中国地区2012年第三季度网络安全威胁报告

2012年第3季度安全威胁

本季安全警示：

 

PE病毒，宏病毒

2012年第3季度安全威胁概况

  本季度趋势科技中国区病毒码新增特征约60万条。截止2012.9.30日中国区传统病毒码9.430.60包含病毒特征数约400万条。

 

  本季度趋势科技在中国地区客户终端检测并拦截恶意程序约9850万次。

 

  本季度趋势科技在中国地区发现并拦截新的恶意URL地址约30万个。

 

2012年第3季度中国地区，木马病毒仍然占据新增病毒数量排名首位。大部分木马有盗号的特性，比其他类型的电脑病毒更容易编写且更容易使病毒制造者获益。在经济利益的驱使下，更多病毒制作者开始制造木马病毒。

 

第3季度的病毒检测数量排名中，PE病毒超过木马跃居第一位。本季度PE病毒感染情况严重：

 

PE_MUSTAN病毒在本季度爆发, 该病毒由WORM_MORTO（windows远程桌面蠕虫）病毒演变而来。该PE病毒除了能够通过感染文件，网络共享，以及可移动存储设备传播。还能通过远程桌面传播，并且具有感染可执行文件的能力.

 

PE_CORELINK病毒本季度进一步的扩散。这只在2007年使得大量电脑中招瘫痪的感染型病毒具有死灰复燃的趋势。该病毒会在系统windows 目录释放linkinfo.dll  使用rootkit 隐藏自身,通过网络共享以及移动存储设备传播。

 

上季度提到的2种PE病毒PE_PARITE.A，PE_SALITY.RL在本季度仍在流行中，其中PE_PARITE.A 除了通过感染文件，网络共享，还能够通过电子邮件传播。而PE_SALITY.RL除了常规的PE病毒感染方式还会通过微软的快捷方式漏洞传播。

 

PE病毒，是一种破坏性较大的恶意程序。对感染的用户系统可能造成很大的影响。某些PE类型病毒甚至会将原文件替换导致无法修复。对于PE病毒我们认为加强防范才是最好的解决方案。

 

本季度，宏病毒的感染形势依然严峻。很多网站提供的下载的office文档都带有宏病毒 ，再次提醒用户在打开网站下载，或者邮件附件中的office文档时请务必先使用安全软件进行扫描。

 

在2012年第3季度趋势科技拦截新的恶意网站中钓鱼网站约有5000个(以域名计数)。各种钓鱼网站仿冒目标中，淘宝网首当其冲。成为各钓鱼网站最喜欢仿冒的对象。由于微博的影响力的扩大，以微博抽奖、中奖为名进行网络钓鱼数量大大增加。

 

2012年第3季度病毒威胁情况

2012年第3季度新增病毒类型分析

 

2012第3季度中国地区新增病毒类型

 

新增的病毒类型最多的仍然为木马（TROJ），本季度新增木马病毒特征343621个，大约占新增病毒数量的60% 。木马可使病毒制造者更直接的获利，在经济利益的驱使下大量的木马被制造并通过各方式被传入互联网中。木马也是我国目前存在数量最多的病毒类型。

   

本季度除了新增的后门病毒以及IRC类型病毒数量稍稍有所下降。其他类型病毒新增数量均有所上升。

 

宏病毒的传播速度十分快，并且不容易被发现。这是一种比较老的病毒，但是最近这种有了些历史的病毒又被翻新，并且采用了新的技术，使这种病毒可以做更多的事情。Office文件中往往保存了用户的重要数据和信息，宏病毒的增长也给数据安全带来了很大的挑战。

 

 

IRC病毒(IRCBOT)也值得我们特别的关注。IRC（internetrelay chat）是一款功能强大的即时聊天协议，IRCBOT是一些运行在后台的恶意程序，通过登陆某一个频道，分析接受到的内容并做出相应的动作。

 

ROOTKIT是指其主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。病毒采用rootkit 技术可以隐藏自身不被感染者甚至防毒软件发现。

 

 

2012年第3季度各类型病毒检测情况分析

 

 

2012第3季度中国地区各类型病毒检测数量比例图

 

 

2012年第3季度检测到的病毒种类中PE类型病毒感染数量已经超过木马病毒大约占到总检测数量的46%。PE病毒为感染型病毒，该类病毒的特征是将恶意代码插入正常的可执行文件中。感染比率上升可能是因为在上季度多种PE病毒同时爆发所导致。PE病毒通常会感染系统中所有的可执行文件。一旦被感染，系统中多数文件都会被检测。

 

蠕虫病毒基本与上季度持平。蠕虫病毒最主要的特性是能够主动地通过网络，电子邮件，以及可移动存储设备将自身传播到其它计算机中。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，即可进行自身的复制。第3季度感染比较多的蠕虫病毒仍然为WORM_DOWNAD以及文件夹病毒。另外某些PE病毒的母体也以蠕虫病毒的方式传播

      

目前比较流行的PE病毒，会感染一些蠕虫或者木马病毒。随着木马病毒以及蠕虫病毒在网络内的传播导致网络环境中越来越多的电脑被PE病毒感染。

 

 

2012年第3季度病毒拦截情况分析

 

 

2012 第3季度中国区拦截次数排名前20病毒

 

上图显示了2012年第3季度被拦截次数排名前20的病毒。被拦截次数多的病毒可能是感染文件数量较多的PE病毒，也可能是会反复感染难以清理的病毒。

 

2012年第3季度被趋势科技拦截次数最多仍然的为PE_PATCHED.ASA。该病毒被拦截次数约为410万次。远远超过其他病毒。跟上季度相比略有下降。

 

该病毒为被修改的sfc_os.dll，sfc_os.dll是用来保护系统文件的执行模块，该文件被修改后系统将失去文件保护的功能

 

由于该文件是系统文件，防毒软件强行查杀可能会导致系统崩溃。

 

对这只病毒目前的解决方法如下：

  将被修改的文件复制到其他目录使用杀毒软件清除以后再替换回去。

  使用干净的相同版本系统中的文件替换。

  ChinaRTL 已针对此病毒制作专杀，需要的用户可以到以下地址下载反病毒工具包进行处理：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/AvbTool/Release.zip

 

 

 

本季度PE_MUSTAN 大规模爆发，仅PE_MUSTAN.A检测次数就达到将近100万条。该病毒最早在2012年1月份左右被发现。通过代码分析可以发现该病毒继承于先前发现的WORM_MORTO 。