您现在的位置是:首页 > IT基础架构 > 网络与安全 >

2009~2010年中国病毒疫情及互联网安全报告

2010-01-29 20:58:00作者: 来源:

摘要2009年,互联网和普通百姓的生活越来越紧密,无论是购物、休闲、工作都越来越显现出互联网的重要性。而与此同时,互联网安全问题也越发突出。从09年年初央视315晚会对网银安全问题的报道,到5.19全国断网事件的发生以及年末百度被“黑”事件,网络安全问题已经成为一个社会话...

报告概要:

2009年,互联网和普通百姓的生活越来越紧密,无论是购物、休闲、工作都越来越显现出互联网的重要性。而与此同时,互联网安全问题也越发突出。从09年年初央视315晚会对网银安全问题的报道,到5.19全国断网事件的发生以及年末百度被“黑”事件,网络安全问题已经成为一个社会话题。

引发网络安全问题的根源就是“经济利益”。木马产业链、病毒经济都离不开利益。无论是盗号木马还是修改用户IE主页的恶意软件,这些病毒制作者的目的只有一个——“钱”。近几年,病毒、木马所带来的产业链规模不断刷新,到2009年,据金山安全实验室反病毒专家预测,2009年,病毒产业规模将达到百亿。

伴随着用户对网络安全问题的日益关注,黑客、病毒木马制作者的“生存方式”也在发生变化。病毒的“发展”已经呈现多元化的趋势,类似熊猫烧香、灰鸽子等大张旗鼓进行攻击、售卖的病毒已经越来越少,而以猫癣下载器、宝马下载器、文件夹伪装者为代表的“隐蔽性”顽固病毒频繁出现,同时小范围、针对性的木马、病毒也已经成为新增病毒的主流。

一、2009年中国互联网安全情况整体分析

2009年,计算机病毒和木马处于一个“低调增长期”,虽然一些类似熊猫烧香的重大恶性病毒越来越少见,但一些小范围、针对性强的新病毒、木马的数量依然在飞速增长。据金山毒霸“云安全”中心监测数据显示,2009年,金山毒霸共截获新增病毒和木马20684223个,与2008年相比增加了49%。下图为近几年来的新增病毒和木马数量对比(图1):

 

在新增病毒中,木马仍然首当其冲,新增数量多达15223588个,占所有病毒重量的73.6%。黑客后门和风险程序紧随其后,这三类病毒构成了黑色产业链的重要部分。而且网站挂马的现象也显著增加。从2009年开始,金山网盾对互联网网页挂马进行全面监控。据不完全统计,全年共检测到8393781个挂马网站。此外,欺诈类钓鱼网站的数量也在09年下半年迅猛增长,仅12月,金山网盾共拦截钓鱼网站多达1万多个。下图是不同类别病毒和木马比例图(图2):

 

2009年,根据金山毒霸“云安全”中心监测数据显示,金山毒霸在09年共拦截病毒8440631705次(约84亿次)。全国共有76409010台(约7600万台)计算机感染病毒,与08年的感染量相比增加了13.8%。其中广东、江苏、山东三地的病毒感染量位列全国前三位,总感染量占到全国感染量的25%。全国各省的计算机病毒感染量如下表(图3):

 

二、2009年病毒、木马技术特点的简单分析

第25次中国互联网络发展状况统计报告显示,截至2009年12月30日,中国网民规模达到3.84亿人,普及率达到28.9%。网民规模较2008年底年增长8600万人。迅速发展的互联网行业背后,黑色产业链的发展也日益猖狂。据金山安全实验室统计,威胁的数量增长惊人,达到300%,于此同时2009年黑色链也发生了深刻的变化。

1、浏览器首页劫持产业链形成

随着政府及安全厂商的围剿,在2007年到2008年大发异彩的挂马集团已经日尽余辉。在利益的趋势下,一支新型黑色产业链逐步形成,它们风险更低,手法更容易实现,已经成为互联网用户新型的安全威胁。

最显著的改变就是浏览器首页劫持产业链在2009年发展成型。从金山安全实验室监测到的数据来看,进入2009 年,由于对挂马类病毒的打压,挂马集团通过挂马的方式,使网友中毒的几率越来越小。这就迫使木马产业从业者不得不想尽办法,开始改变方向:欺骗下载+恶意推广+劫持浏览器入口。

从2009年4月开始,修改主页、锁定主页的病毒增速明显。到2009年年末,通过挂马传播的木马数量在整体木马传播量中的比例下降到了40%以下。与此同时,修改主页病毒传播的比例迅速飙升到50%以上,成为木马感染网民电脑的主力渠道。

修改主页、锁定主页的病毒增速异常的背后,是木马集团盈利模式的重大转变。金山安全实验室最先披露的以“灰鸽子”为代表的制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱的黑色产业链,发展到2009年,随着金山网盾类浏览器防护工具的日益成熟,使得网站挂马成功的概率大大降低。病毒产业链里,通过购买流量实现大范围的挂马成本过于高昂(可能中招的几台电脑里得到的收益还不够支付流量费),因此浏览器首页劫持产业链成为盈利主流。据金山安全实验室反病毒专家预测, 2009年木马产业规模将超过百亿。

 

2、流量商成为黑色产业“大佬” 

金山安全实验室反病毒专家解释,在浏览器首页劫持产业链条上,病毒制作者并不是最赚钱的,流量商是这个链条获利最大头。流量商在这个链条中处于承上启下的作用,“就像一个产品,生产厂家的利润可能最后还没大卖场多。”

浏览器首页劫持产业链主要有以下几点组成:

产业链的三个环节

和挂马产业链相比,该产业链的技术门槛很低,浏览器劫持的生产代价非常低,广告推广的获利却巨大,投入产出比大为提高。

以2009年十大病毒中的广告木马(Win32.Troj.Agent.dv.131072)为例,该类木马挟持百度,搜狗,谷歌等著名网站,指向病毒作者指定的服务器222.189.207.206,从而赚取流量,甚至诱导用户点击钓鱼网站。

 

大型网站每天被用户访问的概率非常大,因此广告木马通过修改hosts文件域名挟持大型网站。可以快速获得流量,按照1分钱一个IP来计算,大型网站按每天千万IP计算,流量商通过出售流量每天就可以获得十万的收入。

3、罪恶黑手伸向下载市场 欺诈下载异军突起  

金山“云安全”中心监测数据来看,2009年下半年欺诈下载的感染比例超过挂马,成为2009年的流行趋势。意味着从2009年,木马产业将罪恶之手伸向了下载市场。

欺诈下载的软件品种广泛,不仅包括桌面伴侣(快快捷,桌面图标秀,果果工具条,苹果工具条等名称),还有山寨浏览器(绿叶浏览器,飞游浏览器,绿色浏览器等)、脚本推广器(通常使用一些脚本释放各种快捷方式到用户电脑,有下载其他软件的行为)及其他软件游戏程序,coopen,风行等。

正因为欺诈下载的流行趋势,各大搜索引擎的关键字成为了他们争夺的对象,而且投放的木马更有针对性。例如在百度上搜索“地下城与勇士外挂”,前几个连接大多是有盗号或者恶意的网址,最多的时候前20个搜索结果中有11个是恶意网址,并且排名都靠前。

另外一种欺诈是在下载站点中有大量的连接,其中真正的连接很难找到,而大部分连接是欺诈型连接。

 

此类欺诈下载,多伪装欺骗式链接来赚取广告联盟广告费。更为恶劣的还有捆绑流氓软件,用户误操作之后,浏览器主页可能被篡改,各类盗号、流量劫持,强弹广告、远控木马等后果将随之发生。

欺诈下载的传播流程:

 

 

欺诈下载软件的特点(大-中-小每层的传播都各有特点):

1)实力派(有后台,资金充裕,通常以广告的方式推出)--大型软件下载网站广告推广。比如go2000 在华军 天空之类推广的桌面伴侣流氓软件。

2)演技派(找出真的下载地址需要绝大的毅力和运气)--中小型下载网站诱导。 比如导航站te99.com的欺诈,通常是以大大的下载图标诱导用户。

3)偶像派(没有真的,全是假的)--伪下载站推广。比如修改主页为a1个人导航的推广,提供该类下载的网站本身不提供任何有价值的下载,下载的流氓软件通常更加恶意,甚至包含盗号木马。

4、钓鱼网站大量出现

2009年出现的钓鱼欺诈网站非常多,比如有的假冒央视“非常6+1”栏目的官方网站,然后通过手机短信或飞信进行大范围传播。不法分子首先盗用他人的“飞信”账号,然后向其好友发送大量的诈骗信息,谎称用户获得高额奖金或奖品。从而诱骗用户访问虚假的钓鱼网站,并通过要求用户输入验证码、提供咨询电话、提供公证书查询等手段使得骗局更具迷惑性。用户如果访问了这些钓鱼网站,并按照网站提示填写真实信息,则会导致敏感信息的丢失甚至蒙受经济损失。

三、2010年病毒和木马技术发展趋势预测

1、0Day漏洞层出不穷

0Day漏洞仍然是黑客入侵的主要方式,新年伊始谷歌被入侵事件就证明了这一点。由于0Day漏洞和安全补丁的推出,这两者之间在时间上有一段空白期。所以黑客可以利用这段时间,大规模的入侵计算机用户的电脑系统,从中获取大量有价值的信息内容。正是由于0Day漏洞的巨大威力,以及可以从中获取大量的经济利益,因此黑客必然会更加挖掘系统和软件中的0Day漏洞,尤其是像Windows 7操作系统等可能存在的漏洞。

2、网页挂马、钓鱼网站将继续增加

网页挂马已经成为木马、病毒传播的主要途径之一。由于各种系统漏洞和软件漏洞的存在,因此通过挂马进行入侵的数量会继续增加。黑客在入侵网站系统以后,通过篡改网站网页或数据库的内容,就可以植入各种各样的下载脚本代码。用户只要浏览被植入木马的网站,如果系统存在漏洞就会遭遇木马入侵,从而造成个人信息和网络财富的损失。不过现在金山毒霸已经开发出,一款免费专业的浏览器保护工具——金山网盾。计算机用户可以通过下载安装“金山网盾”,避免自己的系统受到网页木马的攻击和入侵。

3、木马捆绑东山再起

随着网络用户对网页挂马认识的提高,造成通过网页挂马入侵的可能有所降低。但是与此相反的是通过传统的文件捆绑,进行入侵的事件则成明显上升的趋势。黑客通过将木马病毒,和图片、FLASH动画、文本文件等进行捆绑。然后再配以迷惑性的文件图标,这样用户稍不注意就可能上当受骗。而且现在最新版本的捆绑软件,不仅可以完成木马病毒的捆绑,有的还可以增加文件属性等虚假信息,而且更加增加了用户进行识别的难度。

 

4、无线攻击快速增加

随着3G时代的来到,智能手机、上网本、无线路由器等无线接入设备,开始成为黑客攻击的全新目标。现在网络中已经出现大量无线破解的技术,轻则可以让攻击者免费的蹭网,重则可以通过ARP攻击植入木马窃取信息。除此以外,利用手机短信或者移动飞信,进行诈骗的事件也会越来越多。

四、2009互联网安全事件TOP10

2009年,所有的网络安全事件起因差不多都可以在互联网本身找到源头。如果没有互联网,我们可能从不会认识什么叫网络钓鱼、什么是IE 0day漏洞。那么,就让我们回顾一下即将过去的2009年都发生了哪些令人恐惧或者印象深刻的互联网安全事件,并由此带来的对互联网安全的反思。

NO.1 百度被“黑”

上榜指数:★★★★★

上榜理由:

2010年1月12日,中国的2009农历年还没有过,上午6点左右起,全球最大中文搜索引擎百度突然出现大规模无法访问,主要表现为跳转到一雅虎出错页面、伊朗网军图片等,范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。这次百度大面积故障长达5个小时,也是百度2006年9月来最大一次严重断网事故,在国内外互联网界造成了重大影响,被百度CEO李彦宏称为“史无前例”的安全灾难。

金山毒霸安全专家李铁军表示,“DNS劫持是安全界常见的一个名词,劫持了DNS服务器,意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。”

金山毒霸反病毒专家李铁军介绍,大型网站每天被用户访问的概率非常大,因此广告木马通过修改hosts文件域名挟持大型网站。一方面可以快速获得流量,并且由于用户的思维惯性会放松对相应页面的防范意识导致上当受骗。(在用户看来他访问的是百度,但是实际上不是)

金山毒霸安全专家表示,黑客入侵大型网站本身越来越难,因此通过劫持DNS“黑”大型网站会越来越流行。

NO.2 微软再爆IE极光0DAY漏洞

上榜指数:★★★★☆

上榜理由:

 

1月18日,微软向所有VIA伙伴通报最新IE 0Day漏洞。作为国内唯一的微软VIA联盟的成员,国内知名互联网安全公司北京金山安全软件有限公司已得到了该漏洞一些信息,该漏洞对操作系统和浏览器的影响范围较大,跨越了Windows 2000/Windows XP SP2/SP3,Windows Vista, Windows 7等大部分windows系统,同时影响目前主流的IE6/IE7/IE8浏览器,此外一些第三方IE浏览器也很有可能受到影响自该漏洞被黑客公布以后,金山网盾拦截利用该漏洞的木马攻击次数以每天36.3%的速度增长,日拦截攻击行为428144次,共拦截数百万次通过IE极光0day漏洞进行的攻击。

李铁军表示,由于目前IE极光0day漏洞主要利用色情网站进行挂马,此类网站日流量通常以百万计算,而该漏洞主要针对IE浏览器(该浏览器市场占有率50.8%),实际潜在受影响用户保守估计应在千万级。为了在微软未发布漏洞补丁之前,将用户的损失降到最低,金山安全实验室第一时间推出金山网盾IE极光0day漏洞专防工具,帮助非金山毒霸、金山网盾用户解决燃眉之急。

NO.3  5.19全国断网事件

上榜指数:★★★★☆

上榜理由:

2009年5月19日,中国十多个省市数以亿计的网民遭遇了罕见的“网络塞车”,这是继2006年台湾地震造成海底通信光缆发生中断之后,中国发生的又一起罕见的互联网网络大瘫痪,大多数网民的上网质量都受到了影响。

据报道,事故当天,由于暴风影音网站域名解析系统遭受黑客攻击,导致电信DNS服务器访问量突增,网络处理性能下降,全国十多各省市数以亿计的网民遭遇了罕见的网络塞车,一时间形成大规模网络瘫痪。这次“暴风断网门”事件,让网络黑客与我国信息安全产业再次对垒,将网络共享软件普遍存在的留“后门”短板问题推至风口。

NO.4工信部推行绿坝软件引发争议

上榜指数:★★★★☆

上榜理由:

2009年6月,工信部日前发出了《关于计算机预装绿色上网过滤软件的通知》,规定自7月1日以后,在我国境内生产销售的计算机以及进口计算机必须预装一款名为“绿坝-花季护航”的绿色上网过滤软件。消息一出,引发社会广泛关注,引起网民热烈争议,而且质疑声较多。诚然,此举的目的在于保持洁净网络环境、保护未成年人利益,出发点是好的,但老百姓对这种做法也存在争议。

NO.5 央视3。15晚会曝光网银诈骗

上榜指数:★★★☆☆

上榜理由:

 

3月15日,央视315晚会曝光一名叫“顶狐”的黑客,通过自己制造木马程序,盗取大量用户的网上银行信息,用很低廉的价格在网上出售,危及大量网银用户的安全。

央视315晚会报道,“顶狐”通过木马程序,盗取个人的网银信息,后对盗取回来的信息分类整理,将密码等信息廉价出售,而网上银行用户信息则以400元每G的价格打包售出。这导致大量的网银用户存款被盗。

据悉,沦为“肉鸡”的电脑,除了央视315晚会曝光的网银帐号受到威胁外,黑客还可以轻易获得用户的炒股帐号、网游帐号密码等信息。此外,远程控制用户的摄像头,曝光隐私;窃取“肉鸡”电脑里的虚拟财产以及商业机密。李铁军表示,“肉鸡已经成为黑客牟利的工具”。

为了维护整个互联网安全环境,让广大网民摆脱“肉鸡”威胁,金山毒霸紧急研发了完全免费的“肉鸡检测器”,全面剿杀肉鸡。金山毒霸肉鸡检测器采用金山毒霸先进的可信认证及威胁判断技术,准确鉴定文件安全性。多达156项病毒加载项的检测,已经覆盖病毒所有已经采用的加载技术,全面检测不遗漏;独有的Anti-rootkit技术深入系统底层,纵使采用了“隐身术”的后门或远程控制程序,也都在“肉鸡检测器”下乖乖现身。

NO.6 山寨版杀毒软件横行

上榜指数:★★★☆☆

上榜理由:

活跃在2009年互联网安全行业里,除了正统出身的金山毒霸等杀毒软件之外,也有一些不知名、又并非拿到公安销售许可证的“山寨”版杀毒软件,如“绿伞”、“驱逐舰”,也就是说在公安部计算机病毒防治产品检验中心2008年防病毒产品检验结果名单中,找不到这些杀毒产品的身影。而同时,这些“山寨版”杀毒软件多是打着价格便宜,功能强大丰富之类的推广噱头,通过在线上各个论坛推广,甚至会采取获利极快的传销形式作为销售平台,来获得可观的商业利益。

“山寨”版杀毒软件,不同于其他山寨手机等产品。除了用户需要忍受哇哇叫的刺耳铃声,最起码在通讯及其他娱乐商务功能上,山寨手机都可以满足用户需求,不会在产品功效上严重侵犯消费者权益。而山寨杀软的威胁之处在于,消费者花费了同样的价钱,却得不到相同价值的产品质量保障。

在互联网安全行业,并非任何想加入的山寨产品都可轻易走进来。要进入互联网安全行业也需要有准入门槛,一款杀毒产品必须经过公安部严格的检测,然后申请到黄标才能在市场上公开销售。对于选择使用杀毒软件的用户而言,金山软件反病毒专家建议,在选择杀毒产品时,可通过检查产品是否贴有公安部门发放的黄色标(即准销许可)辨别产品的山寨与否。如果有用户不小心购买到没有黄标(准销许可)的山寨杀软,也可以向消费者权益协会或者国家反病毒中心联系维护自己的消费者合法权益。


NO.7 刑法修正案出台将有力震慑网游盗号团伙

上榜指数:★★★☆☆

上榜理由:   

 

2009年2月,十一届全国人大常委会第七次会议表决通过刑法修正案(七)。修正案中,对网络犯罪的界定更加实用化、人性化,更加惠及广大普通网民。

刑法修正案(七)在刑法第285条中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”

修正案的通过对非法入侵、木马程序的编写、传播、黑客工具的开发均会造成一定压力,打击网络犯罪不再无法可依,某些攻击工具的开发者也将由此承担连带责任。修正案对保护网民打击犯罪一定是有益的。

NO.8 猫癣病毒带来的灰色产业链二次分工

上榜指数:★★★☆☆

上榜理由:

2009年1月18日,金山毒霸云安全中心在国内率先发布“猫癣”节前病毒预警。2月3日,金山毒霸“云安全”中心监测结果显示,春节前小范围爆发的“猫癣”在春节期间疯狂传播,变种数量多达500个,平均每天全国就有40万台电脑染毒。随后,其他安全厂商也迅速跟进。

金山毒霸云安全中心对春节期间该病毒的情况做了专门监控。最明显的中毒症状:电脑桌面上出现usp10.dll文件、迅雷无法启动及安全软件自动关闭,并且伴随网游帐号被盗。目标囊括魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等主流游戏,对用户的虚拟财产影响巨大。

2009年,牛年首个重大病毒--“猫癣”在短短一个月时间里,已经累计约3000万台次计算机访问过恶意网页,其中造成约数百万台次电脑感染“猫癣”病毒。这款病毒除了强烈的对抗性,流行的原因还在于“猫癣”病毒分销渠道之多,安装量之大。

木马/病毒背后早已日渐形成一条巨大的黑色产业链。不管是网银中真实的钱,还是虚拟财产,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,他们的分工明确,形成了一个非常完善的流水性作业的程序。

如今黑色产业链商业模式的日益完善和成熟,对于企业用户而言,防毒不可能单靠一环节就可以了,必须同时投入更多的人力物力来达到更好的防御效果;而对于一般百姓、个人用户而言,更多的应该是自身对互联网安全认识的深入和全面认识。

NO.9 国内首个网购安全平台推出

上榜指数:★★★☆☆

上榜理由:

 

2009年,“网络钓鱼”诈骗的频繁出现,阻碍了在线金融服务、电子商务的发展,危害了公众的实际财产利益。据国家计算机网络应急中心估算,网络钓鱼带来的对电子商务用户损失目前已达76亿元,也就是说,平均每一位网购用户已经为潜在的网购安全威胁丢掉了86元的经济损失。

12月9日,知名互联网安全厂商金山互联网安全公司正式对外宣布联手傲游浏览器、以及电子商务平台淘宝、支付宝,共同推出国内首个网购完全平台。既四方将在反钓鱼网站、主动防御网页挂马、网络购物安全等方面采取多种措施,通过凝聚四方多项安全技术,充分满足多层次用户的需求。此举开创了互联网安全厂商为电子商务平台提供互联网安全服务的先河,必将极大的提升电子商务在线交易的安全程度。

构建立体化、全方位的网购安全平台自然成为现阶段互联网环境下迫切需要,也是金山毒霸对互联网用户的承诺,即要使金山毒霸可以为互联网不同需求的用户提供互联网安全防护。纵观金山互联网安全公司的近几年的合作战略,自2006年开始,金山互联网安全先后与百度、MSN等互联网企业展开合作。目前,MSN、百度都在依靠金山的安全产品在对上亿用户进行着安全服务。同时金山也在用上亿免费用户提供的安全对抗经验更好的为收费用户提供服务。构建立体化网购安全平台是金山互联网安全公司大云战略的新开端,也是金山履行用户承诺的最好体现,开放的合作模式也更加利于健康的产业发展。   

NO.10国内首款“云查杀”安全产品问世

上榜指数:★★★☆☆

上榜理由:  

2009年6月,金山贝壳木马专杀产品问世,成为国内第一款“100%云查杀”的产品。金山互联网安全公司从2007年推出基于云安全技术的的“可信认证”平台开始,一直致力于在云安全技术方面的探索和研究。所谓云查杀,就是把安全引擎和病毒木马库放在服务端,解放用户PC,以获得更好的查杀效果、更快的安全响应、更小的资源占用,以及更快的查杀速度,而且无需升级病毒木马库。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们