《2010上半年中國互聯(lián)網(wǎng)安全報告》

《2010上半年中國互聯(lián)網(wǎng)安全報告》

1、360安全衛(wèi)士、360殺毒、360木馬防火墻、360系統(tǒng)急救箱、360帳號保險箱等360系列產(chǎn)品共截獲各類新增木馬病毒樣本1.01億個，上半年平均每天新增55.5萬個，相比去年同期數(shù)量增長了3.5倍。究其原因，大批不良網(wǎng)址導航站收買木馬渠道進行推廣，造成木馬持續(xù)泛濫的情況。今年1月至7月，360安全中心日均截獲的新增木馬病毒樣本量高達150萬；2、平均每天約有263萬中國網(wǎng)民電腦感染木馬病毒和惡意軟件，其中超過70%是由不良網(wǎng)址導航站的流氓推廣行為造成的，如IE瀏覽器首頁被篡改、電腦桌面生成“刪不掉”的廣告圖標；3、木馬病毒主要傳播途徑依次為網(wǎng)絡(luò)下載、USB設(shè)備感染、掛馬網(wǎng)頁攻擊。相比去年同期，掛馬網(wǎng)頁攻擊數(shù)量大幅縮水至2009年的1/9，每天約有130萬人次受到掛馬網(wǎng)頁攻擊，超過80%的掛馬網(wǎng)頁一旦檢測到訪問者電腦安裝了360安全衛(wèi)士，會主動放棄攻擊。不良下載站的惡意下載鏈接則一躍成為木馬病毒感染網(wǎng)民電腦的最主要方式；4、全球最大的云安全體系——360云安全體系極大地壓縮了木馬的生存空間，并大幅縮短了其存活周期，于是木馬開始“進化”其攻擊手段：第一，對抗能力更強，破壞安全軟件、屏蔽云安全服務(wù)器；第二，轉(zhuǎn)向攻擊流行應(yīng)用軟件，利用寄生、感染、改裝等方式，木馬把輸入法、瀏覽器、聊天工具、下載工具等熱門應(yīng)用軟件當成了逃避查殺、隱蔽啟動的“保護傘”，其威脅程度已超過Windows操作系統(tǒng)漏洞攻擊；5、釣魚、欺詐成為僅次于木馬的網(wǎng)絡(luò)安全威脅。今年上半年，釣魚網(wǎng)站數(shù)量平均每月新增11630家，360安全衛(wèi)士、360安全瀏覽器、360木馬防火墻、360網(wǎng)盾等產(chǎn)品平均每天為用戶攔截約500萬次釣魚、欺詐網(wǎng)頁訪問，而這兩項數(shù)據(jù)仍處于高速增長狀態(tài)，目前每月新增釣魚網(wǎng)站數(shù)量已超過4萬家。6、在“流氓網(wǎng)站”產(chǎn)業(yè)鏈中，不良網(wǎng)址導航站為木馬團伙輸送金錢，作為開發(fā)和制作木馬的經(jīng)濟后盾；不良下載站為木馬傳播提供了主要通道；釣魚欺詐網(wǎng)站則是通過不良網(wǎng)址導航站上投放廣告、搜索引擎等方式從事非法詐騙活動，直接騙取受害網(wǎng)民的錢財。據(jù)360安全中心上半年統(tǒng)計，目前國內(nèi)共計有上百家不良網(wǎng)址導航站通過木馬渠道進行推廣，累計影響上億網(wǎng)民電腦，代表著年產(chǎn)值超過30億的灰色經(jīng)濟利益；每天活躍的釣魚網(wǎng)站數(shù)量在10萬家以上，根據(jù)其詐騙手段和攻擊數(shù)量、攻擊成功率估算，網(wǎng)絡(luò)釣魚給網(wǎng)民和社會帶來的直接與間接經(jīng)濟損失超過了120億元。目錄一、2010年上半年木馬病毒疫情1、木馬病毒的增長趨勢2、網(wǎng)民電腦受木馬病毒攻擊的情況3、360查殺木馬病毒數(shù)量4、主要木馬種類及流行性分析5、360查殺量最高的木馬TOP106、木馬“進化論”和典型案例二、木馬病毒的傳播方式1、木馬傳播途徑統(tǒng)計2、遍布“地雷”的不良下載站3、數(shù)碼產(chǎn)品普及加劇U盤木馬和病毒傳播4、掛馬網(wǎng)頁攻擊緩解5、重要安全漏洞三、2010年上半年釣魚網(wǎng)頁統(tǒng)計分析1、釣魚網(wǎng)頁詐騙手段解析2、釣魚網(wǎng)頁的類型3、釣魚網(wǎng)頁的傳播方式4、新增釣魚網(wǎng)頁數(shù)量5、釣魚網(wǎng)頁服務(wù)器地域分布一、2010上半年木馬病毒疫情1、木馬病毒的增長趨勢2010上半年，360“云安全”系統(tǒng)共截獲各類新增木馬病毒樣本1.01億個(以新增的惡意程序文件指紋數(shù)量計算)，相比去年同期增長了3.5倍。尤其在5月和6月，流氓廣告程序帶動了新增木馬病毒數(shù)量大幅上升。2、網(wǎng)民電腦受木馬病毒攻擊的情況通過360“云安全”系統(tǒng)的監(jiān)測數(shù)據(jù)、國內(nèi)安全軟件普及情況以及木馬病毒的傳播范圍測算，國內(nèi)平均每天約有263萬網(wǎng)民電腦感染木馬病毒。3、360查殺木馬病毒數(shù)量以清除的惡意程序文件數(shù)量計算，360安全衛(wèi)士和360殺毒在2010年上半年累計為用戶查殺了88億次木馬病毒，而去年同期的這項數(shù)據(jù)為20億次，增長3.4倍，和木馬病毒的新增倍數(shù)基本符合(后者相比去年同期增長了3.5倍)。4、主要木馬種類及流行性分析按照木馬病毒的流行度統(tǒng)計，以惡意點擊器為代表的流氓廣告程序、網(wǎng)游盜號木馬、QQ盜號木馬、遠程控制木馬(控制“肉雞”)、木馬下載器、惡意腳本程序、偽裝文件(文件夾)類U盤病毒是感染量感染量最高的七大類木馬病毒。其中，流氓廣告程序是網(wǎng)民最常遇的一類木馬，它的主要危害是綁架瀏覽器首頁和桌面圖標，強制訪問不良網(wǎng)址導航。在網(wǎng)民電腦遇到的各種安全問題中，流氓廣告程序所占的比例約為70%。2010上半年，超過100家大大小小的網(wǎng)址導航站使用了木馬渠道進行推廣，強制篡改中招用戶瀏覽器首頁。此外，大量木馬惡意推廣淘寶客、網(wǎng)頁游戲、在線影院等網(wǎng)賺項目，在電腦桌面制造廣告圖標，使用技術(shù)手段讓用戶難以刪除。流氓廣告程序之所以在2010年數(shù)量暴漲，一個重要原因是“小耗子”木馬案引發(fā)連鎖反應(yīng)。2009年底，警方通過“小耗子”木馬案挖出完整木馬產(chǎn)業(yè)鏈，有著國內(nèi)最大“黑客培訓基地”之稱的黑鷹安全網(wǎng)關(guān)閉，大批從事計算機犯罪活動的不法分子入獄。在嚴打震懾下，很多木馬團伙轉(zhuǎn)向法律風險相對較低的流氓廣告程序，而不良網(wǎng)址導航站則成為這類木馬的經(jīng)濟后盾。5、360查殺量最高的木馬TOP10榜在2010年上半年十大木馬病毒中，排名第一的Win32/Lmir.KB是一類專門劫持dll文件的木馬程序，常見于“犇?！钡葠盒阅抉R下載器中，360對這類木馬的查殺量約為3833萬次；排名第二的TR/Hijacker.Gen則是一類對抗安全軟件的頑固木馬；其它查殺量較高的木馬包括了多種篡改IE首頁木馬和盜號類木馬。6、木馬“進化論”和典型案例在巨大經(jīng)濟利益驅(qū)動下，盡管新木馬源源不斷出現(xiàn)，但是在3億用戶和上萬臺服務(wù)器的360云安全體系下，木馬生存空間越來越小，存活周期越來越短。主要原因在于，360安全衛(wèi)士和360殺毒的“云查殺引擎”采用了白名單和黑名單相結(jié)合的機制。傳統(tǒng)殺毒技術(shù)是基于病毒庫黑名單的防護和查殺，而360云查殺一方面能查殺黑名單中的已知木馬病毒，另一方面對系統(tǒng)敏感位置采用了“非白即黑”策略，也就是說，白名單以外的未知程序無法自動運行并產(chǎn)生危害，使用戶電腦的安全性得到革命性的提升。同時，360白名單覆蓋了99%以上國內(nèi)網(wǎng)民常用的操作系統(tǒng)和軟件的各個版本，在大幅超越傳統(tǒng)殺毒技術(shù)查殺能力的情況下，還能有效防范誤報誤殺。在此背景下，木馬技術(shù)也悄然發(fā)生了一些“進化”：1)從各個方面破壞安全軟件，比如阻止安全軟件的安裝和運行，暴力關(guān)閉安全軟件的監(jiān)控，屏蔽云安全服務(wù)器，使用戶無法正常使用云查殺功能。典型案例：“嗚嗚祖拉”木馬下載器。該木馬在世界杯期間流行，電腦一旦中招，該木馬會自動阻止用戶下載安裝360安全衛(wèi)士、360殺毒以及360系統(tǒng)急救箱等專業(yè)安全軟件，并通過劫持DNS解析的方式屏蔽云安全服務(wù)器。2)攻擊流行應(yīng)用軟件。利用寄生、感染、改裝等方式，木馬把輸入法、瀏覽器、聊天工具、下載工具等流行應(yīng)用軟件當成了逃避查殺、隱蔽啟動的“保護傘”，甚至某些安全軟件的漏洞也被木馬利用，篡改鎖定受害網(wǎng)民電腦的瀏覽器首頁。典型案例：金鎖木馬。從今年4月份開始，一類名為金鎖的木馬開始流行，它們利用某安全軟件的漏洞，把該軟件的Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe提取出來，再在配置文件kws.ini中寫入了黑客想推廣的任意惡意網(wǎng)址，就會讓中招用戶電腦每天被迫訪問這些惡意網(wǎng)址，而且很難修復。3)MBR感染(感染系統(tǒng)引導區(qū))，格式化硬盤也無法清除。電腦硬盤在分區(qū)時會預留一部分空間用來存放一些緩存文件，由于這個空間是隱藏的，殺毒軟件無法對此進行掃描，一些木馬開始采用Rootkit技術(shù)感染這一系統(tǒng)引導區(qū)。典型案例：鬼影/魅影木馬。該系列木馬通常和“颶風影音”播放器捆綁在一起，通過MBR感染具備了極強的復活能力，能夠反復下載盜號木馬和流氓廣告程序攻擊中招電腦。4)利用數(shù)字簽名來逃避查殺，相當于有“身份證”的木馬。由于大多數(shù)殺毒軟件會信任帶有真實數(shù)字簽名的文件，一些木馬也開始利用數(shù)字簽名進行掩護。木馬使用數(shù)字簽名有兩種情況，一種是盜用正規(guī)軟件廠商外泄的簽名，另一種是專門為作惡而注冊簽名。典型案例：2009年底，360安全中心率先截獲了首個具有真實數(shù)字簽名的“執(zhí)照兇手”木馬。進入2010年，這類帶有數(shù)字簽名的木馬仍然在不斷涌現(xiàn)，例如一個名為“桌面推廣助手”的木馬下載器，它在運行后會自動下載兩個木馬程序，并自動下載安裝某款瀏覽器以及某款網(wǎng)絡(luò)游戲大廳客戶端。新生代木馬對安全行業(yè)提出了嚴峻挑戰(zhàn)，為此，360安全衛(wèi)士推出能夠全方位、多層次安全防護的“木馬防火墻”，在“系統(tǒng)防護”之外新增了“應(yīng)用軟件防護”，同時針對木馬的傳播途徑、攻擊手段、感染方式進行全面攔截，并不斷強化安全軟件的自我保護能力，修復防御弱點，目前已經(jīng)取得了良好的成效。二、2010上半年木馬病毒的傳播方式1、木馬傳播途徑統(tǒng)計根據(jù)360安全中心監(jiān)測的情況，2010上半年，木馬病毒主要傳播途徑依次為網(wǎng)絡(luò)下載、USB設(shè)備感染、掛馬網(wǎng)頁攻擊。網(wǎng)絡(luò)下載包括不良下載站的惡意下載鏈接和其它文件共享/傳輸方式，是目前木馬病毒感染網(wǎng)民電腦的最主要方式，比例約為55%。其次為USB設(shè)備感染，主要是移動硬盤、U盤、數(shù)碼相機、手機存儲卡等USB設(shè)備和電腦間交叉感染，比例約為30%。得益于360安全衛(wèi)士的普及和網(wǎng)民打補丁意識的增強，今年上半年通過掛馬網(wǎng)頁傳播的木馬病毒比例僅為10%左右。值得注意的是，黑客已經(jīng)發(fā)現(xiàn)掛馬攻擊對于360用戶徒勞無功，絕大多數(shù)掛馬網(wǎng)頁(超過8成)會自動檢測訪問者電腦中是否裝有360安全衛(wèi)士，如果是360用戶則主動放棄攻擊。2、遍布“地雷”的不良下載站這是某家知名軟件下載站的下載頁面。當網(wǎng)友想下載AdobePhotoshop軟件時，面前的下載鏈接讓人眼花繚亂，上圖中標注了編號為1、2、3、4、5的五個圖片按鈕，鼠標點哪個鈕能下載到Photoshop呢？答案是：都不能！這五個圖片下載按鈕全部指向了一個共同的流氓廣告程序，也就是近期非常流行的金鎖木馬。無論點哪一處，網(wǎng)友以為下載了Photoshop，其實一打開卻是金鎖木馬。它會篡改并鎖定中招電腦IE首頁為67160網(wǎng)址導航，并在電腦桌面生成惡意廣告圖標。為什么下載站敢于如此肆無忌憚地傳播流氓廣告程序？利益誘惑恐怕是少不了的。另外，流氓廣告程序本身也缺乏相應(yīng)的法律監(jiān)管，比傳播盜號木馬等直接盜取帳號和隱私的木馬病毒風險小得多。有了大批下載站助紂為虐，這才是廣大網(wǎng)民IE首頁頻繁中招的真實原因。對于網(wǎng)絡(luò)下載風險加劇的情況，360全線產(chǎn)品相繼完善了防護功能。其中：360殺毒軟件支持迅雷、快車等主流下載工具，即時掃描下載文件的安全性，并支持QQ、MSN、阿里旺旺等聊天工具的文件傳輸掃描；360安全衛(wèi)士的“360網(wǎng)盾”模塊具備“下載云安全”功能，可以快速檢測鑒定IE、迅雷等下載的文件是否安全，并作出相應(yīng)的操作建議；360安全瀏覽器3.5Beta版自身也推出了能夠檢測下載鏈接的防護功能，在文件下載之前對危險下載行為進行預警。3、數(shù)碼產(chǎn)品普及加劇U盤木馬和病毒傳播手機、數(shù)碼相機、移動硬盤等數(shù)碼產(chǎn)品普及，手機和電腦間、數(shù)碼相機和電腦間少不了傳輸文件，比如音樂、照片等等；移動硬盤則被用來拷貝影視劇視頻、大型游戲；對很多辦公族和學生族來說，在打印店打印資料時也不得不用到U盤。在日益頻繁的應(yīng)用中，USB移動存儲設(shè)備成了僅次于網(wǎng)絡(luò)下載的第二大木馬病毒傳播途徑，如果有一臺電腦或是移動存儲帶有木馬病毒，就會在接入USB設(shè)備時發(fā)生“接觸”感染，繼而就是大面積的交叉感染。目前U盤病毒主要以兩種方式傳播：第一種是偽裝U盤上的正當文件或者文件夾，把真正的用戶資料隱藏起來，再誘使用戶打開病毒的程序或是腳本；第二種則是利用系統(tǒng)“自動播放”功能的autorun類U盤病毒，但由于很多安全軟件會提示用戶關(guān)閉“自動播放”，這類U盤病毒已經(jīng)不再流行。所幸的是，360殺毒軟件針對U盤病毒的傳播方式獨創(chuàng)了“U盤病毒監(jiān)控技術(shù)”，只允許經(jīng)過安全認證的可信程序在USB設(shè)備中運行，其它陌生程序和腳本則一律禁止運行。因此即便是最新病毒，也無法通過USB設(shè)備感染360殺毒用戶的電腦。4、掛馬網(wǎng)頁攻擊緩解2010上半年，每天約130萬人次受到掛馬網(wǎng)頁攻擊，僅為去年同期的1/9，黑客通過掛馬網(wǎng)頁傳播木馬的勢頭已經(jīng)大為減緩，但并不排除在新的高危0day漏洞爆發(fā)時，掛馬網(wǎng)頁會重新成為木馬傳播的主流途徑。黑客在使用掛馬網(wǎng)頁傳播木馬時，掛馬網(wǎng)頁是木馬攻擊網(wǎng)民電腦的前線，通常是黑客通過入侵、收買等方式掛馬，一般是人氣較高的網(wǎng)站；木馬網(wǎng)站則是黑客用于存放和部署木馬下載、更新的網(wǎng)絡(luò)站點。也就是說，如果一臺電腦既沒有打補丁修復漏洞，也沒有安裝360安全衛(wèi)士進行防護，當它訪問掛馬網(wǎng)頁時，電腦就會自動下載運行黑客存在木馬網(wǎng)站上的木馬。360安全中心監(jiān)測到：今年1至6月間，國內(nèi)共有80.53萬個網(wǎng)站存在掛馬情況，惡意鏈接最多的不再是.cn域名，而是.com域名，這和國家有關(guān)部門對CN域名加大管理力度有關(guān)。此外，和的安全情況不容樂觀，各有2千多個網(wǎng)站被掛馬。從掛馬網(wǎng)頁的地域分布來看，北京、江蘇、廣東、上海、浙江、福建是比例最高的幾個地區(qū)。同期，360安全中心共捕獲到18364個木馬網(wǎng)站。木馬網(wǎng)站使用最多的是org域名，比例為49.10%，如3322.org、8866.org等二級免費域名是木馬網(wǎng)站經(jīng)常使用的。今年上半年，木馬網(wǎng)站也轉(zhuǎn)向了更多其他域名上，比如fr、co、cc等等。5、重要安全漏洞IE極光漏洞：2010年1月，Google等高科技公司被曝遭到黑客攻擊，始作俑者就是IE極光漏洞。1月17日，國內(nèi)互聯(lián)網(wǎng)出現(xiàn)攻擊該漏洞的掛馬網(wǎng)站；1月18日，360緊急提供臨時補丁；1月22日，微軟發(fā)布正式補丁修復了漏洞。HCP協(xié)議漏洞：2010年3月，微軟證實IE瀏覽器存在一個“F1按鍵漏洞”，該漏洞需要網(wǎng)民主動按下F1鍵才能觸發(fā)攻擊，因此互聯(lián)網(wǎng)上僅出現(xiàn)了少量針對該漏洞的零星攻擊，360通過升級攔截規(guī)則進行防御。4月，微軟正式發(fā)布補丁修復了該漏洞。IE內(nèi)存破壞漏洞：2010年3月，IE瀏覽器再次曝出“內(nèi)存破壞”0day漏洞，并成為今年國內(nèi)掛馬網(wǎng)站最熱衷攻擊的對象，而360網(wǎng)盾無需升級即可攔截該漏洞攻擊。在漏洞曝光20天之后，微軟于3月31日修復了IE內(nèi)存破壞漏洞。HCP協(xié)議漏洞：2010年6月，微軟證實WindowsXP系統(tǒng)存在HCP協(xié)議漏洞，利用該漏洞，掛馬網(wǎng)頁的惡意腳本會自動打開Windows“幫助和支持中心”，從而下載并運行木馬，360再度發(fā)布臨時補丁屏蔽了該漏洞攻擊。根據(jù)微軟公布的數(shù)據(jù)，中國網(wǎng)民受該漏洞影響極小。在漏洞曝出后一個月，微軟于7月中旬發(fā)布補丁進行修復。三、2010年上半年釣魚網(wǎng)站統(tǒng)計分析釣魚欺詐成為僅次于木馬的嚴重危害。今年上半年，釣魚網(wǎng)站數(shù)量平均每月新增11630家，360平均每天為用戶攔截約500萬次釣魚欺詐網(wǎng)頁訪問，而這兩項數(shù)據(jù)仍處于高速增長狀態(tài)，目前每月新增釣魚網(wǎng)站數(shù)量已超過4萬家。1、釣魚網(wǎng)站詐騙手段解析以前，釣魚網(wǎng)站就是指一些假冒官方網(wǎng)站頁面的網(wǎng)站，比如假冒的銀行登錄頁面、假冒的網(wǎng)絡(luò)游戲官網(wǎng)等等。這些都是利用人們很熟悉的軟件、網(wǎng)站、公司或機構(gòu)的信息，來構(gòu)造一個假的頁面，等人們在這些網(wǎng)站上輸入自己的帳號密碼來達到釣魚的目的。近年來，隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，人們開始習慣于在網(wǎng)絡(luò)上瀏覽、查找信息、購買商品，于是各種新的釣魚形式開始不斷涌現(xiàn)，而且這些網(wǎng)站也不僅僅是通過模仿官方頁面來釣魚，而更多的涉及發(fā)布虛假信息來達到欺詐的目的。2010年上半年，360安全中心共截獲超過10萬個域名涉及釣魚欺詐，其中虛假中獎、各種彩票預測、股票預測、虛假購物是釣魚欺詐中最多的類型。釣魚產(chǎn)業(yè)鏈十分巨大，通過搜索、IM、廣告，很容易進行傳播，普通網(wǎng)民往往缺乏對釣魚網(wǎng)站的了解，在交易或追逐金錢利益的過程中往往自投羅網(wǎng)。更有甚者，一些不法分子用群發(fā)短信、語音電話等方式，把很多原本不熟悉互聯(lián)網(wǎng)的人也拖下水。相對于木馬，釣魚欺詐給網(wǎng)絡(luò)安全帶來的問題更為復雜，商業(yè)利益經(jīng)濟利益摻雜其中，也給反釣魚欺詐帶來很多困難。為此，360安全中心正在不斷加大反釣魚欺詐的力度，通過360安全衛(wèi)士和360安全瀏覽器攔截網(wǎng)上的各種釣魚欺詐信息，保護用戶的財產(chǎn)安全。2、釣魚網(wǎng)頁的類型(1)各種中獎騙局這些網(wǎng)站的內(nèi)容以模仿游戲網(wǎng)站、QQ、CCTV等知名欄目、門戶網(wǎng)站等發(fā)布中獎、獎勵信息為主，冒充官方活動專區(qū)，頁面和官方網(wǎng)站極為相似，用來騙取訪問者的QQ、游戲賬號密碼或者是騙中獎?wù)咧Ц额I(lǐng)取獎品的相關(guān)費用。(2)各種預測網(wǎng)站這些網(wǎng)站會利用彩民夢想中大獎的心理，進行各種收費預測，網(wǎng)站上會列出很多預測準確的記錄來騙取彩民信任，吸引彩民加入會員，購買所謂專家的預測資料，大部分網(wǎng)站還會打出中國福利彩票的官方字樣，甚至還有不少是涉及六合彩、賭球方面的網(wǎng)站。彩民如果相信了他們所謂的預測號碼、操縱比賽、預測比賽結(jié)果的騙局，往往都會損失慘重。(3)黑馬股票的騙局這些網(wǎng)站會使用知名證券公司的名稱，或者干脆使用一些不存在的證券公司名稱來構(gòu)建網(wǎng)站，網(wǎng)站以提供保證高額利潤為誘餌，向股民推薦漲停股、黑馬股，向被騙股民收取高額會員費、保密費，甚至是直接讓股民投資給他們做代理炒股。受騙股民往往會損失幾萬或數(shù)十萬。(4)虛假購物網(wǎng)站這類網(wǎng)站會在網(wǎng)民購物時出現(xiàn)在買家或賣家的QQ/旺旺上，買賣雙方經(jīng)常發(fā)送各種與商品有關(guān)的鏈接，而釣魚網(wǎng)站就會摻雜其中，頁面通常會模仿淘寶、拍拍、支付寶、財付通等與購物有關(guān)的網(wǎng)站，騙取賬號密碼或錢財。另外還有一些用極低價格來吸引顧客的購物網(wǎng)站，鉆石、手表、手機、充值卡，也是涉及購