2007-01-01《中國2007年上半年電腦病毒疫情及互聯(lián)網(wǎng)安全報告》中的數(shù)據(jù)由金山毒霸全球反病毒監(jiān)測中心、金山毒霸全球病毒應(yīng)急處理中心、金山毒霸客戶服務(wù)中心聯(lián)合監(jiān)測得出。本報告的所有結(jié)論和所持觀點均由金山獨家發(fā)布,與其它合作公司、部門無關(guān)。
2007年上半年,電腦病毒異常活躍,木馬、蠕蟲、黑客后門等輪番攻擊互聯(lián)網(wǎng),從熊貓燒香、灰鴿子到艾妮、AV終結(jié)者,重大惡性病毒頻率發(fā)作,危害程度也在逐步加強,互聯(lián)網(wǎng)安全面臨的威脅更加嚴(yán)峻。
一、2007年上半年中國電腦病毒疫情及互聯(lián)網(wǎng)安全總體狀況分析
2007年上半年,電腦病毒延續(xù)了06年以來的高速增長勢頭,金山毒霸共截獲新增病毒樣本總計111,474種,與去年同期增加了23%。其中木馬病毒新增數(shù)占總病毒新增數(shù)的68.71%,高達(dá)76593種;AV終結(jié)者病毒因其危害程度以及感染率均名列榜首,所以成為名副其實的2007年上半年“毒”王。
在上半年新增的木馬病毒中,盜號木馬是最嚴(yán)重的一類病毒,占到木馬病毒總數(shù)的76.04%,高達(dá)58245種。而蠕蟲、下載木馬、腳本漏洞病毒幾乎都是為盜號木馬來服務(wù)的,其目的就是通過自身傳播能力、攻擊能力,將自身做為載體將盜號木馬安裝到用戶系統(tǒng)中。
此外,惡意軟件在近年來嚴(yán)打中和各大廠商的正規(guī)化動作后,已經(jīng)開始慢慢萎縮,因此只占到3.51%,市面上常見的廣告主要是服務(wù)于色情網(wǎng)站和投票網(wǎng)站。黑客后門病毒仍是互聯(lián)網(wǎng)最大的隱患之一,也是黑客們互相爭奪的資源之一,誰用黑客后門病毒控制的“肉雞”越多,能獲得的經(jīng)濟利益也越大,更有些作者將此類病毒在互聯(lián)網(wǎng)中公開叫賣,這也是黑客后門病毒大量新增的原因之一。
1、 互聯(lián)網(wǎng)進入木馬/病毒經(jīng)濟時代
自2006年起,偷、騙、搶就已成為信息網(wǎng)絡(luò)安全的三大威脅。而盜號木馬、黑客后門病毒已經(jīng)成為大多數(shù)職業(yè)病毒作者生財工具。木馬/病毒背后的巨大的灰色產(chǎn)業(yè)鏈給整個互聯(lián)網(wǎng)帶來了更加嚴(yán)峻的考驗。不管是網(wǎng)銀中真實的錢,還是虛擬財產(chǎn),制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢,分工明確,形成了一個非常完善的流水性作業(yè)的程序。
以“灰鴿子”木馬為例,據(jù)不完全統(tǒng)計,僅僅“灰鴿子”一種后門所帶來的直接售賣價值就達(dá)2000萬以上。木馬的制造者本身并不參與“賺錢”,病毒編寫完畢后,大量的“大蝦”開始招募“徒弟”,教授木馬病毒控制技術(shù)和盜號技術(shù),收取“培訓(xùn)費”,之后往往將“徒弟”發(fā)展為下線(也就是其代理商或分銷商),以輔助完成其他牟利活動。“灰色產(chǎn)業(yè)鏈”可能將病毒制作引領(lǐng)為一種產(chǎn)業(yè)。下圖為木馬產(chǎn)業(yè)鏈的示意圖,可充分說明“灰色產(chǎn)業(yè)鏈”的運作過程:
網(wǎng)頁掛馬問題在2007年上半年已經(jīng)出現(xiàn)了爆炸式的增長。據(jù)中國工程院院士、信息網(wǎng)絡(luò)與信息安全專家方濱興在《網(wǎng)絡(luò)與信息安全》專題講座中介紹,國家信息安全中心對今年前5個月大陸網(wǎng)站統(tǒng)計,黑客成功攻擊次數(shù)有34331次,為歷年最高,而湖南省一個地區(qū)被黑客攻擊的網(wǎng)站就多達(dá)30余家。網(wǎng)站的防護能力不足是網(wǎng)頁掛馬頻頻出現(xiàn)的重要原因之一。
ARP欺騙技術(shù)在今年得到進一步成熟。早期的ARP欺騙用于惡作劇,在局域網(wǎng)中控制某臺電腦不能上網(wǎng)等現(xiàn)象,發(fā)展到嗅探局域網(wǎng)中流傳的機密信息,到今天的輔助網(wǎng)頁掛馬,可以讓一個城域網(wǎng)受到網(wǎng)頁掛馬的攻擊。其現(xiàn)象是,如果某個城域網(wǎng)的網(wǎng)關(guān)受到了ARP欺騙的攻擊,那么在此城域網(wǎng)中所有的用戶在訪問任何網(wǎng)頁,都會發(fā)現(xiàn)這些網(wǎng)頁都被插入了掛馬的腳本。下圖是受到攻擊后訪問正常頁面時的圖示:
請注意Google的主頁并沒有被黑或被掛馬,出現(xiàn)的原因主要是城域網(wǎng)中的網(wǎng)關(guān)受到了ARP欺騙的攻擊。此種技術(shù)的要點就是感染一臺系統(tǒng)就可導(dǎo)致所用用戶受到網(wǎng)頁掛馬的攻擊。
面對網(wǎng)頁掛馬的危害極巨加重,金山毒霸研發(fā)部潛心研究,已經(jīng)獲得階段性成果,將在七月中發(fā)布一個專門針對網(wǎng)頁掛馬的網(wǎng)頁防掛馬工具,以期減少掛馬攻擊對用戶的侵害。
3、“0Day漏洞”讓微軟防不勝防
上半年利用“0Day漏洞”進行傳播的病毒頻繁出現(xiàn),以“艾妮”為例,利用微軟漏洞進行傳播,對包括Vista在內(nèi)的Windows 所有用戶造成嚴(yán)重威脅,成為首個造成了大面積感染的利用“0Day漏洞”傳播的病毒。
“0Day漏洞”是指微軟官方未發(fā)現(xiàn)或未發(fā)布修補補丁的漏洞。早在去年就出現(xiàn)過多起針對微軟office 的“0Day漏洞”的病毒。由于這些漏洞的自身限制未能造成大面積的用戶受害,直到“ANI漏洞”的出現(xiàn)。“0Day漏洞”所帶來的危害遠(yuǎn)遠(yuǎn)超過普通系統(tǒng)漏洞。用戶沒有辦法在第一時間尋找最有效的解決方法,一般只能采取避讓或禁用系統(tǒng)功能的方法來減少漏洞帶來的危害。“0Day漏洞”對安全界提出了更高的安全需求,更是軟件開發(fā)者必須重視的軟件質(zhì)量問題。
2007年,金山毒霸結(jié)合流行蠕蟲的傳播特點,在反病毒工程師的集體努力下,成功找到了一個抵御蠕蟲病毒的最佳解決方案——流行蠕蟲免疫功能。面對熊貓燒香等惡性蠕蟲的猛烈攻擊,金山毒霸以實用性的技術(shù)贏得了用戶的好評。
并針對利用微軟“0Day”漏洞傳播的“艾妮”病毒,金山毒霸搶先推出“ANI漏洞免疫”功能,及時有效的在毒霸用戶群中截止了病毒的流行。“ANI漏洞”與網(wǎng)頁掛馬配合,直到補丁發(fā)布以后,仍然在互聯(lián)網(wǎng)中肆虐。利用沒有補丁的漏洞,將是高級病毒發(fā)展的重要趨勢。
4、病毒/木馬瘋狂反撲,病毒/木馬商業(yè)化運作出現(xiàn)團隊化協(xié)同方式。
伴隨著安全廠商對病毒的剿殺,病毒制作者開始想方設(shè)法逃避殺毒軟件的追殺,甚至從技術(shù)的角度對殺毒軟件進行攻擊。
以“AV終結(jié)者”為例,該病毒最大的特點就是采用多種方式對抗最流行的安全軟件,對反病毒軟件發(fā)起了瘋狂的反撲,同時也充分體現(xiàn)了病毒/木馬商業(yè)化、團隊協(xié)作的跡象。
首先,傳播病毒,使用黑客技術(shù)攻擊網(wǎng)站、網(wǎng)關(guān)服務(wù)器,致使大量用戶遭遇網(wǎng)頁掛馬的攻擊;或是利用U盤去感染一些企業(yè)的局域網(wǎng)、網(wǎng)吧或小區(qū)寬帶;或是利用現(xiàn)有的病毒技術(shù)——蠕蟲傳播、文件感染作為載體來安裝“AV終結(jié)者”,以達(dá)到最終目的——提高病毒的感染量。
然后,利用“AV終結(jié)者”終止所有反病毒軟件。致使用戶電腦的安全系統(tǒng)遭遇徹底破壞,而后開始大規(guī)模的下載盜號木馬,并能不斷的更新升級自己。這個團隊的另一部份人采用當(dāng)今最流行的互聯(lián)網(wǎng)技術(shù),只需在服務(wù)端做一些配置的改動,就可讓病毒自動下載任意的程序(病毒/木馬)。
最后,通過盜號木馬盜取用戶的網(wǎng)絡(luò)財產(chǎn),獲得經(jīng)濟利益。如:在“魔獸世界”中的一個貨幣單位G,就價值人民幣0.07元。多數(shù)高級玩家已經(jīng)獲得幾十萬G的成果,一旦被盜可能就是上千元的經(jīng)濟損失。
5、病毒的變種數(shù)量已經(jīng)成為衡量其危害性的新標(biāo)準(zhǔn)。
單一病毒感染的計算機數(shù)量不再是衡量其危害性的標(biāo)準(zhǔn)值,頻繁生成的變種已成為加速病毒傳播的有效手段。
正如2006年末所預(yù)計的那樣,2007年出現(xiàn)了大量新(變種)病毒。現(xiàn)在的流行病毒制作者不再寄期望于某一種或某一類病毒進行大面積傳播和感染,而是依靠其變種數(shù)量,通過更多的傳播手段,更多的參與者,采取“廣撒網(wǎng)多捕魚”的戰(zhàn)術(shù),將數(shù)量眾多的病毒感染到用戶系統(tǒng)中。每個病毒變種能有上百位用戶感染,它就已經(jīng)獲得了成功。連續(xù)兩年來的大面積病毒數(shù)量充分的說明了這一點。
金山毒霸應(yīng)對高數(shù)量的病毒新增現(xiàn)象,率先在去年就開展了一日多次升級,重大病毒1小時內(nèi)應(yīng)急升級的策略,并應(yīng)用到產(chǎn)品的主動升級功能中,得到用戶們的廣泛好評。而金山毒霸所采用的“數(shù)據(jù)流殺毒”技術(shù),對病毒代碼的執(zhí)行特征進行動態(tài)實時分析,極大提高殺毒數(shù)量和精確度,尤其對于變種病毒、變種木馬和未知漏洞攻擊具有超強的防治能力。此外,金山毒霸研發(fā)部更是在后臺服務(wù)中,研制出多種自動手段,對新增病毒進自動分析、自動提取病毒特、自動制作病毒庫、自動誤報檢測的一套完全自動流程,充分應(yīng)對新增病毒的速度。
據(jù)金山毒霸計算機病毒疫情監(jiān)測網(wǎng)監(jiān)測,2007年上半年,全國計算機感染臺數(shù)75,967,19臺,與去年同期相比增長了12.2%。其中被感染的計算機中遭受過木馬病毒攻擊的比例占到91.35%。全國各省的計算機病毒感染量如下表:
|
排名 |
地區(qū) |
感染機器臺數(shù) |
排名 |
地區(qū) |
感染機器臺數(shù) |
|
1 |
廣東 |
807854 |
18 |
黑龍江 |
84522 |
|
2 |
浙江 |
645014 |
19 |
重慶 |
80256 |
|
3 |
江蘇 |
631545 |
20 |
山西 |
79224 |
|
4 |
上海 |
612545 |
21 |
天津 |
75841 |
|
5 |
山東 |
552541 |
22 |
云南 |
69024 |
|
6 |
四川 |
512354 |
23 |
吉林 |
67028 |
|
7 |
北京 |
442545 |
24 |
貴州 |
64712 |
|
8 |
河南 |
412378 |
25 |
新疆 |
55245 |
|
9 |
河北 |
407534 |
26 |
內(nèi)蒙 |
54478 |
|
10 |
湖南 |
326987 |
27 |
甘肅 |
50745 |
|
11 |
湖北 |
278778 |
28 |
寧夏 |
48147 |
|
12 |
遼寧 |
249753 |
29 |
海南 |
41587 |
|
13 |
江西 |
225874 |
30 |
青海 |
37541 |
|
14 |
陜西 |
201456 |
31 |
香港 |
21041 |
|
15 |
廣西 |
170587 |
32 |
西藏 |
17241 |
|
16 |
福建 |
167802 |
33 |
臺灣 |
5451 |
|
17 |
安徽 |
97825 |
34 |
澳門 |
1264 |
其中被病毒感染的計算機最多的地區(qū)主要分布為廣州(11%)、浙江(8%)、江蘇(8%)、上海(8%)、山東(7%)、四川(7%)、北京(6%)。
四、2007年上半年十大計算機病毒/木馬
金山毒霸根據(jù)病毒危害程度、病毒感染率以及用戶的關(guān)注度,計算出綜合指數(shù),最終得出以下十大病毒/木馬為2007年上半年最危險的病毒/木馬。
|
排名 |
中文名 |
病毒名 |
危害程度 |
感染率 |
用戶關(guān)注度 |
|
1 |
AV終結(jié)者 |
Win32.Troj.Poseidon |
5 |
7.13% |
熱門 |
|
2 |
熊貓燒香 |
Worm.WhBoy |
5 |
5.84% |
熱門 |
|
3 |
灰鴿子 |
Win32.Hack.Huigezi |
4 |
6.98% |
熱門 |
|
4 |
艾妮 |
Worm.MyInfect |
4 |
5.15% |
熱門 |
|
5 |
QQ尾巴 |
Win32.Troj.QQTail |
3 |
2.13% |
高度 |
|
6 |
魔獸木馬 |
Win32.Troj.WOW |
3 |
3.45% |
高度 |
|
7 |
征途木馬 |
Win32.Troj.ZhengTu |
3 |
2.07% |
高度 |
|
8 |
維金變種GM |
Womr.Viking.gm |
4 |
1.98% |
普通 |
|
9 |
網(wǎng)游盜號木馬 |
Win32.Troj.Onlinegames |
3 |
5.45% |
普通 |
|
10 |
羅姆 |
Troj.Romdrivers |
4 |
1.02% |
普通 |
危害程度:分5級,最高級為5。我們將危害的種類分為:A破壞用戶系統(tǒng),B盜取用戶信息,C能進行自我傳播 D廣告行為 E下載其它木馬
5級:具有上述四種及以上行為的病毒/木馬
4級:具有述任意三種行為的病毒/木馬
3級:具有C行為加任意一種行為的病毒/木馬
2級:具有A B C任意一種行為的病毒/木馬
1級:具D E任意一種行為的病毒/木馬
病毒感染率:該病毒在感染的計算機臺數(shù)點總感染臺數(shù)的比率。
用戶關(guān)注度:我們收集用戶對病毒的關(guān)注數(shù)據(jù),如:論壇討論熱度的評估,新聞及病毒分析報告的點擊率或關(guān)鍵字熱度,將其分為3級,熱門、高度、普通。
附十大病毒簡介
1、AV終結(jié)者
一個專門與殺毒軟件對抗,破壞用戶電腦的安全防護系統(tǒng),并在用戶電腦毫無抵抗力的情況下,大量下載盜號木馬的病毒。
病毒特征:病毒運行后,會釋放romdrivers.dll等多個病毒文件,同時修改多個注冊表項,,將自身注入到explorer進程中,連接網(wǎng)絡(luò)進行病毒自更新及病毒的下載。
2、熊貓燒香
一個讓網(wǎng)民身受其害,極為囂張的惡性蠕蟲病毒。伴隨著病毒作者的落網(wǎng),又引發(fā)了網(wǎng)民對病毒背后黑色產(chǎn)業(yè)鏈的討論。
病毒特征:'熊貓燒香'蠕蟲不但可以對用戶系統(tǒng)進行破壞,導(dǎo)致大量應(yīng)用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統(tǒng)備份文件丟失,從而無法進行系統(tǒng)恢復(fù);同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統(tǒng)的安全性。
3、灰鴿子
這是一個'中國制造'的隱蔽性極強的木馬,連續(xù)數(shù)年被反病毒廠商列為年度十大病毒。用戶一旦被入侵,電腦將淪為肉雞,任人宰割。
病毒特征:使用遠(yuǎn)程注入、Ring3級Rookit等手段達(dá)到隱藏自身的目的。一般它會被人蓄意捆綁到一些所謂的免費軟件中,并放到互聯(lián)網(wǎng)上,誘騙用戶下載。因為其具有很強的隱蔽性,所以用戶一旦從不知名網(wǎng)站下載并誤運行了這些軟件,機器就會被控制,而且很難發(fā)覺。攻擊者可以對感染機器進行多種任務(wù)操作,如文件操作、注冊表操作、強行視頻等等。
4、艾妮
'艾妮'病毒集熊貓燒香、維金兩大病毒危害于一身,傳播性與破壞性極強,而且利用微軟Oday漏洞傳播,大量用戶身受其害。
病毒特征:艾妮是一個Win32平臺下的感染型蠕蟲,可感染本地磁盤、可移動磁盤及共享目錄中大小在10K---10M之間的所有.exe文件,感染擴展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件,并可連接網(wǎng)絡(luò)下載其他病毒。
5、QQ尾巴
QQ尾巴自誕生以來衍生出大量的變種,某些變種會添加到起始項,修改文件關(guān)聯(lián),禁用進程管理器,關(guān)閉大量的安全軟件,對用戶系統(tǒng)安全性能帶來極大威脅。
病毒特征:該病毒是一個利用了IE漏洞在一些知名度不甚高的網(wǎng)站首頁上嵌入了一段惡意代碼,在用戶使用QQ向好友發(fā)送信息的時候,該木馬程序會自動在發(fā)送的消息末尾插入一段廣告詞,誘騙用戶點擊,從而達(dá)到侵入用戶系統(tǒng),進而借助QQ進行垃圾信息發(fā)送的目的。該病毒每隔幾分鐘就會發(fā)送一次欺騙消息,嚴(yán)重干擾了用戶正常的信息傳遞。而該信息是隱藏的,發(fā)送方并不知道。
6、魔獸木馬
一類盜取'魔獸世界'游戲帳號和密碼的木馬。
病毒特征:運行后,會把自己拷貝到windows下并添加注冊表啟動項。病毒會不斷的尋找WOW的游戲登錄,一但發(fā)現(xiàn),通過鉤子讀取用戶輸入的游戲帳號與密碼,并把它們發(fā)送到木馬種植者的郵箱中去;此外,它還會記錄并發(fā)送用戶在游戲中的活動情況。
7、征途木馬
一類盜取'征途'游戲帳號和密碼的木馬。
病毒特征:病毒運行時會監(jiān)控征途游戲登陸窗口,并且記錄鍵盤信息,把所竊取的信息通過其自身所帶的郵件引擎發(fā)送到黑客指定郵箱中。
8、維金變種
一個讓企業(yè)用戶頭疼的蠕蟲病毒,集成'可執(zhí)行文件感染'、'網(wǎng)絡(luò)感染'、'下載網(wǎng)絡(luò)木馬及其它病毒'的復(fù)合型病毒,若用戶不幸感染該病毒,將會面臨系統(tǒng)癱瘓、網(wǎng)銀、網(wǎng)游帳號被盜、重要信息泄漏等多重威脅。
病毒特征:病毒將自身注入到用戶電腦的IE進程里,同時終止多個殺毒軟件的監(jiān)控進程,并連接到指定的惡意站點,下載盜號木馬或者其他感染型病毒,進一步侵害用戶的電腦系統(tǒng),不但導(dǎo)致用戶的系統(tǒng)硬盤的資料和數(shù)據(jù)文件被損壞,而且有可能出現(xiàn)用戶的電腦資料外泄和網(wǎng)絡(luò)虛擬財產(chǎn)被盜等現(xiàn)象。
9、網(wǎng)游盜號木馬
一個盜取網(wǎng)絡(luò)游戲的游戲帳號的木馬病毒。該病毒跟一般游戲盜號木馬相似,它會潛伏在受感染的電腦系統(tǒng)中,伺機搜尋并注入游戲進程,竊取有效信息,并將其發(fā)送給木馬種植者,造成用戶的虛擬財產(chǎn)的損失。此外,它還能終止特定的安全軟件的監(jiān)控進程和服務(wù),導(dǎo)致電腦的安全性能下降。
病毒特征:該病毒運行后,會自動釋放upxdnd.exe和upxdnd.dll病毒文件,修改注冊表,實現(xiàn)隨開機自動啟動。終止Twister.exe,F(xiàn)ilMsg.exe和RavMon.exe等安全軟件的監(jiān)控進程。
10、羅姆
一個導(dǎo)致大量安全軟件運行失敗,即便是將病毒解決掉以后,還是會發(fā)現(xiàn)殺毒軟件不能運行,下載大量盜號木馬到用戶計算機來盜取用戶的帳號信息的病毒。
病毒特征:釋放病毒文件并創(chuàng)建注冊表項來使病毒文件隨系統(tǒng)而啟動;嘗試刪除以下注冊表項來防止其它病毒的干擾;將病毒文件romdrivers.dll注入到explorer進程中,然后通過explorer來連接網(wǎng)絡(luò)進行病毒自更新,下載大量盜號木馬到用戶計算機來盜取用戶的帳號信息;發(fā)送大量的ARP欺騙數(shù)據(jù)包,嚴(yán)重影響局域網(wǎng),造成局域網(wǎng)網(wǎng)絡(luò)阻塞并導(dǎo)致企業(yè)網(wǎng)絡(luò)中斷。
