開描述：盜竊《傳奇》帳號(hào)，非法轉(zhuǎn)移虛擬財(cái)產(chǎn)

卡巴命名:Trojan.Win32.BHO.nng

“傳奇盜號(hào)下載器AO”（win32.troj.encodeie.ao.524288）曾一度以高達(dá)10萬臺(tái)次的感染量位居非腳本木馬單日感染量排行的榜首。金山毒霸反病毒工程師對(duì)其分析后發(fā)現(xiàn)，它可以下載許多別的木馬到用戶電腦中運(yùn)行，但其自身也具有盜號(hào)功能，根據(jù)變種的不同，可以利用內(nèi)存注入、鍵盤記錄、消息截獲等多種手段盜取的就是《傳奇》的帳號(hào)。

“傳奇盜號(hào)下載器AO”無法自動(dòng)傳播，因此可以斷定，它必然也是借助那些大肆掛馬的腳本下載器進(jìn)入用戶電腦。這樣一來，打齊系統(tǒng)補(bǔ)丁也就成了免受“傳奇盜號(hào)下載器AO”騷擾的最簡(jiǎn)單辦法。

五、win32.troj.onlinegamet.fd.295241    (網(wǎng)游盜號(hào)木馬295241)

展開描述：瘋狂盜竊網(wǎng)游帳號(hào)，侵吞玩家虛擬財(cái)產(chǎn)

卡巴命名:Worm.Win32.Downloader.zd

瑞星命名:Trojan.PSW.Win32.GameOL.udx\n

N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM

“網(wǎng)游盜號(hào)木馬295241”（win32.troj.onlinegamet.fd.295241），這是一個(gè)網(wǎng)游盜號(hào)木馬。根據(jù)變種的不同，它可盜竊多款網(wǎng)游的帳號(hào)和密碼。

這個(gè)盜號(hào)木馬新變種的對(duì)抗能力依然很弱，之所以擁有如此大的感染量，是因?yàn)榻柚艘恍┍容^流行的下載器的幫助。在2月份是，它是借助“貓癬”，而3月份，不少腳本下載器的下載列表中出現(xiàn)了它的身影。

六、win32.troj.onlinegames.de.36864 （cfg尋仙盜號(hào)器變種）

展開描述：對(duì)抗殺軟，《尋仙》問“盜”

卡巴命名:rojan-GameThief.Win32.Magania.awzg

瑞星命名:Trojan.PSW.Win32.GameOL.wez\n

N0D32命名:Trojan.Win32.PSW.OnLineGames.NRD

BitDefender命名:Generic.Onlinegames.14.E204280A

135萬臺(tái)次的感染量，使得win32.troj.onlinegames.de.36864 （cfg尋仙盜號(hào)器變種）成為本排行榜的第6名。此病毒具有簡(jiǎn)單的對(duì)抗能力，它會(huì)嘗試?yán)脧?qiáng)制關(guān)閉進(jìn)程的辦法，中止一些常見殺軟的進(jìn)程，如果這些殺軟的自保護(hù)比較弱，那么就會(huì)被它“干掉”。隨后此病毒就搜尋并注入《尋仙》的進(jìn)程，截取帳號(hào)信息。

從對(duì)該病毒的跟蹤上，我們發(fā)現(xiàn)雖然感染量很大，但成功機(jī)率卻不高，因?yàn)榻^大部分時(shí)候，它剛進(jìn)入電腦，就被金山毒霸查殺了。如果用戶發(fā)現(xiàn)自己電腦中有此病毒并且又總是殺不干凈，其實(shí)是因?yàn)殡娔X中有未知下載器在作怪。這時(shí)候僅需下載金山安全實(shí)驗(yàn)室的“系統(tǒng)急救箱”，就可將這個(gè)未知下載器消滅。

七、win32.troj.dropper.jg.210338 (盜號(hào)木馬下載器JG)

展開描述：保護(hù)病毒木馬，躲避殺軟查殺

卡巴命名:Trojan-Dropper.Win32.Agent.aipa

瑞星命名:Dropper.Win32.Agent.zvf\n

N0D32命名:Trojan.Win32.TrojanDropper.Agent.NNO

麥咖啡命名:Generic Dropper.cy trojan

BitDefender命名:Rootkit.Agent.AIWN

“盜號(hào)木馬下載器JG”（win32.troj.dropper.jg.210338）在3月前半月的感染量非常之高，一度逼近單日10萬臺(tái)次。但從18號(hào)開始，迅速降低截止31日，每日僅有1千余臺(tái)次的感染量。不過，它全月的總成績(jī)還是很“不錯(cuò)”，為130萬臺(tái)次。

此病毒不具備對(duì)抗能力，為防止被殺軟攔截，它的一些變種會(huì)被與具有對(duì)抗功能的木馬模塊相捆綁，進(jìn)入系統(tǒng)后這些對(duì)抗模塊先運(yùn)行起來，嘗試解決殺軟。接著就開始瘋狂下載各種盜號(hào)木馬，在電腦中洗劫網(wǎng)游帳號(hào)。

只要打齊系統(tǒng)安全補(bǔ)丁，“盜號(hào)木馬下載器JG”就無法進(jìn)入電腦，因?yàn)樗墙柚_本木馬下載器才能進(jìn)入電腦，而腳本木馬又必須是利用系統(tǒng)安全漏洞才能成功實(shí)施攻擊。

八、win32.binder.agent.ar.110592 (地下城盜賊)

   展開描述：添加注冊(cè)表自啟動(dòng) 盜竊成功后自我刪除

卡巴命名:Trojan-Dropper.Win32.Agent.ajat

瑞星命名:Binder.Win32.Agent.ar\n

N0D32命名:Trojan.Win32.TrojanDropper.Agent.NWE

腳本木馬的影響是如此之大，借助腳本下載器的幫助，win32.binder.agent.ar.110592 (地下城盜賊)這個(gè)完全沒有任何對(duì)抗能力的盜號(hào)木馬，在3月份竟然獲得了131萬臺(tái)次的總感染量。

當(dāng)進(jìn)入系統(tǒng)，該病毒就會(huì)搜索并注入網(wǎng)游《地下城與勇士》的進(jìn)程，悄悄記錄用戶輸入的帳號(hào)和密碼。病毒作者為保證能收到偷來的游戲帳號(hào)，設(shè)置了4個(gè)接收網(wǎng)址，每次盜得帳號(hào)后，會(huì)往這四個(gè)地址都發(fā)送一份郵件。

九、win32.troj.sysjunk2.ak.32768 （木馬驅(qū)動(dòng)器32768）

展開描述：對(duì)抗殺軟，下載網(wǎng)游盜號(hào)木馬

就和普通制造業(yè)的模塊化一樣，病毒制作也在走向模塊化。病毒作者不必親自寫完所有代碼，而只需要挑選自己喜歡的模塊相組合，就能得到想要的病毒?！澳抉R驅(qū)動(dòng)器32768”（win32.troj.sysjunk2.ak.32768）就是一個(gè)這樣的模塊。

此模塊為一個(gè)驅(qū)動(dòng)文件，加密加花比較強(qiáng)。金山毒霸反病毒工程師對(duì)其進(jìn)行破解分析后，發(fā)現(xiàn)該驅(qū)動(dòng)主要用于恢復(fù)系統(tǒng)SSDT表，以及獲取系統(tǒng)權(quán)限，還可以破壞一些常見安全軟件的驅(qū)動(dòng)。 這些行為直接決定了木馬是否可以成功入侵，難怪病毒作者如此費(fèi)心的對(duì)其進(jìn)行加密，并且還放上許多花指令試圖干擾反病毒工作者的分析。
根據(jù)金山毒霸云安全系統(tǒng)的統(tǒng)計(jì)，此模塊整個(gè)3月份的感染量為121萬臺(tái)次，遠(yuǎn)遠(yuǎn)高出2月份時(shí)的38萬臺(tái)次的電腦。

十、win32.troj.qqpswt.bs.116858 （QQ小偷）

展開描述：盜竊QQ帳號(hào)，洗劫用戶Q幣

卡巴命名:Trojan-PSW.Win32.QQPass.fqt

瑞星命名:rojan.PSW.Win32.QQPass.dzm\n

N0D32命名:Trojan.Win32.PSW.Delf.NLZ

BitDefender命名:Generic.PWStealer.B2169547

病毒團(tuán)伙對(duì)QQ小偷的推廣力度，從2月份一直持續(xù)至今。該病毒可依靠AUTO及時(shí)來進(jìn)行自動(dòng)傳播。每進(jìn)入一臺(tái)電腦，病毒就在各磁盤分區(qū)中生成自己的AUTO文件，一旦用戶在中毒電腦上使用U盤等移動(dòng)存儲(chǔ)設(shè)備，這些AUTO文件就會(huì)立刻將其感染。這樣一來，QQ小偷就能隨著U盤到處傳播了。

3月份，QQ小偷借助腳本下載器傳播的力度不減。金山毒霸反病毒工程師在不少木馬下載器中發(fā)現(xiàn)了該病毒的下載地址，保守感染量達(dá)到近120萬臺(tái)次。

受該病毒威脅最大的主要是網(wǎng)吧等公共電腦，因?yàn)檫@些電腦的U盤使用率較高，U盤來源也復(fù)雜，并且每次電腦重啟后都會(huì)刪除之前下載的文件，以保護(hù)系統(tǒng)的清潔。但實(shí)際上，這樣也會(huì)將補(bǔ)丁也一同刪除，使得電腦極易遭受那些包含有該病毒下載鏈接的掛馬的攻擊。

#p#

3、本月重大漏洞介紹

3月份沒有新的高危漏洞。本月被黑客們利用最多的漏洞，為MS09002、MS06014漏洞。金山毒霸云安全中心預(yù)測(cè)，在4月份，它們依然會(huì)是利用得最多的漏洞。

2月被擔(dān)心的adobe reader和adobe flash10漏洞，在3月的確出現(xiàn)了較多利用它們的腳本木馬，但并不像之前大家所想象中那么嚴(yán)重。

3月中旬，國內(nèi)某安全廠商曾發(fā)出警報(bào)，稱利用Conficker漏洞病毒將在4.1出現(xiàn)大規(guī)模大爆發(fā)，一時(shí)間網(wǎng)絡(luò)中人心惶惶，甚至有該廠家的用戶向毒霸求助，咨詢到底該如何防范Conficker病毒。

然而時(shí)間已經(jīng)過去，Conficker漏洞病毒大爆發(fā)在國內(nèi)外都并未發(fā)生。事實(shí)上，Conficker病毒是很老的病毒家族，對(duì)于這類能在局域網(wǎng)中快速傳播的病毒，早在去年10月份時(shí)，微軟就已經(jīng)推出了相關(guān)漏洞補(bǔ)丁，只要打上補(bǔ)丁，就不會(huì)受其影響。目前為止，似乎只有法國海軍的內(nèi)網(wǎng)被該毒大規(guī)模入侵過，而它在國內(nèi)流行的概率更是趨向于零。也許宣布這一消息的廠家只是在跟大家開愚人節(jié)玩笑。

十大腳本木馬及其利用漏洞

js.downloader.by.6325  MS09002漏洞

js.downloader.ef.2682  MS06014漏洞

js.Iframe.nj.914      flash漏洞

js.downloader.qc.1719  MS06014漏洞

js.downloader.so.6504  MS09002漏洞

js.downloader.me.2682  flash漏洞

js.downloader.be.1802 MS06014漏洞

js.downloader.ji.2679  MS06014漏洞

js.downloader.be.1833 flash漏洞

js.downloader.is.148   MS09002漏洞

#p#

4、十大影響較大的被掛馬網(wǎng)站

此榜中的網(wǎng)站，均曾在3月遭到過病毒團(tuán)伙攻擊，并被掛上腳本木馬。按知名度、訪問量人數(shù)，以及網(wǎng)站代表性進(jìn)行綜合評(píng)估，選出十個(gè)，得出此榜。

洛陽市中心血站  http://www.xuezhan.com/

陜西省延安市公安局  http://sgaj.yanan.gov.cn

遼寧互聯(lián)星空     http://ln.vnet.cn

華僑大學(xué)   http://tyxy.hqu.edu.cn/

南開大學(xué)      http://ibs.nankai.edu.cn/marketing/marketingbbs/default.htm

周杰倫中文網(wǎng)  http://www.jaycn.com/

小護(hù)士護(hù)膚品官網(wǎng) http://www.mininursegarnier.com/index

中國電信遼寧分公司 http://www.lntele.com

老舍紀(jì)念館      http://www.bjlsjng.com

NBA在線       http://www.nbaxianchang.cn/

#p#

5、下月安全趨勢(shì)提示

根據(jù)三月所觀察與收集到的數(shù)據(jù)，金山毒霸反病毒工程師對(duì)4月份的安全形式做出以下估計(jì)與提示:

5.1 提防木馬下載器的再度爆發(fā)

整個(gè)3月份，病毒團(tuán)伙的精力都放在制造網(wǎng)頁掛馬上，貓癬、死牛等傳統(tǒng)的木馬下載器幾乎停止了更新。但是，隨著各廠家對(duì)網(wǎng)頁掛馬的嚴(yán)打，病毒作者是否會(huì)進(jìn)行“戰(zhàn)略轉(zhuǎn)移”，重新投入研究更強(qiáng)大的木馬下載器呢？

金山毒霸云安全系統(tǒng)監(jiān)測(cè)到一些奇怪的舉動(dòng)，比如某些腳本下載器的下載列表里，頻繁出現(xiàn)一些新下載器的身影，每個(gè)版本變種的對(duì)抗功能都較上一個(gè)變種略有提高，可是它們的掛馬范圍卻明顯被故意局限在一些小網(wǎng)站，看上去是不是很像正規(guī)軟件的公測(cè)？

反病毒工程師認(rèn)為，這是病毒團(tuán)伙的一種試驗(yàn)，也許，某種威力更大的下載器即將“橫空出世”。

5.2 繼續(xù)關(guān)注網(wǎng)頁掛馬

網(wǎng)頁掛馬依然會(huì)是最受歡迎的木馬傳播手段。在四月，特別需要注意一些大型的掛馬集團(tuán)在網(wǎng)頁下設(shè)置的陷阱。從“網(wǎng)盾”的攔截?cái)?shù)據(jù)推測(cè)，黑客（掛馬集團(tuán)）的目標(biāo)仍會(huì)放在學(xué)校、政府機(jī)構(gòu)、門戶等網(wǎng)站上。他們似乎是派有專人實(shí)時(shí)嗅探這些網(wǎng)站的漏洞，一旦有機(jī)可趁，就立即將木馬掛上去。

除了這些傳統(tǒng)“獵物”，黑客也開始將魔爪伸向了一些公益組織，比如獻(xiàn)血站、慈善基金會(huì)、環(huán)保組織的網(wǎng)站，將訪客們的善良當(dāng)成他們實(shí)施作案的工具，非?？蓯骸?/P>

而為了躲避殺軟廠商的跟蹤，黑客會(huì)更加頻繁的更換用于存放病毒的服務(wù)器，域名也是變化多端，不過金山毒霸也會(huì)相應(yīng)的加強(qiáng)對(duì)他們的追蹤，讓這些見不得光的東西無處遁逃。

5.3 病毒團(tuán)伙的掙扎將更加激烈

通過對(duì)3月份捕獲的病毒進(jìn)行分析發(fā)現(xiàn)，病毒作者開始把對(duì)抗重點(diǎn)放在了一些安全輔助軟件的身上，這些安全輔助軟件有個(gè)共同點(diǎn)，就是喜歡宣稱自己功能強(qiáng)大，能解決多種安全問題。因此，很多用戶誤認(rèn)為它們就是殺毒軟件，從而只在電腦里安裝了這些軟件，而不安裝正規(guī)的殺毒軟件。

經(jīng)過長(zhǎng)時(shí)間信息收集后，病毒團(tuán)伙發(fā)現(xiàn)了這一現(xiàn)象，這對(duì)他們來說是個(gè)很好的消息。因?yàn)檫@些安全輔助軟件的自保護(hù)功能非常弱，可以被輕易中止。即便不關(guān)閉，它們實(shí)際上也并不能應(yīng)對(duì)相對(duì)復(fù)雜的對(duì)抗型病毒。

而那些技術(shù)能力較強(qiáng)，產(chǎn)品功能明確的殺軟產(chǎn)品，也被病毒作者盯梢。例如死牛下載器的作者，不惜特意開發(fā)和維護(hù)一個(gè)驅(qū)動(dòng)，專門用來干掉國內(nèi)的幾家知名殺毒軟件。這種情況下，如果單靠傳統(tǒng)的查殺手段，殺毒軟件也會(huì)難以應(yīng)付。因此，殺軟廠商必須開發(fā)新的查殺措施。金山安全實(shí)驗(yàn)室的產(chǎn)品“系統(tǒng)急救箱”和“網(wǎng)盾”就是在這樣的情況下誕生的。