Doctor Web 2008年11月世界範圍病毒活動報告

【賽迪網-IT技術報道】Doctor Web 2008年11月世界範圍病毒活動報告顯示，為世界上75%的垃圾郵件流量負責的McColo公司的歇業使報告當月的病毒活動可分為同等的兩部分。即使如此電子郵件仍然是傳播惡意程序的病毒製造者最親睞的工具，他們總能找到其他的方式把風險代碼注入用戶的機器。

AutoIt-蠕蟲

Windows 免費任務自動運行程序AutoIt簡單易學，給病毒製造者帶來了很多可乘之機。最後一個月顯示病毒製造者在腳本語言上的興趣大增。AutoIt程序作為腳本，這樣的腳本可以被編寫到打包的可執行文檔，它的隱藏代碼很難被破解。在11月份AutoIt蠕蟲通過代替電子郵件的可移動資料儲存設備進行傳播。

在可移動設備傳播的病毒對於企業和政府結構及其危險，他們不得不引進特殊的方法來防止感染。公司不得不採用軟體來限制可移動設備的使用，有時針對可移動設備的使用強加一個臨時的限制。

Doctor Web反病毒程序可以打開AutoIt蠕蟲的文檔並分析它的腳本。寫在這個腳本語言的病毒被Dr.Web資料庫收集為Win32.HLLW.Autoruner。

郵件病毒

McColo公司被閉網之前，垃圾郵件傳播惡意程序的數量很是巨大。下面我們來看一下幾種不同的引誘用戶運行風險文檔的方法。

木馬Trojan.PWS.GoldSpy.2454偽裝成電子卡。雖然偽造卡片在網絡上出現很長一段時間了，他們仍然效果顯著。風險文檔被命名為card.exe.攜帶指向風險文檔的信息會傳播另一個惡意程序的變體 Trojan.PWS.GoldSpy.2466

作為文檔傳播的木馬Trojan.DownLoad.3735擁有兩個擴展文檔---附件文檔active_key.zip包含active_keys.zip.exe文檔。有的信息通知用戶，用戶帳戶應用戶發送的請求被鎖定。 用戶同樣被要求激活帳戶。然而，信息不會提供有關鎖定帳戶的任何說明。不奇怪指示在附加文檔裡發現的激活步驟是包含惡意程序的可執行文檔。其他傳播同類木馬的信息通知用戶協議裡的某個條款被更改。

攜帶木馬Trojan.PWS.GoldSpy.2456的信息恐嚇用戶因為侵權問題網絡連接將被強制斷開。有關用戶之前6個月的所謂侵權行為，信息顯示被列在一個附件文檔裡面(user-EA49945X-activities.exe)。不用說這又是一個風險程序。美國的總統大選也同樣被利用來作為垃圾郵件的內容來傳播木馬。

另一個郵件會通知用戶由於不正確的接受地址導致的一個郵寄包裹不能到達。附件的發票被Dr.Web偵查為木馬Trojan.PWS.Panda.31。

我們的專家同樣也撲捉到幾種在做易寶上輕鬆賺錢廣告的郵件。附在郵件的html-file文檔被偵查為木馬Trojan.Click.21795.一種包含加密腳本的文檔指示用戶點擊一個廣告培訓課程的網站。另一個相似的郵件展示了一種使用RSS做廣告的新方法，以及使用谷歌和雅虎免費推廣網站的方法。

McColo公司的歇業極大的降低了垃圾郵件的流量但那是這只是一個短暫的插曲。現在涉及風險程序的郵件只是短期出現的，雖然垃圾郵件的流量有時仍會很高。這種郵件包括木馬Trojan.PWS.Panda.31包括加密腳本的垃圾郵件和信息。被Dr.Web偵查為Trojan.Click.21795。

木馬Trojan.DownLoad.4419的開發者應用了一種新的技術，提供一個虛假網站的鏈接下載Internet Explorer 8的beta版。

在之前的Doctor Web報告中提到的德國的郵件再次浮現。郵件慫恿用戶打開附件裡的一個重要的財務信息。之前一個截屏和一段惡意程序代碼被包含在一個在附件裡的文件夾內傳播，在11月它們被分開，鏈接被放到了文件夾外。Dr.Web偵查到木馬並命名為Trojan.DownLoad.16843。

釣魚程序

2998年11月釣魚程序也掀起了一段高潮，目標為幾個國家在線支付系統，網絡銀行和其他支付服務的用戶。JPMorgan Chase 銀行 RBC Royal 銀行 和usrs of AdWards and PayPal的一些客戶成為了釣魚程序攻擊的受害者。

Doctor Web的病毒監控服務專家在11月添加了25 461 個代碼到病毒庫，每天平均850個新代碼。Dr.Web病毒庫裡的一個特徵碼可以協助程序偵查到一個病毒的無數變體。這些數字表明反病毒軟體的更新以小時為單位的必要性。Dr.Web自動更新系統提供這樣頻率的更新輕而易舉。另外，一款優秀的反垃圾郵件程序成為日常工作中抵禦垃圾郵件和風險郵件信息的必不可少之物。

11月電子郵件病毒

11月計算機病毒

(