现在很多网站遭遇挂马

最近出现几种新的电脑病毒，危害网民，值得大家高度重视，华军总结了几家病毒软件发布的最新病毒播报，希望大家加强防范，注意安全：
　　金山：
　　在上周，“文件夹模仿者”(win32.troj.fakefoldert.yl.1407388)这个利用U盘传播的木马程序，感染量一直很高，几乎每天都在20万台次以上。而根据毒霸云安全系统的监测，除了此毒以外，其它的多款U盘病毒、甚至是一些尚未被捕获的样本，也出现了感染量大幅增长的情况。
　　威胁名称：U盘病毒的反击
　　威胁级别：★★
　　关注理由：感染量上升较快 病毒团伙推广强度大
　　进攻方式：U盘传播
　　这些U盘病毒有个共同点，就是它们在进入系统后，都能进一步的向整个局域网扩散，这种情况与Conficker系列病毒有着极高的相似性。
　　在毒霸安全专家的走访调查中，一些用户对U盘病毒在局域网中蔓延表示疑惑，“我已经打齐了补丁，也禁用了U盘，为什么还是会中毒?”
　　造成这种情况的原因，其实非常简单：电脑口令设置过弱。
　　经过走访调查我们发现，这些被感染的局域网用户基本都没有设置复杂口令，一些人是由于担心设置复杂口令会导致局域网访问速度受影响，但更多的是从来就没有设置密码的习惯。
　　弱口令给可在局域网中传播的U盘病毒提供了绝佳机会。如果发现无法利用系统漏洞进入局域网中的其它电脑，病毒们就反复测试这些电脑的口令，一旦猜中，就将其攻陷。
　　实际上，这种情况完全可以通过一个简单的方法来避免，就是安装第三方防火墙。但遗憾的是，不少人因为担心第三方防火墙会占用系统资源，因而没有安装，或者是将杀毒软件已经带有的防火墙关闭了。
　　其它需关注威胁
　　宝马下载器继续更新，攻击旅游网站执行挂马
　　上周已经提醒大家注意的宝马系列下载器，本周依然保持着较高的更细速度，病毒团伙不断推出新的免杀方案，向杀毒软件叫板。而为了推广这些变种，病毒团伙的网页挂马工作也是做得越来越“认真”，总是根据最新的社会热点问题来选择攻击目标。
　　而最近的焦点，是五一期间的旅游问题，于是，一批旅游网站成为了宝马推广者的攻击对象。而且这里面还有一个特点，那些著名旅游景点的网站受攻击的频率，不如冷门旅游景点的频率高。
　　我们猜测，这可能与五一小长假有关，3天的时间，人们很难出远门游览著名景区，这样一来，一些身边的冷门旅游景点成为出行的首选，这些景点的相关网站，也自然就成了吸引病毒团伙的“挂马市场”。
　　对付宝马系列的木马，最有效的办法就是将推广它的网页挂马其拦截在电脑之外，目前我们推荐的方案是安装“网盾”(下载地址http://labs.duba.net/wd.shtml)，因为“网盾”是目前为止，我们可以找到的最佳防挂马工具，即使是利用未知漏洞的恶意脚本，也会被拦截。如果有人发现了别的更有效的防御方案，也欢迎告诉我们。不论使用怎样的工具和措施，保护电脑安全都是我们的最终目的。
　　来自金山毒霸反病毒工程师的几点安全建议
　　1.安装专业的正版杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开，并一定要开启自动升级功能，遇到杀毒软件异常的问题，要尽快与其生产厂商联系求助。
　　2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大，只要你的系统中存在安全漏洞，病毒就可以找到突破防御的缝隙。因此，请尽可能使用正版软件，以获得及时的升级服务。
　　3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户，因此建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，这样才能切断病毒感染的途径，不给病毒以可乘之机。

　　4.警惕网络诈骗，切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击，而至于基于社会工程学的诈骗，很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理，比如QQ中大奖、网站抽大奖等。
　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2009年5月3日的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2009或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

瑞星：
　　4.24-4.26安全综述：
　　据瑞星“云安全”系统统计，4月24-4.26日共有6,438,943人次的网民遭到网页挂马攻击，瑞星共截获了1,847,811个挂马网址。
　　4.24-4.26被挂马网站Top5：
　　(注意：以下网址都带有病毒，请不要点击)
　　1、“太平洋手机网”：www.china100.com.cn等，被嵌入的恶意网址为xyq.*****.cn/1/11/cr14.htm等。
　　2、“中国展览网”：www.exhibition.com.cn/zlh/等， 被嵌入的恶意网址为www.******.com/ww/bf.htm等。
　　3、“环球雅思学校官方网站”：school.ielts.com.cn/nanjing/shownews.asp?newsid=79，被嵌入的恶意网址为******.cn/sina/real.html等。
　　4、“中国安全信息平台”：www.aqxx.com.cn/news/junshimiwen/2008/55/08551502DG52F6GEBH49K8K1HJEB.html，被嵌入的恶意网址为xyq.*****.cn/1/03/crbf.htm等。
　　5、“中国法检网”：www.148fj.com.cn，被嵌入的恶意网址为www.****.com.cn/fjwflzx148/xunlei.htm等。
　　4.24-4.26最流行木马病毒：
　　Trojan.PSW.Win32.QQPass.ega(木马病毒)
　　“云安全”系统共收到263,218次用户上报。该病毒运行后会在后台监视用户的输入，伺机窃取用户的QQ号码及密码，并发送给黑客。
　　瑞星安全专家建议：
　　1、使用具备防挂马功能的安全软件，如“瑞星全功能安全软件2009”等，可主动防御此类的挂马网站攻击(30天免费试用：http://rsdownload.rising.com.cn/for_down/rsfree/RavD97.exe)。2、使用免费瑞星卡卡助手6.0(http://tool.ikaka.com/)来给系统和第三方软件打补丁，并拦截挂马网址。
　　用户如遇病毒或电脑异常，请拨打反病毒急救电话：82678800，还可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。

江民：
卡巴斯基：
　　小心NS下载器又卷土重来
　　卡巴斯基实验室的病毒监控系统最近发现NS下载器的感染率有上升趋势。NS下载器曾经在去年年底非常猖獗，导致大批用户感染，给用户们造成了规模不小的损失。它主要通过网页挂马的方式感染用户，同时也可以通过可移动存储设备如优盘、移动硬盘等方式进行传播。感染用户计算机后，它会生成大量文件，同时感染系统文件，在注册表建立映像劫持安全软件，导致各种常见的反病毒软件无法启动。不仅如此，NS下载器还会修改用户系统的hosts文件，劫持用户对安全软件网站的访问，使得用户很难清除它。NS下载器还会在用户计算机的临时目录生成下载列表并按照列表下载病毒或盗号程序，伺机窃取用户的各种隐秘信息和数据。
　　目前，卡巴斯基已可以成功查杀该恶意软件，我们建议您尽快更新病毒库进行查杀以避免不必要的损失。超级巡警
　　警惕：中国财经教育网被黑客植入木马
　　一、事件分析
　　近日，超级巡警监控到中国财经教育网(www.cfeenet.com)被黑客植入木马。中国财经教育网被黑客植入Exploit.WIN32.IEActiveX.a木马，当系统内有漏洞的话就会下载并执行黑客指定的木马文件。
二、解决方案
　　1、推荐安装畅游巡警以应对网页木马的威胁。
　　2、推荐使用超级巡警补丁检查功能修复系统及第三方程序漏洞。
　　3、对于已经中毒用户，建议及时修改自己的QQ/网游账号密码。
　　注： 超级巡警已通过中国财经教育网站上的邮箱通知中国财经教育网此次挂马事件。
　　江民今日提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.attr“网游窃贼”变种attr和TrojanSpy.Zbot.fnj“砸波”变种fnj值得关注。
　　英文名称：Trojan/PSW.OnLineGames.attr
　　中文名称：“网游窃贼”变种attr
　　病毒长度：18944字节
　　病毒类型：盗号木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：d85ab1f41f5544553638920b0a18f689
　　特征描述：

　　Trojan/PSW.OnLineGames.attr“网游窃贼”变种attr是“网游窃贼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“网游窃贼”变种attr运行后，会在被感染计算机系统的“%SystemRoot%\fonts\”目录下释放随机8位字符文件名的恶意DLL组件“*.nls”。在被感染计算机的后台遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在，便会尝试将其结束，从而达到了自我保护的目的。“网游窃贼”变种attr是一个专门盗取“地下城与勇士”网络游戏会员账号的木马程序，运行后会首先确认自身是否已经被插入到游戏进程“DNF.exe”和“QQLOGIN.EXE”中。一旦插入成功，便会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的这些机密信息发送到骇客指定的URL“http://ation.zha*cai.cn/post.asp”、“http://feixiang.zha*cai.cn/107/post.asp”、“http://ation.zha*cai.cn/getmb.asp”上(地址加密存放)，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“网游窃贼”变种attr会通过在注册表键“ShellExecuteHooks”下添加键值的方式，实现木马组件的开机自动运行。

　　英文名称：TrojanSpy.Zbot.fnj
　　中文名称：“砸波”变种fnj
　　病毒长度：409088字节
　　病毒类型：间谍木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：c94054b15cb6469a175578b26ce91d81
　　特征描述：
　　TrojanSpy.Zbot.fnj“砸波”变种fnj是“砸波”间谍木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“砸波”变种fnj运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“oembios.exe”。同时，还会在该文件的尾部添加不定长度的垃圾代码，并修改文件的时间属性为系统安装日期，以此迷惑用户，实现了更好的隐藏效果。“砸波”变种fnj运行时，会将恶意代码注入到“winlogon.exe”进程中隐密运行，从而防止被轻易地查杀。在被感染计算机系统的后台秘密窃取用户的机密信息(包括用户的敏感文件、账户信息等)，然后在后台将窃取到的信息发送到骇客指定的远程站点“www.vsedlysn*.ru”上，从而给被感染计算机用户造成了不同程度的损失。该木马还可以下载恶意程序至被感染计算机并自动调用运行，这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，从而给用户造成了不同程度的损失。同时，“砸波”变种fnj会修改注册表键值“userinit”，以此实现了木马的开机自启。
　　针对以上病毒，江民反病毒中心建议广大电脑用户：
　　1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
　　3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
　　4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
　　5、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
　　6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
　　7、江民杀毒软件新增强大的启发式扫描，能够启发扫描90%以上的未知病毒。
　　8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx
　　有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询

您还可能关心下列内容：
中移动转嫁3G上网本推广成本 PC厂商完不成任务要重罚
内存市场价格动荡真相