Anchiva 威胁报告（2009年第四季度）_安启华SWG

作者：Anchiva RapidRX安全实验室来源:Anchiva

Q4 2009 Anchiva季度威胁报告大事记

本季度Anchiva截获新生恶意软件超过200万
网页木马是Web安全的主要威胁
间谍软件通过邮件大量传播，骗钱并监控用户网银帐号
恶意网站持续增长，“.cn”域名位居前列
大型社交网站被入侵，3200万用户信息被泄露
Adobe零日漏洞频现，用户打开PDF需谨慎
IIS服务器文件名解析缺陷致大量服务器被入侵
Conficker蠕虫继续在企业内网横行
短网址服务被钓鱼网站利用，社交/支付网站用户谨防被骗

Malware威胁概况
本季度Anchiva安全实验室共截获各类Malware约200万，比上季度大幅上升。木马所占的比例与上季度相比略为上升，仍占一半以上。其余依次为蠕虫、后门程序、间谍软件、风险软件和广告软件，传统病毒和其它类别所占比例与上季度没有变化。

相较于第三季度，有些Malware依然很活跃，比如Trojan/HTML.Iframe.EDA6、Trojan/JS.ShellCode.5B4E。Exploit/JS.Agent和Trojan/JS.Shellcode两个家族活动非常频繁，分别在前二十中占了六个和四个席位。显示出当前流行的攻击方式依然是通过网页进行漏洞利用。这些Malware多数被挂马集团所利用，下载Spyware、Banker等木马，窃取敏感信息或进行系统破坏。拦截这些恶意脚本，可以有效的破坏其“挂马－下载恶意软件－造成破坏”这一工作链，从而减少损失。

Trojan/HTML.IFrame.EDA6：该木马存在于恶意站点，通过其包含的隐藏Iframe，利用相关漏洞，下载其它恶意软件。多见于挂马攻击中。

Trojan/JS.Shellcode.0F5D：该木马利用系统漏洞，或者Adobe PDF等第三方软件的漏洞，执行任意远程代码。一般也是在挂马攻击中出现，作为下载其它恶意软件的工具。
某客户中Trojan/JS.Shellcode.0F5D的部分拦截记录

Email Malware Top20

根据Anchiva Malware监测网的监测结果，本季度的邮件威胁中，出现频率{zg}的前20种Malware如下图所示。

其中Worm/FakeAlert.4840@mm在本季度中从第三季度的第四位一跃上升到{dy}，显示出该蠕虫在第四季度依然很活跃。从一份美国xx调查局发出的警告称，诈骗分子利用假冒的杀毒软件在09年获得了超过1.5亿美元的非法收入。从上图我们的统计也可看出，假冒杀毒软件的传播活动在第四季度的确非常频繁，计有Worm/FakeAlert.4840@mm、Trojan/FraudLoad.742B!dldr、Trojan/FakeAlert.ED62等三个变种，它们均位列前十。这些假冒杀毒软件通过垃圾邮件发送到受害者机器上，并诱使受害者打开、执行附件。随后它们会弹出一个假的警告，报告电脑中存在着恶意软件，并强制要求受害者注册，才能xx那些所谓的“恶意软件”。

上图显示10月底11月初，我们针对Worm/FakeAlert.4840@mm在某客户环境中的部分拦截情况。它每天发送的邮件成千上万，而它仅仅是Worm/FakeAlert家族中的一个。所幸我们的客户已经得到很好的保护，不会受到该类恶意软件的威胁。 下列是本季度中新增的13个恶意软件，在前二十中占大多数。大部分是间谍软件、木马，用于窃取受害者敏感信息。

· Worm/Agent.3ED0@mm · Trojan/Pif.3CAB!dldr · Worm/Agent.0840@mm · Trojan/Brealab.57AC · Trojan/FraudLoad.742B!dldr · Spyware/Zbot.D553 · Trojan/Agent.CEA2!dldr · Trojan/EncPk.F340 · Worm/Agent.3ED0@mm · Spyware/Zbot.A73C · Spyware/Zbot.A845 · PUA/Krap.FE28!packed · Trojan/Pif.2B0D!dldr

Worm/Agent.3ED0@mm：这个蠕虫一旦运行，它会发送成千上万的垃圾邮件来传播。为了迷惑受害者，它会伪装成上司发出的通知邮件。

Trojan/Pif.3CAB!dldr：这个木马是一个PIF可执行文件，通过垃圾邮件的附件传播。受害者运行后，它会生成一个bat脚本文件，并调用系统ftp命令，下载远程服务器上的其它恶意软件。

Trojan/Brealab.57AC：这个木马可执行文件作为邮件附件发送、传播。它伪装成微软Word文档，诱使接收者打开该附件。运行后，它修改受害者的浏览器主页，安装一个BHO（浏览器插件），并下载其它恶意软件。

Spyware/Zbot.D553：这个间谍软件专门窃取个人网上银行信息。它通过垃圾邮件的附件传播，也可以通过其它恶意软件下载到受害者系统中。用户不小心运行后，它会隐藏在系统中，偷偷窃取受害者网上银行的帐号及密码等信息。同时，它会下载一系列的其它恶意软件，作为新的恶意软件的传播途径，从而为攻击者攫取利益。

恶意网站Top20
根据Anchiva Malware监测网的监测结果，发布恶意软件数量最多的前20个恶意网站如下图所示。

       09年12月份，国内外媒体争相报道了轰动一时的rockyou.com泄密事件。黑客通过SQL注入漏洞攻击rockyou.com，窃取该网站3200多万用户的密码、个人资料等敏感信息，并把部分用户资料公布在网络当中。rockyou.com的用户在注册帐户时，仅仅要求其密码多于五位字符，并不要求字母、数字及符号混合的强密码。它甚至不准用户密码中包含符号。rockyou.com会提示用户输入第三方网站的用户名及密码，比如facebook、myspace等社交网站。而糟糕的是，用户们的所有这些密码、个人资料等敏感信息在数据库中并没有被加密，而是xx可见的。在这一系列的错误之下，最终酿出被黑客入侵，用户信息被窃取的恶果。
        同时SQL注入作为一个成熟的技术，其所需的技术成本、门槛越来越低，而造成的危害却可以非常巨大、显而易见的。
        研究者对rockyou.com泄露的密码进行研究发现，使用频率{zg}的密码多数是一些有规律的数字或常用单词。而这样的密码如果在黑客的字典攻击下，将毫无安全可言，不用多少时间，黑客便可以暴力xx出来。

Adobe零日漏洞
        第四季度以来，用于零日攻击的Adobe漏洞如下：
        · CVE-2009-3459
        · CVE-2009-4324
        以上两个漏洞都被挂马集团、定向攻击等所利用，通过邮件附件或者挂马者感染的网页来传播。在对受害者攻击过程中，它们一般释放或者下载其它恶意软件，来达到远程控制、窃取信息等目的。这类攻击一般比较隐蔽，受害者可能仅仅不小心点击了一个链接、打开了一个文档，而攻击者在释放、下载恶意软件的同时，一般会释放出一个其它安全的文档，以此麻痹受害者。

通过统计Adobe相关的09年CVE数目，我们发现总共有100个abode漏洞被上报。而随着windows 7的发布，在其底层安全框架越发完善的情况下，windows平台上可利用的漏洞将越来越难以发掘。不难推测在不久的将来，Adobe Reader等第三方的软件将越来越受到黑客的青睐，更多的pdf、flash等漏洞将被应用于攻击中。 下图是Anchiva某客户第四季度中截获的利用PDF漏洞进行攻击的部分实例。

微软IIS畸形文件扩展名绕过安全限制漏洞
微软IIS服务程序在解析文件扩展名时存在漏洞，对形如“malicious.asp;.jpg”的文件，将会以ASP文件方式在服务器上执行。黑客在攻击web服务器时，就可以利用该漏洞，上传webshell，从而控制该服务器，造成破坏。微软认为这只是服务器权限设置缺陷，并不打算释放相应的补丁。我们建议不仅要按时打系统补丁，同时限制上传文件目录的可执行权限，以此来避免该类漏洞的利用。

内网肆虐横行的Conficker
Conficker蠕虫传播途径很多，它可以通过U盘、RPC漏洞、p2p共享等方式在内网横行。一旦某台机器中毒，它会通过扫描的方式，在内网寻找有RPC漏洞、弱口令的windows机器。如果该机器还有外网IP，它同时会扫描设定的外网IP列表，并伺机向外传播。因此发现某台机器中了该毒，必须马上断开网络连接，使用杀毒软件彻底查杀，再安装好系统补丁，才能彻底xx干净该蠕虫。

钓鱼网站
Twitter、facebook等社交网络服务在2009年第四季度取得了更大的发展，用户数节节高升。人们通过它们交友、学习、聊天，甚至进行商业活动。而随着新浪微博客、twitter、facebook等社交网络服务的逐渐流行，针对该类网站的钓鱼网站日渐增多。延续上一季度的威胁，淘宝、QQ等国内网站依然是钓鱼者针对国内用户主要的攻击对象。

钓鱼网站可以通过仔细观察网站域名、网页上的内容、布局等来辨别。不要轻易点击邮件、聊天信息等发来的未知链接，在提交个人密码、帐号、生日等敏感信息时，也要确认安全才可以发送。随着短网址服务（sinaurl.cn、、bit.ly、tr.im等网站）的盛行，使得url在新浪微博、twitter等微博客服务中传播、分享带来便利，但随之也带来不安全因素。黑客可以把url缩短以至无法辨别真伪，用户点击就有可能下载恶意软件，致使个人信息泄露，从而造成不必要的损失。因此安全起见，可以通过longurl.org之类的网址展开服务，或者firefox中RequestPolicy插件，来防范可能的钓鱼网站。

Anchiva成立于2006年2月，公司汇集了来自国内外防病毒领域以及网络安全设备领域的优秀人才，创办人和高管曾经在Netscreen、Trend Micro、Fortinet、Cisco等国际企业中担任过重要职务。到目前为止，公司在北京、杭州、台湾、美国加州设立了四个研发中心，拥有超过百位优秀的研发人员。并在北京、上海、广州、香港、台湾、San Jose设有办事处，产品及服务遍及亚洲以及北美洲。

Anchiva是Web安全网关的{lx1}者，着眼于Internet应用安全领域，致力于高性能Web安全网关的研发，为企业提供整合反恶意软件、URL过滤、Internet应用控制、带宽管理、Web服务器内容保护等诸多功能的Anchiva系列 Web 安全网关（Anchiva SWG），帮助企业防御网络威胁，加强信息安全管理，提高生产效率。

Anchiva SWG 采用专门为内容安全而设计的操作系统AnchivaOS，在自主研发的高性能ASIC安全芯片的驱动下，打破了传统应用安全性能瓶颈，为企业提供实时、xxx的安全防护。Anchiva SWG 通过ICSA病毒检测认证，能{bfb}覆盖流行病毒；同时通过ICSA性能测试，证明其全球{lx1}的高性能特性。

Anchiva拥有自己的RapidRX 安全实验室，由经验丰富的病毒分析家和研究员组成，他们战略性的分布在美国，欧洲以及大中国区。Anchiva特征库容量、覆盖率在业界遥遥{lx1}，通过Anchiva SWG内置的Malware特征库可以找到多达1000万以上的威胁样本。RapidRX安全实验室提供24小时不间断的升级服务，同时具有启发式扫描技术，确保用户网络随时处在{zx1}技术的保护下，为了在{zd0}限度降低误判的基础上提高查杀率，Anchiva创新的开辟了多引擎的查杀技术。

Anchiva SWG 产品线分为高、中、低多个型号，覆盖用户由100人到10000人，为众多行业提供解决方案，客户覆盖金融、电信、教育、医疗、制造、政府、能源、零售等行业。

关于Anchiva安全实验室（Anchiva RapidRX Labs）

Anchiva安全实验室成立于2005年，由经验丰富的Malware分析专家和安全研究员组成，为世界xx病毒研究组织Wildlist的成员。该实验室是Anchiva全球反病毒研究和产品支持中心，也是Anchiva安全服务基础设施的中枢系统，在亚太、北美和欧洲等地设有专门的病毒研究中心和样本采集网络，为全球客户提供持续的全天候病毒防范服务。更多安全资讯请访问http://www.anchiva.com/virus/。