《中國2007年上半年電腦病毒疫情及互聯網安全報告》中的數據由金山毒霸全球反病毒監測中心、金山毒霸全球病毒應急處理中心、金山毒霸客戶服務中心聯合監測得出。本報告的所有結論和所持觀點均由金山獨家發布,與其它合作公司、部門無關。
2007年上半年,電腦病毒異常活躍,木馬、蠕蟲、黑客后門等輪番攻擊互聯網,從熊貓燒香、灰鴿子到艾妮、AV終結者,重大惡性病毒頻率發作,危害程度也在逐步加強,互聯網安全面臨的威脅更加嚴峻。
一、2007年上半年中國電腦病毒疫情及互聯網安全總體狀況分析
2007年上半年,電腦病毒延續了06年以來的高速增長勢頭,金山毒霸共截獲新增病毒樣本總計111,474種,與去年同期增加了23%。其中木馬病毒新增數占總病毒新增數的68.71%,高達76593種;AV終結者病毒因其危害程度以及感染率均名列榜首,所以成為名副其實的2007年上半年“毒”王。
在上半年新增的木馬病毒中,盜號木馬是最嚴重的一類病毒,占到木馬病毒總數的76.04%,高達58245種。而蠕蟲、下載木馬、腳本漏洞病毒幾乎都是為盜號木馬來服務的,其目的就是通過自身傳播能力、攻擊能力,將自身做為載體將盜號木馬安裝到用戶系統中。
此外,惡意軟件在近年來嚴打中和各大廠商的正規化動作后,已經開始慢慢萎縮,因此只占到3.51%,市面上常見的廣告主要是服務于色情網站和投票網站。黑客后門病毒仍是互聯網最大的隱患之一,也是黑客們互相爭奪的資源之一,誰用黑客后門病毒控制的“肉雞”越多,能獲得的經濟利益也越大,更有些作者將此類病毒在互聯網中公開叫賣,這也是黑客后門病毒大量新增的原因之一。
1、 互聯網進入木馬/病毒經濟時代
自2006年起,偷、騙、搶就已成為信息網絡安全的三大威脅。而盜號木馬、黑客后門病毒已經成為大多數職業病毒作者生財工具。木馬/病毒背后的巨大的灰色產業鏈給整個互聯網帶來了更加嚴峻的考驗。不管是網銀中真實的錢,還是虛擬財產,制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢,分工明確,形成了一個非常完善的流水性作業的程序。
以“灰鴿子”木馬為例,據不完全統計,僅僅“灰鴿子”一種后門所帶來的直接售賣價值就達2000萬以上。木馬的制造者本身并不參與“賺錢”,病毒編寫完畢后,大量的“大蝦”開始招募“徒弟”,教授木馬病毒控制技術和盜號技術,收取“培訓費”,之后往往將“徒弟”發展為下線(也就是其代理商或分銷商),以輔助完成其他牟利活動。“灰色產業鏈”可能將病毒制作引領為一種產業。下圖為木馬產業鏈的示意圖,可充分說明“灰色產業鏈”的運作過程:
網頁掛馬問題在2007年上半年已經出現了爆炸式的增長。據中國工程院院士、信息網絡與信息安全專家方濱興在《網絡與信息安全》專題講座中介紹,國家信息安全中心對今年前5個月大陸網站統計,黑客成功攻擊次數有34331次,為歷年最高,而湖南省一個地區被黑客攻擊的網站就多達30余家。網站的防護能力不足是網頁掛馬頻頻出現的重要原因之一。
ARP欺騙技術在今年得到進一步成熟。早期的ARP欺騙用于惡作劇,在局域網中控制某臺電腦不能上網等現象,發展到嗅探局域網中流傳的機密信息,到今天的輔助網頁掛馬,可以讓一個城域網受到網頁掛馬的攻擊。其現象是,如果某個城域網的網關受到了ARP欺騙的攻擊,那么在此城域網中所有的用戶在訪問任何網頁,都會發現這些網頁都被插入了掛馬的腳本。下圖是受到攻擊后訪問正常頁面時的圖示:
請注意Google的主頁并沒有被黑或被掛馬,出現的原因主要是城域網中的網關受到了ARP欺騙的攻擊。此種技術的要點就是感染一臺系統就可導致所用用戶受到網頁掛馬的攻擊。
面對網頁掛馬的危害極巨加重,金山毒霸研發部潛心研究,已經獲得階段性成果,將在七月中發布一個專門針對網頁掛馬的網頁防掛馬工具,以期減少掛馬攻擊對用戶的侵害。
3、“0Day漏洞”讓微軟防不勝防
上半年利用“0Day漏洞”進行傳播的病毒頻繁出現,以“艾妮”為例,利用微軟漏洞進行傳播,對包括Vista在內的Windows 所有用戶造成嚴重威脅,成為首個造成了大面積感染的利用“0Day漏洞”傳播的病毒。
“0Day漏洞”是指微軟官方未發現或未發布修補補丁的漏洞。早在去年就出現過多起針對微軟office 的“0Day漏洞”的病毒。由于這些漏洞的自身限制未能造成大面積的用戶受害,直到“ANI漏洞”的出現。“0Day漏洞”所帶來的危害遠遠超過普通系統漏洞。用戶沒有辦法在第一時間尋找最有效的解決方法,一般只能采取避讓或禁用系統功能的方法來減少漏洞帶來的危害。“0Day漏洞”對安全界提出了更高的安全需求,更是軟件開發者必須重視的軟件質量問題。
2007年,金山毒霸結合流行蠕蟲的傳播特點,在反病毒工程師的集體努力下,成功找到了一個抵御蠕蟲病毒的最佳解決方案——流行蠕蟲免疫功能。面對熊貓燒香等惡性蠕蟲的猛烈攻擊,金山毒霸以實用性的技術贏得了用戶的好評。
并針對利用微軟“0Day”漏洞傳播的“艾妮”病毒,金山毒霸搶先推出“ANI漏洞免疫”功能,及時有效的在毒霸用戶群中截止了病毒的流行。“ANI漏洞”與網頁掛馬配合,直到補丁發布以后,仍然在互聯網中肆虐。利用沒有補丁的漏洞,將是高級病毒發展的重要趨勢。
4、病毒/木馬瘋狂反撲,病毒/木馬商業化運作出現團隊化協同方式。
伴隨著安全廠商對病毒的剿殺,病毒制作者開始想方設法逃避殺毒軟件的追殺,甚至從技術的角度對殺毒軟件進行攻擊。
以“AV終結者”為例,該病毒最大的特點就是采用多種方式對抗最流行的安全軟件,對反病毒軟件發起了瘋狂的反撲,同時也充分體現了病毒/木馬商業化、團隊協作的跡象。
首先,傳播病毒,使用黑客技術攻擊網站、網關服務器,致使大量用戶遭遇網頁掛馬的攻擊;或是利用U盤去感染一些企業的局域網、網吧或小區寬帶;或是利用現有的病毒技術——蠕蟲傳播、文件感染作為載體來安裝“AV終結者”,以達到最終目的——提高病毒的感染量。
然后,利用“AV終結者”終止所有反病毒軟件。致使用戶電腦的安全系統遭遇徹底破壞,而后開始大規模的下載盜號木馬,并能不斷的更新升級自己。這個團隊的另一部份人采用當今最流行的互聯網技術,只需在服務端做一些配置的改動,就可讓病毒自動下載任意的程序(病毒/木馬)。
最后,通過盜號木馬盜取用戶的網絡財產,獲得經濟利益。如:在“魔獸世界”中的一個貨幣單位G,就價值人民幣0.07元。多數高級玩家已經獲得幾十萬G的成果,一旦被盜可能就是上千元的經濟損失。
5、病毒的變種數量已經成為衡量其危害性的新標準。
單一病毒感染的計算機數量不再是衡量其危害性的標準值,頻繁生成的變種已成為加速病毒傳播的有效手段。
正如2006年末所預計的那樣,2007年出現了大量新(變種)病毒。現在的流行病毒制作者不再寄期望于某一種或某一類病毒進行大面積傳播和感染,而是依靠其變種數量,通過更多的傳播手段,更多的參與者,采取“廣撒網多捕魚”的戰術,將數量眾多的病毒感染到用戶系統中。每個病毒變種能有上百位用戶感染,它就已經獲得了成功。連續兩年來的大面積病毒數量充分的說明了這一點。
金山毒霸應對高數量的病毒新增現象,率先在去年就開展了一日多次升級,重大病毒1小時內應急升級的策略,并應用到產品的主動升級功能中,得到用戶們的廣泛好評。而金山毒霸所采用的“數據流殺毒”技術,對病毒代碼的執行特征進行動態實時分析,極大提高殺毒數量和精確度,尤其對于變種病毒、變種木馬和未知漏洞攻擊具有超強的防治能力。此外,金山毒霸研發部更是在后臺服務中,研制出多種自動手段,對新增病毒進自動分析、自動提取病毒特、自動制作病毒庫、自動誤報檢測的一套完全自動流程,充分應對新增病毒的速度。
據金山毒霸計算機病毒疫情監測網監測,2007年上半年,全國計算機感染臺數75,967,19臺,與去年同期相比增長了12.2%。其中被感染的計算機中遭受過木馬病毒攻擊的比例占到91.35%。全國各省的計算機病毒感染量如下表:
排名 |
地區 |
感染機器臺數 |
排名 |
地區 |
感染機器臺數 |
1 |
廣東 |
807854 |
18 |
黑龍江 |
84522 |
2 |
浙江 |
645014 |
19 |
重慶 |
80256 |
3 |
江蘇 |
631545 |
20 |
山西 |
79224 |
4 |
上海 |
612545 |
21 |
天津 |
75841 |
5 |
山東 |
552541 |
22 |
云南 |
69024 |
6 |
四川 |
512354 |
23 |
吉林 |
67028 |
7 |
北京 |
442545 |
24 |
貴州 |
64712 |
8 |
河南 |
412378 |
25 |
新疆 |
55245 |
9 |
河北 |
407534 |
26 |
內蒙 |
54478 |
10 |
湖南 |
326987 |
27 |
甘肅 |
50745 |
11 |
湖北 |
278778 |
28 |
寧夏 |
48147 |
12 |
遼寧 |
249753 |
29 |
海南 |
41587 |
13 |
江西 |
225874 |
30 |
青海 |
37541 |
14 |
陜西 |
201456 |
31 |
香港 |
21041 |
15 |
廣西 |
170587 |
32 |
西藏 |
17241 |
16 |
福建 |
167802 |
33 |
臺灣 |
5451 |
17 |
安徽 |
97825 |
34 |
澳門 |
1264 |
其中被病毒感染的計算機最多的地區主要分布為廣州(11%)、浙江(8%)、江蘇(8%)、上海(8%)、山東(7%)、四川(7%)、北京(6%)。
四、2007年上半年十大計算機病毒/木馬
金山毒霸根據病毒危害程度、病毒感染率以及用戶的關注度,計算出綜合指數,最終得出以下十大病毒/木馬為2007年上半年最危險的病毒/木馬。
排名 |
中文名 |
病毒名 |
危害程度 |
感染率 |
用戶關注度 |
1 |
AV終結者 |
Win32.Troj.Poseidon |
5 |
7.13% |
熱門 |
2 |
熊貓燒香 |
Worm.WhBoy |
5 |
5.84% |
熱門 |
3 |
灰鴿子 |
Win32.Hack.Huigezi |
4 |
6.98% |
熱門 |
4 |
艾妮 |
Worm.MyInfect |
4 |
5.15% |
熱門 |
5 |
QQ尾巴 |
Win32.Troj.QQTail |
3 |
2.13% |
高度 |
6 |
魔獸木馬 |
Win32.Troj.WOW |
3 |
3.45% |
高度 |
7 |
征途木馬 |
Win32.Troj.ZhengTu |
3 |
2.07% |
高度 |
8 |
維金變種GM |
Womr.Viking.gm |
4 |
1.98% |
普通 |
9 |
網游盜號木馬 |
Win32.Troj.Onlinegames |
3 |
5.45% |
普通 |
10 |
羅姆 |
Troj.Romdrivers |
4 |
1.02% |
普通 |
危害程度:分5級,最高級為5。我們將危害的種類分為:A破壞用戶系統,B盜取用戶信息,C能進行自我傳播 D廣告行為 E下載其它木馬
5級:具有上述四種及以上行為的病毒/木馬
4級:具有述任意三種行為的病毒/木馬
3級:具有C行為加任意一種行為的病毒/木馬
2級:具有A B C任意一種行為的病毒/木馬
1級:具D E任意一種行為的病毒/木馬
病毒感染率:該病毒在感染的計算機臺數點總感染臺數的比率。
用戶關注度:我們收集用戶對病毒的關注數據,如:論壇討論熱度的評估,新聞及病毒分析報告的點擊率或關鍵字熱度,將其分為3級,熱門、高度、普通。
附十大病毒簡介
1、AV終結者
一個專門與殺毒軟件對抗,破壞用戶電腦的安全防護系統,并在用戶電腦毫無抵抗力的情況下,大量下載盜號木馬的病毒。
病毒特征:病毒運行后,會釋放romdrivers.dll等多個病毒文件,同時修改多個注冊表項,,將自身注入到explorer進程中,連接網絡進行病毒自更新及病毒的下載。
2、熊貓燒香
一個讓網民身受其害,極為囂張的惡性蠕蟲病毒。伴隨著病毒作者的落網,又引發了網民對病毒背后黑色產業鏈的討論。
病毒特征:'熊貓燒香'蠕蟲不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
3、灰鴿子
這是一個'中國制造'的隱蔽性極強的木馬,連續數年被反病毒廠商列為年度十大病毒。用戶一旦被入侵,電腦將淪為肉雞,任人宰割。
病毒特征:使用遠程注入、Ring3級Rookit等手段達到隱藏自身的目的。一般它會被人蓄意捆綁到一些所謂的免費軟件中,并放到互聯網上,誘騙用戶下載。因為其具有很強的隱蔽性,所以用戶一旦從不知名網站下載并誤運行了這些軟件,機器就會被控制,而且很難發覺。攻擊者可以對感染機器進行多種任務操作,如文件操作、注冊表操作、強行視頻等等。
4、艾妮
'艾妮'病毒集熊貓燒香、維金兩大病毒危害于一身,傳播性與破壞性極強,而且利用微軟Oday漏洞傳播,大量用戶身受其害。
病毒特征:艾妮是一個Win32平臺下的感染型蠕蟲,可感染本地磁盤、可移動磁盤及共享目錄中大小在10K---10M之間的所有.exe文件,感染擴展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件,并可連接網絡下載其他病毒。
5、QQ尾巴
QQ尾巴自誕生以來衍生出大量的變種,某些變種會添加到起始項,修改文件關聯,禁用進程管理器,關閉大量的安全軟件,對用戶系統安全性能帶來極大威脅。
病毒特征:該病毒是一個利用了IE漏洞在一些知名度不甚高的網站首頁上嵌入了一段惡意代碼,在用戶使用QQ向好友發送信息的時候,該木馬程序會自動在發送的消息末尾插入一段廣告詞,誘騙用戶點擊,從而達到侵入用戶系統,進而借助QQ進行垃圾信息發送的目的。該病毒每隔幾分鐘就會發送一次欺騙消息,嚴重干擾了用戶正常的信息傳遞。而該信息是隱藏的,發送方并不知道。
6、魔獸木馬
一類盜取'魔獸世界'游戲帳號和密碼的木馬。
病毒特征:運行后,會把自己拷貝到windows下并添加注冊表啟動項。病毒會不斷的尋找WOW的游戲登錄,一但發現,通過鉤子讀取用戶輸入的游戲帳號與密碼,并把它們發送到木馬種植者的郵箱中去;此外,它還會記錄并發送用戶在游戲中的活動情況。
7、征途木馬
一類盜取'征途'游戲帳號和密碼的木馬。
病毒特征:病毒運行時會監控征途游戲登陸窗口,并且記錄鍵盤信息,把所竊取的信息通過其自身所帶的郵件引擎發送到黑客指定郵箱中。
8、維金變種
一個讓企業用戶頭疼的蠕蟲病毒,集成'可執行文件感染'、'網絡感染'、'下載網絡木馬及其它病毒'的復合型病毒,若用戶不幸感染該病毒,將會面臨系統癱瘓、網銀、網游帳號被盜、重要信息泄漏等多重威脅。
病毒特征:病毒將自身注入到用戶電腦的IE進程里,同時終止多個殺毒軟件的監控進程,并連接到指定的惡意站點,下載盜號木馬或者其他感染型病毒,進一步侵害用戶的電腦系統,不但導致用戶的系統硬盤的資料和數據文件被損壞,而且有可能出現用戶的電腦資料外泄和網絡虛擬財產被盜等現象。
9、網游盜號木馬
一個盜取網絡游戲的游戲帳號的木馬病毒。該病毒跟一般游戲盜號木馬相似,它會潛伏在受感染的電腦系統中,伺機搜尋并注入游戲進程,竊取有效信息,并將其發送給木馬種植者,造成用戶的虛擬財產的損失。此外,它還能終止特定的安全軟件的監控進程和服務,導致電腦的安全性能下降。
病毒特征:該病毒運行后,會自動釋放upxdnd.exe和upxdnd.dll病毒文件,修改注冊表,實現隨開機自動啟動。終止Twister.exe,FilMsg.exe和RavMon.exe等安全軟件的監控進程。
10、羅姆
一個導致大量安全軟件運行失敗,即便是將病毒解決掉以后,還是會發現殺毒軟件不能運行,下載大量盜號木馬到用戶計算機來盜取用戶的帳號信息的病毒。
病毒特征:釋放病毒文件并創建注冊表項來使病毒文件隨系統而啟動;嘗試刪除以下注冊表項來防止其它病毒的干擾;將病毒文件romdrivers.dll注入到explorer進程中,然后通過explorer來連接網絡進行病毒自更新,下載大量盜號木馬到用戶計算機來盜取用戶的帳號信息;發送大量的ARP欺騙數據包,嚴重影響局域網,造成局域網網絡阻塞并導致企業網絡中斷。