一、传统病毒威胁
1. 新增病毒特征数量及被感染计算机数量统计
据江民科技反病毒中心统计数据显示,2011年上半年全年共增加病毒特征代码48万余条(注:病毒特征代码数不等于捕获的样本数,因为广谱特征等技术的应用,存在一条特征码可查杀多个变种病毒的情况。但其数量的多少可从一定程度上反映实际病毒样本传播的趋势),同比2010年减少了18%。
2011年上半年共发现被感染计算机数量达250万余台,同比2010年上半年下降了60%。从以上数据中不难看出,2011年上半年由传统病毒造成的威胁呈减弱的趋势。
2. 病毒活跃程度统计
就单月的统计数据来看,2011年上半年两次病毒活跃的高峰分别出现在1月份和3月份,这两个月分别为春节长假前后。根据以往的病毒传播规律来看,重大节假日前后均为病毒高发的时间段,而假期期间病毒的活跃程度则相对较弱一些。各月病毒活跃程度的变化趋势参见下图:
3. 病毒类型统计
2011年上半年,最为活跃的病毒类型仍旧为木马病毒,其共占据所有病毒数量中60%的比例。其次,分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例,可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。在木马病毒中,盗号木马较去年有明显的减少,取而代之的则是以恶意推广为主要目的的木马和脚本型木马病毒。木马下载器和网页木马的活跃程度虽远远不及从前,但也不时的兴风作浪一把。上半年一个名为“小不点”变种bdbq的下载器就曾在5月份左右表现出了极快的增长趋势,其传播的主要途径便是利用了IE和Flash Player两大漏洞的网页木马。可见,下载器和网页木马之间的关系仍旧紧密,两者同为一丘之貉。
同时,针对指定目标人群进行定点传播的网购木马在上半年也制造了几次小范围的攻击浪潮。由于并非传统的大规模传播,因此其感染数量虽然并不算多,但其成功率较传统同类木马而言却得到了极大的增加。
4. 病毒发展特点
为了躲避杀毒软件的监控,病毒总在不停更换自身所使用的技术,恶意推广类木马便是其中具有代表性的一种。通常此类病毒会在桌面以及开始菜单、快捷启动菜单中生成假冒的IE浏览器快捷方式,还可能伪造其它甚至所有软件的快捷方式,从而实现双击快捷方式后自动访问指定站点。为了增强这些快捷方式的生存几率,病毒还会利用ACL来阻止删除行为。一些病毒还采取多重推广方式,即先在系统中安装某些山寨浏览器,然后再通过这些浏览器访问指定的站点。
上半年江民科技又观察到一种利用操作系统重定向机制进行的恶意推广方式:病毒会首先创建一个文件夹,并且在其中创建名为“target”的快捷方式(指向指定的站点)以及“desktop.ini”(包含特殊内容“[.ShellClassInfo] CLSID2={0AFACED1-E828-11D1-9187-B532F1E9575D}”),之后会将该文件夹设置为“系统”属性。在桌面上创建自定义扩展名的假冒IE快捷方式(文件扩展名隐藏),并在注册表中为其创建关联信息。当用户双击该快捷方式时,系统会根据注册表关联设置自动调用explorer.exe打开刚才创建的文件夹。而explorer.exe则会自动打开文件夹中快捷方式“target”所指向的目标,从而实现了对指定站点的访问。
一些具有主动感染功能,并且利用文件下载、交换来实现传播的病毒在上半年也表现得较为活跃,例如木马病毒“通犯”变种rnn。根据江民科技的监测数据显示,该病毒经常混入一些游戏外挂、系统工具等软件的压缩包中,并且通过一些不知名的下载站点进行传播。该病毒运行后会遍历磁盘中的所有目录,如果发现存在exe文件,就会将自身重新命名为“lpk.dll”(与系统文件同名)并复制到exe程序所在文件夹下,从而利用大多数程序存在的文件加载不严格漏洞实现自动运行。如果发现系统中存在rar或zip格式的压缩文件,便会将“lpk.dll”放入压缩包中,从而利用这些压缩包进行广泛的传播。
此种传播较不法分子常用的挂马等方式而言,更加隐蔽也更为长效。因此,建议广大计算机用户,在进行病毒查杀的时候不要仅仅注重系统盘的杀毒,应用程序的安装、存储目录也要定期进行病毒检测,从而不给病毒藏身、发作的机会。
随着网购的越发火爆,不法分子自然也将觊觎的目光投向了这一方兴未艾的市场。上半年江民科技曾捕获到一些针对网购并利用网上交易接口漏洞进行恶意转帐的木马病毒。这些病毒通常会被伪装成“产品报价单”或者“实物图片”等具有迷惑性的名称和图标,从而诱骗用户运行。用户不慎运行后并不会觉察出任何的异样。但当用户进行在线支付的时候,病毒会在后台将真正的收款方替换成不法分子的账号,从而隐秘地将消费者的钱财转移,造成了不同程度的经济损失。这类病毒不会进行大规模的挂马传播,伪装成网购卖家的不法分子会一对一的将病毒发送给那些主动询价的买家并诱骗其运行。并且这些木马在使用一段时间之后便会被弃用,同时与其相关联的一些站点,例如接收病毒反馈信息的网站也会随之废弃,一切犹如人去屋空。
5. 2011年上半年十大病毒
二、恶意网站威胁
1. 概述
去年两大IE漏洞以及Windows Shell漏洞为病毒的传播起到了不同程度的助推作用,对互联网的信息安全造成了切实的威胁。今年上半年操作系统以及IE方面表现得较为平静,尚未出现被大规模利用的漏洞,但是例如Flash Player等常见第三方软件却接连陷入0day漏洞的漩涡之中。
据江民科技的监测数据显示,上半年网页木马所利用的漏洞主要包括老旧的IE浏览器漏洞(CVE-2010-0806、CVE-2009-0075)、操作系统漏洞(Windows DirectShow组件漏洞)以及新近出现的Flash Player漏洞(CVE-2011-0611、CVE-2011-2110)。对于那些较早曝出的漏洞,只要用户及时安装相应补丁即可完全防御。尤其对于那些新安装的系统而言,在完成漏洞修复之前,尽量不要访问各类网页和站点,即使是一些相对可靠的网站。因为跨站脚本攻击的存在,任何网页都可能变得不再安全。
受制于覆盖面、应用难度等客观原因的制约,虽然上半年一些知名的第三方应用程序被曝存在0day漏洞且出现了实际的攻击案例,但并未对病毒的传播起到太大的帮助。以Flash Player漏洞为例,成功利用不仅仅需要编写相应的网页脚本,还需要构造特殊的SWF文件。而特殊SWF文件的构造以及变形都存在一定的技术难度,因此虽然Flash Player具有庞大的用户群体,但其漏洞利用的难度也只能让一些不法分子望其兴叹。
整体上而言,上半年可被用于挂马的漏洞其影响要远远低于去年,同时随着旧有漏洞被越来越多地修复,这些都给病毒的传播造成了较大程度的抑制。但正因如此,病毒的传播也会由网页木马逐渐向更为广泛的途径扩展。
2. 病毒网站威胁
2011年上半年,江民科技共捕获新增病毒传播站点735个(注:以主域名计算),平均每月新增123个。月均拦截用户对恶意站点的访问120万余次。病毒网站的传播高峰分别出现在1月份和3月份,这一传播趋势与上半年被感染计算机数量的发展趋势相同。可见,病毒站点在病毒传播的过程之中仍旧发挥着关键的作用。
3. 钓鱼网站威胁
2011年上半年,江民科技共捕获新增钓鱼站点2245个(注:以主域名计算),平均每月新增375个。这些钓鱼网站大多仍旧延续过去的模式,以某些著名综艺节目或互联网服务提供商抽奖的名义进行诈骗。还有便是利用高度相似的域名和网页伪装成银行的官方站点进行账号的窃取。对此,各大安全厂商也纷纷拿出了自己的解决方案,例如江民杀毒软件,除了每天常规升级钓鱼网站特征库之外,还在程序中集成了“江民安全网址”功能。该功能内置了诸多常用网站的链接,用户可从其中直接点击访问目标站点,从而避免了在使用搜索引擎定位站点的过程中遭遇钓鱼网站欺骗的情况。
在各类Web应用不断兴起以及功能越发强大的同时,不法分子也从中嗅出了更多可以利用的机会。例如江民科技近期便捕获了一个利用QQ 空间自定义Flash控件功能进行钓鱼的网页。该网页被访问时,会弹出一个伪造的Flash登陆界面提示访客输入QQ账号信息。由于用户访问的是QQ空间页面,因此十分容易降低警惕性。如果用户提交了账号信息,则该仿冒的登陆界面会在后台将这些信息发送到不法分子指定的站点上,从而实现账号的窃取。
▲仿冒的登陆界面
▲伪造登陆界面的代码
除了网络钓鱼之外, Web应用的另一大安全威胁“跨站脚本攻击”也一直未曾停止过攻击,并开始盯上了越发火热的微博。例如近期爆发的新浪微博XSS蠕虫事件,便是此种攻击利用微博网站相关漏洞以及社会热点事件进行的一次成功的脚本蠕虫传播。
从技术层面上看,本次事件所利用的漏洞还是由于网站对提交参数过滤不严格导致,这已经是Web安全中一个老生常谈的问题了。此种攻击的可怕之处在于,进行攻击的恶意代码仅是整个URL中的一部分,而URL整体中还包含Web应用站点的正常域名,因此即使用户具有一定的安全意识,但还是会被这种相对隐晦的方式所蒙蔽、欺骗,进而放心地点击看似正常的网页链接。对于此种安全威胁,除了需要官方及时获知并修复漏洞之外,一般用户还是要依靠专业的信息安全软件以及不断的升级更新来进行防护。
三、下半年信息安全发展趋势预测
在2010年的年度总结中我们曾经对2011年的信息安全发展趋势做出过大胆的猜测。转眼间2011年已度过大半,当初我们眼中的那些预测,如今是否得到了证实?
2011年预测之一:“0day漏洞将继续盛行,并继续成为病毒传播的主要途径······”
实际情况:今年仍旧不乏0day漏洞的出现,特别是集中在第三方软件上面。而且,其中的一些0day漏洞已经被不法分子所利用,成为病毒传播的途径。
下半年预测:0day还将继续,革命仍需努力。
2011年预测之二:“网上交易将继续成为不法分子觊觎的对象,且盗与防盗之间的技术对抗还将继续升级······”
实际情况:2011上半年出现了多例针对特定人群的网购恶意转帐木马,且这些木马均有“成功”的作案经历,给受害网民造成了不同程度的经济损失,也给网购的健康发展蒙上了一层阴影。
下半年预测:信息安全厂商仍会不遗余力地保护用户在网购过程中的安全,江民科技也将在此方面投入更好的技术和产品。
2011年预测之三:“‘云技术’将不断成熟,并且被进一步地应用在信息安全领域,消费者也将越来越多的感受到基于“云技术”所带来的安全保障······”
实际情况:2011年是各大安全厂商集中发力的一年,更多的基于云安全技术的产品层出不穷,云安全技术越发成熟、越显实用。
下半年预测:各大厂商仍将继续深造云安全技术,江民科技也将迈上新的云端。
2011年预测之四:“以网站、软件恶意推广为目的的木马病毒还将继续保持活跃······”
实际情况:仍旧活跃,且表现得越发隐蔽和顽固。
下半年预测:不法分子不会放弃这一灰色收入的途径,且随着智能手机的越发普及,他们的黑手还将伸向移动通信的世界。
2011年预测之五:“针对移动智能平台的病毒将逐渐展露头角,移动安全需未雨绸缪······”
实际情况:手机病毒已开始借助琳琅满目的应用进行传播,并且开始表现出以实际经济利益和窃取用户隐私为目的的行为。同时,手机病毒的防治也已引起国家有关部门的重视和介入。
下半年预测:手机病毒只是一个开始,或许计算机病毒的发展史就是手机病毒的前车之鉴。随着智能平台的普及,其上的病毒注定会得到不法分子越来越多的青睐,江民科技也将投入更大的精力予以关注。保护自己的信息安全,也是保护其他人的信息安全。
我们还预测:
利用微博、团购网站等新生媒体、商务形式的跨站、诈骗等攻击事件还将继续出现。我们在享受新生事物带来便利的同时,更应该意识到可对信息安全造成威胁的途径也越来越多。
Web安全仍将面临严峻考验。Web编程技术的飞速发展,对于整个互联网信息产业起到了莫大的助推作用。但是Web安全问题始终是威胁信息产业健康发展的重要因素,因此我们不应将信息安全防护的重点只局限在病毒的防护上,Web安全也是信息安全整体中重要的组成部分。只有均衡全面的发展,才不会使信息安全存在“短板”。