目錄

1、三月安全狀況簡述

1.1 泛濫的“肉雞”

1.2 網銀盜號木馬

1.3 網頁掛馬依然猖獗

2、十大病毒排行榜

3、本月重大漏洞介紹

4、十大影響較大的被掛馬網站

5、下月安全趨勢提示

5.1 提防木馬下載器的再度爆發

5.2 繼續關注網頁掛馬

5.3 病毒團伙的掙扎將更加激烈

1、三月安全狀況簡述

1.1 泛濫的“肉雞”

3月份最引人關注的威脅是什么？沒錯，就是肉雞！

當央視315晚會播出了關于黑客利用遠程木馬控制用戶電腦，盜竊網銀等敏感數據的節目后，“肉雞”這個詞就以迅雷不及掩耳之勢傳遍了全國。

肉雞并不是病毒，它指的是那些被病毒木馬所控制、任由黑客宰割的電腦。只不過由于“肉雞”這個詞匯更為形象，很多電腦用戶對它的印像也就最深。

神通廣大的黑客組織，出于一股見不得光的經濟利益鏈條，借助遠程控制木馬，任意盜取用戶電腦中有價值的數據。早在2007年之前，毒霸就已經揭露過黑色產業鏈，但由于只是在網絡媒體中傳播，輿論反響并不強烈。央視的315晚會，第一次把這個早已為網民們見慣不怪、卻又依舊神秘的病毒群體，以及它們后面的黑色產業鏈通過電視這一傳統媒體展現到全國人民的面前，終于引起了極大的討論。

但就在央視揭開“肉雞”內幕的同時，黑客組織的病毒生產線并未停轉，“死牛下載器”、“貓癬”等知名病毒依舊隔三差五的就出現新變種，單日感染量動輒高達數十萬。

1.2 網銀盜號木馬

同“肉雞”一道被關注的關鍵詞是“網銀盜號木馬”。

對于盜號木馬，大家并不陌生，幾乎所有網民都有過QQ號被盜、游戲賬號被盜的悲慘經歷。網銀盜號木馬出現的頻率，遠小于網游盜號木馬，但它造成為危害卻是最大的，甚至有可能令用戶傾家蕩產。

3月份知名度最多高的網銀盜號木馬是“頂狐結巴”，這同樣緣于央視315晚會的曝光?！绊敽币驯痪椒鬯椋窈蟛粫傥：W絡，而其它的網銀木馬依舊在伺機作案。比如就在央視曝光“頂狐”的同時，一款名為“IK網銀盜號器”的網銀木馬，就計劃著接替“頂狐”，成為新的“網銀木馬代表”。

“IK網銀盜號器”利用郵件傳播，如果您的郵箱中收到一封來自“劉娜<mnbppp@163.com> ”來的郵件，對它的附件可要千萬當心，這就是“IK網銀盜號器”的郵件。
通過對該病毒的技術追查，金山毒霸反病毒工程師發現，“IK網銀盜號器”近來在網上非常猖獗，許多黑客網站甚至公開出售。隨便找一個搜索引擎，輸入“IKlogger0.1”，就可以查詢到關于“IK網銀盜號器”的大量買賣、介紹信息。一些出售該毒的黑客網站聲稱此病毒是從阿根廷進口，如購買，還可提供一對一的操作教學。

1.3 網頁掛馬依然猖獗

3月份，網頁掛馬給互聯網帶來的安全局勢越來越嚴峻。

除了像上個月那樣，頻繁攻擊各類門戶、平臺類網站進行掛馬外，金山毒霸反病毒工程師發現，黑客已摸索出了一系列新的掛馬手段：他們利用百度競價、百度快照、谷歌圖片來提高掛馬攻擊的效率。

利用百度競價：黑客們山寨了一些熱門網站，比如某些網游的聊天工具、外掛、私服網站，然后通過購買百度競價，讓這些山寨網站位于用戶搜索結果的前列，這樣，點擊量就大大提高。當然，毫無疑問的，這些網站上掛滿了腳本木馬。

利用百度快照：基于百度快照的記錄原理，百度會把當時掛馬的頁面不加處理的保存下來，使得快照導向網馬服務器的地址。這樣，即便這些網站被關閉，只要快照還在，黑客就仍然能達到傳播病毒之目的。

利用谷歌圖片：黑客將腳本木馬嵌入到圖片文件中，將這些圖片的名稱和描述設置為熱門關鍵詞，這樣一來，含毒圖片就能位于GOOGLE圖片搜索的首位。當用戶搜索圖片時，就很容易點擊含毒圖片，從而遭到攻擊。

網頁掛馬的猖獗，很自然的催生了不少防掛馬產品，但由于各廠商技術能力各不相同，這些防掛馬工具的效果也是良萎不齊。而病毒制作團伙，就專撿軟柿子捏。通過腳本變形加密、小寫變大寫、修改端口號等方式，使得不少山寨的防掛馬產品形同虛設，電腦用戶照樣遭殃。

在安裝防掛馬產品時，用戶們最好選擇權威廠家的產品。我們推薦使用金山安全實驗室開發的防掛馬產品“網盾”，可以毫不夸張的說，這是目前國內能找到的最有效的網頁防掛馬工具，連0day漏洞下的腳本木馬都可100%攔截。

#p#

三月安全相關數據

新增病毒樣本數：4,176,352個

病毒感染機器數：23,362,045臺次

新增漏洞：34個，均為微軟漏洞

掛馬網址：272,221個

2、十大病毒排行榜

此排行榜是根據金山毒霸云安全系統的監測統計，經過特殊計算后得出的參考數據，反映的是感染總量最高的前十個病毒。考慮到潛在的數據丟失和監視盲區，榜中數據均為保守值。該榜僅針對WINDOWS系統下的PE病毒單一樣本，一些總感染量很高的病毒，如貓癬，因為變種較多，分攤到各變種上的感染量反而小，因此未列入此榜。至于腳本病毒，由于其特殊的攻擊方式，我們將單獨制作排行。

一、win32.vbt.hl.84701 （無公害感染源）

展開描述：感染文件，幫助木馬傳播

卡巴命名:Virus.Win32.VB.bu

瑞星命名:Trojan.PSW.SBoy.a\n

N0D32命名:virus.Win32.Sality.NAC

麥咖啡命名:PWS-LegMir trojan

“無公害感染源”（win32.vbt.hl.84701）在2月時就已經是感染量排行很高的病毒。在3月份，它的感染量更是實現了“跨越式”發展，達到200萬臺次。
 
該病毒本身沒有任何破壞能力，它只是單純的感染用戶電腦中的EXE文件，也不會干擾被感染文件的正常運行。但較以前的版本而言，代碼中增加了一些用于與其它模塊相連接的接口。看來病毒作者已經完成了測試，開始將該病毒投入實戰。

盡管在感染文件后，“無公害感染源”依然不會直接破壞系統，卻能與別的木馬模塊相配合了。至于它們“合體”后會有哪些危害，則要看木馬執行模塊的功能如何安排，不同的變種可能具有不同的功能。

二、win32.troj.small.ag.7680 （迷你下載器AG）

展開描述：下載木馬 存放于臨時目錄 占用系統資源

卡巴命名:Trojan-Downloader.Win32.Agent.bhyn

瑞星命名:Trojan.DL.Win32.Mnless.cbr\n

N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OQW

這個木馬下載器早在2月份就已經誕生了，不過當時感染量并不大，一直徘徊在1萬以下。從3月4號起，它開始爆發，每天的感染量一路飆升，最高時達到7萬余臺次。

它是以一個dll文件的形式存在，行后會創建一個線程,解密自帶的下載地址,從下載地址中下載另一些下載器，再利用這些下載器把一堆各式各樣的盜號木馬引到系統的臨時目錄下運行，伺機搜刮電腦中的各類網游帳號。

更特別的是，迷你下載器AG所下載的部分盜號木馬也具有下載器功能，這就會造成進入用戶電腦的惡意程序越來越多，隨著它們陸續運行，系統資源會被逐漸蠶食，電腦變得越來越卡。

三、win32.troj.sysjunkt.hh （NS窺視器）

展開描述：加花加密，協助遠程木馬對抗殺軟

卡巴命名:Trojan.Win32.BHO.kqd

瑞星命名:RootKit.Win32.Undef.bks\n

N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus

麥咖啡命名:DNSChanger.gen trojan

“NS窺視器”（win32.troj.sysjunkt.hh）的3月份的總感染量為156萬臺次，與2月份相比略有增長。此病毒為一款遠程木馬的組成部分。它的真身是個經過加花的木馬驅動。

一旦進入用戶電腦，它就修改注冊表服務項，將自己從屬的木馬冒充成系統進程，或采用隨機命名的進程名，實現開機自啟動。它在后臺悄悄調用IE瀏覽器，連接到病毒作者指定的黑客服務器。

此病毒在3月份時，所協助的病毒除了遠程后門外，還增加了一些廣告木馬。

四、win32.troj.encodeie.ao.524288 (傳奇盜號下載器AO)

展開描述：盜竊《傳奇》帳號，非法轉移虛擬財產

卡巴命名:Trojan.Win32.BHO.nng

“傳奇盜號下載器AO”（win32.troj.encodeie.ao.524288）曾一度以高達10萬臺次的感染量位居非腳本木馬單日感染量排行的榜首。金山毒霸反病毒工程師對其分析后發現，它可以下載許多別的木馬到用戶電腦中運行，但其自身也具有盜號功能，根據變種的不同，可以利用內存注入、鍵盤記錄、消息截獲等多種手段盜取的就是《傳奇》的帳號。

“傳奇盜號下載器AO”無法自動傳播，因此可以斷定，它必然也是借助那些大肆掛馬的腳本下載器進入用戶電腦。這樣一來，打齊系統補丁也就成了免受“傳奇盜號下載器AO”騷擾的最簡單辦法。

五、win32.troj.onlinegamet.fd.295241    (網游盜號木馬295241)

展開描述：瘋狂盜竊網游帳號，侵吞玩家虛擬財產

卡巴命名:Worm.Win32.Downloader.zd

瑞星命名:Trojan.PSW.Win32.GameOL.udx\n

N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM

“網游盜號木馬295241”（win32.troj.onlinegamet.fd.295241），這是一個網游盜號木馬。根據變種的不同，它可盜竊多款網游的帳號和密碼。

這個盜號木馬新變種的對抗能力依然很弱，之所以擁有如此大的感染量，是因為借助了一些比較流行的下載器的幫助。在2月份是，它是借助“貓癬”，而3月份，不少腳本下載器的下載列表中出現了它的身影。

六、win32.troj.onlinegames.de.36864 （cfg尋仙盜號器變種）

展開描述：對抗殺軟，《尋仙》問“盜”

卡巴命名:rojan-GameThief.Win32.Magania.awzg

瑞星命名:Trojan.PSW.Win32.GameOL.wez\n

N0D32命名:Trojan.Win32.PSW.OnLineGames.NRD

BitDefender命名:Generic.Onlinegames.14.E204280A

135萬臺次的感染量，使得win32.troj.onlinegames.de.36864 （cfg尋仙盜號器變種）成為本排行榜的第6名。此病毒具有簡單的對抗能力，它會嘗試利用強制關閉進程的辦法，中止一些常見殺軟的進程，如果這些殺軟的自保護比較弱，那么就會被它“干掉”。隨后此病毒就搜尋并注入《尋仙》的進程，截取帳號信息。

從對該病毒的跟蹤上，我們發現雖然感染量很大，但成功機率卻不高，因為絕大部分時候，它剛進入電腦，就被金山毒霸查殺了。如果用戶發現自己電腦中有此病毒并且又總是殺不干凈，其實是因為電腦中有未知下載器在作怪。這時候僅需下載金山安全實驗室的“系統急救箱”，就可將這個未知下載器消滅。

七、win32.troj.dropper.jg.210338 (盜號木馬下載器JG)

展開描述：保護病毒木馬，躲避殺軟查殺

卡巴命名:Trojan-Dropper.Win32.Agent.aipa

瑞星命名:Dropper.Win32.Agent.zvf\n

N0D32命名:Trojan.Win32.TrojanDropper.Agent.NNO

麥咖啡命名:Generic Dropper.cy trojan

BitDefender命名:Rootkit.Agent.AIWN

“盜號木馬下載器JG”（win32.troj.dropper.jg.210338）在3月前半月的感染量非常之高，一度逼近單日10萬臺次。但從18號開始，迅速降低截止31日，每日僅有1千余臺次的感染量。不過，它全月的總成績還是很“不錯”，為130萬臺次。

此病毒不具備對抗能力，為防止被殺軟攔截，它的一些變種會被與具有對抗功能的木馬模塊相捆綁，進入系統后這些對抗模塊先運行起來，嘗試解決殺軟。接著就開始瘋狂下載各種盜號木馬，在電腦中洗劫網游帳號。

只要打齊系統安全補丁，“盜號木馬下載器JG”就無法進入電腦，因為它是借助腳本木馬下載器才能進入電腦，而腳本木馬又必須是利用系統安全漏洞才能成功實施攻擊。

八、win32.binder.agent.ar.110592 (地下城盜賊)

   展開描述：添加注冊表自啟動 盜竊成功后自我刪除

卡巴命名:Trojan-Dropper.Win32.Agent.ajat

瑞星命名:Binder.Win32.Agent.ar\n

N0D32命名:Trojan.Win32.TrojanDropper.Agent.NWE

腳本木馬的影響是如此之大，借助腳本下載器的幫助，win32.binder.agent.ar.110592 (地下城盜賊)這個完全沒有任何對抗能力的盜號木馬，在3月份竟然獲得了131萬臺次的總感染量。

當進入系統，該病毒就會搜索并注入網游《地下城與勇士》的進程，悄悄記錄用戶輸入的帳號和密碼。病毒作者為保證能收到偷來的游戲帳號，設置了4個接收網址，每次盜得帳號后，會往這四個地址都發送一份郵件。

九、win32.troj.sysjunk2.ak.32768 （木馬驅動器32768）

展開描述：對抗殺軟，下載網游盜號木馬

就和普通制造業的模塊化一樣，病毒制作也在走向模塊化。病毒作者不必親自寫完所有代碼，而只需要挑選自己喜歡的模塊相組合，就能得到想要的病毒?！澳抉R驅動器32768”（win32.troj.sysjunk2.ak.32768）就是一個這樣的模塊。

此模塊為一個驅動文件，加密加花比較強。金山毒霸反病毒工程師對其進行破解分析后，發現該驅動主要用于恢復系統SSDT表，以及獲取系統權限，還可以破壞一些常見安全軟件的驅動。 這些行為直接決定了木馬是否可以成功入侵，難怪病毒作者如此費心的對其進行加密，并且還放上許多花指令試圖干擾反病毒工作者的分析。
根據金山毒霸云安全系統的統計，此模塊整個3月份的感染量為121萬臺次，遠遠高出2月份時的38萬臺次的電腦。

十、win32.troj.qqpswt.bs.116858 （QQ小偷）

展開描述：盜竊QQ帳號，洗劫用戶Q幣

卡巴命名:Trojan-PSW.Win32.QQPass.fqt

瑞星命名:rojan.PSW.Win32.QQPass.dzm\n

N0D32命名:Trojan.Win32.PSW.Delf.NLZ

BitDefender命名:Generic.PWStealer.B2169547

病毒團伙對QQ小偷的推廣力度，從2月份一直持續至今。該病毒可依靠AUTO及時來進行自動傳播。每進入一臺電腦，病毒就在各磁盤分區中生成自己的AUTO文件，一旦用戶在中毒電腦上使用U盤等移動存儲設備，這些AUTO文件就會立刻將其感染。這樣一來，QQ小偷就能隨著U盤到處傳播了。

3月份，QQ小偷借助腳本下載器傳播的力度不減。金山毒霸反病毒工程師在不少木馬下載器中發現了該病毒的下載地址，保守感染量達到近120萬臺次。

受該病毒威脅最大的主要是網吧等公共電腦，因為這些電腦的U盤使用率較高，U盤來源也復雜，并且每次電腦重啟后都會刪除之前下載的文件，以保護系統的清潔。但實際上，這樣也會將補丁也一同刪除，使得電腦極易遭受那些包含有該病毒下載鏈接的掛馬的攻擊。

#p#

3、本月重大漏洞介紹

3月份沒有新的高危漏洞。本月被黑客們利用最多的漏洞，為MS09002、MS06014漏洞。金山毒霸云安全中心預測，在4月份，它們依然會是利用得最多的漏洞。

2月被擔心的adobe reader和adobe flash10漏洞，在3月的確出現了較多利用它們的腳本木馬，但并不像之前大家所想象中那么嚴重。

3月中旬，國內某安全廠商曾發出警報，稱利用Conficker漏洞病毒將在4.1出現大規模大爆發，一時間網絡中人心惶惶，甚至有該廠家的用戶向毒霸求助，咨詢到底該如何防范Conficker病毒。

然而時間已經過去，Conficker漏洞病毒大爆發在國內外都并未發生。事實上，Conficker病毒是很老的病毒家族，對于這類能在局域網中快速傳播的病毒，早在去年10月份時，微軟就已經推出了相關漏洞補丁，只要打上補丁，就不會受其影響。目前為止，似乎只有法國海軍的內網被該毒大規模入侵過，而它在國內流行的概率更是趨向于零。也許宣布這一消息的廠家只是在跟大家開愚人節玩笑。

十大腳本木馬及其利用漏洞

js.downloader.by.6325  MS09002漏洞

js.downloader.ef.2682  MS06014漏洞

js.Iframe.nj.914      flash漏洞

js.downloader.qc.1719  MS06014漏洞

js.downloader.so.6504  MS09002漏洞

js.downloader.me.2682  flash漏洞

js.downloader.be.1802 MS06014漏洞

js.downloader.ji.2679  MS06014漏洞

js.downloader.be.1833 flash漏洞

js.downloader.is.148   MS09002漏洞

#p#

4、十大影響較大的被掛馬網站

此榜中的網站，均曾在3月遭到過病毒團伙攻擊，并被掛上腳本木馬。按知名度、訪問量人數，以及網站代表性進行綜合評估，選出十個，得出此榜。

洛陽市中心血站  http://www.xuezhan.com/

陜西省延安市公安局  http://sgaj.yanan.gov.cn

遼寧互聯星空     http://ln.vnet.cn

華僑大學   http://tyxy.hqu.edu.cn/

南開大學      http://ibs.nankai.edu.cn/marketing/marketingbbs/default.htm

周杰倫中文網  http://www.jaycn.com/

小護士護膚品官網 http://www.mininursegarnier.com/index

中國電信遼寧分公司 http://www.lntele.com

老舍紀念館      http://www.bjlsjng.com

NBA在線       http://www.nbaxianchang.cn/

#p#

5、下月安全趨勢提示

根據三月所觀察與收集到的數據，金山毒霸反病毒工程師對4月份的安全形式做出以下估計與提示:

5.1 提防木馬下載器的再度爆發

整個3月份，病毒團伙的精力都放在制造網頁掛馬上，貓癬、死牛等傳統的木馬下載器幾乎停止了更新。但是，隨著各廠家對網頁掛馬的嚴打，病毒作者是否會進行“戰略轉移”，重新投入研究更強大的木馬下載器呢？

金山毒霸云安全系統監測到一些奇怪的舉動，比如某些腳本下載器的下載列表里，頻繁出現一些新下載器的身影，每個版本變種的對抗功能都較上一個變種略有提高，可是它們的掛馬范圍卻明顯被故意局限在一些小網站，看上去是不是很像正規軟件的公測？

反病毒工程師認為，這是病毒團伙的一種試驗，也許，某種威力更大的下載器即將“橫空出世”。

5.2 繼續關注網頁掛馬

網頁掛馬依然會是最受歡迎的木馬傳播手段。在四月，特別需要注意一些大型的掛馬集團在網頁下設置的陷阱。從“網盾”的攔截數據推測，黑客（掛馬集團）的目標仍會放在學校、政府機構、門戶等網站上。他們似乎是派有專人實時嗅探這些網站的漏洞，一旦有機可趁，就立即將木馬掛上去。

除了這些傳統“獵物”，黑客也開始將魔爪伸向了一些公益組織，比如獻血站、慈善基金會、環保組織的網站，將訪客們的善良當成他們實施作案的工具，非?？蓯?。

而為了躲避殺軟廠商的跟蹤，黑客會更加頻繁的更換用于存放病毒的服務器，域名也是變化多端，不過金山毒霸也會相應的加強對他們的追蹤，讓這些見不得光的東西無處遁逃。

5.3 病毒團伙的掙扎將更加激烈

通過對3月份捕獲的病毒進行分析發現，病毒作者開始把對抗重點放在了一些安全輔助軟件的身上，這些安全輔助軟件有個共同點，就是喜歡宣稱自己功能強大，能解決多種安全問題。因此，很多用戶誤認為它們就是殺毒軟件，從而只在電腦里安裝了這些軟件，而不安裝正規的殺毒軟件。

經過長時間信息收集后，病毒團伙發現了這一現象，這對他們來說是個很好的消息。因為這些安全輔助軟件的自保護功能非常弱，可以被輕易中止。即便不關閉，它們實際上也并不能應對相對復雜的對抗型病毒。

而那些技術能力較強，產品功能明確的殺軟產品，也被病毒作者盯梢。例如死牛下載器的作者，不惜特意開發和維護一個驅動，專門用來干掉國內的幾家知名殺毒軟件。這種情況下，如果單靠傳統的查殺手段，殺毒軟件也會難以應付。因此，殺軟廠商必須開發新的查殺措施。金山安全實驗室的產品“系統急救箱”和“網盾”就是在這樣的情況下誕生的。