2010 ASEC Report Vol.10

安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response

Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是由安博士

公司的 ASEC 制作,且包含每月发生的主要安全威胁与响应这些威胁的最新安全技术的

简要信息。

详细内容可以在[www.ahn.com.cn]里确认。

ASEC

2010-11-10

I. 本月安全趋势

1. 恶性代码趋势 .............................................................................................................................................. 3

2. 安全趋势 ...................................................................................................................................................... 9

3. 网络安全趋势 ............................................................................................................................................ 14

Ⅰ. 本月安全趋势

1. 恶性代码趋势

■ 스턱스넷(Stuxnet) 웜의 전용백신으로 위장한 악성코드 등장

随着 Stuxnet 蠕虫广为人知，相关恶性代码的破坏力和潜在威胁连日传播。更加

可恨的是利用它出现了虚假专用软件形式的恶性代码(Win-Trojan/Deltree.

75776.C)。相关恶性代码具有以下图标，还伪装成微软的文件隐藏自身。

[图 1-1] 虚假 Stuxnet 蠕虫专用软件图标

恶性代码执行后，会执行如下 batch 文件来删除所有 C 路径下的文件。所以重启时会

出现问题。

[图 1-2] 虚假 Stuxnet 蠕虫专用软件执行的 batch 命令

随着对 Stuxnet 蠕虫威胁的了解，出现了很多对其预防或者被感染的事实。就在这样的

情况下，虚假杀毒软件的出现对系统造成了危害。容易忽视的安全常识就是安全软件

公司会统一以邮件的形式给客户发送邮件，获知不会登陆不是自己网页而是出处不明

确的网站。用户在直接下载杀入软件之前需要对出处进行确认并且是否为有信誉的网

站。

■ 邮件内容制作为图片的虚假 USPS 邮件

安装虚假杀毒软件为目的的伪装为虚假 USPS(United States Postal Service)

邮件的恶性代码被发现并且报告。之前所流传的 Oficla 恶性代码变种是邮件标题包含

"USPS Delivery Problem NR[任意数字]"， 邮件内容处理为 xxs664.jpg(27,692 字节)的

JPEG 文件。

[图 1-3] 伪装为虚假 USPS 邮件的恶性代码 JPEG 形式

把文章内容弄 JPEG 是为了避免 anti-spam

解决方案。附件是以 Dropper/Malware.178176.AB 诊断的文件。执行后，经过罗马尼亚

到德国的特定系统下载并执行假杀毒软件。一般在国内会拒绝接收用英文为标题和内

容的邮件。所以可以判断很少有人会打开此类邮件。但是安装假杀毒软件来获得利益

的恶性代码制造者也应该认识到虚假杀毒软件市场上的竞争激烈以及饱和氛围。是自

灭还是以像窃取在线游戏账户而生存下去，是谁都无法预测的。在这样 竞争激烈的形

式下也出现了貌似韩文杀毒软件，所以以后会出现更加逼真的虚假杀毒软件，一定要

对出处不明确的邮件多加警惕。

■ 感染数量很多的 Parite 和 Palevo

本月初和中旬，被 Win32/Parite 和 Win32/Palevo.worm.Gen 感染的上报数量剧增。

特别是已有 8 年历史的 Parite 病毒（感染型病毒）。收集的样本分析并确认后，发

现被感染的对象大多数是广告软件。以下是图片反映趋势。

[图 1-4] Win32/Parite 感染型病毒增加的数量

根据图片显示 2010 年 10 月 15 日是最高点，以后日期都是走下滑。以前的 Parite

病毒是被其他恶意代码感染后发现的 ，还有同样的方式被广告软件感染之后传播

的案例。这次经过分析是通过被感染的广告软件传播的。如果广告媒体不是故意

的，广告软件本身被感染的事实都不知，而且也没有用杀毒软件进行检查过。目前

制作文档时的感染数量跟 10 月初差距不会大。

第二个是 Palevo 蠕虫也急剧增加。通过曲线图能知道在 10 月 7 日跟平常不同，急

速地增长。

[图 1-5] Win32/Palevo.worm.Gen 增加的数量

虽然对急速增长的原因目前还不明确，Palevo 蠕虫跟 Autorun 一样是以 USB 移动

媒介设备进行传播的。并且本地盘符上存在蠕虫文件进行手动删除，没有终止注入

在 Explorer.exe 的恶意线程时，依然跟外部通信下载其它变种后，进行复制通过

USB 传播。根据推断僵尸控制者把僵尸网络达到最大化，通过被僵尸程序感染的

主机传播变种，导致被感染的数量，上报的数量增加。

■ 伪装成 Android 成人视频播放器的恶意代码

在智能手机上启动 Adndroid OS，安装应用程序时，叫 PornoPlayer 恶意代码向用

户收取 SMS 费用已得到确认。该应用程序在最新引擎的 V3 Mobile 产品系列中可

以诊断为 Android-Trojan/SmsSend.B。以下图片 1-10 是该恶意代码安装的画面，

被安装的恶意代码是以成人播放器有关的名字叫 WMP（Windows Media Player），

图片也跟正常的很像。

[图 1-6] 以 WMP 伪装的 PornoPlayer

如上图片一样，伪装成成人视频播放器的恶意代码通过特定的号码发送 SMS 信

息，向用户收取费用。

以下图片是 V3 Mobile 产品系列中诊断名为 Android-Trojan/SmsSend.B 的画面。

[图 1-7] PornoPlayer 被诊断的画面

第一次发现，有关恶意应用程序在 2010 年 8 月 10 日（Androi-Trojan/SmsSend）之

后，9 月 9 日(Android-Trojan/SmsSend)和 10 月 14 日（Android-Trojan/SmsSend.B）

发现了变种

■侵害智能手机用户隐私的 间谍软件

针对使用智能手机的用户作为对象，通话记录，接收短信信息，地点信息，电子邮

件信息等等敏感的信息泄露到外部的间谍软件(Spyware) 在海外开发并销售。目前

存在的平台主要为 Symbian/Symbian9, Windows Mobile, BlackBerry, iPhone, Android

等等 。间谍软件在这些平台上能够运行也出现了不同版本。一但间谍软件被安装

了，使用该智能手机的用户信息和隐私都发送到间谍软件制作者邮箱，购买该间谍

软件程序的用户可以通过网站确认关联内容。主要对象都是为专门搞外遇的老公或

妻子，监视员工，保护子女，智能手机数据自动保存等等 ，作为目的进行服务。

但问题是自己的智能手机被感染的事实一无所知。不顾用户允许被强制安装，而且

不管用户信息中不重要或隐私都会往外部泄露。此行为违法了隐私权作为网络犯

罪。不久前发现了间谍软件 Android-Spyware/Mobilefonex. 经过分析得知，此软件

一旦被安装，不用杀软光靠用户自己确认是否被感染是一件棘手的事情，同样被感

染会持续的把用户信息泄露到外部。还有作为泄露目的，制作间谍软件存在传播的

可能性所以需要用户注意谨慎。最好使用专用智能手机的杀软，定期扫描是否被感

染。想说的是当然越狱，破解等修改系统的行为最好不做为好。

2. 安全趋势

■ LNK 漏洞(CVE-2010-2568)

本月初 Stuxnet 病毒在国内外引起了很大的反响。我们来看一下 Stuxnet 病毒使用的很

多漏洞中关于 LNK(CVE-2010-2568)漏洞的内容。一旦利用 LNK(CVE-2010-2568) 漏洞，

通过 Windows 资源管理器打开 LNK Shortcut File(快捷方式文件)所指向的文件夹，快

捷方式文件就会自动执行。

[图 2-1] 恶性快捷方式文件的结构

如果快捷方式文件的 idlcon 值设置为 0，LNK 漏洞会加载并执行快捷方式文件的 Path

里指定的 DLL 文件。

[图 2-2] 恶性快捷方式的运行过程

SHELL32!_imp_LoadLibraryW 函数开始加载并执行快捷方式的 Path 里指定的 DLL 文

件。

[图 2-3] 利用USB设备的恶性快捷方式的Path

一般利用 USB 设备的病毒都会使用 autorun.inf，但是此次发现的病毒将利用 LNK 漏

洞的快捷方式文件与病毒文件放在 USB 根目录里，一旦用户使用资源管理器打开 USB

根目录会自动运行该病毒并通过 USB 进行传播。9 月份公布为 0-Day漏洞的 LNK

Shortcur File 漏洞已被很多病毒传播时所利用，目前微软已经针对该漏洞提供了补丁。

■ Firefox 0-Day漏洞(CVE-2010-3765)

诺贝尔和平奖网站发生过利用 Firefox 里存在的未公布的 0-Day漏洞来进行病毒传播的

案例。

[图 2-4] 利用Firefox 0-Day漏洞的shell code部分

WinExec(cmd.exe /c FOR /R "%USERPROFILE%\Local Settings\Application

Data\Mozilla\Firefox\Profiles\" %i IN (*) DO if %~zi equ 48640 cmd.exe /c copy

"%i" "%temp%\scvhost.exe" /y & "%temp%\scvhost.exe")

[图 2-5] 利用Shellcode的执行命令

此次漏洞利用 Heap Spray缓冲区溢出执行 shellcode 来进行恶意行为。目前官方已提供

安全补丁，升级为 Firefox 3.6.12 或 Firefox 3.5.15 版本以上可预防该漏洞。

■ 利用MS10-018漏洞的恶性代码攻击

2010 年 3 月 9 日利用为目标攻击(Targeted Attack)形式的 0-Day漏洞，利用微软 的

MS10-018Internet Explorer 累计安全升级(980182)的病毒，从 10 月 1 日为准，重新在韩

国呈现出增长趋势。

3 月 1 日开始微软提供了可预防此 MS10-018 漏洞的安全补丁。在韩国利用网页浏览器

漏洞的病毒呈现出增长趋势的原因主要是因为韩国内电脑用户访问的多数网站因 SQL

注入(Injection)攻击被利用为病毒的传播。V3 里利用 MS10-018 漏洞的 Java Script 形式

的病毒诊断为 JS/CVE-2010-0806，通过 AMP(AhnLab Malicious code Processing system)

统计出的受害数量如下：

. [图 2-6] JS/CVE-2010-0806 10月1日为准受害数量

通过该图表可以看到 9 月 28 日开始突然剧增为约 14,000 件，到 9 月 29 日和 9 月 30 日，

各约 20,200 件与约 19,000 件。查看国外安全厂商的趋势也可以发现 6，7 月开始利用

该 MS10-018 漏洞的脚本形式的病毒呈现增长趋势。因利用网页浏览器漏洞 JS/CVE-

2010-0806 的大部分病毒包含个人信息窃取或远程控制等功能，如被此病毒所感染会导

致 2 次，3 次的病毒感染。

3. 网络安全趋势

■ OWASP 2010 TOP 3

从上个 Vol.06 开始对 OWASP 2010 Top10 一一的仔细观察。目前是第三堂课 OWASP

2010 Top 3 - 脆弱的认证和会话管理 1) .

首先通过图可以知道脆弱的认证和会话管理攻击的主要事项。

[图 3-1] 脆弱的认证和会话管理

1) 主要内容

Threat Agents(攻击者) : 拥有自身帐号或者盗取他人帐号的外部攻击者，同时是

隐藏自身行为的内部使用者。

Attack Vectors(攻击路径) : 攻击者为了伪装为用户利用认证，会话管理露出或

者缺点（露出的帐号，密码或者会话 ID）来进行攻击。

Security Weakness(安全漏洞) : 开发者平时都会维护认证及会话管理体系，但是

要想正确的维护是一件很不容易的事情。于是退出帐号，密码管理，退出时间，

记录用户信息，找回密码提问，帐号升级等功能都包含着一些缺点。每个功能

又都是以各自的方式去实现，没办法弥补所有的漏洞。

Technical Impacts(技术影响) : 该缺点允许对一部分或者全部帐号的攻击。如果

成功，立即可以使用该帐号能做到的事情，所以有特殊权限的帐号往往是被攻

击的首要对象。

Business Impacts(商业影响) : 考虑被影响的数据或者应用功能的商业价值。又

考虑公开漏洞所造成的商业影响。

2) 攻击流程例子

1)

www.owasp.com, café.naver.com/securityplus

假如有一个支持 URL Rewriting，在 URL 里包括会话 ID 的预订航空应用的话，为了告

诉一位被认证用户朋友的预订内容，把下面的 URL 链接为内容发送一个 E-mail 的话，

会造成什么样的结果呢？

http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2J

V?dest=Hawaii

发送 URL 用户的会话 ID 会暴露，收到的朋友利用该 URL 链接可以确认发送者的会话

和信用卡号等等。

3) 对应方法

为了对应脆弱的认证和会话管理，大家要遵守以下内容。

构造强力的认证及会话管理单一体系。

遵守 OWASP 应用安全检测标准（ASVS）项目里的 V2（认证）和 V3（会话

管理）定义的认证及会话管理要求。

为开发者提供一些简单的界面。特别是 ESAPI 认证者和用户的 API 作为好例子。

努力弥补 XSS 漏洞，以免会话 ID 被盗。