王建鋒:08年疫情表明 互聯網威脅無處不在
2009-08-27 07:51:09圖:瑞星公司客戶服務中心總經理王建鋒
王建鋒:大家上午好,下面由我介紹一下08年度中國大陸地區互聯網電腦病毒疫情報告,在做報告之前,我想先說明一下本報告的
相關專題:共建可信任的互聯網 2008瑞星互聯網安全技術大會
圖:瑞星公司客戶服務中心總經理王建鋒
王建鋒:大家上午好,下面由我介紹一下08年度中國大陸地區互聯網電腦病毒疫情報告,在做報告之前,我想先說明一下本報告的數據來源是基于已經參與到瑞星“云安全”計劃的數千萬用戶的客戶端實際的分析與統計,既有別于傳統的調查問卷的形式也有別于通過小樣本群來進行推算大樣本群的模式。
首先我們看一下08年度的整體疫情的概況,實際上很簡單一句話,互聯網的隱患無處不在,在這里同以往不同的是,黑客每一次進行具體的策劃之前會有一個完整的鏈條,就是策劃、實施、反饋諸多的環節。通過這張圖大家可以看出來當黑客對感興趣的用戶群發生興趣的時候,他通常會了解這個客戶群應用的網絡應用,比如說搜索、交易、包括聊天和下載,在了解到實際的應用場景之后,他會利用漏洞,這個漏洞不再是局限于系統的漏洞,更多是基于互聯網的工具軟件漏洞,包括瀏覽器的漏洞,最后會通過一個非常成熟的產業鏈來達到對感興趣用戶群的竊取,對他造成一定的傷害。通過這個產業鏈我們可以看到,病毒已經互聯網化,不斷的給我們提出挑戰,包括病毒樣本的海量,包括數據的分析處理也是海量,包括實際的用戶也是海量,這些挑戰給我們帶來的一些互聯網上的沖擊不僅是在捕獲環節,也在分析和應對環節。試想一下,如果我們在一天之內,截獲了30萬個樣本,如何讓我們的8000萬用戶在一天之內同時對這30萬病毒樣本都進行免疫?這30萬不是虛數,而是有實際的依據的。
下面我具體介紹疫情報告,三個部分,第一是整體疫情,第二是排行,第三是新的趨勢。截至到08年10月份,截獲新病毒樣本是去年同期的12.16倍。在其中的病毒比例中,木馬病毒占到64%,后門病毒占到了20%,兩者相加,超過總體的比例8.3%,其特征很明顯,就是以竊取用戶的帳號和個人財產為主要目的,帶有明顯的經濟利益特征。圖中用紅色表出的有兩部分,一部分是通過網絡下載,已經造成病毒的傳播途徑,實際上接近55%,就是左邊的這個標出的部分。下面這個區域,通過U盤移動存儲傳播的,08年網頁掛馬是病毒傳播的主要途徑。在這里我給大家匯報一個數字,18天之內我們收到用戶的實際的惡意網址超過12萬,其中進行有效的驗證之后,實際有效的惡意網址接近10萬,這18天之內,每天都會有5000、6000個惡意網址在網上有效的存活著。通過年度的疫情我們可以看出典型的病毒類型,后門病毒也好,盜號木馬也好,這些是計算機編制者非常喜歡應用的技術,通過我們對疫情的分析看出了一些趨勢,在這里給大家分享一下。
首先自動化生產,病毒自動化生產大家很早就知道了,但是新的技術是更加成熟。第二對抗殺軟,黑客制造病毒也講究升級,升級的目的就是從追求病毒的個體生命,轉化為追求總體的有效生命。現在這種病毒的個體壽命通常在幾天,通過單個病毒的有效壽命下降,但是有大量的病毒樣本累計成病毒有效壽命。第三瀏覽器的漏洞也好,應用軟件的漏洞也好,出現的更加頻繁,也更加容易被利用。
現在介紹一下安全的現狀,三個特點,第一主流的商業模式頻遭木馬的攻擊,第二洪水攻擊。第三如何在最短的時間內獲得解決方案。如果說通過流量統計來進行吸引,木馬同樣可以帶來假流量,而個人的網游網銀是更加的危險,包括我們通常用的網絡下載也會被木馬盯上,實際上我們現在的互聯網用的常用模式是非常的不安全。洪水攻擊首先具備三個條件,第一有高效率的病毒升級軟件,第二同樣也會有更好的服務器帶寬,第三雇傭軟件民眾編寫殺毒軟件。只要大家做小的修改就可以達到新的對抗樣本出來。因此帶來的問題是數量的劇增,單個的病毒的壽命變短。大家試想一下,一個成熟的或者說非常有經驗的病毒分析工程師,一天處理量假如說是1000個,我剛才講過30萬,如果30萬除以一千的話,光是病毒分析就需要300名非常有經驗的工程師,這不現實。如何在最短的時間內讓用戶獲得解決方案已經成為關鍵。今天我相信在座的很多合作伙伴也已經被黑客或者病毒編制者所盯上。
第二網游掛馬,我們過去通常講一句話,如何防范病毒?通常說要瀏覽正規的網站,現在是不是這樣?在11月初,就發現一個非常典型的趨勢,某著名的門戶網站,大家知道,門戶網站的收入是廣告,在門戶網站的非常顯眼的地方有一個房地產的廣告,我們發展這個房地產廣告鏈接過去之前已經有掛馬。我想說的是門戶網站是有專業的人員保護的,但是對于非專業的網站,已經不是那么專業了,因此我們和房地產交流的時候他第一個問題就是“被掛馬我怎么辦?”稍微大一點的網站里面有多少網頁存在?這個數量大家很清楚。因此我們不難得出一個結論,電腦的疫情越來越嚴重,互聯網越來越不安全,謝謝大家!