本周关注病毒：“键盘记录器木马变种EOM（Trojan.Spy.Win32.KeyLogger.eom）”警惕程度 ★★★

　　该病毒是一个记录键盘消息的木马，病毒运行后把自身复制到system32目录下,然后再释放logx.dll和Mail.dll。病毒会修改注册表键值，达到开机自动启动的目的。病毒会启动notepad.exe进程，然后这两个动态库就会注入到notepad.exe里面，开始监控键盘的消息，当发现键盘有消息键入的时候，就会把记录下的信息保存到system32目录下的MaildllSyvc.sys文件里，然后在设定的时间把MaildllSyvc.sys里的内容发送到作者的设定的邮箱或者是指定的网站里，使用户的个人信息外泄。

专家建议

　　1、安装全功能安全软件，有效阻挡通过网页挂马方式传播的病毒；

　　2、安装上网安全助手进行漏洞修复，避免感染此类病毒侵害；

　　3、安装上网安全助手防范此类木马的侵害；

　　4、养成良好的上网习惯，不打开不良网站，不随意下载安装可疑插件；

　　5、定时设置系统还原点和备份重要文件，防止病毒窃取自己的游戏账号、密码等私人资料。

　　金山毒霸“云安全”中心监测结果显示，2009年元旦期间，全国近百万台电脑遭遇病毒攻击。其中元月1 日一天就有40万台电脑受到病毒的攻击。

　　金山毒霸反病毒专家李铁军表示，在元旦发作较为频繁的病毒中，以窃取网络游戏玩家的账号和密码为目标的木马病毒占发作病毒总数的比例最大。

　　其中“HB蝗虫病毒新型变种”感染计算机数量最大，已经成为近期网络传播的主流病毒。

　　根据云安全系统监测到的数据，元旦期间电脑感染量最高的地区为广东省，平均每天至少有25000台的电脑受到电脑病毒的袭击，其次为江苏和山东，平均每日保守感染量分别在15000台和14000台以上。如此巨大的感染量，哪怕入侵成功率极低，病毒制作团伙的获利也十分可观。

　　每逢长假来临，用户使用电脑时间都会有所增加，因而也成为病毒肆虐的高峰期，而网站挂马也成了病毒作者惯用的手法，HB蝗虫系列盗号木马正是通过网页挂马、流行病毒下载器传播。袭击目标囊括了市面上大多数的游戏，例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。一旦感染此盗号木马，用户的杀毒软件将不能打开、电脑反映速度明显变慢。

　　此外，一些木马将目标锁定为喜欢上交友网站的电脑用户，想方设法窃取这些用户的帐号和邮箱，以窥探用户隐私。

　　计算机病毒防范服务中心提醒，一种专门盗窃各种有价值数据文件的计算机病毒在春节长假前将爆发，计算机用户应加强防范。

　　据介绍，这种名为“核心下载器”的病毒是一个木马下载器，它会下载大量的其他木马程序到电脑中加以执行，并于执行完毕后删除这些木马的原始文件，防止被用户发现。这种下载器主要通过捆绑正常文件或伪装成其他文件诱惑用户下载的方法来传播，最严重的危害是很可能窃取用户重要数据文件。

　　专家建议，计算机用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给这类病毒以可乘之机。

　　安全厂商Trusteer发现了一种可以不利用电子邮件就发动钓鱼攻击的新方法。

　　根据安全厂商Trusteer研究员的发现，该种新型的钓鱼攻击主要是利用了众多浏览器中都存在的漏洞，通过这种称为“in-session phishing”的会话钓鱼攻击，可以更轻易地窃取到网上银行证书。

　　“in-session phishing”钓鱼攻击可以帮助犯罪分子钓到更多的“鱼”。在传统的网络钓鱼攻击中，犯罪分子把自己伪装成拥有合法身份的主体，并通过伪装身份发送大量的垃圾邮件。

　　通常来说，这些垃圾邮件会被过滤软件拦截掉，但是在“in-session phishing”会话钓鱼攻击中，它们无需利用电子邮件，取而代之的是利用一个弹出窗口。

　　具体地讲：犯罪分子对要入侵的合法网站植入HTML代码，该代码会让人看起来是个安全警告的弹出窗口。该弹出窗口会要求受害者输入密码和登录信息，并很有可能会要求他们提供其他使用银行核实客户身份的安全问题的答案。

　　对于犯罪分子而言，最困难的环节莫过于如何让受害者相信其弹出窗口是合法的。但是，由于几乎所有的浏览器都是使用JavaScript引擎，该引擎中存在的漏洞可以使得这种类型的攻击似乎更加可信。

　　通过研究浏览器使用JavaScript的方式，Trusteer首席技术官Amit Klein说他已经发现了一种方法，可以确定是否有人登录过某个网站，前提是他们使用了JavaScript的某个函数。Klein并不会说出该函数名称，因为它将帮助犯罪分子发起攻击，但是他已经通知给了浏览器厂商，预计相关补丁将会陆续推出。

　　此前，获悉该安全漏洞的犯罪分子编写出了可以检测用户是否登录网站的代码。随后，这些随机诈骗邮件不仅雨后春笋般冒出来，而且攻击者可以借此获得更先进的探测用户是否登录网站的技术。

　　“事实上，目前我们对这种in-session钓鱼攻击的诈骗邮件给予了很多信任。”Klein说。

　　安全研究员已经找到其他方法，以确定受害者是否登录到某个网站，但是它们并不总是有效的。Klein就讲述到，他的技术也并不总是可靠的，但是它却可以用在包括银行、在线销售、游戏和社交等众多网站上。

　　据国外媒体报道，英国知名安全公司Sophos近日发布2008年年度安全报告称，2008年期间，来自美国的恶意软件和恶意网页数量已超过了中国，居全球首位。Sophos去年发布的相应报告称，2007年来自中国的恶意软件和恶意网页数量居全球第一。

　　Sophos这份名为“2009年安全威胁”的年度报告对2008年全球网络安全情况进行了总结，并对2009年全球网络安全走向加以预测。报告称，来自美国网站的恶意网页和所发送垃圾邮件数量多于全球任何其他国家；其中最为明显的例子是：去年11月期间，美国政府指控一家美国互联网公司涉嫌同垃圾邮件发布者、黑客合作，并对这家公司采取强行断网措施，随后美国垃圾邮件比率立即下降到75%水平。

　　Sophos高级技术顾问格雷厄姆·克鲁莱（Graham Cluley）表示：“美国境内的大量计算机已被黑客们控制，因此来自美国的垃圾邮件数量众多；此外，美国含有恶意代码网页的数量也居全球首位。希望在2009年，美国政府能够采取有效措施，使恶意软件、恶意网页及垃圾邮件数量能够大幅减少。”

　　Sophos报告还显示，2008年期间，网络犯罪者针对全球合法网站进行攻击的次数呈增长之势。他们入侵合法网站后，便偷偷放置恶意代码，以向访问这些网站的企业用户或普通网民发起攻击。此外，攻击者还不断变换攻击手法，如假冒成合法杀毒软件商，并诱骗用户访问表面上属于合法的杀毒软件服务网站，然后在用户毫不知情情况下在用户机器上安装恶意软件。

　　Sophos称，2008年期间，全球平均每天会出现5个恶意软件网站；在峰值时期，则每天会新增20个以上恶意网站。此外，今年年底时，全球含有恶意附件或代码的垃圾邮件数量已是今年年初的5倍。一些网络犯罪者还把目光瞄向Facebook等社交网站，希望能窃取这些网站用户的个人资料。

　　Sophos表示，在2009年，全球普通网民和企业用户都应提高安全保护意识，如安装杀毒软件、及时更新操作系统的安全补丁程序等等。

　　Sophos报告还显示，2007年期间，来自中国的恶意软件和恶意网页数量居全球首位，其相应比率超过了 50%；但今年第一位置已被美国所取代。

　　Sophos统计2008年全球十大恶意软件产生国排行榜：

　　1、美国（在全球市场所占比率，下同）37%

　　2、中国 27.7%

　　3、俄罗斯 9.1%

　　4、德国 2.3%

　　5、韩国 2.1%

　　6、乌克兰 1.8%

　　7、英国 1.7%

　　8、土耳其 1.5%

　　9、捷克 1.3%

　　10、泰国 1.2%