【51CTO.com 綜合消息】9月，秋天的感覺開始深了，這是一個收獲的季節，也是一個開始走入寒冷的季節。安全廠商開始陸續發布2010版本的產品，用戶的安全得到進一步加強。而這對不法黑客來說則是一個糟糕的消息，因為這意味著他們必須投入更多的精力研究對抗技術，否則財路就要被斷掉。如果不盡快找到新的攻擊模式，可能還等不到冬天到來，他們就得完蛋。

于是，9月的安全局勢開始有了變化，比如掛馬攻擊減少了，轉而一些更為隱蔽的攻擊模式開始流行。老掉牙的捆綁式傳播，由于捆綁對象變成了非常受歡迎的文件，病毒木馬們得以有更多的機會混進電腦，甚至連一些比較古老的軟件安全漏洞也被黑客們重新挖掘出來嘗試利用。而國慶的臨近，讓中國受到更多的關注，境外黑客這個時候也跑來湊熱鬧，頻繁攻擊國內網站。

9月，互聯網安全又進入了一輪新的微妙變化。 

九月安全狀況簡述? 

掛馬的秋天？

在9月，網頁掛馬數量出現了明顯下降。掛馬網址的數量從8月的1,507,116個驟降至1,244,572個，如同這個季節的樹葉一般。

各家殺軟的防掛馬工具在這一時間段內并沒有什么明顯的技術升級和推廣活動，但掛馬團伙不會平白無故的“鳴金收兵”，掛馬網址的減少一定是有其它原因的。

結合大環境考慮，我們認為掛馬團伙的“收斂”應該與國慶臨近有較大關系。隨著國慶的日益臨近，相關部門加大了對網絡安全的監查，在這種情況下，國內的黑客組織自然不敢有什么大動作，生怕撞上槍口。

但更擔心的，是出現了更為隱蔽、低調的攻擊模式。在十月初，金山毒霸云安全系統的確截獲到了一些比較隱蔽的黑客攻擊案例，它們相對掛馬來說更為“溫和”和“低調”。我們正在研究它們是否有可能替代掛馬成為主流的網絡攻擊手段。詳情可見后面的十月預警。 

Delphi夢魘，如期而至

如同我們曾經預測的那樣，Delphi夢魘（win32.induc.b.820224系列）成為了9月份總感染量最高病毒，全月它共擁有超過600萬臺次的感染量。（當時的詳情可在毒霸官博查看 ??http://blog.duba.net/post/delphi-workers-nightmare_9013.html??）

該毒的出現，為廣大黑客指出了一條非常具有挑戰的“前進方向”，Delphi夢魘通過感染程序員的電腦，令軟件產品從生產地開始，就染上病毒，并隨著軟件產品的發售安裝，傳播到更多的電腦上。有什么是比這更高效的病毒傳播方式呢？

Delphi夢魘源代碼流出沒多久，金山毒霸云安全系統就在網絡中捕獲了基于該毒技術的木馬下載器。從代碼上看，這一下載器很簡單，似乎僅僅是為了測試而制作。我們當然希望這僅僅是國內黑客出于技術研究而生產的，但毒霸還是進行了同步升級，因為我們不敢放松警惕。誰也不能保證一定不會有利益熏心的木馬團伙利用該毒原理來為非作歹。

最大的擔憂，是由于國內使用破解版軟件的網民較多，Delphi夢魘在電腦上反復感染的可能性非常高，因為那些用于制作破解軟件的破解工具，多半已經被Delphi夢魘所感染，用它們制造的破解版軟件，自然也就不干凈。用戶很容易由于下載了某些破解軟件，而再次感染該毒。

作為目前國內唯一一款可查殺Delphi夢魘、并修復被其感染的delphi環境的殺毒軟件，金山毒霸已經在第一時間放出了完全免費的專殺，即便沒有安裝金山毒霸的電腦，也可及時清除該毒，恢復系統安全。“Delphi夢魘專殺工具”下載地址：

??http://cu003.www.duba.net/duba/tools/dubatools/usb/fixdelphi.exe??? 

捆綁型傳播漸成主流

借助社會關注熱點，將病毒木馬與其它文件捆綁到一起，已經是被越來越多的不法黑客采用的傳播手段。當網頁掛馬的難度，由于執法部門加大監察、殺軟廠商采用新技術等原因增大后，黑客們重新撿起了這種古老的病毒傳播方式。

其中被利用得最多的捆綁目標，就是各類視頻播放器。但幾乎所有因此中招的用戶，都有一個共同點，就是他們所下載的播放器，并非在播放器官方授權的下載站點下載，而是一些不知名的小站點或不良視頻論壇。這一切都是不法黑客搞的鬼。他們將木馬捆綁在Qvod等流行的播放器上，到處投放下載鏈接，甚至不惜專門搭建一個不良網站吸引用戶前去訪問，一旦用戶下載，就會中招。 #p#

九月安全相關數據

新增病毒樣本數：2,919,640個

病毒感染機器數：22,767,670臺次

新增安全漏洞補丁：微軟9月共發布61個不同版本的安全補丁，對應windows操作系統上的13個安全漏洞，金山清理專家已全部為用戶完成同步升級。關于其中的重要漏洞，可見微軟官方公告 ??http://www.microsoft.com/china/technet/Security/bulletin/ms09-sep.mspx#EUC??

掛馬網址：1,244,572個

十大病毒排行榜

此排行榜是根據金山毒霸云安全系統的監測統計，經過特殊計算后得出的參考數據，反映的是感染總量最高的前十個病毒。考慮到潛在的數據丟失和監視盲區，榜中數據均為保守值。該榜僅針對WINDOWS系統下的PE病毒單一樣本，一些總感染量很高的病毒，因為變種較多，分攤到各變種上的感染量反而小，因此未列入此榜。

1.  Win32.induc.a.820224 (Delphi夢魘)

展開描述：感染Delphi環境，從源頭污染程序

癥狀：無任何癥狀

卡巴命名:Virus.Win32.Induc.a

NOD32命名：virus.Win32.Induc.A
 
這是一個針對Delphi程序員的病毒“Delphi夢魘”，它專門感染Delphi程序員的電腦，一旦成功，程序員今后寫出的任何程序，都將帶有該毒。

當隨著被感染文件進入電腦系統，“Delphi夢魘”就開始檢驗系統中是否有Delphi環境。它通過循環檢測注冊表鍵值的方法查找dephi 的安裝目錄，如果找到dephi，就將惡意代碼前排插入SysConst.pas文件，這個文件編譯的時候，會生成SysConst.dcu，而這個文件會被添加到每個新的dephi工程中。于是，Delphi程序員們所編寫的程序就全部帶毒了。

該毒不具備破壞能行為，但由于其在技術和攻擊方式上的突破，已經成為一些不法黑客借鑒和改造的對象，基于該毒改寫的下載器已經在技術上實現，一旦被廣泛利用，后果難以想像。而且目前國內除金山毒霸外，尚無別的殺軟廠家具備查殺該毒的能力，這更加重了國內網絡的危險。

2.  Win32.troj.geralt.kb.190962（病毒寄生播放器）

展開描述：捆綁視頻播放器、下載器，彈廣告并下載木馬

癥狀：彈出廣告窗口，陌生進程迅速增多

卡巴命名:Trojan.Win32.Vilsel.gyj、Trojan.Win32.Vilsel.gpc

瑞星命名: Trojan.Win32.KillAV.caq\n、Worm.Win32.Autorun.sta\n

NOD32命名: Trojan.Win32.AntiAV.NCL,Trojan.Win32.AntiAV.NCL

這是一款依靠捆綁傳播的木馬程序，它會執行彈廣告、下載木馬等行為。該毒主要借助捆綁于流行的播放器來傳播，比如最近比較受歡迎的Qvod。隨著各種在線播放器的流行，木馬團伙也找到了新的傳播渠道：他們將木馬捆綁在某些比較受歡迎的播放器或視頻下載器中，然后設法欺騙用戶下載經過他們改造的播放器，使得用戶中招。

該毒的大部分樣本被發現捆綁于非官方下載頁面的Qvod播放器以及某些視頻下載器中。金山毒霸安全專家分析，木馬團伙是在一些論壇、社區或不良視頻網站投放下載鏈接，然后以熱播影片引誘用戶下載。

一旦用戶安裝這些被動過手腳的播放器或下載器，木馬就會立即運行起來，執行木馬團伙設定的指令，主要是彈出廣告窗口和下載其它木馬。

3.  Win32.troj.onlinegamest.oc.53400（網游帳號吞吃獸）

展開描述：盜取帳號

癥狀：游戲裝備丟失，帳號密碼總輸不對

卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic

瑞星命名:Trojan.PSW.Win32.GameOL.yjw\n

NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名: PWS-OnlineGames.ek trojan

這是一個針對多款流行網游的盜號木馬。它會盜取魔獸世界等著名游戲的賬號密碼信息，然后發送到病毒作者指定的地址。

該毒依靠掛馬下載器和捆綁于其它文件的下載器的幫助，入侵用戶電腦，可盜竊包括魔獸世界在內的一些流行網游的游戲賬號，然后將其發送到病毒作者指定的地址，隨后很快就會被職業的洗號者將游戲賬號中可自由交易的物品全部盜走，用戶及時找回賬號，能得到的也只剩一個“一絲不掛”的游戲角色。

如發現系統中有此毒無法徹底刪除，很可能是有未知下載器不斷將該毒下載到電腦中，可下載運行金山安全實驗室的“金山急救箱”，將下載器滅活，同時運行清理專家的漏洞檢查功能，查看是否有安全漏洞需要更新。

“金山急救箱”下載地址 ??http://labs.duba.net/jjx.shtml??

4.  Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）

展開描述： 模仿文件夾圖標，欺騙用戶點擊

癥狀：U盤文件夾圖標被替換，殺毒后文件夾丟失

卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

瑞星命名: Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

McAfee命名: W32.Madangel.b virus、W32.Fujacks.aw virus

Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）是一個U盤病毒，它將用戶系統中的文件夾圖標全部變為自己的EXE文件，用戶必須點擊病毒文件才可進入文件夾。這使得病毒得以繞過系統或安全軟件的U盤監控功能。如果該變種所攜帶的執行模塊是廣告插件，那么就會盡可能多的彈出廣告網頁。

該毒給很多用戶帶來的最大麻煩是它會將用戶的文件隱藏起來，即使用戶借助殺軟將其刪除，也難以恢復。這使得一些用戶誤以為是殺軟將自己的文件夾刪除。

使用金山安全實驗室的急救箱，可完美解決該毒帶來的這一問題。下載地址 ??http://labs.duba.net/jjx.shtml??

5.  Win32.troj.fakefoldert.yo.1406378（文件夾模仿者變種）

展開描述： 模仿文件夾圖標，欺騙用戶點擊

癥狀：U盤文件夾圖標被替換，殺毒后文件夾丟失

卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

McAfee命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

此毒為Win32.Troj.FakeFolderT.yl.1407388（文件夾模仿者）的一款變種，感染該毒后的所有癥狀完全一致。

6.  Win32.trojdownloader.agent.151552（小廣告下載器）

展開描述：彈廣告并且下載其它木馬的流氓插件

癥狀：IE瀏覽器自動彈出窗口，陌生進程增多

卡巴命名: Trojan-Downloader.Win32.Agent.cqlm、Trojan-Dropper.Win32.StartPage.aw

瑞星命名:Trojan.Win32.StartPage.nbk\n

NOD32命名:Trojan.Win32.StartPage.NMW

該毒為一款能修改IE瀏覽器默認主頁的流氓程序，它同時也具備下載器的功能，會下載一些別的惡意程序到電腦中運行。

它在進入系統后，會將IE瀏覽器的默認主頁修改成病毒作者指定的地址，以便在用戶每次啟動IE時彈出廣告。但由于它加入了下載器功能，會下載更多的其它木馬，因而帶來的潛在影響就更大。病毒作者可以通過修改下載列表，把任何一種病毒木馬傳輸到用戶電腦中。

此毒在9月末的最后幾天爆發，迅速飆升為單日感染量最高的病毒，金山毒霸反病毒工程師預計，這一病毒在10月初依然會保持這樣的強勢。

7.  Win32.pswtroj.gameol.226416 (網游盜號者OL)

展開描述：盜竊網游賬號

癥狀：游戲突然中斷，賬號無法登陸，裝備無故丟失

卡巴命名：Trojan-GameThief.Win32.Magania.bzjz

瑞星命名：Trojan.PSW.Win32.GameOL.yjw\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名：PWS-OnlineGames.ek trojan

“網游盜號者OL”（win32.pswtroj.gameol.226416）在9月初時，感染量曾呈現出快速增長的勢頭。金山毒霸安全專家認為是有病毒團伙在背后進行推廣有關。

該盜號木馬的行為非常簡單，但是卻在如此短的時間內傳播得如此廣，通過對金山云安全系統捕獲的病毒樣本進行分析，我們發現該毒完全是依靠某款下載器在進行傳播。

病毒團伙將精心構造的腳本木馬掛到一些網站上，一旦存在某些系統漏洞的電腦訪問網站，就會被腳本木馬感染，隨后這些腳本木馬會將功能更強的木馬下載器下載到電腦上，再由木馬下載器來下載“網游盜號者OL”（win32.pswtroj.gameol.226416）。

如果發現電腦中出現此毒且無法徹底清除，表明系統中已經混入了經過精心免殺處理的未知下載器，用戶可下載運行金山安全實驗室的金山急救箱，即可將未知下載器滅活。

金山急救箱下載地址 ??http://labs.duba.net/jjx.shtml??

8.  Win32.troj.cfgt.ex.38507  (CFG網游盜號器變種)

展開描述：依靠網頁掛馬傳播，盜竊網游帳號

癥狀：游戲密碼失效，裝備丟失，網游帳號被盜

卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

瑞星命名:Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD “CFG網游盜號器變種”（win32.troj.cfgt.ex.38507）已經是繼續在我們的TOP榜上露臉。這款盜號木馬主要依靠網頁掛馬傳播，能盜取多款流行網游的賬號和木馬。如果用戶系統中存在安全漏洞，就很容易受到腳本下載器的攻擊。然后腳本下載器就會直接下載此毒，或者先下載一個類似寶馬下載器這樣的普通下載器，再下載此盜號木馬。

如果毒霸頻繁提示發現此毒，表明系統中很可能存在未知的下載器，造成每次刪除后又再次下載。這種情況不用慌，只需安裝并運行金山安全實驗室免費提供的“金山急救箱”，對未知下載器進行滅活，即可解決問題。

9.  Win32.troj.gameolt.zg.61529（網游盜號木馬ZG）

展開描述： 盜竊網游帳號，洗劫虛擬財產

癥狀：游戲密碼錯誤，裝備丟失，網游帳號被盜

卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic

瑞星命名:Trojan.PSW.Win32.GameOLx.cp\n

HOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名: PWS-OnlineGames.ek trojan

該毒是一個針對網絡游戲的盜號木馬程序，此毒在7月份時就已經開始流行。它能盜竊多款流行網游的賬號密碼信息。

大量的0day漏洞為各類腳本下載器的掛馬傳播提供了有利條件，而腳本下載器在進入系統后，就會下載不少傳統的木馬。Win32.troj.gameolt.zg.61529正是在這樣的情況下，實現感染量的大幅增長的。而如果用戶發現自己電腦中不斷出現此毒，那么表明系統中已經潛入了某款未知下載器，這種情況，可下載運行金山安全實驗室的“金山急救箱”，對未知下載器滅活即可。

10.  Win32.Troj.Shutdown.c.45056（拔插頭病毒）

展開描述：逼迫用戶重啟電腦，令木馬得以盡快運行

癥狀：電腦自動關機，或突然死機

卡巴命名：Virus.Win32.Sality.k

瑞星命名：Win32.Sality.ar\n

NOD32命名：virus.Win32.Sality.NAC

McAfee命名：W32.Sality.m virus

此毒為一款木馬程序的組成模塊。它運行后就強行關機，逼迫用戶重啟電腦，以便令木馬主程序盡快的得以運行。

當木馬的母體完成注冊表修改，這一模塊就運行起來，篡取電腦的電源控制權限，命令電腦立刻關機。如此一來用戶必然重啟電腦，木馬也就可以更快速的運行了。

但這樣做的結果，就是用戶可能會遭受比木馬入侵更大的損失。比如正在進行的重要工作被迫中斷、電腦硬件因突然斷電而受損等。如果用戶遇到電腦莫名其妙自動關機，很有可能就是遇到了該毒或是類似的惡意程序。

十大影響較大的被掛馬網站

此榜中的網站，均曾在9月遭到過病毒團伙攻擊，并被掛上腳本木馬。我們從記錄到的掛馬網站中，按知名度、訪問量人數，以及網站代表性進行綜合評估，選出十個，得出此榜。 截止本期月報完成時止，它們依然被掛著。? 

黑龍江省人民政府參事室    hxxp://www.hljcsswsg.gov.cn/index.html? 

湖北省農業廳網站          hxxp://www.hbagri.gov.cn/index.html? 

人民網廣西視窗            hxxp://www.fj.xinhuanet/dszx  ? 

新華網福建頻道安南在線    hxxp://ie.cass.cn ? 

廣州住房公積金中心網站    hxxp://www.gzgjj.gov.cn? 

CCTV旅游論壇            hxxp://bbs.u.cctv.com/? 

老舍紀念館                hxxp://www.bjlsjng.com? 

志高空調                  hxxp://www.china-chigo.com/cn/index.asp? 

中央民族大學              hxxp://http://cwcx.cun.edu.cn/tool/chris/27035? 

科比中文網                hxxp://www.kobechina.com.cn/web

國內疫情地域分布TOP10

此排名根據金山毒霸云安全系統監測數據換算得出，所體現的是整個9月期間，國內遭受惡意程序感染次數最多的前10個地區。如果某地區遭受攻擊電腦數量偏高，通常與該地區電腦擁有量、用戶上網習慣、地區門戶網站掛馬情況，以及黑客所使用工具的掃描或攻擊規則等有關。9月的疫情分布情況與8月基本一致，僅僅是個別地區的感染量有小幅波動。 

 #p#

十月安全趨勢提示

根據9月所觀察與收集到的據，金山毒霸反病毒工程師對10月份的安全形式做出以下估計與提示:? 

隱蔽型黑客攻擊案例或增加

近日，金山毒霸安全專家發現了一種新型的“隱蔽式黑客攻擊”。

這種黑客攻擊手法目前主要是在一些政府網站中發現。黑客是將一些廣告鏈接嵌入到網站的源代碼中秘密運行，無論是用戶還是網站管理員，都不易發現網站已經被黑。而由于嵌入的是廣告鏈接而非惡意攻擊代碼，世面上的防掛馬工具也不會有任何警告。 

隱藏在某網站源碼中的廣告鏈接

但只要網民訪問被黑頁面，這些被嵌入的廣告鏈接代碼就會被激活，從而為這些鏈接所指向的網站刷取流量。

金山毒霸安全專家認為，從經濟角度來看，這種黑客攻擊模式不會給被黑網站和訪客造成什么明顯的損失。但對于被黑網站的管理員來說，則是一種極大的諷刺，因為是由于網站框架搭建和監管存在漏洞，才導致黑客能夠成功發起攻擊。同時，也不排除部分廣告鏈接是由網管自己加入的可能，這樣他們可以“公私兼顧”，利用公家的流量為自己順帶撈點外快。

目前還不清楚這種新型攻擊方式與9月的掛馬數量減少是否有關，但在十月份，相信這種隱蔽的黑客攻擊案例會有所增加，網管們應經常檢查網站，及時修復可能出現的問題。? 

來自境外的大規模黑客攻擊

從9月下旬開始，境外黑客組織對中國網絡的攻擊頻率越來越高，這其中原因復雜，中國互聯網這個由數億臺個人電腦構成的龐大網絡，為黑客們研究攻防技術、謀取經濟利益提供了足夠的“訓練器械”和“儲備肉雞”，這本身就是吸引境外黑客的一個重要因素。同時，某些國外反華勢力的行動，也是使中國網絡遭受境外攻擊案件增加的原因。

以HEXB00T3R這一黑客組織來說。該組織來自土耳其，是一個于前年開始活躍的黑客組織，隨著國慶的臨近，該組織加大了對我國網站的攻擊力度。根據金山毒霸云安全系統的監測，他們目前每天攻擊的網站多達到70個，幾乎都是中國網站。地方政府網站、企業網站、公益組織、交友社區、游戲私服、個人空間等均在他們的攻擊范圍內。 

HEXB00T3R在被其黑掉的網站上咒罵中國、美國、丹麥和以色列，并宣揚極端宗教理論

在攻擊成功后，HEXB00T3R會留下“HACKED by HEXB00T3R”之類的標記，或者直接在受害網站中插入自己的頁面，宣揚一些極端言論，甚至時直接打電話向被黑站長挑釁。他們污蔑中國是“懦弱的恐怖分子”，他們還經常在留言中表示美國、丹麥、以色列等國家的敵視。我們猜測，HEXB00T3R的成員很可能是些極端民族主義者和極端宗教主義者。

金山毒霸安全專家提醒廣大站長，在整個10月，應對網站加強相應的防御措施，防備遭遇來自境外黑客的攻擊。 

AdobeReader漏洞恐再遭利用

由于更新升級機制一直存在問題，Adobe Reader的一款老漏洞最近又被黑客利用了。

金山毒霸云安全系統近日截獲一款借郵件中的PDF文檔傳播的后門木馬。毒郵件的發信人稱自己是現居北京的《金融時報》編輯“帕姆”，他要求收件人閱讀附件PDF文檔中的名單，協助他完成一個所謂的經濟研究課題訪談。但如果你閱讀了這個PDF附件，那么你會立即掉進黑客的陷阱，因為文檔中包含一個后門木馬文件，它會將你的電腦與黑客遠程服務器連接起來，等候黑客指令。

被利用的漏洞是由于Adobe Acrobat和Reader無法正確地處理PDF文檔中所包含的惡意JavaScript所引起的。Adobe Acrobat和Reader的內部函數在處理一個特制的文件名參數時就會發生溢出事件，導致木馬可以繞過系統安全模塊運行。不過經測試它無法繞過金山網盾的攔截，金山毒霸對該毒的命名為Win32.Troj.PdfDropper.eq和Win32.Troj.PdfDropper.ty。

2. 早在今年4月份時，這一漏洞就已經被安全業內人士發現并發出了警告，但由于Adobe Reader等PDF閱讀器的升級機制問題，總還是會有不少用戶電腦中依然存在這一漏洞。黑客很可能是掌握了這一規律，才精心制作了這封毒郵件。但我們更擔心的是，這一消息會刺激黑客更深入的挖掘Adobe Reader的0day安全漏洞，因為一旦發現一個漏洞，就能在很長的時間里都利用它，為黑客們最大限度的帶來利潤。