一、2007年上半年中国电脑病毒疫情及互联网安全总体状况分析
2007年上半年,电脑病毒延续了06年以来的高速增长势头,金山毒霸共截获新增病毒样本总计111,474种,与去年同期增加了23%。其中木马病毒新增数占总病毒新增数的68.71%,高达76593种;av终结者病毒因其危害程度以及感染率均名列榜首,所以成为名副其实的2007年上半年“毒”王。
在上半年新增的木马病毒中,盗号木马是最严重的一类病毒,占到木马病毒总数的76.04%,高达58245种。而蠕虫、下载木马、脚本漏洞病毒几乎都是为盗号木马来服务的,其目的就是通过自身传播能力、攻击能力,将自身做为载体将盗号木马安装到用户系统中。
此外,恶意软件在近年来严打中和各大厂商的正规化动作后,已经开始慢慢萎缩,因此只占到3.51%,市面上常见的广告主要是服务于色情网站和投票网站。黑客后门病毒仍是互联网最大的隐患之一,也是黑客们互相争夺的资源之一,谁用黑客后门病毒控制的“肉鸡”越多,能获得的经济利益也越大,更有些作者将此类病毒在互联网中公开叫卖,这也是黑客后门病毒大量新增的原因之一。 二、2007年上半年计算机病毒/木马特点分析
1、 互联网进入木马/病毒经济时代
自2006年起,偷、骗、抢就已成为信息网络安全的三大威胁。而盗号木马、黑客后门病毒已经成为大多数职业病毒作者生财工具。木马/病毒背后的巨大的灰色产业链给整个互联网带来了更加严峻的考验。不管是网银中真实的钱,还是虚拟财产,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,分工明确,形成了一个非常完善的流水性作业的程序。
以“灰鸽子”木马为例,据不完全统计,仅仅“灰鸽子”一种后门所带来的直接售卖价值就达2000万以上。木马的制造者本身并不参与“赚钱”,病毒编写完毕后,大量的“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线(也就是其代理商或分销商),以辅助完成其他牟利活动。“灰色产业链”可能将病毒制作引领为一种产业。下图为木马产业链的示意图,可充分说明“灰色产业链”的运作过程:
2、网页挂马与arp欺骗危害加剧
网页挂马问题在2007年上半年已经出现了爆炸式的增长。据中国工程院院士、信息网络与信息安全专家方滨兴在《网络与信息安全》专题讲座中介绍,国家信息安全中心对今年前5个月大陆网站统计,黑客成功攻击次数有34331次,为历年最高,而湖南省一个地区被黑客攻击的网站就多达30余家。网站的防护能力不足是网页挂马频频出现的重要原因之一。
arp欺骗技术在今年得到进一步成熟。早期的arp欺骗用于恶作剧,在局域网中控制某台电脑不能上网等现象,发展到嗅探局域网中流传的机密信息,到今天的辅助网页挂马,可以让一个城域网受到网页挂马的攻击。其现象是,如果某个城域网的网关受到了arp欺骗的攻击,那么在此城域网中所有的用户在访问任何网页,都会发现这些网页都被插入了挂马的脚本。下图是受到攻击后访问正常页面时的图示:
请注意google的主页并没有被黑或被挂马,出现的原因主要是城域网中的网关受到了arp欺骗的攻击。此种技术的要点就是感染一台系统就可导致所用用户受到网页挂马的攻击。
面对网页挂马的危害极巨加重,金山毒霸研发部潜心研究,已经获得阶段性成果,将在七月中发布一个专门针对网页挂马的网页防挂马工具,以期减少挂马攻击对用户的侵害。
3、“0day漏洞”让微软防不胜防
上半年利用“0day漏洞”进行传播的病毒频繁出现,以“艾妮”为例,利用微软漏洞进行传播,对包括vista在内的windows 所有用户造成严重威胁,成为首个造成了大面积感染的利用“0day漏洞”传播的病毒。
“0day漏洞”是指微软官方未发现或未发布修补补丁的漏洞。早在去年就出现过多起针对微软office 的“0day漏洞”的病毒。由于这些漏洞的自身限制未能造成大面积的用户受害,直到“ani漏洞”的出现。“0day漏洞”所带来的危害远远超过普通系统漏洞。用户没有办法在第一时间寻找最有效的解决方法,一般只能采取避让或禁用系统功能的方法来减少漏洞带来的危害。“0day漏洞”对安全界提出了更高的安全需求,更是软件开发者必须重视的软件质量问题。
2007年,金山毒霸结合流行蠕虫的传播特点,在反病毒工程师的集体努力下,成功找到了一个抵御蠕虫病毒的最佳解决方案——流行蠕虫免疫功能。面对熊猫烧香等恶性蠕虫的猛烈攻击,金山毒霸以实用性的技术赢得了用户的好评。
并针对利用微软“0day”漏洞传播的“艾妮”病毒,金山毒霸抢先推出“ani漏洞免疫”功能,及时有效的在毒霸用户群中截止了病毒的流行。“ani漏洞”与网页挂马配合,直到补丁发布以后,仍然在互联网中肆虐。利用没有补丁的漏洞,将是高级病毒发展的重要趋势。
4、病毒/木马疯狂反扑,病毒/木马商业化运作出现团队化协同方式。
伴随着安全厂商对病毒的剿杀,病毒制作者开始想方设法逃避杀毒软件的追杀,甚至从技术的角度对杀毒软件进行攻击。
以“av终结者”为例,该病毒最大的特点就是采用多种方式对抗最流行的安全软件,对反病毒软件发起了疯狂的反扑,同时也充分体现了病毒/木马商业化、团队协作的迹象。
首先,传播病毒,使用黑客技术攻击网站、网关服务器,致使大量用户遭遇网页挂马的攻击;或是利用u盘去感染一些企业的局域网、网吧或小区宽带;或是利用现有的病毒技术——蠕虫传播、文件感染作为载体来安装“av终结者”,以达到最终目的——提高病毒的感染量。
然后,利用“av终结者”终止所有反病毒软件。致使用户电脑的安全系统遭遇彻底破坏,而后开始大规模的下载盗号木马,并能不断的更新升级自己。这个团队的另一部份人采用当今最流行的互联网技术,只需在服务端做一些配置的改动,就可让病毒自动下载任意的程序(病毒/木马)。
最后,通过盗号木马盗取用户的网络财产,获得经济利益。如:在“魔兽世界”中的一个货币单位g,就价值人民币0.07元。多数高级玩家已经获得几十万g的成果,一旦被盗可能就是上千元的经济损失。
5、病毒的变种数量已经成为衡量其危害性的新标准。
单一病毒感染的计算机数量不再是衡量其危害性的标准值,频繁生成的变种已成为加速病毒传播的有效手段。
正如2006年末所预计的那样,2007年出现了大量新(变种)病毒。现在的流行病毒制作者不再寄期望于某一种或某一类病毒进行大面积传播和感染,而是依靠其变种数量,通过更多的传播手段,更多的参与者,采取“广撒网多捕鱼”的战术,将数量众多的病毒感染到用户系统中。每个病毒变种能有上百位用户感染,它就已经获得了成功。连续两年来的大面积病毒数量充分的说明了这一点。
金山毒霸应对高数量的病毒新增现象,率先在去年就开展了一日多次升级,重大病毒1小时内应急升级的策略,并应用到产品的主动升级功能中,得到用户们的广泛好评。而金山毒霸所采用的“数据流杀毒”技术,对病毒代码的执行特征进行动态实时分析,极大提高杀毒数量和精确度,尤其对于变种病毒、变种木马和未知漏洞攻击具有超强的防治能力。此外,金山毒霸研发部更是在后台服务中,研制出多种自动手段,对新增病毒进自动分析、自动提取病毒特、自动制作病毒库、自动误报检测的一套完全自动流程,充分应对新增病毒的速度。
三、2007年上半年计算机病毒/木马感染情况分析
据金山毒霸计算机病毒疫情监测网监测,2007年上半年,全国计算机感染台数75,967,19台,与去年同期相比增长了12.2%。其中被感染的计算机中遭受过木马病毒攻击的比例占到91.35%。全国各省的计算机病毒感染量如下表:
|
排名
|
地区
|
感染机器台数
|
排名
|
地区
|
感染机器台数
|
|
1
|
广东
|
807854
|
18
|
黑龙江
|
84522
|
|
2
|
浙江
|
645014
|
19
|
重庆
|
80256
|
|
3
|
江苏
|
631545
|
20
|
山西
|
79224
|
|
4
|
上海
|
612545
|
21
|
天津
|
75841
|
|
5
|
山东
|
552541
|
22
|
云南
|
69024
|
|
6
|
四川
|
512354
|
23
|
吉林
|
67028
|
|
7
|
北京
|
442545
|
24
|
贵州
|
64712
|
|
8
|
河南
|
412378
|
25
|
新疆
|
55245
|
|
9
|
河北
|
407534
|
26
|
内蒙
|
54478
|
|
10
|
湖南
|
326987
|
27
|
甘肃
|
50745
|
|
11
|
湖北
|
278778
|
28
|
宁夏
|
48147
|
|
12
|
辽宁
|
249753
|
29
|
海南
|
41587
|
|
13
|
江西
|
225874
|
30
|
青海
|
37541
|
|
14
|
陕西
|
201456
|
31
|
香港
|
21041
|
|
15
|
广西
|
170587
|
32
|
西藏
|
17241
|
|
16
|
福建
|
167802
|
33
|
台湾
|
5451
|
|
17
|
安徽
|
97825
|
34
|
澳门
|
1264
|
|
