Microsoft安全报告第11期.docVIP

PAGE2

Microsoft

安全情报报告

目录

TOC\o1-3\h\z\u\hMicrosoft安全情报报告第11期 3

\h专注于恶意软件传播方法 4

\h世界范围内的威胁情报 7

\h漏洞披露 7

\h漏洞攻击 8

\h文档攻击 9

\h恶意软件和可能不需要的软件 10

\h操作系统感染率 10

\h威胁系列和类别 11

\h企业威胁 12

\h电子邮件威胁 12

\h恶意网站 13

Microsoft安全情报报告第11期

Microsoft?安全情报报告第11期(SIRv11)提供了有关Microsoft

和第三方软件中的软件漏洞、恶意代码威胁和可能不需要的软件的深入分析。这些分析是Microsoft

在过去多年详细的趋势分析的基础之上做出的，并且分析的重点是2011年上半年的数据。

本文档对这份报告的主要发现进行了汇总。完整的报告还包括对在全世界

100

多个国家/地区发现的趋势的深入分析，并提供了用于管理组织、软件和人员的相关风险的方法。

可以从\h\h/sir\h

下载完整的报告以及前几期的报告和相关视频。

专注于恶意软件传播方法

Microsoft进行了分析以更好地了解零日(Zero-day)

攻击以及客户由此面临的风险。执行此分析的目的是向安全专家提供一些信息，以便其用来设置其关注内容的优先级并有效管理风险。与所有其他部门一样，IT

部门在规划和执行其工作时也会受到时间、预算、人员和资源方面的限制。通过掌握有关威胁概况的最新准确信息，安全专家可以有效设置其防御的优先级并保护其网络、软件和人员。

为了便于分析，我们按照所记录的每种威胁系列用来感染受害者的传播方式，对恶意软件删除工具(MSRT)在2011年上半年(1H11)

检测到的威胁进行了分类。如果发现威胁通过多个载体来感染用户，则

MSRT报告的该系列威胁的感染数目将平摊到每个载体上。图1显示了该分析的结果。

图1.MSRT在2011年上半年检测到的恶意软件（借助记录的传播方法）

下面介绍了图1中引用的各种恶意软件威胁传播方法：

需要用户交互。用户必须执行某个操作才会使计算机受到威胁。在此用法中，“操作”意指在某种程度上与计算机的典型用法不同的有意操作。

自动运行：USB。此威胁利用Windows

中的“自动运行”功能来感染USB存储设备和其他可移动卷。

自动运行：网络。此威胁利用“自动运行”功能来感染映射到驱动器号的网络卷。

文件传播者。此威胁通过修改文件（这些文件的扩展名通常为

.exe或.scr）、重新编写或覆盖某些代码段来传播。

漏洞攻击：很早之前就有可用的更新。在攻击之前，供应商发布用于修复漏洞的安全更新的时间已超过一年。

漏洞攻击：有可用的更新。在攻击之前，供应商发布用于修复漏洞的安全更新的时间不到一年。

漏洞攻击：零日。在攻击时，供应商尚未发布用于修复漏洞的安全更新。

密码暴力攻击。此威胁通过尝试对可用卷发起密码暴力攻击，就像使用netuse命令一样。

Office宏。此威胁通过使用恶意VisualBasic?for

Applications(VBA)宏感染MicrosoftOffice文档来传播。

零日攻击。在攻击时，供应商尚未发布用于修复漏洞的安全更新。

已分析的恶意软件检测中超过三分之一属于滥用Windows?中的“自动运行”功能的恶意软件。

滥用“自动运行”的威胁分为两类：通过可移动卷传播的威胁（占总数的26%）和通过网络卷传播的威胁（占总数的17%）。

为了抵御这些威胁，Microsoft已采取多项措施来帮助保护客户，包括在2011年2月发布针对

WindowsXP和WindowsVista?

平台的自动更新以确保“自动运行”功能更为安全（默认情况下已在Windows7中实现这一点）。

已分析的MSRT

检测中有百分之六属于漏洞攻击（尝试攻击应用程序或操作系统中的漏洞的恶意代码）。

MSRT在2011

年上半年中记录到的主要威胁系列均没有使用零日漏洞攻击。

在MMPC检测到的所有漏洞攻击中，零日漏洞攻击活动所占的比率不到

1%。

世界范围内的威胁情报

漏洞披露

图2.漏洞严重性(CVE)和漏洞复杂性的趋势（按供应商和按类型披露）

漏洞严重性总体趋势（由通用漏洞披露或CVE确定的数字）是一个正数。2011

年上半年披露的中等严重性