二、上半年病毒传播趋势

　　盗号木马的疯狂以及“与时俱进”

　　09年下半年，“玛格尼亚”(Trojan/PSW.Magania)盗号木马家族曾进行了一轮疯狂地传播，这场声势浩大的“玛格尼亚”盗号木马疫情直到今年2月底3月初才彻底的走向绝迹。当时为了应对该家族木马每天成百乃至上千的变种数量，江民科技针对其提取了启发式检测特征，以此提高了江民杀毒软件对于该病毒新变种的查杀能力，最大程度上遏制其对游戏玩家所构成的威胁。

　　虽然“玛格尼亚”家族逐渐从人们的视野中淡出，但不法分子却丝毫没有放松对于游戏玩家账号的觊觎。他们摩拳擦掌，又一种采用新技术的盗号木马正在悄悄向用户伸出魔爪。

　　这种盗号木马不同于传统木马篡改注册表等自启动方法，其采用了更为隐蔽的病毒激活方式。这种盗号木马会篡改系统中一些常用的尤其是游戏正常运行所必需的DLL 组件。当这些DLL被正常程序调用运行的时候，会首先加载盗号木马的相关组件，之后再去执行正常的文件功能。或者，直接将正常DLL文件重新命名，然后释放一个假冒的同名DLL去掩人耳目。这样，不仅实现了盗号木马的隐蔽启动，同时也不会影响系统的正常运行，可谓“一举两得”。这种方式算得上是一种颇为符合时势的做法。所谓久病成医，当前在杀毒软件的用户群体中有相当一部分属于“技术型用户” ，他们通常都较为熟稔地掌握着一些系统和反病毒工具，对于系统中出现的陌生进程、服务项等都具有较高的敏感度。如果盗号木马依旧保守于传统的做法，无疑于自寻死路。就是在这样的现实环境下，迫使病毒作者不得不去寻找一些非常规的方式，才能更好地实现自身的隐藏，从而提高病毒文件的生存周期。

　　Kido“刻毒虫”变种的爆发和盛行

　　自去年年底，互联网就开始被一种名为“Kido”的蠕虫所侵扰。这个病毒是继03年冲击波、震荡波之后，近些年来少有的央及范围达全世界的蠕虫病毒。该病毒可通过CVE-2008-4250“服务器服务远程代码执行漏洞”进行自身的传播，因此对于那些没有为系统及时安装MS08-067所对应补丁的用户而言具有很大的威胁。之前曾经见过一台感染了Kido蠕虫的机器，该系统的用户具有一定的安全意识，在刚刚安装完操作系统便准备通过windows update进行补丁更新，但发现微软的站点无法正常访问。同时，一些安全软件厂商的站点也出现了此种情况，但是可以正常访问其它的网站。后来用户安装了杀毒软件并且进行了全盘查杀，才发现原来是系统感染了Kido蠕虫病毒。

　　后来经用户回忆，在安装系统的整个过程中，他的电脑始终与公司的局域网处于连接状态。由于这段时间其所在公司网内正在流行这种病毒，因此其在安装系统后尚未修复漏洞和安装杀毒软件这一安全真空阶段内，便成了蠕虫病毒的受害者。

　　从这个事例中我们不难看出，往往一个疏忽或者麻痹大意，都有可能为病毒入侵系统提供了大开之门。因此建议网民在重新安装系统之前，要将一些容易被病毒利用的漏洞的补丁事先准备好，例如IE的积累更新、MS08-067、最新版本的Flash Player插件等。安装系统时要拔掉网线，系统安装后应立即安装事先准备的常见漏洞补丁，同时进行一些简单的系统安全配置，例如关闭自动运行特性、关闭不必要的系统服务、删除默认共享、为管理员账户设置强壮的密码、禁用无用账户等，之后再联网进行其它补丁和软件的安装。

　　IE漏洞两度掀起波澜

　　2010年上半年对于IE浏览器来说可谓不甚平静。1月14日，微软发布安全警告称，在当时的IE全系列版本中发现了一个由于访问被删除对象而导致任意代码执行的0day漏洞。这个漏洞分别有一个很好听的中英文名称：“Aurora” (极光)。不过，这个漏洞恰似南美热带雨林中的箭毒蛙一样，在看似美丽的修饰下面9 7 3 1 2 3 4 5 6 4 8 :

本文来源：华军资讯 作者：厂商投递