震荡波（SASSER） 找不到漏洞机器，攻击减缓

    网络天下（NETSKY）靠“人性弱点”攻城略地

    自9 月25到10月25日期间，趋势科技 TrendLabs 全球病毒实时监控中心WTC(World Virus Tracking Center)所追踪的前10大病毒感染率较上个月下降约20％，但某些特定的病毒尤其是WORM_NETSKY.P感染率反而不降反升。

10月 十大病毒

资料来源：趋势科技全球病毒监控中心WTC

    经过连续3 个月的称霸，毒王 Sasser 似乎有减缓攻击的迹象，趋势科技 TrendLabs 表示：「这意味着大部分的机器都已经将LSASS 漏洞修补好了,以致于Sasser 找不到迫害目标。相反的，NETSKY的感染率本月成长 30％，接管了毒王位置。自三月以来该病毒感染了全球超过 200 万的用户，超过 Sasser  感染总数的 3 倍之多。

    除了WORM_NETSKY.P 外,其它 4 个 NETSKY  变种也列入前十大病毒，占十大病毒的感染率的近半数。如下图所示，NetSky 的感染高峰在 4 月初，在持续下降数月后，10月 NetSky 反弹到了400,000 感染数目左右,将近于高峰期的1/5。

    TrendLabs 表示，NetSky之所以持续繁衍，在于它充分地使用了一般人们克制不住开启 email 附件的好奇心，多数人那怕是来路不明的发信者，还是难抵一窥究竟的冲动。不同于 SASSER 由漏洞衍生， NetSky 可说是充分利用「人性弱点」大量滋生的蠕虫。

    木马和 bot 遥控程序持续成长，恶性程序转向“利”多

    TrendLabs 在10月份共发现 1,817 个恶意程序， 相较于上个月成长 22% 。 近几个月来，趋势科技侦测到愈来愈多的木马程序，在每月侦测到的恶意程序中，高居主要感染形式。十月木马程序较上个月上升 30％，而且高居所有恶性程序的 47％。若加上backdoor 后门程序，那么木马程序几乎占所有恶性程序比例中的 65％。

    蠕虫是仅次于木马的病毒型态，它们占了近 30％的恶意程序比例，其中 75％ 属于可以组成僵尸计算机、发动不法攻击的 bot 遥控程序。bot 遥控程序通常也是后门程序的组件之一，它可让不法使用者远程取得系统控制权，另外，为了加强兹生繁衍能力， Bot 也会入侵已知的漏洞。

    会删除文件的PE_ZAFI.B 连续 5个月蝉联亚军

    去年 7 月 PE_ZAFI.B 挟着破坏文件的攻击力，一出现就登上趋势科技全球病毒实时监控中心WTC (World Virus Tracking Center)的最高感染率，遥遥领先榜上 NETSKY 系列的六个变种病毒，自此都未曾至十大病毒排行榜的第二名席次中下滑。尽管在 6月PE_ZAFI.B感染率呈现下降的现象， PE_ZAFI.B 在现身后 5 个月仍为主要感染病毒列表中的常客，趋势科技表示它难缠的主因，是借着社会工程学技巧（social engineering）引发惊人繁殖力，这点跟历久不坠的 NetSky 很雷同。

    相较于9月， PE_ZAFI.B 感染率下降了 35％，也仅占 6 月感染数量的 30％，不过它的破坏力却是不容小觑的。PE_ZAFI.B  会覆写任一文件夹中的 .EXE 文件，并且将病毒程序复制入该文件夹，且文件名与被删除的文件名一模一样。正在运作的程序，若含有 “regedit” “msconfig” 和 “task”也将被立即删除。

    MYDOOM 和 BAGLE 再度复苏,谨防病毒爆发

    10月 MYDOOM 和 BAGLE 释出的新变种：WORM_BAGLE.AU 和 WORM_MYDOOM.AA.，造成了新闻焦点。MYDOOM 曾在今年初造成病毒爆发，WORM_MYDOOM.AA在病毒码中留下的字符串，让其声名大噪：

    Lucky''s Av''s ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-secure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol.

    除了威胁防毒软件公司外，其字符串中也对仍在等待审判的 Sasser 和 NetSky 作者Sven Jaschan获得德国一家名为SecurePoint 公司雇用为实习生，发表意见。

    总共启动过1 3个中度风险警戒的BAGLE，是本年度启动最多病毒爆发事件的病毒，10月更追加滋生 15 个新变种。最近的一次 Bagle 启动的病毒爆发是在8月 31 日由WORM_BAGLE.AI 导致的。过去 10 个月中有  6 个月 Bagle 至少引发一次病毒警戒。10月底 Bagle_AU 与Bagle_AT 分别再度启动中度病毒警戒，使得本年度的病毒爆发次数累计至第28个。

    微软公布漏洞后，两周后恶意程序随即攻之

    微软 10月 12 日发布的 10 个安全公告，有 8 个利用远程执行程序代码的漏洞，2个星期后， HKTL_MS04-032 即是入侵未安装 MS04-032修正程序 藉以远程执行恶性程序的病毒。Graphics Rendering Engine 漏洞存在于绘制 .WMF 和 .EMF 影像文件的程序代码，可能会让攻击者从远程执行程序。只要是系统有这个漏洞，任何绘制这类影像的应用程序都可能会受到攻击。一旦攻击成功，攻击者就可以通过这个漏洞完全掌控系统。

    HKTL_MS04-032 是一个控管端的黑客程序，它通过搜集 EMF 文件来入侵Graphics Rendering Engine 漏洞，它在微软公布漏洞的 10 天后现身。无论在数据夹里预览小图或是手动开启该图片，该病毒都会入侵。