【趋势科技2013年第3季度安全威胁】之病毒威胁篇

标签:
趋势科技it |
分类: 网络安全 |
2013年第3季度,我们趋势科技病毒实验室检测发现有一种窃取信息的病毒同时在国内多家金融行业用户网络中潜伏,该恶意程序以证券/基金行业为目标,极度顽强和具有隐蔽性,在目标环境中已经潜伏了一段时间。我们有理由相信这是由一组专业的黑客,针对证券行业发起的一系列APT行为,详情可以参看我们在2013年7月31日的微信《请密切关注‘证券幽灵’恶意程序》。
根据我们第3季度网络安全威胁报告分析中可以看出,木马病毒,后门,以及间谍软件仍然占据新增病毒数量的前三位。大部分木马有盗号或是窃取系统重要信息的特性。与其他类型的电脑病毒相比木马更容易编写且更容易使病毒制造者获益。
本季度新增的病毒类型中,处于上升趋势的病毒类型为JS(java script病毒) ,HTML(HTML及ASP病毒) ,VBS(VisualBasic脚本病毒) ,JAVA(java类型病毒) ,HT(黑客工具)。其中趋势科技定义以HT_开头的检测类型为黑客工具,值得注意的是第3季度新增黑客工具的数量几乎达到上季度的一倍。
2013年第3季度新增病毒类型分析
本季度我们中国区病毒码新增特征约60万条。截止2013.9.30日中国区传统病毒码10.308.60包含病毒特征数约430万条。
2013第3季度中国地区新增病毒类型
新增的病毒类型最多的仍然为木马(TROJ),本季度新增木马病毒特征325690个,比上季度稍微有所增加。木马可使病毒制造者更直接的获利,在经济利益的驱使下大量的木马被制造并通过各方式被传入互联网中。木马也是我国目前存在数量最多的病毒类型。
JS (java script病毒),HTML(HTML及ASP病毒)常常和网页挂马相关。恶意代码的制造者将代码植入网中,这些脚本内容往往不容易被网站管理者以及浏览网页的用户发觉,正常的网站服务器成了扩散病毒,恶意代码的平台。另外,还有部分JS、HTML病毒可能是Webshell,通过向网站中放入webshell,黑客甚至可以控制网站服务器的机器。这样一来,网站用户的数据可能会被盗窃,服务器也可能成为这些恶意行为者的肉鸡,被用来进行网络攻击或其他一些非法的网络行为。
新的AndroidOS(安卓系统病毒)数量,在2013年第3季度持续上升。在距离今年结束还差3个月的时候,针对安卓系统的恶意程序数量达到1亿。安卓系统的恶意程序增长速度比我们之前预计的要快了许多。
需要注意的是吸费软件也具有一定窃取帐号信息,以及监控短信的功能。这种恶意程序危害极大,会给感染该类病毒的用户带来经济损失和麻烦。据统计,这些安卓系统的恶意程序超过半数是从网站下载而来。还需要提醒手机用户在下载安装程序,特别是安装程序时要注意过程中的每一个提示以减少因为疏忽而误装恶意程序造成的损失。
吸费软件可以做什么
2013第3季度安卓平台病毒类型排名
据统计,这些安卓系统的恶意程序超过半数是从网站下载而来。还需要提醒手机用户在下载安装程序,特别是安装程序时要注意过程中的每一个提示以减少因为疏忽而误装恶意程序造成的损失。
2013第3季度中国地区各类型病毒检测数量比例图
受PE_PATCHED.ASA 大量被检测的影响,2013年第3季度检测到的病毒种类中PE类型病毒感染数量仍保持超过50% 的百分比,大约占到总检测数量的62%。PE病毒为感染型病毒,该类病毒的特征是将恶意代码插入正常的可执行文件中。第3季度,检测数量最多的PE病毒仍然是PE_PATCHED.ASA。该病毒为被修改的sfc_os.dll,sfc_os.dll是用来保护系统文件的执行模块,该文件被修改后系统将失去文件保护的功能。
另外,在第3季度趋势科技监测到一种比较特别的感染型病毒出现,该病毒为PE_EXPIRO 家族的某个变种。此感染型病毒的感染代码中包含窃取信息的例程,这一行为在感染型病毒中并不常见。PE_EXPIRO家族最早在2010年被发现用来对某公司或组织的web站点进行入侵。如有客户检测到该类病毒,则需要密切关注并尽快处理。
蠕虫病毒最主要的特性是能够主动地通过网络,电子邮件,以及可移动存储设备将自身传播到其它计算机中。第3季度感染比较多的蠕虫病毒仍然为WORM_DOWNAD以及文件夹病毒。另外某些PE病毒的母体也以蠕虫病毒的方式传播。
目前比较流行的PE病毒,会感染一些蠕虫病毒。随着蠕虫病毒在网络内的传播导致网络环境中越来越多的电脑被PE病毒感染。PE病毒自身也可能带有木马病毒的特征。
2013 第3季度中国区拦截次数排名前20病毒
上图显示了2013年第3季度被拦截次数排名前20的病毒。被拦截次数多的病毒可能是感染文件数量较多的PE病毒,也可能是会反复感染难以清理的病毒。
由于该文件是系统文件,防毒软件强行查杀可能会导致系统崩溃。对这只病毒目前的解决方法如下(可以使用以下三种方法中的任意一种进行清理):
2、使用干净的相同版本系统中的文件替换。
3、China RTL 已针对此病毒制作专杀,需要的用户可以到以下地址下载反病毒工具包进行处理:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/Release.zip
解决方法:1、关闭系统还原;2、升级防毒产品到最新病毒码并进行全盘扫描;3、没有安装防毒产品或者是防毒产品已经被破坏的用户请到以下站点下载ATTK进行扫描:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage
1.
2.
被感染的 DLL 和EXE 文件 - PE_RAMNIT.DEN
被感染的 HTML 文件 - HTML_RAMNIT.AJ
感染途径:
该木马程序可能由其他恶意程序释放,或下载而来;它会释放自身的复制到所有移动存储设备中,病毒释放一个autorun.inf 文件以达到自启动的目的。
解决方法:1、升级防毒产品到最新病毒码并进行全盘扫描;2、没有安装防毒产品或者是防毒产品已经被破坏的用户请到以下站点下载ATTK进行扫描:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage
1.
2.
2013第3季度中国地区病毒流行度排名
2013年第3季度Worm_downad 全球分布图
虽然解决方案已知但WORM_DOWNAD在中国的感染情况并没有得到很大改善。截止2013年第3季度,仍约有18% 的用户遭受到此病毒的攻击。从WORM_DOWNAD 的全球分布图来看,中国仍然属于感染较严重地区.
目前的防病毒产品都能够检测并处理这些病毒,网络内一直有这种病毒存在,说明环境存在某些安全缺陷,使得病毒能够进入并且持续存活,针对这种情况需要及时处理和分析。
1.用户内网中电脑系统补丁安装率较低。
2.网络中存在弱密码的或空密码的电脑管理员账号。
3.网络内存在有未安装防毒软件,或防毒软件已损坏的感染源电脑。
4.没有针对U盘等移动存储设备的安全管理策略。
由于目前尚未发现关于该病毒的新变种,使用之前发布的专杀工具以及解决方案即可处理此病毒。
X97M_OLEMAL.A这只从中国地区源起的病毒EXCEL病毒目前已经传染至全球各地,并且在美国地区感染趋于严重。
2013年第3季度全球X97M_OLEMAL.A病毒感染情况
从我们获得信息来看的该病毒主要感染途径如下:1、从网站下载而来;2、使用文件传输工具获得3、通过邮件传送。
1.
2.
目前我们最新中国区病毒码病毒码以可检测此文件,感染此病毒机器请对系统进行全盘扫描;未安装我们产品用户可至以下站点下载ATTK工具扫描系统。
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustmizedpackage.exe
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/Release.zip
(解压缩密码:novirus)
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/readme.txt
地下黑市的活跃使更多的黑客工具流传到市面上,被黑客准“黑客”们大量使用,也使得网络安全问题日趋严重。一些可以从internet访问到的机器,越发容易受到攻击,一旦不能及时安装漏洞补丁或是存在某种弱点(例如:开启了远程桌面,或帐号密码较弱等)即有极大的可能被攻击。公司的WEB服务器,甚至从互联网上能够访问到的OA系统都经常成为攻击,入侵的目标。黑客工具更使得网络攻击变的越来越简单。
我们认为,在经济利益的驱使下,更多病毒制作者开始制造木马病毒。后门病毒则会给受感染电脑带来极大的安全隐患,而间谍软件更专注于窃取用户重要信息。另外,新增病毒中黑客工具数量大幅上升。黑客工具的泛滥,给互联网安全带来极大的隐患。