新闻中心
  行业新闻
  公司动态
 
首页 > 新闻中心 >行业新闻 >2009年7月份病毒行为回顾
 
2009年7月份病毒行为回顾
[ 2009-8-12 14:51:18] 作者:福义轩信息市场部 来源:福义轩信息市场部

Doctor Web 2009年7月份病毒行为回顾

2009-08-07

  Doctor Web 发表2009年7月份病毒行为回顾报告。针对Windows系统和几个流行应用程序的新的攻击成为上个月病毒发展的主要趋势。尽管7月份流行病毒的可疑代码很少在出现在电子邮件中,网络犯罪从未放弃采用新技术手段来吸引人们对他们的关注。

  JS.Gumblar

  Doctor Web 公司上半年的病毒行为回顾报告中描述了JS.Gumblar 的高度威胁性和快速传播性。俄罗斯国内于7月份发现首例该病毒 (参见下图)。



  从上图可以看出 JS.Gumblar 在5月28日达到病毒爆发的峰值, 网站被该种病毒感染的比例高达 13.7%。 目前它的传播速率已经成降低趋势,但是依旧对网络资源构成一定的威胁。

  FlashBack

  2009年7月中旬的病毒行为显著体现在蠕虫病毒 Win32.HLLM.MyDoom 的几个变种程序的活跃程度意外激增,蠕虫病毒 Win32.HLLM.MyDoom 是于2004年大规模爆发的常见病毒之一。

  现在, 这些 Win32.HLLM.MyDoom 的变种程序被用来执行对韩国和美国网站的 DDoS 攻击。在图中,您可以看到从该病毒的一个组件的配置文件中提取出来用来进行 DDoS攻击的字符串 ( Dr.Web 将该威胁命名为 DDoS Config)。

   用来进行攻击行为的被感染计算机的数量已经到到上万台。被攻击的网站资源涉及美国和韩国的多个政府机构: whitehouse.gov, nsa.gov, president.go.kr 以及很多其他网站。Win32.HLLM.MyDoom 的变种程序主要通过垃圾邮件附件进行传播。结果表明,这个曾经隐退的威胁,直至今天仍旧可以造成很大的滋扰。

  移动网络僵尸

  7月份发现该种运行于Symbian Series 60 3rd Edition 平台上的蠕虫病毒。它伪装成一款网络上可供下载的软件进行传播。被该蠕虫感染的通讯设备向该设备中保存的通讯录名单发送垃圾短信。该短信的主题为一个有趣的测试,诱导用户打开链接已登陆用于传播该病毒的网站。



该威胁属于新Symbian.Worm 家族。Dr.Web 反病毒将该威胁命名为 Symbian.Worm.1。

   值得注意的是,该蠕虫安装程序遵循 Symbian Signed 协议。该认证已被 Symbian 撤销。请参见公司日至查阅相应信息。

  Symbian.Worm.1 窃取用户个人数据,并将其发送到一个远程服务器。该蠕虫可以通过已建立的网络连接更新消息模版。可见,该蠕虫类似于移动网络僵尸,与网络罪犯进行通信,并将从被感染移动通讯设备上收集的个人信息发送给网络罪犯。

  Twitter (社交网站)中招的Win32.HLLW.Facebook worm

  7月份活跃程度增加的病毒还有Twitter (社交网站)中招的 Win32.HLLW.Facebook (Koobface)。



该社交网站的创建者在他们的博客中发表了相应的警告信息。



Doctor Web 病毒分析师发现 Win32.HLLW.Facebook 的变种程序存在几个不同点,但是却拥有相同的功能。这使得Doctor Web 可以通过使用 Origins Tracing 来确保可靠的检测Win32.HLLW.Facebook 的各个变种。大多数该恶意程序的变种被命名为 Win32.HLLW.Facebook.origin 。

  Trojan.Winlock

  本月流行病毒中较活跃的还有一种阻止用户访问 Windows 桌面的木马。同样,该木马也是伪装成反病毒软件以获得关注。

  电子邮件病毒和网络钓鱼

  7月份曾经提及过几个通过电子邮件传播恶意程序的案例。涉及保健产品的垃圾信息的数量大幅增长。垃圾邮件制造者还通过 Google Groups,Yahoo Groups, Live Journal 服务向广大观众传播此类信息。




  IRC.Flood.702 通过 ICQ 用户的的电子贺卡进行传播,成为使用垃圾信息进行分发的唯一恶意程序。

  迈克尔 杰克逊的去世是一个深受关注的事件,同时也成为值得网络罪犯加以利用的事件。看似包含该事件信息的消息有可能成为链接到 Trojan.PWS.Panda.122 传播网站的受害者。

  BAT.Hosts 恶意程序以一种电子贺卡的形式传播给用户。该程序在 Host 文件中写入几行字符串,这样,当用户要访问特定的网站时会重定向到西班牙银行目标客户的网络钓鱼资源。在西班牙也发现了通知用户该种电子贺卡的消息。

  传统网络钓鱼攻击的目标还包括 eBay 用户和使用美国在线银行系统的客户。Comerica 银行,Ally 银行和 USAA 的客户也成为7月份网络钓鱼攻击的受害者。


7月份电子邮件传输中检测到的病毒

01.07.2009 00:00 - 31.07.2009 00:00
1 Win32.HLLM.Netsky.35328 8166826 (22.65%)
2 Win32.HLLM.Beagle 5909675 (16.39%)
3 Trojan.DownLoad.36339 5504479 (15.27%)
4 Trojan.PWS.Panda.122 2103096 (5.83%)
5 Win32.HLLM.MyDoom.based 1982009 (5.50%)
6 Trojan.Botnetlog.9 1813173 (5.03%)
7 Win32.HLLM.MyDoom.33808 1418521 (3.93%)
8 Trojan.MulDrop.19648 1369527 (3.80%)
9 Win32.HLLM.MyDoom.44 1071356 (2.97%)
10 Win32.HLLM.Netsky 742919 (2.06%)
11 Win32.HLLM.Beagle.32768 722449 (2.00%)
12 Trojan.MulDrop.13408 658883 (1.83%)
13 Win32.HLLM.Perf 587196 (1.63%)
14 Win32.HLLM.MyDoom.49 561190 (1.56%)
15 Win32.HLLM.Beagle.27136 476340 (1.32%)
16 Win32.HLLM.Netsky.based 444932 (1.23%)
17 Exploit.IframeBO 443541 (1.23%)
18 Exploit.IFrame.43 360002 (1.00%)
19 Trojan.PWS.Panda.114 335392 (0.93%)
20 W97M.Dig 238968 (0.66%)

扫描总数量: 137,012,732,015
被感染数量: 36,051,605 (0.0263%)

7月份用户计算机检测到的病毒

01.07.2009 00:00 - 31.07.2009 00:00
1 Trojan.DownLoad.36339 2503920 (10.23%)
2 Win32.HLLM.Beagle 2334712 (9.54%)
3 Trojan.WinSpy.176 1304339 (5.33%)
4 Win32.Virut.14 1171115 (4.78%)
5 Win32.HLLW.Gavir.ini 1163586 (4.75%)
6 Win32.HLLM.Netsky.35328 1027107 (4.20%)
7 Trojan.WinSpy.180 971590 (3.97%)
8 Win32.HLLM.MyDoom.49 899655 (3.68%)
9 Trojan.MulDrop.16727 799252 (3.27%)
10 Trojan.PWS.Panda.122 666798 (2.72%)
11 Trojan.Botnetlog.9 587117 (2.40%)
12 Win32.HLLW.Shadow.based 584087 (2.39%)
13 Trojan.WinSpy.160 513468 (2.10%)
14 Win32.HLLM.MyDoom.33808 494072 (2.02%)
15 Win32.Sector.17 383420 (1.57%)
16 Win32.Alman 381582 (1.56%)
17 DDoS.Kardraw 379553 (1.55%)
18 Win32.HLLM.Netsky.based 343624 (1.40%)
19 W97M.Hana 283978 (1.16%)
20 Win32.HLLW.Autoruner.5555 267185 (1.09%)

扫描总数量: 210,224,776,255
被感染数量: 24,478,202 (0.0116%)