报告概要:病毒产业完全互联网化 杀毒软件面临大变革
瑞星公司的统计、研究表明,目前“病毒的互联网化”趋势已经非常明显,由于各种流行软件、浏览器插件、网站的漏洞层出不穷,盗号木马数量暴增,由病毒产业链带来的黑色利润惊人,木马盗号、挂马网站越来越猖獗,传统杀毒软件已无法应对严峻的安全形势。
2008年的病毒数量继续暴增,比2007年增长12倍以上,其中“网页挂马”所传播的木马、后门等病毒占据90%以上。瑞星安全专家认为,从木马病毒的编写、传播到出售,整个病毒产业链已经完全互联网化,这是导致病毒数量暴增和危害增大的根本原因。
传统的安全模式亟待变革,否则无论安全厂商还是互联网用户,都将被淹没在木马病毒的海洋中,互联网的各项基础应用和发展也将极大受损。瑞星认为,只有实现“安全的互联网化”,将整个互联网变成一个巨大的安全软件,才是应对“病毒互联网化”最根本的办法。
由于病毒的互联网化,网页浏览已经成为病毒传播的最主要渠道,网页挂马占到病毒传播总量90%以上。而且,由于应用软件漏洞、浏览器插件漏洞等频发,仅仅依靠网民自身的安全意识,很难应对复杂多变,花样翻新的病毒入侵渠道。
黑客入侵和木马攻击,对互联网的影响已经超出了个人用户的范围,包括互联网搜索、网络购物、证券交易、网络聊天软件、下载等等,从最根本的盈利模式上都遭到了病毒的侵袭。例如,有些黑客利用木马点击器冒充用户点击竞价排名广告,这严重影响了真正的用户对搜索引擎的信任。其它互联网商业领域,同样面临此类问题。
由于黑客产业链条的完善,其规模和效率大大提升。从统计数据来看,2008年1月至10月,瑞星公司共截获新病毒样本930余万个,其中绝大部分776万是盗号木马、后门程序,专门窃取网游账号、网银帐号等虚拟财产,具有极其明显的经济利益特征。
瑞星专家认为,病毒已经全面互联网化,其杀伤力、传播能力、破坏性都有大幅度提高。整个反病毒行业已经面临全面性的变革。
第一节、电脑病毒疫情统计和分析
一、2008年电脑病毒疫情统计
2008年1月至10月,瑞星公司共截获新病毒样本9306985个(注1),是去年同期的12.16倍。其中木马病毒5903695个,后门病毒1863722个,两者之和超过776万,占总体病毒的83.4%。这些病毒都以窃取用户网银、网游账号等虚拟财产为主,带有明显的经济利益特征。
与2007年相比,盗号木马、Rootkits驱动、木马下载器等新型病毒有了巨量增长,黑客“犯罪图财”的特征非常明显。由于大量木马采用了加载驱动、频繁升级等手段与杀毒软件对抗,使得用户极其容易遇到杀毒软件被病毒关闭、杀毒不彻底等情况,用户对于安全行业的整体评价有所降低。
注1:关于本次报告统计数据的采样说明
- ①本报告内所有数据,除非特殊注明,其采样日期范围为2008.1.1至2008.10.31
- ②本报告所称病毒样本数,是剔除重复样本(去重)、剔除异常样本(由于各种原因被破坏不能运行的样本)之后的数字。
- ③本报告所采用数据,3月1日之前采用传统渠道采集的数据,3月1日之后是基于“云安全”系统采集的数字。后者覆盖了99%以上的网民,其采样精度更为可靠。
- ④关于新增病毒的数量,本报告采用“病毒样本数”,2007年上半年及以前的报告为“病毒记录数”。
病毒样本数:指的是瑞星公司收到的病毒文件数,包括而不限于exe、dll、com等类型文件。这些文件的大小、MD5值等都不相同,但文件名可能相同。
病毒记录数:指的是瑞星杀毒软件病毒库内的特征码条数,每条特征码可以查杀一个到多个病毒样本。
影响病毒记录数的因素:由于每个杀毒软件的核心引擎、使用技术不同,查杀同等数量病毒样本需要的病毒记录数不同,这样的差别,甚至存在于杀毒软件的不同版本上。例如,2007年上半年瑞星在病毒库中13万条记录,随后对其进行优化,优化后仅需11万。
二、毒王、十大病毒和疫情介绍
根据瑞星杀毒软件及“云安全”客户端上报的数据,2008年1月至10月,全国约有8100多万台电脑(包含企业用户)曾经被病毒感染,其中通过网页挂马方式被感染的超过90%。2008年10月份,瑞星对1万台上网电脑的抽样调查标明,这些电脑每天遇到的挂马网站,高峰期达到8428个,最低也有1689个,去除单台电脑访问多个挂马网站的情况,每天平均有30%的网民访问过挂马网站(注2),中国大陆地区已经成为全球盗号木马最猖獗的地区之一。
(10月份1万台计算机访问挂马网站统计图)
注2:此数字仅表明,每1万个上网者中,每天有3000人访问过带毒网站。如果这些用户打好全部补丁,则木马病毒是无法侵入用户电脑的。每天被木马成功入侵的用户实际比例,应该远低于30%。
以盗取网络游戏帐号为目的编写的“线上游戏窃取者”病毒成为2008年毒王,该病毒及其变种总共感染计算机2000余万台次,是排行第二的“安德夫木马”病毒感染台数的3倍。
“梅勒斯Rootkits”排行第三,它是08年最流行的Rootkits工具,可以帮助很多木马病毒隐藏自身、逃避反病毒软件的追杀,甚至会关闭多种主流杀毒软件,使其失效。
在各省疫情方面,广东省以960余万台的数量领先,浙江、江苏、山东等省市紧随其后。从统计数据来看,各省网民中毒率几乎没有差距,上网计算机保有量是疫情地区差别最重要的原因。
十大病毒排名如下:
- 1、线上游戏窃取者(Trojan.PSW.Win32.GameOL)
- 2、安德夫木马(Trojan.Win32.Undef)
- 3、梅勒斯Rootkit(RootKit.Win32.Mnless)
- 4、Flash漏洞攻击器(Hack.Exploit.Swf)
- 5、奇迹木马(Trojan.PSW.SunOnline)
- 6、安德夫Rootkit(RootKit.Win32.Undef)
- 7、西游木马(Trojan.PSW.Win32.XYOnline)
- 8、POPHOT点击器(Trojan.Clicker.Win32.PopHot)
- 9、代理蠕虫(Worm.Win32.Agent)
- 10、QQ通行证木马(Trojan.PSW.Win32.QQPass)
由于目前流行的各种热门网站、客户端软件和浏览器,都存在着众多漏洞和安全薄弱点,使得用户遭到攻击的渠道暴增;而且,随着黑客-病毒产业链臻于完善,支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭,使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。长此以往,必将影响整个互联网的健康发展。
第二节、病毒产业的互联网化
一、病毒互联网化是影响互联网安全的根本原因
2008年病毒数量逼近千万,系统漏洞、应用软件漏洞等层出不穷,用户对于互联网安全的评价越来越低,这是什么造成的?是因为黑客的水平高了,是杀毒软件的技术水平差了,是操作系统不再关注安全性了?
这些不是最根本的原因!根本原因是病毒产业的互联网化。
由于病毒制造、传播、牟利的流程完全互联网化,比传统的黑客行为更容易带来经济利益。原来黑客只有自己编写病毒、自己传播、自己窃取账号、自己出售,这样才能完成整个的流程。由于现在整个链条通过互联网运作,从挖掘漏洞、制造病毒、传播病毒到出售窃取来的账号,都成了一个巨大无比的黑色产业,黑客可以选择自己擅长的环节运作,从而使得产业的运作效率更高。
从统计数据来看,活跃病毒中90%以上都与经济利益直接挂钩。病毒制造、传播、牟利的流程完全互联网化,从网页挂马占到病毒传播总量90%以上这个明显的特征我们可以看出,互联网最为基础、最为普遍的应用----网页浏览是病毒制造者利用的最为深入透彻的传播渠道。下面我们就来了解一下,病毒产业是如何互联网化的。
二、病毒互联网化链条分析
从技术上讲,目前的病毒产业链条由四个部分组成:挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器(病毒下载者),这些环节形成了分工明确、效率快捷的工业化“生产线”。
挖掘安全漏洞是病毒传播的基础,目前主流的病毒都是利用各种漏洞传播,没有漏洞的电脑病毒很难侵入;网页木马是病毒传播的实际应用,目前90%以上的病毒通过这种途径传播;盗号木马是链条里最重要的部分,它负责窃取用户的游戏账号等;木马下载器是“病毒运输队”,侵入用户电脑后就会从网上源源不断下载病毒。
A、漏洞的挖掘和出售
软件存在安全漏洞是当前病毒传播的一个重要前提,通过用户电脑系统中安装的软件存在的漏洞,病毒可以快速的在用户不知情的情况下进入互联网用户电脑。现在,软件漏洞挖掘已经成为病毒产业链里的一环。
过去,在业界存在着漏洞的“秘密报告”机制,研究人员发现漏洞后秘密报告给软件厂商,厂商获取漏洞信息,提供修复程序,并通过自动更新或者发布公告的形式让用户安装最新版本,消除了安全威胁,这种机制严重依赖研究人员的道德品质。
到了今天,这种情况已经悄然发生了改变。瑞星工程师举例说,有些黑客专门从系统上寻找漏洞,找到之后就可以到地下交易网站进行出售,最便宜的漏洞也可以卖到数百欧元,高的甚至可达五六千欧元,这种高额收入完全可以让黑客不必从事其它工作,专门依赖此种黑色收入。
(某国外黑客网站的漏洞出售信息,最后一列是漏洞的价格,单位为欧元)
黑客阻止购买了漏洞信息后,利用这些信息编写强大的新病毒,往往新病毒已经在互联网大量传播的时候,软件厂商还不知道漏洞在哪里,因此不能及时提供修复补丁,造成0day攻击蔓延。
B、网页挂马的策略
近年来,虽然黑客编写的病毒,在技术上并没有飞跃式的变化,但是他们充分利用了互联网,通过互联网的高效便捷来整合整个产业链条,提高运作效率。而网页挂马则使他们利用互联网的能力达到一个新的高度。
从本质上讲,现在主动进行传播的病毒已经非常少,绝大多数木马、后门都是通过网页挂马进行的。而网页挂马是一种“被动”的病毒传播方式,用户只有去主动访问挂马网站,才会遭到木马病毒的侵袭。
为了让更多的用户去主动访问挂马网站,黑客采取了多种方式来提高挂马网站的流量,例如:有的黑客会从色情网站收购流量,按照一定的价格支付报酬,国内收购流量的价格,通常能够达到100元/万IP。
有的黑客团伙,会雇佣专门的人去入侵正常网站,如门户网站、新闻网站、热门论坛等,在其中植入木马。
有的黑客团伙,雇佣专门的公司,对自己建设的挂马网站进行SEO优化,当用户搜索“美女、电影”等热门关键词的时候,这些带毒网站会排在搜索结果的前几页,从而带来大量的用户。
有的黑客团伙,利用新兴的SNS网站散发挂马链接,通过站内信、博客回帖等形式,吸引网民访问挂马网站。现在热门的WEB2.0网站,几乎都遭到过此类带毒链接的侵扰。
C、网页挂马常用的漏洞
2008年,黑客对于漏洞的利用趋势没有明显转变,其主要用途仍然在网页挂马上,包括RealPlayer、迅雷、PPlive等流行软件都出现过严重漏洞,被黑客利用传播木马。而4月份爆出的Adobe Flash Player漏洞也成为本年度最为流行的挂马漏洞,有18%的木马通过该漏洞侵入用户电脑。
传统上,网民们有如下错误观念:只有不良网站才会带毒、才会被挂马,只要坚持良好的浏览习惯,就可以躲避盗号木马的侵袭。统计数据表明,这样的观念已经过时,那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用。
瑞星公司的抽样统计显示,每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站,其中包括新闻网站、网络论坛、博客网站等。2008年,多个主流门户网站首页悬挂的广告中被植入木马病毒,用户访问这些网站就会中毒。
瑞星专家提醒说,现在的木马病毒绝大多数通过漏洞传播,而且多数木马病毒运行时没有明显的异常特征,用户很难及时发现自己已经中毒。只要用户电脑上的漏洞存在,访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件,也只能在病毒入侵时拦截,风险比弥补漏洞之后会高许多倍。
根据瑞星统计,2008年黑客常用的各种漏洞共有16个,其中既有MS06-014、MS08-056这样的系统漏洞,也有Flash Player这样的浏览器插件漏洞,还有迅雷看看、暴风影音等常用软件的漏洞。正是因为这些漏洞的存在,而且用户又没有及时将其弥补,这才使得木马病毒可以很容易的侵入用户电脑。
有鉴于此,安全专家提醒,弥补漏洞(包括系统漏洞、浏览器漏洞和应用软件漏洞)应该成为提升互联网安全的重要举措。而通过宣传帮用户提高安全意识、开发可靠地第三方漏洞弥补工具,也应成为安全厂商应该承担的重要社会责任。
第三节 电脑病毒互联网化造成的后果
近年来,随着“病毒互联网化”的深入发展,黑客采用大量病毒洪水式攻击用户电脑的例子也越来越多,所谓“洪水战术”,就是指黑客通过对盗号木马的频繁升级,试图以数量来拖垮杀毒软件。
一、互联网化制造病毒的三大手段
病毒产业的互联网化,使得黑客可以利用互联网来加速病毒的制造,提高制造病毒的效率。黑客采用的三大手段手段包括:
采用效率更高的病毒生产软件,这些软件可以通过加壳、加花等方式,把已有病毒改造成杀毒软件无法识别的版本,从而可以自动生产出大量新木马病毒。这类机器自动制造的病毒,占据了新增病毒的很大部分。
租用更好的服务器、更大的带宽,为“木马下载器”下载病毒提供硬件上的便利。由于黑客产业的丰厚利润,黑客团伙有经济条件改善自己的“生产环境”,以求更丰厚的利润。
C、利用互联网论坛、博客等,雇佣“软件民工”来编写更强的驱动,加入木马中与杀毒软件对抗。现在很多木马病毒都会自带Rootkits驱动,这些驱动可以关闭杀毒软件、修改系统设置和文件,使木马更容易入侵用户电脑。而编写Rootkits在很大程度上属于“体力劳动”,普通计算机专业大学生经过几个月的编程训练即可胜任此工作。大量软件民工的加入,使得黑客产业链条更趋向“正规化、专业化”,效率也更高。
二、 病毒制造的互联网化,带来三大后果
病毒制造的互联网化,使得整个黑客产业制造病毒的效率大大提高,从而给反病毒厂商带来如下问题:
新病毒巨量增加、单个病毒的生存期缩短,现有病毒监测技术无法及时截获新样本。
即使能够截获,则每天高达数十万的新样本数量,也在严重考验着反病毒厂商对于病毒的分析、处理能力。
即使能够分析处理,则如何能够让用户在最短时间内获取相应的病毒库,成为一个重要的问题。
上述问题的出现,其实是受到了杀毒软件传统设计思想的局限——“传统杀毒软件的立足点都在于:如果电脑已经被病毒侵入,杀毒软件如何干净彻底的清理病毒”。在这个设计思想的影响下,杀毒软件和病毒把用户的电脑当作了“战场”,即使杀毒软件获胜,也可能给“战场”带来巨大的损害。
即使是近期热捧的主动防御技术,在本质上也属于“事后防御”的范围,当主动防御启动的时候,木马病毒已经侵入用户电脑,只是还没有成功运行。因此,主动防御只能成为杀毒软件整体防御体系的一个重要部分,而不能单独成为应对电脑病毒的解决方案。
综上所述,杀毒软件的设计思想、设计初衷就面临巨大的改变:我们应该把病毒阻挡在电脑之外,在盗号木马、病毒刚刚出现在互联网上,还没有来得及对客户端(用户电脑)发动攻击时即将其屏蔽。这种技术的实现,需要杀毒软件的完全互联网化,让互联网本身成为一个巨大的杀毒软件。
三、病毒互联网化的直接后果,侵蚀互联网经济的根基
随着黑客产业链的完善,很多黑客试图以操作木马病毒的手法来介入正常的互联网商业领域,包括搜索引擎、网址站、视频网站等,都已遭到此类恶性行为的“感染”,严重影响了用户对于整个互联网行业的信心。
A、木马点击器侵袭搜索引擎
2008年年初以来,互联网上的Clicker(木马点击器)类病毒出现异常增长,今年1月至10月,瑞星病毒监测网络共截获单纯性Clicker病毒19万个,包含Clicker功能的复合型木马将近100万。如此巨量的病毒出现,意味着其背后拥有丰厚的黑色收益。
据某国外机构统计,目前互联网上广告总点击率的35%来自于“点击欺诈”,该机构警告说,“点击欺诈”甚至会摧毁这一热门的网络商业模式。而按照点击效果付费,正是百度、谷歌等互联网搜索引擎生存的基础。
所谓“Clicker病毒”中文名叫做木马点击器,它们侵入用户电脑后,会根据病毒编写者预先设定的网址,去点击网上的广告,如百度竞价排名、Google AdSense等,让广告主支付更多的广告费,而病毒犯罪团伙及其合作伙伴则会分享这些额外的“利润”。
这只是“点击欺诈”最简单的牟利方式,还有其它各种各样的黑色商业模式,包括有的公司向黑客团伙购买中毒机器的使用权,对竞争对手的“竞价排名”广告进行恶意点击,从而大量消耗对手的广告资金等等。这些“点击欺诈”重创了广告主对互联网广告的信心,可能拒绝再为此付费。
B、Flash插件漏洞侵袭视频网站等
2008年5月,利用浏览器插件Flash Player漏洞传播的攻击代码出现,由于该漏洞应用起来简单方便,致使大批木马病毒通过此漏洞传播,尤其是“挂马网站”类型的攻击被黑客青睐。
Flash Player是一种广泛应用在IE、firefox等主流浏览器上的插件,用户只有安装了该插件之后,才能正常浏览网络视频、网络广告、玩网页游戏等,当用户第一次访问视频网站、网游网站时,系统会自动提示用户安装该插件。
由于该插件不具备自动升级机制,很多用户在安装了旧版插件之后根本不升级。尽管Flash Player插件漏洞出现后的很短时间,Adobe公司就开发了新版插件弥补了漏洞,但绝大多数用户用的还是旧版插件,没有升级。
根据瑞星统计,截至6月15日,Adobe公司发布安全插件之后的两个月,安装新版插件的用户仅有38.59%。经过瑞星等公司进行大规模新闻宣传、通过杀毒软件的信息中心进行告知后,7月5日的统计标明,安装了新版插件的用户上升到53%,仍有47%的用户使用带有漏洞的插件。
相当危险的漏洞、经过各大公司的教育性宣传、提供专业的补丁下载之后,仍有近一半的用户处于不设防状态。这样的事实说明,在现有的网络环境下,网民的安全意识相对薄弱,或者是缺乏获取相关信息的渠道,难以应对复杂多变的网络安全形势。
而且,由于视频网站、网页游戏、SNS等新型网站越来越多,此类网站多数会开发基于自己的客户端插件,而这些插件在设计初始就以实现功能为主,对于安全防范的设计很少,这可能给用户安全带来很大风险。
C、木马带来假流量,动摇新经济基础
在木马病毒当中,有一种特殊种类的木马叫做“Clicker(木马点击器)”,它除了会点击网络广告,获取不正当收益之外,还会出售一种特殊的商品“流量”。所谓流量,其实指的是网页点击率,进而通过点击率来影响网站的全球排名。
例如,某黑客可以创立一家新概念的网站,如视频、交友等具有“概念”的网站,再制造“木马点击器”病毒,把网站的地址预置到病毒之中,让这些病毒去感染数十万、上百万的用户电脑。然后,这些中毒电脑就会自动去点击指定的网站。
表面上看起来,某个新型网站创建伊始就能带来数十万的点击,黑客就可以借此来吸引风险投资。即使不能获取风险投资的信赖,也可以拿去欺骗广告商,或者干脆参加谷歌、百度等公司的广告联盟,分享无风险利润。
其实,这只是最简单的一种形式,更为普遍的是黑客每人负责某个环节:有的专门编写病毒,有的专门想办法将这些病毒传播出去(挂马),还有的专门负责“销售”,把木马点击器的流量换成真金白银。
这些恶性流量的存在,大大动摇了网络新经济的基础,包括互联网广告、风险投资等多个领域遭到严重冲击。广告商由于无法评估广告的效果而收紧预算,风险投资对网站的真实价值产生怀疑而不敢投资,可以说,木马病毒已经成为阻碍互联网经济发展的重要因素之一,它影响的是网络经济的“诚信”。
D、盗号木马危及网游、网银等
瑞星公司的统计数据表明,2008年前10个月,互联网上共出现930余万新病毒,其中木马病毒和后门病毒共计776万,占总体病毒的83.4%。这些病毒主要以窃取网络游戏、网络银行等虚拟财产。
由于现在黑客产业链极为发达,黑客们通过分工合作,可以轻易将窃取的各种账号、装备出售,换取大量钱财。根据媒体报道,近期被警方破获的某黑客团伙,从2007年12月以来就通过传播盗号木马,盗窃游戏账号2000万余封(黑客们把被窃账号叫做“信封”),非法获利数百万元。
对于网游玩家和网游公司来讲,此类犯罪活动严重影响着自己的利益。玩家往往在一款游戏上投入大量金钱和精力,而被盗号木马洗劫一空。大量被盗玩家的申诉,也牵扯了网络游戏公司的精力,据业内人士透露,大型网游公司为了应付盗号而投入的研发、人力、客服等成本,每年可达数千万元。
E、盗号木马侵袭网络下载
通过网络下载视频、音乐等,已经成为国内网民最为热门的上网目的。但是对于用户来讲,下载也是招来盗号木马的重要渠道之一。
目前所有的主流下载软件,都存在着或多或少的漏洞,这些漏洞可能被挂马网站利用,用户安装了下载软件之后,再去上网就可能中毒。
目前的视频文件中存在着捆绑病毒的风险,在RMVB等主流格式的视频文件中,可被捆绑盗号木马、弹窗广告等,这些恶意程序在用户下载后,就可能感染用户电脑。
由于某些下载软件提供P2P共享功能,用户可以通过搜索其他人的共享文件夹来找到自己喜欢的文件。利用此功能,有些木马会主动把自己复制到下载软件的共享文件夹中,起一个诱惑性的名字,使用华丽的图标,欺骗别的用户主动进行下载,从而使下载软件本身成为病毒传播的渠道。
总结:瑞星安全专家表示,传统的安全模式亟待变革,否则无论安全厂商还是互联网用户,都将被淹没在木马病毒的海洋中,互联网的各项基础应用和发展也将极大受损。瑞星认为,只有实现“云安全——安全的互联网化”,将整个互联网变成一个巨大的安全软件,才是应对“病毒互联网化”最根本的办法。