《2008年上半年中国电脑病毒疫情及互联网安全报告》中的数据由金山毒霸全球反病毒监测中心、金山毒霸全球病毒应急处理中心、金山毒霸客户服务中心联合监测得出。本报告的所有结论和所持观点均由金山独家发布,与其它合作公司、部门无关。同时您及金山均认可病毒、恶意程序等的产生、传播存在不可控制性及不可预见性,因此金山仅保证在其可掌握的数据、技术水平许可范围内及其已掌控病毒范围内出具本报告,金山不就任何其尚未掌控的病毒、恶意程序等作任何保证,但金山将致力于不断提高技术水平及掌控病毒范围。您已经明确知悉所述情况,并承诺不因信任或使用本报告而可能出现的任何结果向金山主张权利。
2008年上半年,电脑病毒、木马的数量依然保持着高速增长,新病毒不断涌现,一些“老”病毒在大量下载器病毒的带动下也异常活跃。 与此同时,病毒、木马与安全软件之间的对抗日益加剧,以机器狗、磁碟机、AUTO木马群为代表的对抗型病毒已经成为广大用户电脑安全的主要威胁。
一、 2008年上半年中国互联网安全情况整体分析
2008年上半年,计算机病毒、木马的数量呈爆炸式增长,其总数已经超过了近五年的病毒数量的总和。金山毒霸全球反病毒监测中心监测数据显示,截止到6月30日,2008年上半年,金山毒霸共截获新增病毒、木马1242244个,较07年全年病毒、木马总数增长了338%。下图为近几年来的新增病毒、木马数量对比(图1):
在新增的病毒、木马中,其中新增木马数为640873个,占上半年新增病毒、木马总数的51.59%。而下载器类病毒占上半年新增病毒、木马总数的20.3%,成为增长速度最快的一类病毒。从08年上半年十大病毒、木马的统计数据中显示,十大病毒中有六大病毒为下载器病毒。下图是不同类别病毒、木马比例图(图2):
2008年上半年,据金山毒霸全球反病毒监测中心统计数据,全国共有22367994 台计算机感染病毒,与07年同期相比增长了194% 。全国各省的计算机病毒感染量如下表(图3)
2008年上半年十大病毒/木马
根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出以下十大病毒/木马为2008年上半年最危险的病毒/木马。
危害程度:分5级,最高级为5。我们将危害的种类分为:A破坏或感染用户系统\终止杀毒软件,B盗取用户信息,C能进行自我传播 D广告行为 E下载其它木马
5级:具有上述四种及以上行为的病毒/木马
4级:具有述任意三种行为的病毒/木马
3级:具有C行为加任意一种行为的病毒/木马
2级:具有A B C任意一种行为的病毒/木马
1级:具D E任意一种行为的病毒/木马
病毒感染:对于广义的病毒定义来讲,本文所指感染包括病毒感染或木马入侵。
病毒感染率:该病毒感染或入侵的计算机台数占总感染(或入侵)台数的比率,为方便统计,统称为感染率,下同。
用户关注度:我们收集用户对病毒的关注数据,如:论坛讨论热度的评估,新闻及病毒分析报告的点击率或关键字热度,将其分为3级,热门、高度、普通。
1. 机器狗病毒
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”,该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,与AV终结者病毒相似,病毒通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给用户电脑带来严重的威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点,影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK),映像挟持,进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁,部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
2. 磁碟机病毒
这是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行;并会不断检测窗口来关闭一些杀毒软件及安全辅助工具 ,对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态;破坏安全模式,删除一些杀毒软件和实时监控的服务, 远程注入到其它进程来启动被结束进程的病毒,,病毒会在每个分区下释放 AUTORUN.INF来达到自运行. 感染除SYSTEM32目录外其它目录下的所有可执行文件。 并且会感染RAR压缩包内的文件。
3. AV终结者
禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中
输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法
通过网络寻求解决办法;在磁盘根目录下释放autorun.inf利用系统自播放功能如果不加以
清理,重装系统以后也可能反复感染。
4. OnlineGames系列盗号木马
这是一类盗号木马系列的统称,这类木马的特点就是通过进程注入盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗
杀毒软件,但经常伴随着AV终结者、机器狗等病毒出现。
5.SWFExploit病毒
SWFExploit生成器的产生:由于adobe flash player这个软件广泛存在于大多数电脑上,因此,当这个软件的漏洞一经公布,利用它的病毒就迅速爆发。这些病毒利用adobe flash player中一段有BUG的代码,精心构造数值。它们修改了adobe flash player中关于安全验证的模块的数据,让自己的代码可以绕过安全监控,直接在电脑中运行。这样一来,只要用户电脑中的adobe flash player没有打上补丁,那么当他们访问挂马网页时,病毒就会感染电脑,并下载其它的大量病毒程序到他们的电脑上运行。(这些被下载的病毒,大多为木马下载器,它们进入用户电脑后带来的明显危害,就是给用户电脑里塞满了大量的盗号木马,可能会将电脑中有价值的帐号密码都偷得一干二净)
6. 大水牛下载者
大水牛病毒是一个盗号木马下载者,该病毒学习机器狗,加入了驱动恢复SSDT使得安全软件的主动防御失效;注入系统进程通过hook系统底层API来隐藏自己的文件和注册表键值使得部分安全辅助工具不能检测到病毒的存在;通过进程操作和窗口监视对抗常见安全软件;下载机器狗,盗号木马,ddos恶意攻击工具使得用户电脑处于极度危险的状态。
7. Auto木马下载者
此类病毒的主要传播途径是U盘、移动硬盘等移动存储设备。此病毒通常利用Autorun.inf的自动播放功能来启动自身,运行以后会破坏安全模式,隐藏文件的显示等系统默认设置来避免被删除,该类病毒同样具有下载功能,会下载大量的盗号木马、流氓软件到用户电脑安装,用户系统稳定性下降容易蓝屏、网络虚拟财产安全得不到保障。
8.Rootkit系列病毒
这类病毒经常伴随着OnlineGames系列病毒出现。这类病毒使用Rootkit技术来隐藏加载OnlineGames系列病毒。还会通过驱动来恢复SSDT Inline HOOK, 使得杀毒软件失去对系统的保护功能。通过rootkit技术盗号木马能够更有效地盗取帐号密码。
9. Downloader系列下载者
这类病毒是典型的盗号木马下载者。通过映像挟持,进程操作,窗口监控等方式对抗杀毒软件、会下载安装大量盗号木马到用户电脑。Downloader系列下载者在下载执行完盗号木马后,会自动删除,原程序不会驻留用户计算机。给杀毒软件获取样本分析带来了麻烦。
黑客通常利用端口扫描或者漏洞扫描工具获取目标程序然后植入到目标系统,一旦安装成功就可以像控制自己电脑一样远程控制用户计算机。可以盗取用户重要文件、监控用户摄像头音频、盗取网游帐号,用户计算机沦为“肉鸡”后,也会被黑客用来攻击服务器等等。
二、2008年上半年计算机病毒、木马的特点分析
1、 下载器病毒首次成互联网最大威胁
下载器病毒是近年来新出现的一种病毒类型。该类型病毒与木马不同,一般本身并不具备盗取用户信息等行为,而是通过破坏杀毒软件,然后再从指定的地址下载大量其他病毒、木马进入用户电脑,进而通过其他病毒木马实现其非法目的。
据金山毒霸全球反病毒监测中心统计,2008年上半年发现的新病毒中下载器病毒增长最为迅猛,已经成为木马的主要源头之一。
从上半年的10大病毒列表可以看出“机器狗”、“磁碟机”、“AV终结者”等病毒,其程序的主要功能是破坏电脑“保安”系统,利用各种手段破坏杀毒软件,然后启用另一个主要功能:疯狂下载多种多样的木马,由攻击发起者定制下载列表,可随时更新所下载木马的版本和数量。下载器和盗号木马的区别在工作重点不同,前者是手段,后者去实现入侵的目的。
下载器病毒可以说是病毒流程化入侵的第一步。一旦用户电脑遭遇下载器病毒入侵,通常电脑内将会发现几种甚至几十种木马,而且这些木马将几乎涉及市面上所有流行的在线游戏的盗号木马,危害非常严重。
2、第三方软件漏洞成病毒攻击热点
第三方软件,通俗讲既非系统本身自带的软件(含操作系统本身和自带的应用程序),其他包含应用类软件均可称为第三方软件;例如:QQ、Adobe Reader等。
第三方软件漏洞是指一些第三方软件,由于自身软件设计的原因,在他们提供给IE的组件上,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用;在用户浏览网页过程中,通过漏洞下载木马病毒入侵用户系统;进行远程控制、盗窃用户的帐号和密码等,从而使用户遭受到损失。
随着微软操作系统的安全性的日益加强以及用户对系统漏洞警惕性的提升,病毒已经很难再利用系统漏洞大施拳脚,而第三方流行软件的漏洞越来越多地被病毒利用。以Adobe Flash Player漏洞为例,Adobe Flash Player 9 .0.115 在播放恶意构造的swf时,会自动下载一个可执行文件并执行,而swf文件可能会自动下载一个病毒下载器并运行,然后再由这个病毒下载器下载其他预先指定的木马程序,危险指数非常高。
3、病毒与安全软件之间的对抗日益加剧
纵观08年上半年的一些流行病毒,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言“饿死杀毒软件”。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但08年上半年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
08年上半年,病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
自07年以来,病毒流程化攻击的特点越发明显,而流程化攻击的重要一步就是对抗安全软件。病毒进入用户电脑后,首先终止安全软件的运行,使杀毒软件无法正常运行,进而下载大量其他病毒到用户电脑中,给用户的个人网络财产安全带来严重威胁。
4、 “老”病毒泛滥 “明星”病毒减少
近年来,类似魔鬼波、熊猫烧香、灰鸽子等重大恶性病毒,凭借其传播广泛、破坏性强等特点,迅速成为病毒“明星”,为广大电脑用户所“熟知”。然而随之而来的各大安全厂商的追杀,广大用户的喊打,很快这些“明星”病毒就会被打压下去,病毒作者也会面临身陷囹圄的危险。因此一些重大的恶性病毒出现的机会在逐步减少。而与此相对应的,单个病毒、木马只入侵几千台电脑,甚至只入侵指定的某个IP地址段内的电脑,虽然这类病毒的攻击范围很小,但针对性更强,而且由于同类病毒的总量庞大,因此破坏性也是不容忽视的。
下载器病毒的泛滥导致了一些“老”病毒枯木逢春。2008年上半年,病毒下载器数量猛增,这些下载器一旦成功进入用户电脑,大量的木马将蜂拥而至。在这些木马中,有很多是早在几年前就能被杀毒软件清除掉的老木马。但由于下载器在下载木马之前已经将电脑内的安全软件屏蔽掉,因此即使这些能够被杀毒软件查杀的老木马也能够很“安全”的完成盗取用户信息的目的,这也从另一个方面促使黑色产业链的从业者加强了以破坏杀毒软件为目的的程序开发。
5、“新型”病毒黑色产业链逐步形成
制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,常规的病毒黑色产业链在2008年上半年开始正在发生新的变化。伴随着病毒制作技术的进步,病毒产业链也随之发生变化,新型产业链在技术上也呈现出分工明细的趋势,例如专门对抗杀软的病毒,专门下载其它病毒的downloader类别的病毒,专门的盗号功能等。
制作网马——入侵众多中小企业网站,篡改网页内容,植入各种网马——部分提供电影下载、软件下载、聊天交友、图片视频等网站出售流量——有人会在各种社区、论坛、博客、贴吧发布访问此类网站的广告链接,以吸引更多的访客去下载这些网马——盗号木马程序设计者,这些人专职开发针对各种网络游戏的盗号木马、网银木马——各种带有远程控制功能的木马设计者,此类程序可实现远程控制中毒的电脑,利用中毒电脑发起拒绝服务攻击。
随着病毒产业链的日趋完善,病毒产业链的最末端——洗钱的平台也在逐步多元化。众多12590业务的非法经营者,可通过盗来的QQ号等信息大量发送垃圾消息,总有众多不明真相的网民被骗;采用非正当手段进行网络商业活动,比如购买DDoS服务攻击竞争对手;雇佣DDoS攻击的工作室对目标客户发起攻击,再上门推销所谓的反DDoS产品。广泛存在的网游虚拟财富交易市场,市场里的众多买方本身也曾是黑色产业链的受害者。
网马,通常是故意利用浏览器漏洞或浏览器插件漏洞入侵,通常是木马下载器,一般是先中网马,然后由这个木马下载器下载更多的其它木马。
出售流量是指病毒制造者为快速传播木马,需要找流量大的网站进行挂马,如果病毒制作者自己做一个网站,想达到高流量,不是一件容易的事,最简单的方法是花钱买流量。随着黑色产业链的深化,流量也在逐步集中到某些实力雄厚的人手中,这些人可以用比别人更高的价格收购流量,进而在利用病毒进行牟利。
6、社会工程学的攻击手段成病毒入侵的重要途径
(1)利用热点事件
当用户上网搜索一些当下比较流行的信息或电影的时候,如“艳照门”、“色戒”等,
搜索到的网页中很多都是带毒的,这是不法分子利用人的心理而设的圈套。
(2)利用用户对好友的信任通过即时聊天工具传播
随着聊天工具的安全防范措施,这类攻击已经不是主流,但还存在,有些病毒会通过
QQ、msn等聊天工具自动向好友发送带毒信息或病毒文件。
钓鱼网站也是一种常用的攻击手段,如www.jx2dbt.com是一个外挂的官方网站,而www.jx2dbtwg.com是钓鱼网站,但钓鱼网站做得跟官方网站一模一样,使得不少用户浏览了钓鱼网站或者下载了钓鱼网站的文件,导致中毒。另外一种方式不需要带毒,如银行的钓鱼网页,用户在登录的过程中,他会先记录下帐号和密码,然后再进行登录到正确的网站,而此时你并不知道你的帐号密码等信息已经失窃。
(4)捆绑软件
一些病毒会感染或者修改正常共享软件的安装包,使得用户在网站下载安装这些软件
时感染病毒。另外一些病毒则直接替换掉下载链接的文件。
(5)高流量带毒链接
流量高的网站是可以用来卖钱挂病毒的,因此很多流量高的网页会被用来挂病毒。这类
网站以黄色网站居多。
(6)江湖骗术
一些网络社区、聊天群里出现的骗子,往往会花言巧语诱使你接受打开对方发送的文
件,以照片(其实是病毒文件)为典型。
三、2008年下半年计算机病毒、木马发展趋势预测
1、病毒借热点事件传播将增多
近年来,热点事件已经成为了病毒传播的“帮凶”。病毒往往利用热点事件受关注率高、网友浏览点击率高等特点,伪装成热点电影、热点网络视频、热点照片等等诱骗用户点击下载,进而感染病毒。
网络欺诈是最不需要技术含量的,但其通用性和易用性将成为一些网络骗子的利刃。2008奥运年,奥运会必将成为民众关注的焦点,同时如此高度吸引眼球的社会事件极有可能成为网络欺诈最好的诱饵。
从色戒病毒到QQ艳照门病毒,病毒无一例外的是在利用人们对热点事件的好奇心进行传播。08年下半年,奥运会必将是全世界关注的焦点,网络上各种以奥运为主题的视频、图片非常有可能成为病毒利用的目标。
2、 病毒与杀毒软件之间的对抗进一步加强
病毒与杀毒软件之间的对抗一直没有中断过,然后08年上半年表现得尤为突出,已经成为目前病毒必备的一项破坏技能。
随着杀毒软件的保护加强。病毒想成功盗号需要更高的技术。病毒与杀毒软件的对抗将异常激烈。因此,对抗杀毒软件的病毒会持续发展。
3、 新平台上的尝试
病毒/木马进入新经济时代后,肯定是无孔不入。因此在2008年,我们可以预估Vista的病毒将可能成为病毒作者的新宠。网络的提速让病毒更加的泛滥,当我们的智能手机进入3G时代后,而适逢奥运年,3G手机的运用势必更加广泛,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒/木马最主要的传播手段。