2010 ASEC Report Vol.09

安博士公司的安全响应中心(ASEC, AhnLab Secur

ity Emergency Response Center)是以病毒分析师

及安全专家组成的全球性安全响应组织。此报告书

是由安博士公司的ASEC制作,且包含每月发生的主

要安全威胁与响应这些威胁的最新安全技术的简要

信息。

详细内容可以在[www.ahn.com.cn]里确认。

ASEC

2010-10-06

I. 第三季度安全疫情

1. 病毒趋势……………………………………………………………………… 3

2. 安全趋势………………………………………………………………………12

3. 网络安全趋势…………………………………………………………………18

II. 第三季度安全疫情

1. 世界第 3季度安全疫情……………………………………………………21

III. 焦点

■由中国黑客制作的修改首页木马的传播方式及预防措施………………22

Ⅰ. 本月安全趋势

1. 恶意代码趋势

■ 通过被盗的 Twitter账号进行虚假TweetDeck Update木马传播

TweetDeck 是一款基于 Twitter 客户端 应用程序。最近虚假 TweetDeck 更新病毒文件

在 Twitter 上亮相

[图 1-1] TweetDeck

TweetDeck 开发商通知给使用 Twiter 的用户，由于 Twitter 的变化，所支持的认证协

议，将旧版本的用户需要升级。Twitter 随着进行有关认证升级时，发现 Third-party

应用程序被停止的现象。TweetDeck 应用程序也同样出现类似问题。显然，网络犯罪

试图恶用事情，伪装后进行传播的。

文件名叫"tweetdeck-08302010-update.exe"，该恶意代码通过被盗的 Twitter 账号进

行传播以下的内容

1. TweetDeck will work until tomorrow, udate now! http://alturl.com/xxx

2. Download TweetDeck udate ASAP! http://alturl.com/xxx

3. Update TweetDeck! http://alturl.com/xxx

4. Hurry up for tweetdeck update! http://alturl.com/xxx

5. Sorry for offtopic, but it is a critical TweetDeck update. It won't work

tomorrow http://alturl.com/xxx

[图 1-2] 通过 Twitter 传播的恶意代码发布的链接

按照以上，Twitter 会进行调查后，发送密码重设邮件信息，如在 Twitter 接受相关

的邮件那么该账号是被盗的，所以建议必须初始化密码。

Twitter官方针对此事件，提供专门更新网址http://www.tweetdeck.com/desktop/ ,

如有通过其它网址下载或接收到的文件一律不要运行。

■附加到垃圾邮件的html恶意文件

发现垃圾邮件里，附加的 html 恶意文件的主题内容为如下：

report

Delivery Status Notifica

如上题目的恶意 html 文件的图 1，恶意代码制作者通过特定模式加密的。

[图 1-3] 加密的恶意 html 文件

把加密的恶意 html 文件解密成如以下恶性 URL 出现网址重定向代码。

<meta http-equiv="refresh" content="0;url=hxxp://XXXXXXXXXXXXX/x.html>

最终链接到传播恶意代码的，以下图片一样的网站，并执行如同扫描用户系统一样，

为了进行迷惑而事先准备好的 Flash 动画。弹出的 Flash 动画中看到扫描系统文件提

示虚假/夸张的被感染的结果，达到诱导用户下载并执行文件。

[图 1-4] 恶意代码传播网站

为了防止被发送附加恶意代码的垃圾邮件带来的危害，如有发现垃圾文件中存在不明

确的文件，建议您不要打开附件中的文件，首先把杀毒软件升级到最新引擎，进行查

杀或者寻求咨询安全厂商，对于发信人的邮件不明确时尽可能不要打开。

■ 主题为Here you have 通过邮件扩散

在 9 月初，北美地带为中心,邮件主题为“Here you have”新病毒，正通过电子邮件

在全球各地扩散。安博士对于此 ibngdu 的诊断名为 Win32/Swisyn.worm.290816. 该

病毒由以下邮件形式传播。

[图 1-5] 包含在邮件里的 Win32/Swisyn.worm.290816

该 病 毒 的 其 他 变 种 在 2010 年 8 月 初 时 出 现 过 ， 我 们 V3 的 诊 断 名 为

Win32/Autorun.worm.44032.G。通过此病毒也看出是通过 USB 或移动存储设备传播自

身的蠕虫病毒，所以如果运行指定在本机的每个盘符下生成自身的副本

[图 1-6] Win32/Swisyn.worm.290816 的副本

Win32/Autorun.worm.44032.G 生成 svchost.exe 文件。两个文件跟系统文件夹下的正

常文件名是一样的但路径不同。通常情况下，伪装成正常文件名使得用户不会刻意在

乎它，同样这种做法难以辨认出它是恶意文件。

以后病毒做的恶意症状是在特定的服务器上下载指定的文件。该文件都是作为公开的

软件如浏览器，Window 等等获取密码的程序。病毒内存在的字符串进行比较，如有关

于反病毒或安全产品程序的服务时强行停止。

■ 重现的ARP Spoofing 恶意代码

在 2007 年, 2008 年 大多数都被 ARP Spoofing 受影响，导致网络出于瘫痪状态，经

济损失巨大, 直到今年 9 月份又重现在我们面前。 这次也肯定通过指定的浏览器漏洞

方式进行感染同时植入窃取网游账号密码的恶意代码。

攻击和感染已以下的顺序构成。

[图 1-7] 有关 ARP Spoofing 恶意代码攻击和感染 图

首先，容易受到攻击，防护脆弱的网站被攻击者进行了 SQL 注入攻击。因此在网页内

嵌入恶意脚本或者正常网页里嵌入了 IFrame 达到跳转到指定的网址。如图一样，用

户访问了具有安全漏洞的网站时 ， 已（1）-（6）的顺序进行一步步感染，最终执行

ARP Spoofing 攻击。一旦在局域网内出现被 ARP Spoofing 攻击感染，使用者不需访

问安全漏洞网站也遭受到 ARP Spoofing 攻击同样被感染。

基于客户端响应对策是首先对本机的浏览器打最新的安全升级补丁。当然更主要的是

网站管理员对网站进行安全检查如有出现漏洞都打上才是正确的。并且用户使用的浏

览器必须是最新的，至少安装反病毒产品达到减少被感染其受到的威胁。最好安装整

合安全产品或者是整套的安全产品，它们包含了拦截攻击功能，带有防火墙的功能等

等，且已众所皆知的 ARP Spoofing 的攻击通过这些产品都可以拦截到的。

■ 伪装成越狱工具的恶意代码

伪装成越狱工具 JailBreak 的恶意代码在苹果智能机 Iphone 上亮相

[图 1-8] 伪装成专门越狱 Iphone 工具的恶意代码发布的网站

如[图 1-8]所示，设计好指定的网站（专门越狱 Iphone 工具的网站）后发布。

JailBreak 中文名叫越狱,不通过 Iphone 专用软件商店而是可以直接安装各种各样

的，自己喜欢程序，所以使用它的人，喜欢它的人很多。该 JailBreak 工具都是基于

利用 Iphone 的漏洞上安装的 ， 所以每当升级 Iphone IOS 时，必须重新安装工具 。

目前 iOS 4.1 版本越狱工具从未公开，但网站上发布的最新帖子都是虚假诱导用户

的，如有下载的都是下载伪装成最新版本越狱工具的恶意代码，还会 通过 P2P 服务

器的种子传播 该恶意代码，所以危害着更多的用户。要是运行它，具有把用户信息到

泄漏到外部的症状 。 如像此事件一样，利用很多人都关注着又有很多人需要的话

题，传播恶意代码的事件预计将来会不断的发展而且有着增多的趋势。

2. 安全动向

■ Adobe公司的 Flash 缺陷(CVE-2010-2884)

0-Day 发布的 Falsh 缺陷如今已恶性代码来分配，通过 Adobe 公司形成了 patch 状

态。

现在发布的恶性 Flash 文件执行时，可以动态生成/执行两个 SWF 文件。其中一个 SWF

文件里包含形成缺陷的代码，真正恶意行为都包含在恶性 Flash 文件里。这里所包含

的 ActionScript 代码是以 Heap-Spray 方式来生成 shellcode，而发生缺陷后执行。

[图 2-1] 恶性 Flash 文件整体结构

在恶性 Flash 文件整体结构中，看一下 shellcode 部分。

[图 2-2] shellcode 存在的 Action Script

这个 shellcode 是执行恶性 Flash 的同时，保存在 Heap 内存，利用缺陷来执行

shellcode。

[图 2-3] Flash10i.ocx 里跳转到 ShellCode 位置的部分

这个漏洞在命令语 nextname1) 部分发生问题。

漏洞不仅在 Flash 文件而且通过有漏洞的 swf 文件，使用 loading 的方式来与 Heap-

Srpay 代码结合成为被网络漏洞攻击的对象，不仅在 PC，在 Android 也受到影响。

1) Get the name of the next property when iterating over an object

2. 安全趋势

■ Adobe Acrobat Reader 0-Day 漏洞(CVE-2010-2883)

最近发生恨过关于PDF漏洞。这次的漏洞也与以前发表的Font相关部分发生了问题。在

TrueType Font（CoolType.dll）发生问题而发生Stack Overflow。利用这漏洞的恶性

PDF文件分析结果如下。

Header

漏洞(Font Object)

漏洞(已压缩的 Font 文件)

ShellCode(Heap-Spray Java 脚本)

PE(执行文件)

[图 2-4] 恶性漏洞 PDF 文件整体结构

恶性PDF文件包含多数一样的Font文件，在Font中解除特定Font文件的对象就可获得Tr

uetype font文件（ttf）。

[图 2-5] 97 号 解除对象加密部分

FontTable “SING(Smart INdependent Glyphlets) table中分割Unique Name field

过程发生问题。发生问题的表结构如下。

| Tag : “SING” | Checksum | Offset | Length |

[图 2-6] SING Table & StackOverflow

这个漏洞以产生安全patch，没有使用安全patch的用户最好使用安全patch来应对外部

攻击。

■ Apple QuickTime 0-Day 漏洞

这个漏洞发生在Apple QuickTime里发生，如果安装QTPlugin.ocx文件会发生问题。由

于iPhone用户的增多安装iTunes的同时也会安装QuickTime，所以漏洞会有所影响。漏

洞是在生成QuickTime Object时，操作往PARAM传送的变量 _Marshaled_pUnk来改变特

定CALL流程。

漏洞发生的流程如下。

[图 2-9] Value 值转换为 Hex 值时所得到的部分

通过_Marshaled_pUnk 变量来传达的值会变更为Hex值来保存。

[图 2-7] CALL 流程变更

这个Hex值是通过OLE32函数，最终以Value，即[EAX]值变更CALL流程，使恶意行为变

得可能。

■ 入侵网站 Case Study: ARP Spoofing 和 Onlinegamehack 的结合

在很多恶性代码中，有印象的恶性代码应该是 2007，2008 年流行的"ARP Spoofing 结

合的 Onlinegamehack"。当时有很多利用入侵网站和应用程序(Internet Explorer,

Flash, PDF 等)，这里多了一个"ARP Spoofing"入侵方法在恶性代码扩散与损害层面

有带来很大影响。

但是有一段时期没有出现的"ARP Spoofing 结合 Onlinegamehack"，在今年 8月末通过

入侵网站重新出现，在运营中的 Honeypot 被确认，到目前为止收集的很多变种反映到

了引擎，URL 也在国家机关及用户里得到共享来防止入侵。但是现在还有很多顾客

（企业）遭受恶性代码感染带来的危害。整理了重新成为焦点的"ARP Spoofing 结合

的 Onlinegamehack"入侵方法。

[图 2-8] ARP Spoofing 结合的 Onlinegamehack 的整体结构

① 攻击者对不特定网站为对象，执行网络攻击(SQL Injection, XSS

等)，插入 yahoo.js 链接到有漏洞的网站

② 建设及运营为恶性代码发布的 3个主网站

③ 有漏洞的网站通过在网页插入的 yahoo.js 来连接恶性代码主网站

④ 本地 PC 使用有漏洞的 Internet Explorer,连接 yahoo.js 插入的网站

⑤ 通过有漏洞的 Internet Explorer 执行网站所插入的 yahoo.js 链接，使本地 PC

下载&执行 yahoo.js

⑥ 通过执行的 yahoo.js 本地 PC 下载&执行 ad.htm, news.html, count.html

⑦ ad.htm, news.htm 是利用 Internet Explorer 漏洞来下载&执行 s.exe 的 Exploit

⑧ 在本地 PC 被下载的 s.exe 执行的话，生成 smx4pnp.dll 后执行

⑨ 通过执行的 smx4pnp.dll，在本地 PC 下载&执行 ma.exe, tt.exe

⑩ ma.exe 窃取特定在线游戏帐号的 Onlinegamehack

⑪ tt.exe 是带有 ARP Spoofing 功能的恶性代码

为了恶性代码感染所使用的漏洞如下。

▶ MS10-035: http://www.microsoft.com/korea/technet/security/bulletin/MS10-

035.mspx

ARP Spoofing 结合的 Onlinegamehack 是利用 IE 安全漏洞来感染 PC。如果用户按时对

安全软件进行更新就不会发生上述结果。所以使我们再次认识到安全软件更新的重要

性。

3. 网络安全趋势

■ 注意利用SNS消息传播的恶性代码

9 月份发现了类似于 facebook，myspace 的利用 SNS 消息来传播恶性代码的 Koobface

变种。

Koobface 有着跟 facebook 和 myspace 一样利用消息传播恶性代码并连接恶性 URL 的

功能。（图 3-6）

[图 3-1] 传播恶性代码的消息功能

点击消息信息的恶性 URL 的话会连接伪造 Youtube 等服务的网站，接着会弹出安装

flash player 等内容的信息框。

点击信息框时恶性代码会被安装在用户的系统下。

[图 3-2] 伪装 Youtube 的网站

该恶性代码安装以后，它会盗取像 facebook 的登录信息或者信用卡的信息一样的对用

户很重要的信息并把这个系统作为僵尸 PC，连接以 p2p 为内核的 botnet 执行攻击者

的命令。不仅如此，它还为在被感染的电脑里下载其他的恶性代码，发生大量的网络

故障以便降低系统的网络流量。此外，它还具有把 SNS 服务的登录信息传给其他恶性

代码的功能。

目前该恶性代码在 V3 诊断为以下诊断名.

V3(2010.09.27.04)

Win32/Koobface.worm.58368.F

Win-Trojan/Tdss.102912.B

Win32/Koobface.worm.119808

Win-Trojan/Koobface.253952

Win-Trojan/Koobface.28544

Win32/Koobface.worm.64512.G V3(2010.09.27.03)

Win32/Koobface.worm.153600.B Trojan/Win32.Agent

Worm/Win32.Koobface

Backdoor/Win32.Agent

[表 3-3] V3 诊断的恶性代码目录

为了防止恶性代码侵入，建议相关用户参照以下内容。

1. 安装杀毒软件保持最新版本并使用实时检测功能。

2. 不能点击来历不明的消息 URL。

3. 用户不得经常更换自己使用的服务密码

■ Twitter的Cross-Site Scripting 网站漏洞被利用

9 月 7 日下午，海外安全公司发表了关于 Social Network Service 网站 – Twitter

的 Cross-Site Scripting 网站漏洞。

这次发现的 Cross-Site Scripting 漏洞一共被利用了 2个网站，各自都执行不一样的

脚本恶性代码。

[图 3-4] 利用 Twitter 网站 Cross-Site Scripting 漏洞的恶性代码

这次发现的利用 Twitter 网站 Cross-Site Scripting 漏洞的脚本是在 Twitter 用户系

统中找到 Cookie 文件并传到特定的地址。但是分析该恶性脚本的时候，该恶性脚本并

没有连接这些网站。Twitter 安全队已经修复了网站，攻击者不能再利用此漏洞。

利用 Twitter 网站 Cross-Site Scripting 漏洞的恶性脚本在 V3 诊断为

“JS/Twetti”。

II. 第三季度安全疫情

1. 世界第三季度恶性代码趋势

2010 年第三季度跟一、二季度没有太大差别。恶性代码依然是为了得到金钱上的利益

制造巨大数量的恶性代码。

虽然每个安全公司的统计方法都不一样，但是通过主要安全公司的统计来看 2010 年第

三季度中 Conficker worm 还是保持很高的顺位。BitDefender 的排行榜上 Autorun

worm 和 Conficker worm 为 1，2 位。卡巴斯基的 8月份排行榜上可以看到 Conficker

worm 的变种包揽了 1位，3位，4位。Sality virus，Virut virus 在前几位当中。

没有自身传播功能的特洛伊木马的主要感染路径是通过利用被感染的网站漏洞和 SEO

（Search Engine Optimization）。恶性代码传播者们通常是利用热门关键词，把被

感染的网站排到搜索结果的前部分，用户点击搜索结果以便连接到被感染的网站。利

用浏览器、Adobe Flash Player、Acrobat Reader 等有名软件的 0-day 攻击代码，通

过 USB flash drive 来传播的恶性代码也是很常见的一种。

7 月份发现的 Stuxnet worm 不仅是利用新 0-day 漏洞的恶性代码，最终目标放在了

Siemens 的 SCADA 软件。特别是在伊朗受到了很多被感染的报告，有些人还怀疑是不

是国家角度出发。但目前为止没有明确的根据。之后相关 0-day 漏洞被其他恶性代码

利用了。

最后，利用 Twitter、Facebook 等有名 SNS 的传播也很引人注目。虽然现在不是常见

的一种传播方式，但是以后会有所增加。这种方式很可能被用为操作用户电脑里的恶

性代码来使用。Zeus 变种竟然把 Mobile 装备都作为目标来发现下去。

III. 焦点

■ 由中国黑客制作的修改首页木马的传播方式及预防措施

最近 ASEC 所收集的样本中 Win-Trojan/StartPage 占据很大比重。

[图 4-1] 从ASSET1确认的AhnLab引擎每日查杀统计

Win-Trojan/StartPage 中 90%以上为中国黑客制作的恶意程序，有以下两个共同特

征。

被修改的首页都是网址导航网站

网址导航是给用户提供生活信息(天气，购物，理财等)，各大有名网站的地址，搜索

引擎等服务来方便用户查阅用户所希望了解的特定信息的一种给用户提供信息导航服

务的网站。这种网站在中国也可以看作是”迷你门户网站”。现在的门户网站提供网

上空间，新闻，购物，博客等多样性的服务。但是由于导航网站的投资规模很小，无

法提供如上多种服务，主要是仅收录用户常用的网站地址并提供给用户。以下[图 4-2]

网站是在中国最为成功的网址导航网站 –--hao123。

1 AhnLab 实时监控病毒传播趋势的 AhnLab 威胁综合分析系统

[图 4-2] hao123 的主页

由于网址导航网站投资相比利润高的信息广为 IT 界传播，这使得众多有实力的互联网

企业纷纷涌入该市场，并导致竞争过于激烈，部分互联网公司开始利用木马锁定用户

首页为自己的导航网站的方法来试图在此竞争中占据优势。据中国知名杀毒软件公司

的一位技术支持工程师所透露，给客户远程技术支持时遇到最多的问题是首页被网址

导航锁定的问题。

贪婪是人类罪恶之根源。由于网址导航网站是低投资，但是颇有盈利的行业，在此诱

惑下修改首页的案例，短时间内会很难得到解决。

通过中国知名下载网站进行传播

与其他恶意程序通过具有管理缺陷的网站，包含漏洞的知名软件，垃圾邮件等传播方

式相比，修改首页的恶意程序主要是通过知名软件下载网站进行传播。(虽然还有其他

传播途径，但是据目前的发现来看，大部分普通用户是由该方法来被安装了恶意程

序。) 有些用户可能会产生这样的疑问：“如知名软件下载网站，应该通过验证后上

传软件，恶意程序如何有机可乘呢？”。该问题的答案由两个。第一，恶意程序巧妙

利用法网漏洞来进行传播。第二，用户自己不小心下载并安装恶意程序。

利用搜索引擎搜索“Ultra Editor”，然后显示的结果中点击一个软件下载网站。

[图 4-3] Ultra Editor 下载页面

如[图 9-3]所示，红色框标记的为下载链接。

但是下载并双击后，不经过用户同意安装完全不相干的程序，并在桌面上生成图标为

Internet Explore 的某特定网站快捷方式。 此网站就是网址导航网站，用户的首页

已经被该网址导航锁定了！

[图 4-4] 桌面上生成特定广告网站快捷方式和 Internet Explorer 图标

[图 4-5] 被锁定的首页---网址导航网站

利用谷歌搜索该网站时发现，很多网友的首页被该网站锁定，而且很多网友发帖表示

对此极大的不满。那么真正下载链接会在哪里呢？把上图下载页面拉到最下面会看到

真正下载链接[图 9-5]。众多网友因理所当然的认为下载链接会在相关软件关键词最

近的地方，所以不小心下载安装后被感染。

[图 4-6] 真正软件下载地址

目前，在中国存在很多以这种形式运营的软件下载网站。这些网站通过用户不小心安

装修改首页的恶意程序而获得金钱上的利益。不经过用户同意修改首页来产生盈利的

程序介于合法商业软件和电脑病毒之间的灰色区域，即不是正规商业软件，也不属于

真正的计算机病毒。自 1994 年中国颁布《中华人民共和国计算机信息系统安全保护条

例》以来，中国在信息安全领域的法制建设取得了令人瞩目的成绩。 但是，“法无文

明规定不为罪” 这犯罪界定原则使得受害网友遭遇法律空白，从而缺少强有力的武器

维持这场战役。 毕竟网友，杀毒软件，舆论的能力是有限的，只有完善立法，才能彻

底地扫除网络社会中这些不和谐之音。

.

预防措施

为了减少受到此类威胁，最重要的还是用户自身提高安全意识。首先必须安装安全产

品，病毒库升级为最新，启动实时监控功能。除斥之外，还要注意以下三点。

1. 下载软件时尽量从发布软件的官方网站上下载。

2. 下载时必须确认下载时的文件名。如果下载文件名与用户所希望下载的程序的名字

不相关，要特别注意。比如，install.exe, setup.exe(图 9-7)等与用户所希望下

载的程序名不相关时尽量避免下载。中国软件下载网站所提供的实际程序下载名一

般为汉字拼音的每前一个字母来命名(图 9-8)。(比如 影音先锋 YingYinXianFeng

是 YyXf.exe，程序名为英文时直接使用英文名。)

[图 4-7] 修改首页的恶意程序的下载时文件名

[图 4-8] 真正程序的下载时文件名

3. 下载后必须确认版本信息。如果与用户所希望下载的程序毫无关联时必须删除，或

者没有版本信息时格外需要用户的注意。