瑞星2012年上半年中國信息安全報(bào)告
2012-07-10 13:34:38免責(zé)聲明
本報(bào)告綜合瑞星“云安全”系統(tǒng)、瑞星客戶服務(wù)中心、瑞星互聯(lián)網(wǎng)攻防實(shí)驗(yàn)室等部門的統(tǒng)計(jì)、研究數(shù)據(jù)和分析資料,僅針對(duì)中國大陸地區(qū)2012年1至6月網(wǎng)絡(luò)安全現(xiàn)狀與趨勢進(jìn)行統(tǒng)計(jì)、研究和分析。本報(bào)告提供給媒體、公眾和相關(guān)政府及行業(yè)機(jī)構(gòu)作為互聯(lián)網(wǎng)信息安全狀況的介紹和研究資料,請(qǐng)相關(guān)單位酌情使用。如若本報(bào)告闡述之狀況、數(shù)據(jù)與其他機(jī)構(gòu)研究結(jié)果有差異,請(qǐng)使用方自行辨別,瑞星公司不承擔(dān)與此相關(guān)的一切法律責(zé)任。
報(bào)告概要
2012年1至6月,瑞星“云安全”系統(tǒng)共截獲新增病毒樣本3,349,373個(gè),其中木馬病毒2,808,723個(gè),占據(jù)總體病毒比例的83.86%。 從表面上看,病毒疫情似乎處于“風(fēng)平浪靜”的狀態(tài),但實(shí)際上病毒將其破壞行為轉(zhuǎn)變?yōu)椤暗叵虏僮鳌保脩魝鹘y(tǒng)觀念中的中毒后“電腦死機(jī)”、“無法上網(wǎng)”等現(xiàn)象不再是主流病毒采用的方式。64位操作系統(tǒng)、蘋果Mac操作系統(tǒng)均不斷遭受病毒攻擊,以往用戶心目中相對(duì)安全的系統(tǒng)的概念不復(fù)存在。
2012年1至6月,據(jù)瑞星“云安全”數(shù)據(jù)中心監(jiān)測,截獲到掛馬網(wǎng)站(以網(wǎng)頁個(gè)數(shù)統(tǒng)計(jì))237萬個(gè),與去年同期的236萬個(gè)相比基本持平。2010年、2011年兩年掛馬網(wǎng)站連續(xù)下降90%以上的態(tài)勢到今年戛然而止,主要原因是掛馬網(wǎng)站形式單一,且技術(shù)上無本質(zhì)突破,安全廠商現(xiàn)階段的防護(hù)技術(shù)可對(duì)其進(jìn)行有效打擊。
2012年1至6月,瑞星截獲釣魚網(wǎng)站314萬個(gè)(以URL計(jì)算),是去年同期的1.3倍;共 9,903萬人次網(wǎng)民遭釣魚網(wǎng)站侵襲。假冒銀行、假冒中獎(jiǎng)信息、假冒購物網(wǎng)站仍然占據(jù)著釣魚網(wǎng)站“頭三把交椅”,金融行業(yè)成為黑客攻擊的重災(zāi)區(qū)。上半年數(shù)據(jù)顯示,彩票類釣魚網(wǎng)站成為黑客新寵,同時(shí)節(jié)假日及熱點(diǎn)事件成為黑客們關(guān)注的焦點(diǎn)。
隨著移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展和智能手機(jī)的大面積應(yīng)用,在給廣大用戶帶來方便的同時(shí)也帶來了巨大的安全隱患,在移動(dòng)互聯(lián)網(wǎng)的三大平臺(tái)Android、IOS、Symbian中,Android系統(tǒng)由于其開放性較高,業(yè)已成為黑客攻擊的主要目標(biāo)。據(jù)瑞星“云安全”數(shù)據(jù)監(jiān)測顯示,僅今年上半年就截獲Android病毒樣本4,252個(gè),其中功夫熊貓系列病毒最為猖獗。
上半年國內(nèi)企業(yè)信息安全事故的頻發(fā),企業(yè)網(wǎng)站、電子商務(wù)網(wǎng)站及政府信息網(wǎng)絡(luò)均曾遭到不同程度的攻擊,部分知名網(wǎng)站甚至出現(xiàn)大規(guī)模的數(shù)據(jù)泄露,導(dǎo)致用戶和企業(yè)的利益嚴(yán)重受損,企業(yè)級(jí)、國家級(jí)信息對(duì)抗已升級(jí)至“核戰(zhàn)”等級(jí),近期爆發(fā)的“超級(jí)火焰”病毒就是最典型的代表。
瑞星預(yù)計(jì),下半年中國信息安全狀況仍將動(dòng)蕩不安,掛馬、網(wǎng)絡(luò)釣魚等威脅凸顯。報(bào)告分析認(rèn)為,這些惡意行為幾乎全部是受經(jīng)濟(jì)利益的驅(qū)使。而個(gè)人隱私安全仍然堪憂,不法分子千方百計(jì)竊取用戶的隱私信息。另外,瑞星專家預(yù)計(jì),規(guī)模更大、技術(shù)更先進(jìn)的大型網(wǎng)絡(luò)攻擊,在今后有可能愈演愈烈。
一、病毒與木馬
1. 病毒概述
2012年1至6月,瑞星“云安全”系統(tǒng)共截獲新增病毒樣本3,349,373個(gè),病毒總體數(shù)量與去年同期相比有所下降。其中木馬病毒2,808,723個(gè),占據(jù)總體病毒比例的83.86%,緊隨其后的病毒依次為感染型病毒(Win32)、蠕蟲病毒(Worm)、惡意廣告程序(Adware)、病毒釋放器(Dropper)和黑客后門(Backdoor)。
圖1:2012年1-6月病毒構(gòu)成分析圖
2. 十大病毒排行:木馬病毒猖獗
2012年1至6月,共計(jì)7.4億人次網(wǎng)民被病毒感染,平均每天411萬人次網(wǎng)民中毒,按感染人數(shù)、變種數(shù)量和代表性進(jìn)行綜合評(píng)估,瑞星評(píng)選出了2012年上半年的十大病毒。
圖2:2012年上半年十大病毒
3. 病毒技術(shù)趨勢分析:從“破壞”到“謀財(cái)”
通過對(duì)2012年1至6月新增樣本的病毒行為分析發(fā)現(xiàn),今年的病毒數(shù)量與去年同期相比有所下降,從表面上看,似乎處于“風(fēng)平浪靜”的狀態(tài),但實(shí)際上病毒將其破壞行為轉(zhuǎn)變?yōu)椤暗叵虏僮鳌保脩魝鹘y(tǒng)觀念中的中毒后“電腦死機(jī)”、“無法上網(wǎng)”等現(xiàn)象不再是主流病毒采用的方式。目前,最為流行的病毒均以篡改IE首頁、盜取用戶隱私信息等方式,實(shí)現(xiàn)為黑客帶來巨大經(jīng)濟(jì)利益的目的。
1)病毒、殺軟“戰(zhàn)爭”進(jìn)入白熱化
隨著殺毒軟件對(duì)病毒的強(qiáng)力圍剿,病毒作者對(duì)抗殺毒軟件的方法也不斷升級(jí)。以往,病毒通過增加垃圾數(shù)據(jù)將病毒文件不斷增大來規(guī)避“云查殺”,今年已升級(jí)為通過病毒守護(hù)進(jìn)程,定時(shí)更新病毒MD5值的方式,使殺毒軟件無法進(jìn)行有效識(shí)別。瑞星安全專家介紹:“這種方式就好比汽車的自動(dòng)翻牌器一樣,在遇到檢查時(shí),自動(dòng)換上另一套號(hào)牌。”
此外,某些病毒竟然能夠做到使殺毒軟件“選擇性失明”。傳統(tǒng)病毒在進(jìn)入系統(tǒng)后,為躲避殺毒軟件查殺,往往會(huì)利用各種手段,嘗試將其破壞,這種方式容易引起用戶和安全廠商的注意,從而察覺電腦中毒。因此,病毒作者進(jìn)行了策略調(diào)整,借助一些正常軟件的數(shù)字簽名,“合法化”的繞過殺毒軟件的檢測機(jī)制,使殺毒軟件不將其視為病毒,而是當(dāng)作“正常軟件”放行。
例如,瑞星“云安全”系統(tǒng)近期監(jiān)測到一款名為Trojan.Win32.FakeIME的病毒,該病毒將自身偽裝成為某知名輸入法圖標(biāo),并盜用其數(shù)字簽名,從而逃避殺毒軟件的監(jiān)控和查殺。瑞星安全專家介紹,病毒采用的技術(shù)在進(jìn)步,殺毒軟件的查殺技術(shù)也在不斷提高。預(yù)計(jì)今年下半年,病毒和殺毒軟件的對(duì)抗將會(huì)向白熱化升級(jí)。
2)網(wǎng)銀盜號(hào)愈演愈烈,病毒趨于智能化
隨著網(wǎng)上購物、網(wǎng)銀交易的不斷普及,大批黑客開始專注劫持網(wǎng)銀進(jìn)行獲利。2012年上半年,瑞星“云安全”系統(tǒng)智能分析處理中心經(jīng)過對(duì)流行病毒行為方式自動(dòng)提取規(guī)則后發(fā)現(xiàn),針對(duì)網(wǎng)銀類的木馬病毒使用的技術(shù)發(fā)生了明顯變化。
以最為知名的“網(wǎng)銀超級(jí)木馬”為例,最初的樣本往往采用惡意DLL文件實(shí)現(xiàn)篡改支付信息的方式,如今發(fā)展到通過解密并將惡意代碼注入到傀儡進(jìn)程中,由傀儡進(jìn)程去實(shí)行惡意行為,這樣做的目的是能夠繞開一些殺毒軟件的主動(dòng)防御規(guī)則,從而逃避查殺。
如圖所示,最初“網(wǎng)銀超級(jí)木馬”和近期最新變種行為流程對(duì)比圖:
圖3:“網(wǎng)銀超級(jí)木馬” 最新變種行為流程對(duì)比圖
3)感染型病毒蔓延,64位操作系統(tǒng)不再安全
通過對(duì)1至6月的數(shù)據(jù)分析發(fā)現(xiàn),感染型病毒*依舊是繼木馬之后的第二大病毒類型。另外,隨著64位操作系統(tǒng)的逐漸普及,感染64位PE文件的病毒呈明顯上升趨勢,這意味著64位操作系統(tǒng)已不再安全,尤其是企業(yè)級(jí)用戶應(yīng)采取相應(yīng)的安全保障措施,才能預(yù)防此類信息安全威脅。
上半年,一種可感染64位操作系統(tǒng)的“Xpaj”病毒悄然流傳,“Xpaj”比以往所有感染型病毒都要復(fù)雜,不僅使用了傳統(tǒng)的入口點(diǎn)模糊、多態(tài)等技術(shù),最為復(fù)雜的地方是它將病毒代碼替換掉原程序中子函數(shù)的代碼,從而與原程序代碼很好的融為一體,給傳統(tǒng)殺毒軟件在清除該病毒時(shí)造成了巨大的困難,“不是殺不了,就是殺后被感染文件無法使用”。
*注釋:感染型病毒具有易傳播,不易清除等特點(diǎn),同時(shí)會(huì)給用戶造成巨大的危害。傳統(tǒng)的普通感染型病毒如:在文件末尾增加節(jié)、增加最后一個(gè)節(jié)大小、修改PE文件入口點(diǎn)。針對(duì)這種普通感染型病毒,傳統(tǒng)殺毒軟件比較容易清除干凈,但是新型的復(fù)雜的感染型病毒業(yè)已出現(xiàn)。
4)Mac OS X安全優(yōu)勢不在,蘋果用戶安全意識(shí)需加強(qiáng)
蘋果曾經(jīng)自豪的宣稱其開發(fā)的Mac OS X操作系統(tǒng)不易受病毒攻擊。然而近期,蘋果在網(wǎng)站上移除了“Mac不會(huì)感染PC病毒”和“保障你的數(shù)據(jù)安全,什么也不用做”的說法,其原因是蘋果Mac電腦近期遭到Flashback僵尸網(wǎng)絡(luò)的攻擊。這使蘋果意識(shí)到,自己的系統(tǒng)也并不像預(yù)想的那樣百毒不侵。
瑞星安全專家指出,世界上沒有絕對(duì)安全,只有相對(duì)安全。用戶之所以認(rèn)為Mac系統(tǒng)安全性高,是由于此前的用戶數(shù)較Windows相差甚遠(yuǎn)。隨著近年來,蘋果產(chǎn)品在中國用戶中的迅速普及,黑客針對(duì)該系統(tǒng)的入侵價(jià)值大大提升,因此,Mac安全問題才顯露出來。未來這種情況還可能繼續(xù)升溫,廣大用戶需要提高安全意識(shí)。
