【51CTO.com 归纳音讯】9月，秋天的感觉开端深了，这是一个收成的时节，也是一个开端走入冰冷的时节。安全厂商开端连续发布2010版其他产品，用户的安全得到进一步加强。而这对不法黑客来说则是一个糟糕的音讯，由于这意味着他们有必要投入更多的精力研讨对立技能，不然财源就要被断掉。假如不赶快找到新的进犯方式，或许还等不到冬季到来，他们就得完蛋。

所以，9月的安全形势开端有了改变，比方挂马进犯削减了，转而一些更为荫蔽的进犯方式开端盛行。老掉牙的绑缚式传达，由于绑缚方针变成了十分受欢迎的文件，病毒木马们得以有更多的时机混进电脑，乃至连一些比较陈旧的软件安全缝隙也被黑客们从头发掘出来测验运用。而国庆的接近，让我国遭到更多的重视，境外黑客这个时分也跑来凑热闹，频频进犯国内网站。

9月，互联网安全又进入了一轮新的奇妙改变。

九月安全状况简述

挂马的秋天？

在9月，网页挂马数量呈现了显着下降。挂马网址的数量从8月的1,507,116个骤降至1,244,572个，好像这个时节的树叶一般。

各家杀软的防挂马东西在这一时刻段内并没有什么显着的技能晋级和推行活动，但挂马团伙不会无缘无故的“偃旗息鼓”，挂马网址的削减必定是有其它原因的。

结合大环境考虑，咱们以为挂马团伙的“收敛”应该与国庆接近有较大联系。跟着国庆的日益接近，相关部分加大了对网络安全的监查，在这种状况下，国内的黑客安排天然不敢有什么大动作，生怕撞上枪口。

但更忧虑的，是呈现了更为荫蔽、低沉的进犯方式。在十月初，金山毒霸云安全体系确实截获到了一些比较荫蔽的黑客进犯事例，它们相对挂马来说更为“温文”和“低沉”。咱们正在研讨它们是否有或许代替挂马成为干流的网络进犯方法。概况可见后边的十月预警。

图1 9月挂马疫情数据示意图，能够看到一个显着的下降

Delphi梦魇，按期而至

好像咱们从前猜想的那样，Delphi梦魇（win32.induc.b.820224系列）成为了9月份总感染量最高病毒，全月它共具有超越600万台次的感染量。（其时的概况可在毒霸官博查看 http://blog.duba.net/post/delphi-workers-nightmare_9013.html）

该毒的呈现，为广阔黑客指出了一条十分具有应战的“前进方向”，Delphi梦魇通过感染程序员的电脑，令软件产品从出产地开端，就染上病毒，并跟着软件产品的出售装置，传到达更多的电脑上。有什么是比这更高效的病毒传达办法呢？

Delphi梦魇源代码流出没多久，金山毒霸云安全体系就在网络中捕获了依据该毒技能的木马下载器。从代码上看，这一下载器很简略，好像只是是为了测验而制作。咱们当然期望这只是是国内黑客出于技能研讨而出产的，但毒霸仍是进行了同步晋级，由于咱们不敢放松警觉。谁也不能确保必定不会有利益熏心的木马团伙运用该毒原理来为非作歹。

最大的忧虑，是由于国内运用破解版软件的网民较多，Delphi梦魇在电脑上重复感染的或许性十分高，由于那些用于制作破解软件的破解东西，八成现已被Delphi梦魇所感染，用它们制作的破解版软件，天然也就不洁净。用户很简略由于下载了某些破解软件，而再次感染该毒。

作为现在国内仅有一款可查杀Delphi梦魇、并修正被其感染的delphi环境的杀毒软件，金山毒霸现已在第一时刻放出了完全免费的专杀，即便没有装置金山毒霸的电脑，也可及时铲除该毒，康复体系安全。“Delphi梦魇专杀东西”下载地址：

http://cu003.www.duba.net/duba/tools/dubatools/usb/fixdelphi.exe

绑缚型传达渐成干流

凭借社会重视热门，将病毒木马与其它文件绑缚到一同，现已是被越来越多的不法黑客选用的传达方法。当网页挂马的难度，由于法律部分加大督查、杀软厂商选用新技能等原因增大后，黑客们从头捡起了这种陈旧的病毒传达办法。

其间被运用得最多的绑缚方针，便是各类视频播放器。但简直一切因此中招的用户，都有一个共同点，便是他们所下载的播放器，并非在播放器官方授权的下载站点下载，而是一些不知名的小站点或不良视频论坛。这一切都是不法黑客搞的鬼。他们将木马绑缚在Qvod等盛行的播放器上，处处投进下载链接，乃至不吝专门建立一个不良网站招引用户前去拜访，一旦用户下载，就会中招。 #p#

九月安全相关数据

新增病毒样本数：2,919,640个

病毒感染机器数：22,767,670台次

新增安全缝隙补丁：微软9月共发布61个不同版其他安全补丁，对应windows操作体系上的13个安全缝隙，金山整理专家已悉数为用户完结同步晋级。关于其间的重要缝隙，可见微软官方公告 http://www.microsoft.com/china/technet/Security/bulletin/ms09-sep.mspx#EUC

挂马网址：1,244,572个

十大病毒排行榜

此排行榜是依据金山毒霸云安全体系的监测核算，通过特别核算后得出的参阅数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢掉和监督盲区，榜中数据均为保存值。该榜仅针对WINDOWS体系下的PE病毒单一样本，一些总感染量很高的病毒，由于变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。

表1

1. Win32.induc.a.820224 (Delphi梦魇)

打开描绘：感染Delphi环境，从源头污染程序

症状：无任何症状

卡巴命名:Virus.Win32.Induc.a

NOD32命名：virus.Win32.Induc.A

这是一个针对Delphi程序员的病毒“Delphi梦魇”，它专门感染Delphi程序员的电脑，一旦成功，程序员往后写出的任何程序，都将带有该毒。

当跟着被感染文件进入电脑体系，“Delphi梦魇”就开端查验体系中是否有Delphi环境。它通过循环检测注册表键值的办法查找dephi 的装置目录，假如找到dephi，就将歹意代码前排刺进SysConst.pas文件，这个文件编译的时分，会生成SysConst.dcu，而这个文件会被添加到每个新的dephi工程中。所以，Delphi程序员们所编写的程序就悉数带毒了。

该毒不具有损坏能行为，但由于其在技能和进犯办法上的打破，现已成为一些不法黑客学习和改造的方针，依据该毒改写的下载器现已在技能上完结，一旦被广泛运用，成果难以想像。而且现在国内除金山毒霸外，尚无其他杀软厂家具有查杀该毒的才能，这更加剧了国内网络的风险。

2. Win32.troj.geralt.kb.190962（病毒寄生播放器）

打开描绘：绑缚视频播放器、下载器，弹广告并下载木马

症状：弹出广告窗口，生疏进程敏捷增多

卡巴命名:Trojan.Win32.Vilsel.gyj、Trojan.Win32.Vilsel.gpc

瑞星命名: Trojan.Win32.KillAV.caq\n、Worm.Win32.Autorun.sta\n

NOD32命名: Trojan.Win32.AntiAV.NCL,Trojan.Win32.AntiAV.NCL

这是一款依托绑缚传达的木马程序，它会履行弹广告、下载木马等行为。该毒首要凭借绑缚于盛行的播放器来传达，比方最近比较受欢迎的Qvod。跟着各种在线播放器的盛行，木马团伙也找到了新的传达途径：他们将木马绑缚在某些比较受欢迎的播放器或视频下载器中，然后设法诈骗用户下载通过他们改造的播放器，使得用户中招。

该毒的大部分样本被发现绑缚于非官方下载页面的Qvod播放器以及某些视频下载器中。金山毒霸安全专家剖析，木马团伙是在一些论坛、社区或不良视频网站投进下载链接，然后以热播影片诱惑用户下载。

一旦用户装置这些被动过手脚的播放器或下载器，木马就会当即运转起来，履行木马团伙设定的指令，首要是弹出广告窗口和下载其它木马。

3. Win32.troj.onlinegamest.oc.53400（网游帐号吞吃兽）

打开描绘：盗取帐号

症状：游戏配备丢掉，帐号暗码总输不对

卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic

瑞星命名:Trojan.PSW.Win32.GameOL.yjw\n

NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名: PWS-OnlineGames.ek trojan

这是一个针对多款盛行网游的盗号木马。它会盗取魔兽国际等闻名游戏的账号暗码信息，然后发送到病毒作者指定的地址。

该毒依托挂马下载器和绑缚于其它文件的下载器的帮忙，侵略用户电脑，可偷盗包括魔兽国际在内的一些盛行网游的游戏账号，然后将其发送到病毒作者指定的地址，随后很快就会被工作的洗号者将游戏账号中可自在买卖的物品悉数盗走，用户及时找回账号，能得到的也只剩一个“一丝不挂”的游戏人物。

如发现体系中有此毒无法完全删去，很或许是有不知道下载器不断将该毒下载到电脑中，可下载运转金山安全实验室的“金山急救箱”，将下载器灭活，一起运转整理专家的缝隙查看功用，查看是否有安全缝隙需求更新。

“金山急救箱”下载地址 http://labs.duba.net/jjx.shtml

4. Win32.Troj.FakeFolderT.yl.1407388（文件夹仿照者）

打开描绘： 仿照文件夹图标，诈骗用户点击

症状：U盘文件夹图标被替换，杀毒后文件夹丢掉

卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

瑞星命名: Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

McAfee命名: W32.Madangel.b virus、W32.Fujacks.aw virus

Win32.Troj.FakeFolderT.yl.1407388（文件夹仿照者）是一个U盘病毒，它将用户体系中的文件夹图标悉数变为自己的EXE文件，用户有必要点击病毒文件才可进入文件夹。这使得病毒得以绕过体系或安全软件的U盘监控功用。假如该变种所带着的履行模块是广告插件，那么就会尽或许多的弹出广告网页。

该毒给许多用户带来的最大费事是它会将用户的文件躲藏起来，即运用户凭借杀软将其删去，也难以康复。这使得一些用户误以为是杀软将自己的文件夹删去。

运用金山安全实验室的急救箱，可完美处理该毒带来的这一问题。下载地址 http://labs.duba.net/jjx.shtml

5. Win32.troj.fakefoldert.yo.1406378（文件夹仿照者变种）

打开描绘： 仿照文件夹图标，诈骗用户点击

症状：U盘文件夹图标被替换，杀毒后文件夹丢掉

卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

McAfee命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹仿照者）的一款变种，感染该毒后的一切症状完全共同。

6. Win32.trojdownloader.agent.151552（小广告下载器）

打开描绘：弹广告而且下载其它木马的流氓插件

症状：IE浏览器主动弹出窗口，生疏进程增多

卡巴命名: Trojan-Downloader.Win32.Agent.cqlm、Trojan-Dropper.Win32.StartPage.aw

瑞星命名:Trojan.Win32.StartPage.nbk\n

NOD32命名:Trojan.Win32.StartPage.NMW

该毒为一款能修正IE浏览器默认主页的流氓程序，它一起也具有下载器的功用，会下载一些其他歹意程序到电脑中运转。

它在进入体系后，会将IE浏览器的默认主页修正成病毒作者指定的地址，以便在用户每次发动IE时弹出广告。但由于它参加了下载器功用，会下载更多的其它木马，因此带来的潜在影响就更大。病毒作者能够通过修正下载列表，把任何一种病毒木马传输到用户电脑中。

此毒在9月末的最终几天迸发，敏捷飙升为单日感染量最高的病毒，金山毒霸反病毒工程师估量，这一病毒在10月初仍然会坚持这样的强势。

7. Win32.pswtroj.gameol.226416 (网游盗号者OL)

打开描绘：偷盗网游账号

症状：游戏忽然中止，账号无法登陆，配备无故丢掉

卡巴命名：Trojan-GameThief.Win32.Magania.bzjz

瑞星命名：Trojan.PSW.Win32.GameOL.yjw\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名：PWS-OnlineGames.ek trojan

“网游盗号者OL”（win32.pswtroj.gameol.226416）在9月初时，感染量曾呈现出快速添加的气势。金山毒霸安全专家以为是有病毒团伙在背面进行推行有关。

该盗号木马的行为十分简略，可是却在如此短的时刻内传达得如此广，通过对金山云安全体系捕获的病毒样本进行剖析，咱们发现该毒完全是依托某款下载器在进行传达。

病毒团伙将精心结构的脚本木马挂到一些网站上，一旦存在某些体系缝隙的电脑拜访网站，就会被脚本木马感染，随后这些脚本木马会将功用更强的木马下载器下载到电脑上，再由木马下载器来下载“网游盗号者OL”（win32.pswtroj.gameol.226416）。

假如发现电脑中呈现此毒且无法完全铲除，标明体系中现已混入了通过精心免杀处理的不知道下载器，用户可下载运转金山安全实验室的金山急救箱，即可将不知道下载器灭活。

金山急救箱下载地址 http://labs.duba.net/jjx.shtml

8. Win32.troj.cfgt.ex.38507 (CFG网游盗号器变种)

打开描绘：依托网页挂马传达，偷盗网游帐号

症状：游戏暗码失效，配备丢掉，网游帐号被盗

卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

瑞星命名:Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD“CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）现已是持续在咱们的TOP榜上露脸。这款盗号木马首要依托网页挂马传达，能盗取多款盛行网游的账号和木马。假如用户体系中存在安全缝隙，就很简略遭到脚本下载器的进犯。然后脚本下载器就会直接下载此毒，或许先下载一个相似宝马下载器这样的一般下载器，再下载此盗号木马。

假如毒霸频频提示发现此毒，标明体系中很或许存在不知道的下载器，形成每次删去后又再次下载。这种状况不必慌，只需装置并运转金山安全实验室免费供给的“金山急救箱”，对不知道下载器进行灭活，即可处理问题。

9. Win32.troj.gameolt.zg.61529（网游盗号木马ZG）

打开描绘： 偷盗网游帐号，掠夺虚拟产业

症状：游戏暗码过错，配备丢掉，网游帐号被盗

卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic

瑞星命名:Trojan.PSW.Win32.GameOLx.cp\n

HOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

McAfee命名: PWS-OnlineGames.ek trojan

该毒是一个针对网络游戏的盗号木马程序，此毒在7月份时就现已开端盛行。它能偷盗多款盛行网游的账号暗码信息。

很多的0day缝隙为各类脚本下载器的挂马传达供给了有利条件，而脚本下载器在进入体系后，就会下载不少传统的木马。Win32.troj.gameolt.zg.61529正是在这样的状况下，完结感染量的大幅添加的。而假如用户发现自己电脑中不断呈现此毒，那么标明体系中现已潜入了某款不知道下载器，这种状况，可下载运转金山安全实验室的“金山急救箱”，对不知道下载器灭活即可。

10. Win32.Troj.Shutdown.c.45056（拔插头病毒）

打开描绘：强逼用户重启电脑，令木马得以赶快运转

症状：电脑主动关机，或忽然死机

卡巴命名：Virus.Win32.Sality.k

瑞星命名：Win32.Sality.ar\n

NOD32命名：virus.Win32.Sality.NAC

McAfee命名：W32.Sality.m virus

此毒为一款木马程序的组成模块。它运转后就强行关机，强逼用户重启电脑，以便令木马主程序赶快的得以运转。

当木马的母体完结注册表修正，这一模块就运转起来，篡取电脑的电源操控权限，指令电脑马上关机。如此一来用户必定重启电脑，木马也就能够更快速的运转了。

但这样做的成果，便是用户或许会遭受比木马侵略更大的丢失。比方正在进行的重要工作被逼中止、电脑硬件因忽然断电而受损等。假如用户遇到电脑不可思议主动关机，很有或许便是遇到了该毒或是相似的歹意程序。

十大影响较大的被挂马网站

此榜中的网站，均曾在9月遭到过病毒团伙进犯，并被挂上脚本木马。咱们从记录到的挂马网站中，按知名度、拜访量人数，以及网站代表性进行归纳评价，选出十个，得出此榜。 截止本期月报完结时止，它们仍然被挂着。

黑龙江省人民政府参事室 hxxp://www.hljcsswsg.gov.cn/index.html

湖北省农业厅网站 hxxp://www.hbagri.gov.cn/index.html

人民网广西视窗 hxxp://www.fj.xinhuanet/dszx 

新华网福建频道安南在线 hxxp://ie.cass.cn 

广州住宅公积金中心网站 hxxp://www.gzgjj.gov.cn

CCTV旅行论坛 hxxp://bbs.u.cctv.com/

老舍纪念馆 hxxp://www.bjlsjng.com

志高空调 hxxp://www.china-chigo.com/cn/index.asp

中心民族大学 hxxp://http://cwcx.cun.edu.cn/tool/chris/27035

科比中文网 hxxp://www.kobechina.com.cn/web

国内疫情地域散布TOP10

此排名依据金山毒霸云安全体系监测数据换算得出，所表现的是整个9月期间，国内遭受歹意程序感染次数最多的前10个区域。假如某区域遭受进犯电脑数量偏高，一般与该区域电脑具有量、用户上网习气、区域门户网站挂马状况，以及黑客所运用东西的扫描或进犯规矩等有关。9月的疫情散布状况与8月根本共同，只是是单个区域的感染量有小幅动摇。

图2 9月全国疫情散布地图TOP10

表2

表3

#p#

十月安全趋势提示

依据9月所调查与收集到的据，金山毒霸反病毒工程师对10月份的安全方式做出以下估量与提示:

荫蔽型黑客进犯事例或添加

近来，金山毒霸安全专家发现了一种新式的“荫蔽式黑客进犯”。

这种黑客进犯方法现在首要是在一些政府网站中发现。黑客是将一些广告链接嵌入到网站的源代码中隐秘运转，无论是用户仍是网站管理员，都不易发现网站现已被黑。而由于嵌入的是广告链接而非歹意进犯代码，世面上的防挂马东西也不会有任何正告。

图3

躲藏在某网站源码中的广告链接

但只需网民拜访被黑页面，这些被嵌入的广告链接代码就会被激活，从而为这些链接所指向的网站刷取流量。

金山毒霸安全专家以为，从经济视点来看，这种黑客进犯方式不会给被黑网站和访客形成什么显着的丢失。但关于被黑网站的管理员来说，则是一种极大的挖苦，由所以由于网站结构建立和监管存在缝隙，才导致黑客能够成功建议进犯。一起，也不扫除部分广告链接是由网管自己参加的或许，这样他们能够“公私兼顾”，运用公家的流量为自己顺带捞点外快。

现在还不清楚这种新式进犯办法与9月的挂马数量削减是否有关，但在十月份，信任这种荫蔽的黑客进犯事例会有所添加，网管们应常常查看网站，及时修正或许呈现的问题。

来自境外的大规模黑客进犯

从9月下旬开端，境外黑客安排对我国网络的进犯频率越来越高，这其间原因杂乱，我国互联网这个由数亿台个人电脑构成的巨大网络，为黑客们研讨攻防技能、获取经济利益供给了满足的“练习器械”和“储藏肉鸡”，这自身便是招引境外黑客的一个重要因素。一起，某些国外反华实力的举动，也是使我国网络遭受境外进犯案子添加的原因。

以HEXB00T3R这一黑客安排来说。该安排来自土耳其，是一个于前年开端活泼的黑客安排，跟着国庆的接近，该安排加大了对我国网站的进犯力度。依据金山毒霸云安全体系的监测，他们现在每天进犯的网站多到达70个，简直都是我国网站。地方政府网站、企业网站、公益安排、结交社区、游戏私服、个人空间等均在他们的进犯范围内。

图4

HEXB00T3R在被其黑掉的网站上诅咒我国、美国、丹麦和以色列，并宣传极点宗教理论

在进犯成功后，HEXB00T3R会留下“HACKED by HEXB00T3R”之类的符号，或许直接在受害网站中刺进自己的页面，宣传一些极点言辞，乃至时直接打电话向被黑站长寻衅。他们诬蔑我国是“窝囊的恐怖分子”，他们还常常在留言中表明美国、丹麦、以色列等国家的敌视。咱们猜想，HEXB00T3R的成员很或许是些极点民族主义者和极点宗教主义者。

金山毒霸安全专家提示广阔站长，在整个10月，应对网站加强相应的防护办法，防范遭受来自境外黑客的进犯。

AdobeReader缝隙恐再遭运用

由于更新晋级机制一向存在问题，Adobe Reader的一款老缝隙最近又被黑客运用了。

金山毒霸云安全体系近来截获一款借邮件中的PDF文档传达的后门木马。毒邮件的发信人称自己是现居北京的《金融时报》修改“帕姆”，他要求收件人阅览附件PDF文档中的名单，帮忙他完结一个所谓的经济研讨课题访谈。但假如你阅览了这个PDF附件，那么你会当即掉进黑客的圈套，由于文档中包括一个后门木马文件，它会将你的电脑与黑客长途服务器连接起来，等候黑客指令。

被运用的缝隙是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包括的歹意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会产生溢出事情，导致木马能够绕过体系安全模块运转。不过经测验它无法绕过金山网盾的阻拦，金山毒霸对该毒的命名为Win32.Troj.PdfDropper.eq和Win32.Troj.PdfDropper.ty。

2. 早在本年4月份时，这一缝隙就现已被安全业内人士发现并发出了正告，但由于Adobe Reader等PDF阅览器的晋级机制问题，总仍是会有不少用户电脑中仍然存在这一缝隙。黑客很或许是把握了这一规则，才精心制作了这封毒邮件。但咱们更忧虑的是，这一音讯会影响黑客更深化的发掘Adobe Reader的0day安全缝隙，由于一旦发现一个缝隙，就能在很长的时刻里都运用它，为黑客们最大极限的带来赢利。