2008中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告

中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告

2008年，中國新增計(jì)算機(jī)病毒、木馬數(shù)量呈爆炸式增長，總數(shù)量已突破千萬。病毒制造的模塊化、專業(yè)化以及病毒“運(yùn)營”模式的互聯(lián)網(wǎng)化成為2008年中國計(jì)算機(jī)病毒發(fā)展的三大顯著特征。同時，病毒制造者的“逐利性”依舊沒有改變，網(wǎng)頁掛馬、漏洞攻擊成為黑客獲利的主要渠道。一、2008年中國計(jì)算機(jī)病毒、木馬整體情況分析2008年，新增計(jì)算機(jī)病毒、木馬數(shù)量呈幾何級增長。據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示，2008年，金山毒霸共截獲新增病毒、木馬13899717個，與2007年相比增長48倍。下圖為近幾年來的新增病毒、木馬數(shù)量對比(圖1)：在新增的病毒、木馬中，新增木馬數(shù)為7801911個，占全年新增病毒、木馬總數(shù)的56.13%；黑客后門類占全年新增病毒、木馬總數(shù)的21.97%；而網(wǎng)頁腳本所占比例從去年的0.8%躍升至5.96%，成為增長速度最快的一類病毒。金山毒霸“云安全”中心統(tǒng)計(jì)數(shù)據(jù)顯示，90%的病毒依附網(wǎng)頁感染用戶。下圖是不同類別病毒、木馬比例圖(圖2)：2008年，據(jù)金山毒霸“云安全”中心統(tǒng)計(jì)數(shù)據(jù)，全國共有69738785臺計(jì)算機(jī)感染病毒，與07年相比增長了40%，全國各省的計(jì)算機(jī)病毒感染量如下表(圖3)2008年度十大病毒/木馬根據(jù)病毒危害程度、病毒感染率以及用戶的關(guān)注度，計(jì)算出綜合指數(shù)，最終得出以下十大病毒/木馬為2008年最具影響的十大病毒/木馬。1、機(jī)器狗系列病毒關(guān)鍵詞：底層穿磁盤感染系統(tǒng)文件機(jī)器狗病毒因最初的版本采用電子狗的照片做圖標(biāo)而被網(wǎng)民命名為“機(jī)器狗”，該病毒變種繁多，多表現(xiàn)為殺毒軟件無法正常運(yùn)行。該病毒的主要危害是充當(dāng)病毒木馬下載器，通過修改注冊表，讓大多數(shù)流行的安全軟件失效，然后瘋狂下載各種盜號工具或黑客工具，給廣大網(wǎng)民的網(wǎng)絡(luò)虛擬財(cái)產(chǎn)造成巨大威脅。機(jī)器狗病毒直接操作磁盤以繞過系統(tǒng)文件完整性的檢驗(yàn)，通過感染系統(tǒng)文件(比如explorer.exe，userinit.exe，winhlp32.exe等)達(dá)到隱蔽啟動；通過底層技術(shù)穿透冰點(diǎn)、影子等還原系統(tǒng)軟件導(dǎo)致大量網(wǎng)吧用戶感染病毒，無法通過還原來保證系統(tǒng)的安全；通過修復(fù)SSDT、映像挾持、進(jìn)程操作等方法使得大量的安全軟件失去作用；聯(lián)網(wǎng)下載大量的盜號木馬。部分機(jī)器狗變種還會下載ARP惡意攻擊程序?qū)λ诰钟蚓W(wǎng)(或者服務(wù)器)進(jìn)行ARP欺騙影響網(wǎng)絡(luò)安全。2、AV終結(jié)者病毒系列關(guān)鍵詞：殺毒軟件無法打開反復(fù)感染AV終結(jié)者最大特點(diǎn)是禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶電腦失去安全保障；破壞安全模式，致使用戶根本無法進(jìn)入安全模式清除病毒；強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁，只要在網(wǎng)頁中輸入“病毒”相關(guān)字樣，網(wǎng)頁遂被強(qiáng)行關(guān)閉，即使是一些安全論壇也無法登陸，用戶無法通過網(wǎng)絡(luò)尋求解決辦法；在磁盤根目錄下釋放autorun.Inf，利用系統(tǒng)自播放功能，如果不加以清理，重裝系統(tǒng)以后也可能反復(fù)感染。2008年年末出現(xiàn)的“超級AV終結(jié)者”結(jié)合了AV終結(jié)者、機(jī)器狗、掃蕩波、autorun病毒的特點(diǎn)，是金山毒霸“云安全”中心捕獲的新型計(jì)算機(jī)病毒。它對用戶具有非常大的威脅。它通過微軟特大漏洞MS08067在局域網(wǎng)傳播，并帶有機(jī)器狗的穿還原功能，下載大量的木馬，對網(wǎng)吧和局域網(wǎng)用戶影響極大。3、onlinegames系列關(guān)鍵詞：網(wǎng)游盜號這是一類盜號木馬系列的統(tǒng)稱，這類木馬最大的特點(diǎn)就是通過ShellExecuteHooks啟動，盜取流行的各大網(wǎng)絡(luò)游戲(魔獸，夢幻西游等)的帳號從而通過買賣裝備獲得利益。這類病毒本身一般不會對抗殺毒軟件，但經(jīng)常伴隨著超級Av終結(jié)者、機(jī)器狗等病毒出現(xiàn)。4、HB蝗蟲系列木馬關(guān)鍵詞：網(wǎng)游盜號HB蝗蟲病毒新型變種是金山毒霸“云安全”中心截獲的年末最“牛”的盜號木馬病毒。該系列盜號木馬技術(shù)成熟，傳播途徑廣泛，目標(biāo)游戲非常的多(存在專門的生成器)，基本囊括了市面上大多數(shù)的游戲，例如魔獸世界、大話西游onlineII、劍俠世界、封神榜II、完美系列游戲、夢幻西游、魔域等等。該類木馬主要通過網(wǎng)頁掛馬、流行病毒下載器傳播。而傳播此盜號木馬的的下載器一般會對抗殺毒軟件，造成殺毒軟件不能打開、電腦反映速度變慢。5、掃蕩波病毒關(guān)鍵詞：新型蠕蟲漏洞這是一個新型蠕蟲病毒。是微軟“黑屏”事件后，出現(xiàn)的最具攻擊性的病毒之一。“掃蕩波”運(yùn)行后遍歷局域網(wǎng)的計(jì)算機(jī)并發(fā)起攻擊，攻擊成功后，被攻擊的計(jì)算機(jī)會下載并執(zhí)行一個下載者病毒，而下載者病毒還會下載“掃蕩波”，同時再下載一批游戲盜號木馬。被攻擊的計(jì)算機(jī)中“掃蕩波”而后再向其他計(jì)算機(jī)發(fā)起攻擊，如此向互聯(lián)網(wǎng)中蔓延開來。據(jù)了解，之前發(fā)現(xiàn)的蠕蟲病毒一般通過自身傳播，而掃蕩波則通過下載器病毒進(jìn)行下載傳播，由于其已經(jīng)具備了自傳播特性，因此，被金山毒霸反病毒工程師確認(rèn)為新型蠕蟲。微軟宣布“黑屏”后的第3天，緊急發(fā)布了MS08-067安全公告，提示用戶注意一個非常危險的漏洞，而后利用該漏洞發(fā)動攻擊的惡意程序不斷涌現(xiàn)；10月24日晚，金山發(fā)布紅色安全預(yù)警，通過對微軟MS08-067漏洞進(jìn)行詳細(xì)的攻擊原型模擬演示，證實(shí)了黑客完全有機(jī)會利用微軟MS08-067漏洞發(fā)起遠(yuǎn)程攻擊，微軟操作系統(tǒng)面臨大面積崩潰威脅；11月7日，金山再次發(fā)布預(yù)警，“掃蕩波”病毒正在利用該漏洞進(jìn)行大面積攻擊；11月7日晚，金山已證實(shí)“掃蕩波”實(shí)為一個新型蠕蟲病毒，并發(fā)布周末紅色病毒預(yù)警。6、QQ盜圣關(guān)鍵詞:QQ盜號這是QQ盜號木馬系列病毒，病毒通常釋放病毒體(類似于UnixsMe.Jmp，Sys6NtMe.Zys，)到IE安裝目錄(C:\ProgramFiles\InternetExplore\)，通過注冊表BrowserHelperObjects實(shí)現(xiàn)開機(jī)自啟動。當(dāng)它成功運(yùn)行后，就把之前生成的文件注入進(jìn)程，查找QQ登陸窗口，監(jiān)視用戶輸入盜取的帳號和密碼，并發(fā)送到木馬種植者指定的網(wǎng)址。7、RPC盜號者關(guān)鍵詞：不能復(fù)制粘貼該系列木馬采用替換系統(tǒng)文件，達(dá)到開機(jī)啟動的目的，由于替換的是RPC服務(wù)文件rpcss.dll，修復(fù)不當(dāng)，會影響系統(tǒng)的剪切板、上網(wǎng)等功能。部分版本加入了反調(diào)試功能，導(dǎo)致開機(jī)的時候系統(tǒng)加載緩慢。8、偽QQ系統(tǒng)消息關(guān)鍵詞：QQ系統(tǒng)消息，殺毒軟件不能使用經(jīng)金山毒霸“云安全”檢測為釣魚程序，病毒最大的特點(diǎn)是偽裝QQ系統(tǒng)消息，用戶一旦點(diǎn)擊，錢財(cái)及電腦安全將面臨巨大威脅。該病毒的綜合破壞能力比較強(qiáng)，它利用AUTO技術(shù)自動傳播，當(dāng)進(jìn)入電腦后就運(yùn)行自帶的對抗模塊，嘗試映像劫持或直接關(guān)閉用戶系統(tǒng)中的安全軟件。病毒還帶有下載器的功能，可下載其它木馬到電腦中運(yùn)行。9、QQ幽靈關(guān)鍵詞：QQ木馬下載器此病毒查找QQ安裝目錄，并在其目錄釋放一個精心修改psapi.dll，當(dāng)QQ啟動的時候?qū)⑦@個dll文件加載(程序加載dll文件的順序1：應(yīng)用程序的安裝目錄2：當(dāng)前的工作目錄3：系統(tǒng)目錄4：路徑變量)，從而執(zhí)行惡意代碼下載大量病毒到用戶電腦。10、磁碟機(jī)關(guān)鍵詞：無法徹底清除隱蔽磁碟機(jī)與AV終結(jié)者、機(jī)器狗極為相似。最大特點(diǎn)是導(dǎo)致大量用戶殺毒軟件和安全工具無法運(yùn)行，進(jìn)入安全模式后出現(xiàn)藍(lán)屏現(xiàn)象；而且更為嚴(yán)重的是，由于Exe文件被感染，重裝系統(tǒng)仍無法徹底清除。磁碟機(jī)病毒主要通過網(wǎng)站掛馬、U盤、局域網(wǎng)內(nèi)的ARP傳播等方式進(jìn)行傳播，而且非常隱蔽，病毒在傳播過程中，所利用的技術(shù)手段都是用戶甚至殺毒軟件無法截獲的。病毒一旦在用戶電腦內(nèi)成功運(yùn)行后，會自動下載自己的最新版本以及大量的其他一些木馬到本地運(yùn)行，盜取用戶虛擬資產(chǎn)和其他機(jī)密信息；同時該病毒會感染用戶機(jī)器上的exe文件，包括壓縮包內(nèi)的exe文件，并會通過UPX加殼，導(dǎo)致用戶很難徹底清除。二、2008年計(jì)算機(jī)病毒、木馬的特點(diǎn)分析2008年是病毒、木馬異?；钴S的一年。從病毒傳播的角度看2008年大量的病毒通過網(wǎng)頁掛馬方式進(jìn)行傳播，主要利用的是realplay，adobeflash和IE漏洞進(jìn)行傳播。從病毒的運(yùn)作模式看2008年大量病毒采用的方式是下載器對抗安全軟件，關(guān)閉安全軟件然后下載大量盜號木馬到用戶電腦--盜取用戶網(wǎng)游的賬號發(fā)送到黑客的數(shù)據(jù)庫。從病毒的危害來看2008年絕大多數(shù)流行的病毒都為網(wǎng)游盜號類木馬，其次是遠(yuǎn)程控制類木馬。1、病毒制造進(jìn)入“機(jī)械化”時代由于各種病毒制作工具的泛濫和病毒制作的分工更加明細(xì)和程式化，病毒作者開始按照既定的病毒制作流程制作病毒。病毒制造進(jìn)入了“機(jī)械化”時代。這種“機(jī)械化”很大程度上得益于病毒制作門檻的降低和各種制作工具的流行?！安《局圃鞕C(jī)”是網(wǎng)上流行的一種制造病毒的工具，病毒作者不需要任何專業(yè)技術(shù)就可以手工制造生成病毒。金山毒霸全球反病毒監(jiān)測中心通過監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)上有諸多此類廣告，病毒作者可根據(jù)自己對病毒的需求，在相應(yīng)的制作工具中定制和勾選病毒功能。病毒傻瓜式制作導(dǎo)致病毒進(jìn)入“機(jī)械化”時代。病毒的機(jī)械化生產(chǎn)導(dǎo)致病毒數(shù)量的爆炸式增長。反病毒廠商傳統(tǒng)的人工收集以及鑒定方法已經(jīng)無法應(yīng)對迅猛增長的病毒。金山毒霸2009依托于“云安全”技術(shù)，一舉實(shí)現(xiàn)了病毒庫病毒樣本數(shù)量增加5倍、日最大病毒處理能力提高100倍、緊急病毒響應(yīng)時間縮短到1小時以內(nèi)，給用戶帶來了更好的安全體驗(yàn)。2、病毒制造的模塊化、專業(yè)化特征明顯病毒團(tuán)伙按功能模塊發(fā)外包生產(chǎn)或采購技術(shù)先進(jìn)的病毒功能模塊，使得病毒的各方面功能都越來越“專業(yè)”，病毒技術(shù)得以持續(xù)提高和發(fā)展，對網(wǎng)民的危害越來越大，而解決問題也越來越難。例如年底出現(xiàn)的“超級AV終結(jié)者”集病毒技術(shù)之大成，是模塊化生產(chǎn)的典型代表。在專業(yè)化方面，病毒制造業(yè)被自然的分割成以下幾個環(huán)節(jié)：病毒制作者、病毒批發(fā)商、病毒傳播者、“箱子”批發(fā)商、“信封”批發(fā)商、“信封”零售終端。病毒作者包括有“資深程序員”，甚至可能有逆向工程師。病毒批發(fā)商購買病毒源碼，并進(jìn)行銷售和生成木馬。病毒傳播者負(fù)責(zé)將病毒通過各種渠道傳播出去，以盜取有價值的QQ號碼、游戲帳號、裝備等。“箱子”批發(fā)商通過出租或者銷售“箱子”(即可以盜取虛擬資產(chǎn)的木馬，可以將盜取的號碼收集起來)牟利，他們往往擁有自己的木馬或者木馬生成器。“信封”批發(fā)商通過購買或者租用“箱子”，通過出售收獲的信封牟利?！靶欧狻绷闶劢K端負(fù)責(zé)過濾“信封”中收集到的有價值的虛擬資產(chǎn)并進(jìn)行銷售。每個環(huán)節(jié)各司其職，專業(yè)化趨勢明顯。3、病毒“運(yùn)營”模式互聯(lián)網(wǎng)化病毒團(tuán)伙經(jīng)過2008一年的運(yùn)營已經(jīng)完全轉(zhuǎn)向互聯(lián)網(wǎng)，攻擊的方式一般為：通過網(wǎng)站入侵—>寫入惡意攻擊代碼–>利用成為新型網(wǎng)絡(luò)病毒傳播的主要方式，網(wǎng)民訪問帶有掛馬代碼的‘正常網(wǎng)站’時，會受到漏洞攻擊而‘不知不覺’中毒。這種傳播方式的特點(diǎn)是快速、隱敝性強(qiáng)、適合商業(yè)化運(yùn)營(可像互聯(lián)網(wǎng)廠商一樣精確統(tǒng)計(jì)收益，進(jìn)行銷售分成)。例如“機(jī)器狗”病毒，“商人”購買之后，就可以通過“機(jī)器狗”招商。因?yàn)闄C(jī)器狗本身并不具備“偷”東西的功能，只是可以通過對抗安全軟件保護(hù)病毒，因此“機(jī)器狗”就變成了病毒的渠道商，木馬及其他病毒都紛紛加入“機(jī)器狗”的下載名單。病毒要想加入這些渠道商的名單中，必須繳納大概3000塊錢左右的“入門費(fèi)”。而“機(jī)器狗”也與其他類似的“下載器”之間互相推送，就像正常的商業(yè)行為中的資源互換。這樣，加入了渠道名單的病毒就可以通過更多的渠道進(jìn)入用戶的電腦。病毒通過哪個渠道進(jìn)入的，就向哪個渠道繳費(fèi)。此外，病毒的推廣和銷售都已經(jīng)完全互聯(lián)網(wǎng)化。病毒推廣的手法包括通過一些技術(shù)論壇進(jìn)行推廣，黑客網(wǎng)站也是推廣的重要渠道，此外還包括百度貼吧、QQ群等渠道進(jìn)行推廣。其銷售渠道也完全互聯(lián)網(wǎng)化，銷售的典型渠道包括：公開拍賣網(wǎng)站，比如淘寶、易趣等。還有通過QQ直銷，或者通過專門網(wǎng)站進(jìn)行銷售。4、病毒團(tuán)伙對于“新”漏洞的利用更加迅速IE0day漏洞被利用成2008年最大安全事件。當(dāng)ms08-67漏洞被爆光后部分流行木馬下載器就將此漏洞的攻擊代碼集成到病毒內(nèi)部實(shí)現(xiàn)更廣泛的傳播。而年底出現(xiàn)的IE0day漏洞，掛馬集團(tuán)從更新掛馬連接添加IE0day漏洞攻擊代碼到微軟更新補(bǔ)丁已經(jīng)過了近10天。期間有上千萬網(wǎng)民訪問過含有此漏洞攻擊代碼的網(wǎng)頁。此外，2008年Flashplayer漏洞也給諸多網(wǎng)民造成了損失。由于軟件在自身設(shè)計(jì)、更新、升級等方面的原因，存在一些漏洞，而這些漏洞會被黑客以及惡意網(wǎng)站利用。在用戶瀏覽網(wǎng)頁的過程中，通過漏洞下載木馬病毒入侵用戶系統(tǒng)，進(jìn)行遠(yuǎn)程控制、盜竊用戶帳號和密碼等，從而使用戶遭受損失。金山毒霸團(tuán)隊(duì)密切關(guān)注windows系統(tǒng)軟件漏洞和第三方應(yīng)用軟件漏洞信息，及時更新漏洞庫信息，同時金山清理專家采用P2SP技術(shù)，大大提高了補(bǔ)丁下載的速度，減少了用戶電腦的風(fēng)險暴露時間。5、病毒與安全軟件的對抗日益激烈在病毒產(chǎn)業(yè)鏈分工中，下載器扮演了‘黑社會’的角色，它結(jié)束并破壞殺毒軟件，穿透還原軟件，‘保護(hù)’盜號木馬順利下載到用戶機(jī)器上，通過‘保護(hù)費(fèi)’和下載量分臟。下載者在2008年充當(dāng)了急先鋒，始終跑在對抗殺毒軟件的第一線，出盡風(fēng)頭且獲得豐厚回報。從‘AV終結(jié)者’的廣泛流行就不難看出，對抗殺毒軟件已經(jīng)成為下載者病毒的‘必備技能’?？v觀08年的一些流行病毒，如機(jī)器狗、磁碟機(jī)、AV終結(jié)者等等，無一例外均為對抗型病毒。而且一些病毒制作者也曾揚(yáng)言“餓死殺毒軟件”。對抗殺毒軟件和破壞系統(tǒng)安全設(shè)置的病毒以前也有，但08年表現(xiàn)得尤為突出。主要是由于大部分殺毒軟件加大了查殺病毒的力度，使得病毒為了生存而必須對抗殺毒軟件。這些病毒使用的方法也多種多樣，如修改系統(tǒng)時間、結(jié)束殺毒軟件進(jìn)程、破壞系統(tǒng)安全模式、禁用windows自動升級等功能。病毒與殺毒軟件對抗特征主要表現(xiàn)為對抗頻率變快，周期變短，各個病毒的新版本更新非常快，一兩天甚至幾個小時更新一次來對抗殺毒軟件。金山毒霸通過強(qiáng)化自保護(hù)功能，提高病毒攻擊的技術(shù)門檻。目前，金山毒霸云安全體系可以做到病毒樣本的收集、病毒庫更新測試和升級發(fā)布全無人值守，自動化的解決方案以應(yīng)對病毒傳播制作者不斷花樣翻新的挑戰(zhàn)。三、2009年計(jì)算機(jī)病毒、木馬發(fā)展趨勢預(yù)測1、0Day漏洞將與日俱增2008年安全界關(guān)注的最多的不是Windows系統(tǒng)漏洞，而是每在微軟發(fā)布補(bǔ)丁隨后幾天之后，黑客們放出來的0Day漏洞，這些漏洞由于處在系統(tǒng)更新的空白期