2013年第1季度安全威胁本季安全警示: PE病毒,网络攻击,钓鱼网站2013年第1季度安全威胁概况 本季度趋势科技中国区病毒码新增特征约61万条。截止2013.3.31日中国区传统病毒码9.826.60包含病毒特征数约440万条。 本季度趋势科技在中国地区客户终端检测并拦截恶意程序约6560万次。 本季度趋势科技在中国地区拦截的恶意URL地址约1亿1千万次。
2013年第1季度安全威胁
本季安全警示:
PE病毒,网络攻击,钓鱼网站
2013年第1季度安全威胁概况
本季度趋势科技中国区病毒码新增特征约61万条。截止2013.3.31日中国区传统病毒码9.826.60包含病毒特征数约440万条。
本季度趋势科技在中国地区客户终端检测并拦截恶意程序约6560万次。
本季度趋势科技在中国地区拦截的恶意URL地址约1亿1千万次。
2013年第1季度中国地区,并没有出现大规模的病毒爆发事件。但网络攻击事件仍时有发生,网络安全防护不容忽视。
第1季度,木马病毒仍然占据新增病毒数量排名首位。大部分木马有盗号或是窃取系统重要信息的特性。 与其他类型的电脑病毒相比木马更容易编写且更容易使病毒制造者获益。在经济利益的驱使下,更多病毒制作者开始制造木马病毒。另外,黑客工具类型恶意程序的新增数量增加,也表现为第一季度使用黑客工具进行攻击的事件增加,另外更加有效的新的黑客工具也不断地出现。
在第1季度的病毒检测数量排名与上季度大致相同,并没有新的危害较大的病毒出现。PE病毒仍然排名第1位。该类型的病毒问题,往往较难处理和彻底的解决。预计这种状况仍然会持续一段时间。
本季度PE病毒感染情况仍然严重:
PE_PATCHED.ASA已连续3个季度排名病毒检测数量首位,该病毒为被修改的sfc_os.dll,sfc_os.dll是用来保护系统文件的执行模块,该文件被修改后系统将失去文件保护的功能,该文件被修改预示着有其他会修改系统文件的恶意行为可能将会发生。
PE_SALITY.ER,PE_PARITE.A在本季度仍在流行中,PE_SALITY.RL除了常规的PE病毒感染方式还会通过微软的快捷方式漏洞传播(MS10-046),快捷方式漏洞也可能通过邮件到达被感染客户端。 PE_PARITE.A 除了通过感染文件,网络共享,还能够通过电子邮件传播。
PE病毒,是一种破坏性较大的恶意程序。对感染的用户系统可能造成很大的影响。某些PE类型病毒甚至会将原文件替换导致无法修复。对于PE病毒我们认为加强防范才是最好的解决方案。
本季度,宏病毒的感染形势依然严峻。很多网站提供的下载的office文档都带有宏病毒 ,再次提醒用户在打开网站下载,或者邮件附件中的office文档时请务必先使用安全软件进行扫描。
在2013年第1季度趋势科技拦截新的恶意网站中钓鱼网站约有3000个(以域名计数)。各种钓鱼网站仿冒目标中,金融证券以及网上在线支付仍然是钓鱼网页制造者主要的仿冒对象,另外一些电视台和热门节目也成为了钓鱼仿冒对象。
2013年第1季度病毒威胁情况
2013年第1季度新增病毒类型分析
2013第1季度中国地区新增病毒类型
新增的病毒类型最多的仍然为木马(TROJ),本季度新增木马病毒特征336027个,大约占新增病毒数量的56% ,比上季度略有下降。木马可使病毒制造者更直接的获利,在经济利益的驱使下大量的木马被制造并通过各方式被传入互联网中。木马也是我国目前存在数量最多的病毒类型。
本季度新增的病毒类型中新增病毒类型中比上季度多了HT类型,趋势科技定义以HT_开头的检测类型为黑客工具。2013年开始,黑客活动异常频繁。第一季度中国境内外就爆出了多起严重的黑客攻击事件。在强大的黑客工具帮助下,越来越多的网站被脱库,服务器被攻击的事件也变得越来越频繁。
JS (java script病毒),HTML(HTML及ASP病毒)常常和网页挂马相关。恶意代码的制造者将代码植入网站中,这些脚本内容往往不容易被网站管理者以及浏览网页的用户发觉,正常的网站服务器成了扩散病毒,恶意代码的平台。另外,通过向网页插入恶意代码,网络罪犯可以进一步获得网站的webshell ,甚至使他们能够控制网站服务器的机器。这样一来,网站用户的数据可能会被盗窃,服务器也可能成为这些恶意行为者的肉鸡,被用来进行网络攻击或其他一些非法的网络行为。
新的AndroidOS(安卓系统病毒)数量,在2013年第一季度持续上升。
其中数量最多的为吸费软件占到所有新增病毒的47.72%,广告软件排名第二占31.99%,排名第三的是信息窃取软件占11.34%。
2013年第1季度各类型病毒检测情况分析
2013第1季度中国地区各类型病毒检测数量比例图
2013年第1季度检测到的病毒种类中PE类型病毒感染数量仍然居高不下。大约占到总检测数量的53%。PE病毒为感染型病毒,该类病毒的特征是将恶意代码插入正常的可执行文件中。导致上季度PE病毒检测数量骤增的是PE_PATCHED.ASA。该病毒为被修改的sfc_os.dll,sfc_os.dll是用来保护系统文件的执行模块,该文件被修改后系统将失去文件保护的功能。由于该文件是系统文件,防毒软件强行查杀可能会导致系统崩溃。此外PE病毒通常会感染系统中所有的可执行文件。一旦被感染,系统中多数文件都会被检测。
蠕虫病毒最主要的特性是能够主动地通过网络,电子邮件,以及可移动存储设备将自身传播到其它计算机中。与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,即可进行自身的复制。第1季度感染比较多的蠕虫病毒仍然为WORM_DOWNAD以及文件夹病毒。另外某些PE病毒的母体也以蠕虫病毒的方式传播
目前比较流行的PE病毒,会感染一些蠕虫或者木马病毒。随着木马病毒以及蠕虫病毒在网络内的传播导致网络环境中越来越多的电脑被PE病毒感染。
2013年第1季度病毒拦截情况分析
上图显示了2013年第1季度被拦截次数排名前20的病毒。被拦截次数多的病毒可能是感染文件数量较多的PE病毒,也可能是会反复感染难以清理的病毒。
2013年第1季度被趋势科技拦截次数最多仍然的为PE_PATCHED.ASA。该病毒被拦截次数约为480万次。远远超过其他病毒。
该病毒为被修改的sfc_os.dll,sfc_os.dll是用来保护系统文件的执行模块,该文件被修改后系统将失去文件保护的功能
由于该文件是系统文件,防毒软件强行查杀可能会导致系统崩溃。
对这只病毒目前的解决方法如下(可以使用以下三种方法种的任意一种进行清理):
将被修改的文件复制到其他目录使用杀毒软件清除以后再替换回去。
使用干净的相同版本系统中的文件替换。
China RTL 已针对此病毒制作专杀,需要的用户可以到以下地址下载反病毒工具包进行处理:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/Release.zip
本季度PE_SALITY 病毒仍然排在病毒检测数量前三位中,这种PE感染型病毒利用了微软的快捷方式漏洞传播。
相关安全公告连接:
(MS10-046) Microsoft Windows Shortcut Remote Code Execution Vulnerability
最低0.47元/天 解锁文章
3157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
