瑞星2011年上半年安全報告
2011-07-20 16:28:39點擊下載《瑞星互聯(lián)網(wǎng)安全報告(2011年上半年)》
報告概要:
根據(jù)瑞星“云安全”系統(tǒng)提供的數(shù)據(jù)綜合分析,2011年上半年中國互聯(lián)網(wǎng)安全領(lǐng)域呈現(xiàn)以下特征:
1、病毒總量比去年同期上升25.2%。
2、掛馬網(wǎng)站數(shù)量比去年同期下降90%,受害網(wǎng)民數(shù)量有明顯下降。
3、釣魚網(wǎng)站案例急劇增加,釣魚網(wǎng)站和線下詐騙廣泛結(jié)合,使得詐騙者的犯罪成本急劇下降,跨地區(qū)、甚至跨國型犯罪增多。
4、手機病毒增加,安卓平臺成為未來黑客與病毒肆虐的場所。
5、“云攻擊”(Threats to Cloud)正在變成現(xiàn)實,儲存了大量用戶資料和行為的“云提供商”,例如微博、社交網(wǎng)站、網(wǎng)絡(luò)存儲,甚至包括傳統(tǒng)的電信運營商和酒店業(yè)者,正在面臨前所未有的安全風(fēng)險。
安全核心數(shù)據(jù)簡析 :
1、報告期內(nèi)(2011.1.1-2011.6.30),瑞星“云安全”系統(tǒng)共截獲新增病毒樣本5286791個,病毒總體數(shù)量與去年同期相比上升25.2%。其中木馬病毒4024499個,占據(jù)總體病毒比例的76.12%,比去年55.54%的比例有大幅提高。
2、報告期內(nèi),瑞星截獲的掛馬網(wǎng)站(網(wǎng)頁數(shù)量)總數(shù)目為236萬個,比去年同期下降了91.2%(2010年同期為2666萬),約為2009年同期的1%。出現(xiàn)此情況的原因,在于“云安全”技術(shù)的成功實施,打破了黑色掛馬產(chǎn)業(yè)鏈的運行,使得網(wǎng)站掛馬無利可圖,迫使黑客逐漸放棄此種攻擊手段。
3、網(wǎng)絡(luò)釣魚的危害達到新的高度,上半年瑞星截獲釣魚網(wǎng)站218萬個(以URL計算),共1億零53萬人次網(wǎng)民遭釣魚網(wǎng)站侵襲,按照此類詐騙的平均金額計算,直接經(jīng)濟損失至少在百億以上。其中,虛假藥品、偽劣保健品、偽劣數(shù)碼產(chǎn)品,成為釣魚網(wǎng)站最為熱衷出售的“商品”。
4、假淘寶網(wǎng)站、假騰訊網(wǎng)站、假工商銀行網(wǎng)站、假中國銀行網(wǎng)站,占據(jù)了釣魚網(wǎng)站的前四位。“假團購網(wǎng)站”和“假購物網(wǎng)站”在總體數(shù)量的比例中雖然不高,但其產(chǎn)生的危害巨大。比如有人在搜索引擎購買廣告,出售假冒iPhone 4手機,上當(dāng)者眾多。
5、危害安卓系統(tǒng)的手機病毒大量出現(xiàn),在目前已有的手機病毒樣本中,安卓系統(tǒng)病毒約占總量的20%。在可以預(yù)見的未來,主要攻擊安卓手機和平板電腦的病毒,將對用戶產(chǎn)生巨大威脅。
6、國內(nèi)廠商安全服務(wù)市場發(fā)育程度低,企業(yè)用戶僅投資于軟硬件產(chǎn)品,很少采購安全服務(wù),使得針對大型商家的黑客攻擊層出不窮。
?
免責(zé)聲明:
本報告綜合瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計,僅針對中國安全數(shù)據(jù)及問題進行統(tǒng)計、研究和分析。本報告提供給媒體、公眾和相關(guān)政府及行業(yè)機構(gòu)、廠商作為互聯(lián)網(wǎng)信息安全狀況的介紹和研究資料,請相關(guān)單位酌情使用。如若本報告闡述之狀況、數(shù)據(jù)與其它機構(gòu)研究結(jié)果有差異,請使用方自行辨別,瑞星公司不承擔(dān)與此相關(guān)的一切法律責(zé)任。
?
一、病毒和木馬
1、病毒概述
2011年上半年,瑞星“云安全”系統(tǒng)共截獲新增病毒樣本5,286,791個,病毒總體數(shù)量與去年同期相比上升25.2%。其中木馬病毒4,024,499個,占據(jù)總體病毒比例的76.12%,緊隨其后的病毒依次為感染型病毒(win32)、后門、病毒釋放器(Dropper)和廣告程序。
2、十大病毒排行
上半年共逾7.4億人次網(wǎng)民被病毒感染,平均每天411萬人次網(wǎng)民中毒,按感染人數(shù)、變種數(shù)量和代表性進行綜合評估,瑞星評選出了2011年上半年的十大病毒。
3、病毒技術(shù)趨勢分析?
通過對1至6月新增樣本的病毒行為分析發(fā)現(xiàn),病毒正在由傳統(tǒng)的低級匯編語言編寫,逐漸轉(zhuǎn)變?yōu)榧娌⑹褂玫图壓透呒壵Z言混合撰寫的方式,由匯編語言編寫的引導(dǎo)部分去加載由高級語言編寫的病毒主體。由于使用高級語言編寫,成本更低、開發(fā)周期更短,使得這種“混合型病毒”在總體病毒中的比例增加極多。
報告期內(nèi),瑞星共截獲感染型病毒(win32)445,957個,占據(jù)總體病毒比例的8.44%,已經(jīng)成為繼木馬之后的第二大類病毒類型。
感染型病毒結(jié)構(gòu)趨于簡單化 編寫更簡單功能更強
報告期內(nèi),瑞星截獲了一批后綴為.dll的感染型病毒樣本。這種后綴為.dll的文件是Windows下的動態(tài)庫文件,這些后綴為.dll文件的宿主文件,通常是Windows操作系統(tǒng)的系統(tǒng)動態(tài)庫。病毒會騙取操作系統(tǒng)或者應(yīng)用程序的信任。當(dāng)用戶要運行某些需要加載系統(tǒng)動態(tài)鏈接庫的正常程序時,程序會加載“帶毒的系統(tǒng)動態(tài)庫”,從而使得電腦中毒。
此類新病毒操作簡單,代碼短小,所以很容易實現(xiàn);被修改的宿主程序的變化不大,隱蔽性好;短小的匯編代碼又更容易編寫,且更容易使用變形引擎做變形躲避殺毒軟件的查殺。而病毒的主要功能則轉(zhuǎn)移到另一dll文件,只要使用常規(guī)的軟件開發(fā)工具和高級語言就可以快速實現(xiàn)各種功能,且變種繁多。
高級語言編寫的病毒開始流行
傳統(tǒng)的病毒通常使用匯編語言編寫,但是由于匯編語言難度很大,普通黑客一般不會去花費時間學(xué)習(xí)這種“用處不大”的語言,即使能掌握此語言,編寫一個病毒也要花費很長時間。而且往往這種精雕細(xì)琢的病毒出現(xiàn)后,雖然有著變形引擎的保護,但如果特征上存在著一些共性,就很容易被殺毒軟件公司通殺。
病毒一旦寫好,再做大幅度的修改來躲避查殺的成本又過大。所以在與殺毒廠商抗衡的過程中,病毒的制作者,逐漸地引進了高級語言來協(xié)助快速地開發(fā)感染型病毒。目前最早發(fā)現(xiàn)使用高級語言編寫的感染型病毒之一是Kuku,它使用了內(nèi)嵌C++語言編寫病毒主體,外層使用了匯編編寫一個PE加載器來自己加載內(nèi)嵌的病毒體。
當(dāng)宿主程序執(zhí)行時,病毒會截獲到執(zhí)行權(quán)限,將執(zhí)行流程跳轉(zhuǎn)到事先編寫的加載器上,通過加載器來加載高級語言生成的病毒主體,其主要的病毒功能就是在這里實現(xiàn)。由于使用了高級語言來實現(xiàn)主要功能,所以一些曾經(jīng)不可思議的高級功能都可以由這個病毒主體來實現(xiàn),同時這些病毒還可以使用正常軟件的功能代碼,如Win32.Kuku家族的病毒主體中就包含著一套類似常規(guī)P2P下載軟件的網(wǎng)絡(luò)傳輸引擎,用于在不同的主機中實現(xiàn)病毒更新和信息共享。
感染型病毒功能趨于多元化
傳統(tǒng)的感染型病毒,通常的危害性指標(biāo)是傳播途徑、傳播速度。而現(xiàn)在的新型感染病毒,則加入了更多的功能,以求實現(xiàn)自己的目的。比如,Win32.Crypt.p病毒就擁有盜號木馬的特征,它會截取用戶的屏幕、記錄用戶鍵盤輸入的信息,并偷偷把這些用戶信息發(fā)送給病毒編寫者。
還有的感染型病毒包含有后門功能,如Virut變種病毒,就含有一個小型的后門客戶端,用于獲取用戶操作系統(tǒng)信息、系統(tǒng)運行情況,同時還具有下載運行指定應(yīng)用程序等功能。
4、手機病毒
隨著安卓系統(tǒng)的盛行,安卓系統(tǒng)的手機數(shù)量從2010年初開始迅速增長,基于安卓系統(tǒng)的病毒也隨之迅猛增加。在極短的時間內(nèi),安卓病毒數(shù)量就占據(jù)了整體病毒數(shù)量的20%。而且由于安卓系統(tǒng)的應(yīng)用與原有的塞班系統(tǒng)不同,導(dǎo)致兩個平臺的手機病毒有極大不同。
由上圖可以看出,安卓病毒的66.14%是流氓程序,主要通過與其它安卓應(yīng)用捆綁來侵入用戶電腦;而竊取隱私的病毒占據(jù)了總體數(shù)量的10.61%。而塞班病毒則主要竊取用戶隱私和通過傳播、耗費電池來危害用戶手機。之所以產(chǎn)生此類不同,是因為安卓系統(tǒng)更加開放,應(yīng)用在安卓系統(tǒng)上可以實現(xiàn)更多的功能,從而導(dǎo)致泄露隱私的機會增加。
2011年6月,10余個含有Rootkit功能的應(yīng)用被放到了google電子市場中。瑞星公司的研究發(fā)現(xiàn),這些含毒應(yīng)用到電腦之后,有的會嘗試突破系統(tǒng)權(quán)限(ROOT安卓系統(tǒng)),有的利用Dalvik類裝載能力保持隱身,逃避殺毒軟件的追殺。
7月初,瑞星截獲了一個安卓系統(tǒng)手機病毒——“安卓殺手”,病毒主要影響Android 2.0至2.2三個版本的系統(tǒng),用戶一旦中毒,病毒將攔截10086發(fā)送到手機上的任何短信、上傳手機設(shè)備信息、手機sim卡信息,最終會定制大量短信增值服務(wù),扣取高額話費。
