安博士asec 2010年12月安全报告
TRANSCRIPT
2010 ASEC Report Vol.11
安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response
Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士公司的 ASE
C 制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的简要信息。
详细内容可以在[www.ahn.com.cn]里确认。
ASEC
2011-01-03
I. 本月安全趋势
1. 病毒趋势 ........................................................................................................................... 3
(1) 病毒统计 ....................................................................................................................... 3 (2) 病毒话题 ....................................................................................................................... 8
2. 安全疫情 ......................................................................................................................... 11
(1) 安全统计 ..................................................................................................................... 11 (2) 11 月微软安全补丁升级状况 ........................................................................................ 13
3. 网络安全趋向 .................................................................................................................. 16
(1) 网络安全统计 .............................................................................................................. 16 (2) 网络安全事件 .............................................................................................................. 20
II. 中国安全趋势
1. 中国第4季度恶意代码趋势 ........................................................................................... 23
Ⅰ. 本月安全趋势
1. 病毒趋势
(1) 病毒统计
2010 年 12 月 病毒统计现况。
顺序 升落 病毒名 数量 比率
1 NEW JS/Agent 1,467,991 25.3 %
2 -1 TextImage/Autorun 1,443,141 24.9 %
3 0 Win32/Induc 393,728 6.8 %
4 10 Win-Trojan/Winsoft4.Gen 373,522 6.4 %
5 -3 Win32/Parite 247,652 4.3 %
6 4 HTML/Agent 186,042 3.2 %
7 6 JS/Exploit 167,046 2.9 %
8 NEW JS/Downloader 156,447 2.7 %
9 -5 Win32/Olala.worm.57344 154,401 2.7 %
10 -3 Win32/Conficker.worm.Gen 140,781 2.4 %
11 NEW VBS/Solow.Gen 134,970 2.3 %
12 7 Win32/Palevo1.worm.Gen 125,845 2.2 %
13 4 VBS/Autorun 118,975 2.1 %
14 NEW Win-Trojan/Winsoft11.Gen 118,458 2 %
15 -4 Win32/Virut 113,991 2 %
16 NEW Win-Trojan/Overtls9.Gen 107,870 1.9 %
17 NEW Win32/Virut.F 95,988 1.7 %
18 NEW Win32/Kido.worm.156691 88,540 1.5 %
19 -1 Win32/Virut.B 84,421 1.5 %
20 NEW Win32/Autorun.worm.Gen 83,793 1.4 %
5,803,602 100 %
[表 1-1] 病毒感染报告 Top 20
2010 年 12 月病毒感染报告中 JS/Agent 占第一位, TextImage/Autorun 和
Win32/Induc 各占第二、第三位。Top20 中新出现的病毒有 8 个。
以下表是为了掌握病毒主要动向来整理的按病毒变种排列的 Top20。
顺序 升落 病毒名 数量 比率
1 NEW JS/Agent 1,468,166 14.2%
2 1 TextImage/Autorun 1,445,194 14%
3 -2 Win-Trojan/Onlinegamehack 1,300,333 12.6%
4 1 Win32/Autorun.worm 846,048 8.2%
5 -3 Win-Trojan/Agent 755,849 7.3%
6 1 Win32/Conficker 525,749 5.1%
7 -3 Win-Trojan/Downloader 421,025 4.1%
8 2 Win32/Induc 393,943 3.8%
9 NEW Win-Trojan/Winsoft4 373,522 3.6%
10 -1 Win32/Virut 364,477 3.5%
11 1 Win32/Kido 338,064 3.3%
12 -1 Win32/Palevo 329,200 3.2%
13 1 DROPPER/Onlinegamehack 268,755 2.6%
14 2 VBS/Solow 266,698 2.6%
15 -9 Win32/Parite 250,029 2.4%
16 NEW Win-Trojan/Winsoft 211,688 2.1%
17 -4 DROPPER/Malware 192,713 1.9%
18 -10 Win-Trojan/Adload 186,663 1.8%
19 NEW HTML/Agent 186,042 1.8%
20 NEW Win-Trojan/Overtls 182,991 1.8%
10,307,149 100%
[表 1-2] 病毒诊断名感染报告 Top 20
2010 年 12 月感染报告数量中,JS/Agent 有 1,468,166 个,在 Top20 中占 14.2%,
第一位, TextImage/Autorun 有 1,445,194 个,占第 2 位,Win-
Trojan/Onlinegamehack 有 1,300,333 个,占第 3位。
以下图表是按顾客感染病毒所占的比率
[图 1-1] 病毒类型感染报告比率
2010 年 12 月感染报告中,查看病毒的话,木马占 37.8%为榜首,蠕虫占 17.1%,脚
本占 15.8%。
[图 1-2] 病毒按类型与上个月比较
病毒按类型与上个月比较的话,蠕虫、脚本、间谍软件有所上升,相反木马、病毒
(VIRUS)、DROPPER、APPCARE 有所减少。DOWNLOADER、SPYWARE 维持上
个月水平。
[图 1-3] 病毒感染报告数量
12 月病毒感染报告数量为 18,404,101 个,11月份比 12月份增加了 5,140,557 个。
以下表为 12 月份新收集到的病毒感染顾客的 Top20。
顺序 病毒名 数量 比率
1 Win-Trojan/Adload.381952.B 46,029 9.7 %
2 Win-Trojan/Winsoft.110592.DI 41,511 8.7 %
3 Win-Trojan/Ldpinch.312832.B 39,126 8.2 %
4 Win-Adware/KorAd.308736 38,401 8.1 %
5 Win-Trojan/Overtls.263168 29,007 6.1 %
6 Win-Trojan/Agent.81920.ADW 27,020 5.7 %
7 Win-Trojan/Downloader.319488.E 25,788 5.4 %
8 Win-Adware/ToolBar.Overtls.135656 21,581 4.5 %
9 Win-Adware/Ucsee.346624 21,540 4.5 %
10 Win-Adware/WebSide.258048 20,886 4.4 %
11 Win-Adware/KorAdware.385024 20,340 4.3 %
12 Win-Trojan/Patched.CM 18,503 3.9 %
13 Win-Adware/WebSide.787968 17,217 3.6 %
14 Win-Trojan/Sadenav.267776 16,655 3.5 %
15 Win-Adware/Ucsee.328704 16,546 3.5 %
16 Win-Trojan/Onlinegamehack.57344.BY 15,150 3.2 %
17 Win-Adware/Ucsee.484352 15,049 3.2 %
18 Win-Trojan/Onlinegamehack.266752.L 14,946 3.1 %
19 Win-Trojan/Winsoft.77312.W 14,888 3.1 %
20 Win-Adware/Ucsee.249344 14,841 3.1 %
475,024 100 %
[表 1-3] 新收集到的病毒感染报告 Top 20
12 月份新收集到的病毒感染报告 Top20 中,Win-Trojan/Adload.381952.B 有
46,029 个占 9.7%为第一位,Win-Trojan/Winsoft.110592.DI 有 41,511 个排第二
位。
[图 1-4] 新收集到的病毒类型分布
12 月份新收集到的病毒类型中,木马占 75%第一位,接着是间谍软件站 18%,蠕虫占
3%。
(2) 病毒话题
■ 更改 Master Boot Record 的 Ransomware
Ransomwar 是对系统或者系统内部文本文件和相同数据文件为对象进行加密后,索
取金钱的病毒。这个病毒是加密数据文件、设置屏保密码使用户无法正常使用系统。
特别是,加密数据文件的时候无法使用重要文本或代码来引起用户的不便。这次发布
的木马‘Win-Trojan/Seftad.49664’是在 Master Boot Record 设置信息和密码来每次
登陆时要求输入密码。如果感染的话,会出现以下内容
[图 1-5] Win-Trojan/Seftad.49664 感染后登陆页面
没有输入正确的密码,Windows 会无法启动。这个病毒会加密磁盘的传言,但这个只
是制作商的手段。实际上,分析 MBR 可以了解到把正常的 MBR 备份 0x4h 次,还原
的话可以正常启动电脑。还可以确认硬盘没有被加密。
[图 1-6] 备份的正常 MBR 位置
■ 虚假系统修复工具的登场
从国外上报的虚假系统修复工具采用与虚假杀毒软件类似的方法来诱导用户安装。
检测系统并显示虚假信息欺骗用户注册程序及支付费用。
[图 1-7] 虚假系统修复工具购买界面
虽然此类虚假系统修复工具传播时间较长,但预测将来会更加猖狂。所以从网上下
载安装软件时需使用经过很多用户验证的软件或有名软件开发公司官方提供的软
件。
■ 伪装成杂志内容进行传播的木马
通过 MSN 传播 URL,点击 URL 时通过伪装成杂志内容的网页页面传播木马。运
行方式是通过盗取的 MSN 账户向该账户的好友发送包含 URL 的消息,好友点击此
URL 时会访问包含以下某特定杂志社内容的页面来诱惑用户。如果用户对相关内
容感兴趣并点击“查看更多信息”时传播木马。
[图 1-8] 木马下载链接
点击相关链接时会弹出以下下载窗口。
如运行压缩文件内的文件(PhotoALL.exe),会被木马(Win-
Trojan/Agent.55296.JV)所感染。
[图 1-9] 木马下载窗口
因 Windows 文件夹选项中默认启用'隐藏已知文件的文件类型',如果用户只看文
件名(禁用选项时:PhotoALL.exe → 应用选项时:PhotoALL 不显示扩展名),为了
查看更 多照片执行文件时会被木马所感染。类似结合多种方法的社会工程(Social
Engineering)技巧,不是利用系统漏洞而是利用用户的关心和信赖的方法,所以需
用户的多加注意。
2. 安全疫情
(1) 安全统计
■ 11 月微软安全补丁升级状况
微软公司本月发布 17 个安全升级。
[图 2-1] 按攻击对象分类的微软安全升级
危险度 漏洞 PoC
紧急 MS10-090 Internet Explorer 累计安全升级 有
紧急 MS10-091 OPF(OpenType 字体)驱动漏洞引发的远程代码执行漏洞 无
紧急 MS10-098 Windows 内核模式驱动漏洞引发的提权漏洞 无
[表 2-1] 2010 年 12 月微软主要安全升级
与上个月不同,本月共发布了 17个安全补丁。大部分是关于系统/应用程序的补
丁。特别是 MS10-090 Internet Explorer 累计安全升级里所包含的一个补丁是修
复去年 11 月 4 日 Internet Explorer Zero-day 漏洞的补丁。该漏洞持续被病毒制
作者所利用,建议广大用户尽快进行升级。
■ 木马入侵网站状况
[图 2-2] 按月分类的网站入侵统计
上述统计是显示按月分类网站入侵状况的图表,比上个月有一定的减少。
(2) 安全焦点
■ Internet Explorer 제로데이 취약점
本月也公开了 Internet Explorer 相关的 0-day 漏洞。相关漏洞是 Internet
Explorer 版本 8 中使攻击者执行远程代码的漏洞。用户只通过网页浏览也可能会
受到此漏洞的攻击。
[图 2-3] 最初公开的 DoS 攻击代码
本来该漏洞是当浏览器钓鱼 CSS的时候不能正常的进行异常处理导致进行错误运
算,很多人下功夫把这个改变为可以执行任意代码的漏洞,并且以不正常方式关闭
使用者的浏览器进行 DoS攻击。但是这次公开的方法不仅可以避开最近 IE的
MS10-071,还可以执行任意代码。
[图 2-4] 这次公开的远程执行代码的攻击代码(部分)
已经出现了攻击该漏洞的代码的共享网站和 Metasploit一样的工具,可以很容易
发动攻击。但是目前为止没有公布能够解决该漏洞的补丁,可能会造成很大危害。
[图 2-5] 网上公开的测试攻击视频
■ 通过网幅广告传播恶性代码
最近比较安静的恶性代码,在 12月的一个周末探测到了集中传播恶性代码的现
象。通过分析可以发现,这些恶性代码大部分是通过特定网幅广告公司提供的网幅
广告来传播恶性代码。特定网幅广告网站被黑,恶性脚本注入到网幅广告,使用该
公司提供网幅的所有网站无意中传播恶性代码。通过分析蜜罐技术收集的记录可以
发现,在以下 URL提供的网幅广告里被注入了恶性代码。
http://ad2.******.com:8080/js.***/****i/bottom@right?pgid=scr_fvoice12
[图 2-6] 注入到网幅广告的恶性脚本
传播的恶性代码跟 ARP Spoofing有关联,如果存在 Internet Explorer MS10-
002, MS10-018漏洞可能被 OnlineGameHack 感染。幸运的是这次传播的恶性代码
中并没有发生 ARP Spoofing 的恶性代码。
[图 2-7] 利用 MS10-018 漏洞的恶性脚本
3. 网络安全趋向
(1) 网络安全统计
■ 网站安全统计
类型 数量
发现恶性代码数 41,313
恶性代码类型 819
发现恶性代码的域名 883
发现恶性代码的 URL 2,778
[表 3-1] 网站安全统计
发现恶性代码数为 41313 个,恶性代码类型为 819种,发现恶性代码的域名为 883
个,发现恶性代码的 URL为 2778个。2010年 12月相比 11月发现恶性代码数量、
恶性代码类型、发现恶性代码的 URL的数量都有所减少,但是发现恶性代码的域名
有所增加。
■ 月份恶性代码发现数量
[图 3-1] 月份恶性代码发现数量
■ 月份恶性代码类型
[图 3-2] 月份恶性代码类型
■ 月份发现恶性代码的域名
[图 3-3] 月份发现恶性代码的域名
■ 月份发现恶性代码的 URL
[图 3-4] 月份发现恶性代码的 URL
2010年 12 月发现恶性代码的 URL的数量为 3122 个,是上个月的 98%。
■ 以类型传播的恶性代码数量
类型 数量 百分比
ADWARE 17,270 41.8 %
TROJAN 9,405 22.8 %
DROPPER 3,165 7.7 %
JOKE 1,827 4.4 %
Win32/VIRUT 1,759 4.3 %
DOWNLOADER 327 0.8 %
APPCARE 309 0.7 %
SPYWARE 166 0.4 %
ETC 7,085 17.1 %
41,313 100 %
[表 3-2] 以类型传播的恶性代码数量
[图 3-5] 以类型传播的恶性代码数量
■ 传播恶性代码 Top 10
排名
恶性代码名称 数量 百分比
1 - Win-Adware/Shortcut.InlivePlayerActiveX.234 12,677 49.2 %
2 1 Win32/Induc 2,395 9.3 %
3 7 Win-Adware/Shortcut.Tickethom.36864 1,936 7.5 %
4 NEW Win-Joke/Stressreducer.1286147 1,805 7 %
5 NEW Dropper/Malware.206156 1,538 6 %
6 NEW Win-Trojan/Agent.48640.PQ 1,458 5.7 %
7 NEW Win32/Virut.B 1,230 4.8 %
8 NEW Trojan/Win32.Agent 1,136 4.4 %
9 NEW Vireus/Win32.Induc 971 3.8 %
10 NEW Win-Tojan/Peed.44416.B 611 2.4 %
25,757 100 %
[表 3-3] 传播恶性代码 Top 10
传播恶性代码 Top10当中,Win-Adware/Shortcut.InlivePlayerActiveX.234 为 12677
个排名第一,Win-Joke/Stressreducer.1286147 等 7种新类型的恶性代进入到 Top10
排行。
(2) 网络安全事件
■ 很多网站传播假补丁 imm32.dll 的 OnlineGameHack
最近频繁的发生游戏交流网站传播假补丁 imm32.dll 的 OnlineGameHack 的事件。特别
是 12月 17 日到 18日期间,发现很多这种事件。于是对这些事件进行调查,结果发现
大部分网站都使用 zeroboard 4。这里不会透漏 zeroboard 4的漏洞,但是建议
zeroboard自作者使用 zeroboard XE以避免恶性代码入侵。
* 关于 zeroboard 4 的通知事项 : http://www.xpressengine.com/18338409
以下是这次注入到大部分网站的 iframe tag 信息。
[图 3-6] 使用 zeroboard 4 特定网站里注入的 iframe tag
如果存在 MS10-018漏洞的话,http://h.****price.com/css/x.htm 会下载假补丁恶
性代码并执行。x.htm 执行完接着执行 http://h.****price.com/css/help.exe。
[图 3-7] x.htm 使用的 MS10-018 漏洞
使用某企业提供的 Web 日志分析器的脚本文件
该恶意代码传播方式类似于旗帜广告的方式进行传播,但不是旗帜广告而是某企业制
作的 Web 日志分析器的脚本文件。该脚本文件被恶意脚本注入,如链接该脚本的所以
网址导致传播 ARP Spoofing 有关的恶意代码
http://sc1.******rd.com/new/****script.js
http://sc1.******rd.com/new/****analysis.js
上面的两个 JS 文件由以下图片形式,被注入的内容里具有加密代码。
[图 3-8] 注入在 JS 文件的加密代码
把加密的代码进行解密后能看出通过特定网站进行下载,利用 Internet Explorer
的漏洞的恶意 脚本。
[图 3-9] 解密 加密的代码后的代码
本次情况是网站本身存在漏洞而不是被恶意攻击者所攻击并传播恶意脚本,而都是从
外部提供的网站内容中产生问题。大多数网站管理员认为自己的网站的安全措施做的
好就不会发生问题,但相反目前简单的步骤足以搭建一个网站而且难度也不高漏洞匆
匆,使用外部网站提供的网页内容会造成,意想不到的事情发生。所以从外部网站提
供的每个网页内容要进行安全的检验会存在困难但作为网站管理员来说有必要采取安
全检验。
II. 中国安全趋势
1. 中国第 4 季度恶意代码趋势
■ 2010年년 中国安全威胁趋势总结
在 2010 年的一年中,中国反病毒中心在网络安全方面所采取了一系列措施。整体在
一年中获得不少的进展,但要是彻底铲除威胁网络犯罪分子还需加大力度进行更多
投入努力。2010 年 1 月 22 日安博士安全中心详细分析利用微软的浏览器中未知的
漏洞进行恶意攻击的事件。利用此安全漏洞受到攻击范围越来越扩大,为了进行防
止感染面积微软紧急解决此漏洞加急发布了安全补丁 MS10-002。大家务必要打好
MS10-002 安全补丁。安博士安全中心收集利用该漏洞的威胁安全的信息并进行分
析中发现并确认,中国暗黑工作组的网站在 1 月 20 日发布了利用 MS10-002 漏洞
的恶意脚本的恶意代码自动生成器
[图 7-1] 在中国发现的利用 MS10-002 漏洞的恶意脚本生成器
该利用 MS10-002漏洞的恶意脚本自动生成器如上图片一样,在木马地址里指定网址
会生成此漏洞的恶意脚本。
[图 7-2] MS10-002 生成器生成的恶意脚本
本次被发现的自动生成生成的恶意脚本跟以往的脚本进行比对,以下图片是 Buffer
地址 0x0c0d0c0d 变为 0x0a0a0a0a
[图 7-3] 被修改的 Buffer 地址
通过以下图片可以看到制作的 ShellCode 具有下载特定的文件的功能一样是已调用
函数的方式存在并且 Internet Explorer 加载时会有检测还有具有回避安全软件的诊
断等多种特点。
[图 7-4] 跳转到 shellcode 代码部分
利用漏洞的恶意脚本生成器以前也被发现过几次。例如在 2009 年 7 月份,同样在
中国地下工作组开发的称为 MPEG2TuneRequest 生成器被发现了。跟以往的相比
之下可以认为地下组织的人员不断会增长的趋势。安博士安全中心建议广大用户在
微软提供的安全紧急补丁 MS10-002 务必要打
■ 在中国已金钱为目的进行买卖Trojan木马
通过媒介由中国黑客引发的泄露用户信息已成为话题受到关注,特别是已金钱作为
目的引发的黑客竞争无比成为了最大的焦点。
在安博士病毒中心对金钱为目的的黑客和恶意代码制作者进行调查中发现分布式
DDOS 工具买卖网站得以确认。
[图 7-5] 已金钱为目的卖中国版木马的网站
本次已确认的中国网站如上图片所示,Trojan 木马和分布式 DDOS 攻击工具进行出
售,不仅卖产品还有使用工具的详细说明,而且中韩文字都有成为了多国化。所以
需要设法制止对这些不法分子卖恶意工具。
■ MS10-018漏洞, 中国1,800万网站被恶用
4 月 8 日中国国内第一杀毒软件品牌瑞星公司发表了,从 3 月 11 日开始利用微软浏
览器漏洞来进行恶意攻击到 4 月份急剧增加的趋势。
[图 7–6] 在中国恶意网站监测网中发现不断的增加受到 MS10-018 漏洞攻击
在瑞星公司得到的信息中发现,通过浏览器的 MS10-018 漏洞恶意攻击的时间从 3
月份开始到 4 月 7 日总共发现为 1,839 万次,在 4 月 7 日就一天时间里达到 310 万
受到攻击,看到这些数字会使安全人员感到惊讶。这么多次的攻击能断定很多厂
商,企业大多数没有打好微软提供的安全补丁按比率也就达到一般 50%。安博士安
全中心强烈建议用户一定要打好系统补丁。
ASEC REPORT 집필진
편집장 선임 연구원 허 종 오
집필진 선임 연구원 정 진 성
선임 연구원 정 관 진
선임 연구원 허 종 오
주임 연구원 안 창 용
주임 연구원 박 시 준
연 구 원 김 재 성
감 수 상 무 조 시 행
참여연구원 ASEC 연구원
SiteGuard 연구원