近期,CNCERT针对软件下载站展开计算机恶意程序监测行动,随机抽取了下载站的样本4424个,判定其中含有计算机恶意程序142个,涉及6家软件下载站。
由于这些软件下载站在计算机应用程序发布过程中,并未建立完善的安全审查机制,导致目前软件下载站成为传播计算机恶意程序的一个重要通道,有效遏制具有信息窃取、远程控制等恶意行为计算机恶意程序的传播。
软件下载站计算机恶意程序分布情况
针对判定的计算机恶意程序,其中木马类占57%,流氓软件类占20%,后门类占7%,黑客工具类占6%,信息窃取类占6%,病毒类占4%,分布如下:
针对涉及传播计算机恶意程序的软件下载站,其中PC6下载站48个,多多软件站41个,华军软件园27个,绿色下载吧16个,天空下载站6个,第九软件站4个,分布如下:
其中,CNCERT监测并判定木马类、后门类、窃密类高危计算机恶意程序共计58个,其MD5及名称如下:
一种Ramnit计算机恶意程序的传播方式
CNCERT在分析判定过程中发现了一种Ramnit计算机恶意程序,该样本主要存在于压缩包文件中(如rar,zip,7z等),压缩包中的文件或工具正常,但是附加的文件(如htm,php等)会注入Ranmit木马。
如压缩包“长江证券金长江网上交易软件v9.5.zip”,MD5:389afd6a3483de412b535f46f5089386,该压缩包中包含恶意威胁样本“PC6下载站.htm”(MD5:acf73fd5e656e0693f9280845f8c7dee),该网页文件打开后会向scvhost.exe注入Ramnit代码段,并尝试连接木马控制服务器,回传设备基本信息。
在本次抽查过程中,共发现6个计算机恶意程序使用该方式传播,其MD5与文件名称如下:
| CNCERT监测发现的6款Ramnit计算机恶意程序 | ||
| 序号 | MD5 | 文件名称 |
| 1 | 389afd6a3483de412b535f46f5089386 | 长江证券金长江网上交易软件v9.5.zip |
| 2 | 63cf21ff15de3f56f63ae7a3465c05fc | 创想家居设计软件2012.zip |
| 3 | 88ae02412523021e0ad69f803f60b36a | (KnowU)基于视频的人脸识别系统5.2免费版.zip |
| 4 | c4c8465637d08bc9f5f4b6d3c0c71b3b | SmartGrid表格控件V2.0.zip |
| 5 | cadb5836f081a4244e844d992dbf344c | E书伴侣(unWC)V4.0.zip |
| 6 | 557ff1c07d022913a7ae1efb8a6a298c | 英雄与女神v72a.rar |
软件下载站计算机恶意程序处置情况
在CNCERT开展的本次计算机恶意程序治理行动中,抽查到6家软件下载站,其中有3家软件下载站对其自身站内已有的恶意程序及时进行了“清洗”,及时下架了相关恶意应用程序。CNCERT对其在抵制计算机恶意程序方面所做的积极工作和坚决态度予以充分肯定,具体名单如下:
| CNCERT予以肯定的3家软件下载站 (按名称排序,排名不分先后) | ||
| 序号 | 下载站名称 | 域名 |
| 1 | PC6下载站 | pc6.com |
| 2 | 华军软件园 | onlinedown.net |
| 3 | 绿色下载吧 | xiazaiba.com |
建立合作机制,遏制传播途径
CNCERT将邀请各软件下载站共同开展自律工作,积极对发布者和发布前的计算机应用程序做好安全审查工作,提高软件发布渠道的安全性。
同时,建议所有软件下载站积极主动开展“清洗”工作,提升自身网络安全意识。对于不作为的软件下载站,将按照相关规定提交相关部门进行处理。
声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
