江民发布2010年5月网络安全信息报告

一、 全国计算机病毒传播形势

根据"江民计算机病毒疫情监测系统"的数据显示，2010年5月份较2010年4月份而言，全国范围内感染病毒的计算机数量有明显的上升，涨幅约20%。

本月中最为流行的是蠕虫类病毒，其中又以"刻毒虫"变种家族最为盛行。该病毒利用U盘和系统漏洞在局域网和不同系统之间进行传播，其具有下载其它恶意程序、干扰被感染系统访问指定站点（通常为安全软件厂商或微软官方站点）、反安全软件以及自我升级更新的功能，可以说是集现代病毒主要危害和传播方式于一身的"大成者"。由于该病毒会创建多个随机名称的病毒文件，同时篡改系统服务注册表项，从而以svchost.exe调用的方式实现开机自启，因此欲彻底清除该病毒最好借助安全厂商推出的专杀工具。江民科技"刻毒虫"专杀工具的下载地址为：

http://filedown.jiangmin.com/download/KidoTool.exe

同时，为系统账户设置强壮的口令、安装MS08-067对应的补丁、关闭系统的自动播放功能以及通过防火墙封堵TCP 139、445端口，都可以在不同程度上对其进行防御。"刻毒虫"变种最早在2008年11月出现，时至今日仍旧活跃在病毒排行统计中，这足以反映出许多人在安全意识上的淡漠，同时也反映出安全防范中存在的许多薄弱之处。正是这些薄弱的地方，成为了病毒传播过程中大开的缺口。

另外，在本月中新上榜的"JS毒器"变种gzn（Trojan/JS.gzn）也十分值得引起我们的关注。这个病毒会在"%ProgramFiles%\Messenger"文件夹下生成恶意脚本"messenger.jse" 并调用运行（该脚本通过Java Encode加密）。该脚本首先会在注册表中创建".dwq" 扩展名的相关项目，并且获取桌面上快捷方式的名称等信息，之后会在桌面上创建同名、同图标的".dwq" 扩展名的快捷方式（扩展名不显示）。以后每当用户通过这种快捷方式启动应用程序时，便会在后台首先执行 "messenger.jse" 。而"messenger.jse" 则会在系统的IE收藏夹和桌面上创建大量的Internet快捷方式以及假冒的IE快捷方式，诱骗用户对指定的站点进行访问。这段时间，通过释放Internet快捷方式和假冒IE快捷方式进行站点推广的病毒十分猖獗，从这个病毒上我们不难看出，不法分子已开始通过更为隐蔽和顽固的方式进行着非法利益的牟取。

（2010年1~5月份病毒感染计算机数量趋势图 来源：江民科技）

（2010年5月份全国计算机感染主要病毒类型 来源：江民科技）

二、 月度五大流行计算机病毒

（2010年5月份五大流行计算机病毒 来源：江民科技）

三、 月度五大恶意网站

（2010年5月份五大恶意网站 来源：江民科技）

上月中，最常被骇客用来挂马的漏洞仍旧为"CVE-2010-0806"，这已经是该漏洞自3月中旬出现在挂马统计数据中以来，连续2个月一统网页挂马的天下。不法分子除了通过不断地申请新的域名来实现恶意程序传播以及逃避打击外，更是通过入侵其它站点的方式来达到扩大挂马覆盖面的目的。据江民科技近段时间的监控数据显示，"黄山市黄山区人民政府网"、"三峡热线"、"牛盘网"、"新尚网"等政府网站以及具有一定访问量的商业站点纷纷被攻陷，从而沦为了挂马者的傀儡。