瑞星2010上半年互联网安全报告

报告概要:根据“瑞星云安全”系统提供的数据综合分析,2010年上半年中国互联网安全领域呈现以下三大特征:1、病毒总量比去年同期相比下降53.7%,给用户造成的威胁程度有所降低;2、挂马网站数量比去年同期下降90%,受害网民数量下降;3、钓鱼网站案例急剧增加,黑客采用了多种手段来直接获取利益,钓鱼网站给网民造成的危害首次超过病毒和木马。安全核心数据简析 :1、报告期内(2010.1.1-2010.6.30),瑞星“云安全”系统共截获新增病毒样本个,病毒总体数量与去年同期相比下降53.7%。其中木马病毒个,占总体比例55.54%,木马和后门仍然是威胁网民利益最为严重的两类病毒。2、上半年共有5.96亿人次网民被病毒感染,平均每天331万网民中毒。去年同期有11.2亿人次网民遭病毒攻击,2010年下降趋势明显,说明网民遭侵袭的趋势有所缓解。3、报告期内,瑞星截获的挂马网站(网页数量)总数目为2666万个,比去年同期下降了90%。这是自2006年以来,挂马网站数量首次下降。出现此情况的原因,在于“云安全”概念的成功实践,瑞星“云安全”系统的数据,已被应用到了搜索、网游等多个领域,从而遏制了挂马网站的猖獗势头。4、得益于国家相关部门对于国内网站、域名的严格管理,使用CN域名的木马网站大幅下降。目前被黑客广泛用来当作木马网站域名的类型为org,报告期内瑞星共拦截此类域名挂马网站次,有81.5%的木马网站使用。5、网络钓鱼的黑色产业链初步形成,以医药、美容、成人用品、证券咨询等传统行业受害最为严重。这给受害者带来极大的经济损失,有的网民甚至会被骗数十万元。整个网络钓鱼行业给社会带来的间接损失可能超过200亿元。6、钓鱼网站主要以:虚假中奖、虚假购物(类似电视购物)和虚假广告等方式存在,而且很多正规商业公司参与到了整个产业链当中,造成了庞大的灰色网络势力。普通网民对于这些网站没有辨识能力,急需通过技术来遏制这种钓鱼网站肆虐的势头。7、报告期内,瑞星“云安全”系统共截获钓鱼网站86307个。但由于目前的技术手段、辨识手段局限,真实存在的钓鱼网站可能数十倍于这个数字。瑞星公司的统计研究表明,病毒、木马这种“单纯的安全问题”已经解决,但随之而来的是更加复杂的互联网安全问题。“病毒”+“诈骗团伙”+“互联网”+“各种商业利益”纠缠在一起,给安全厂商保护用户利益带来了强大的阻力,这些问题的最终解决不但需要通过瑞星这样的安全厂商提供更好的技术防护,还需要相关合作伙伴、政府部门等的共同努力。免责声明:本报告综合瑞星“云安全”数据中心的统计,仅针对中国互联网安全数据及问题进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构、厂商作为互联网信息安全状况的介绍和研究资料,请相关单位酌情使用,如若本报告阐述之状况、数据与其它机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。一、病毒和木马1、病毒概述2010年上半年,瑞星“云安全”系统共截获新增病毒样本个,病毒总体数量与去年同期相比下降53.7%。木马病毒个,占总体55.54%,紧随其后的病毒依次为【后门病毒】、【蠕虫病毒】、【Rootkit】和其他病毒。2、十大病毒排行上半年共有5.96亿人次网民被病毒感染,平均每天331万网民中毒,按感染人数、变种数量和代表性进行综合评估,瑞星评选出了2010年上半年的十大病毒。3、病毒技术趋势分析通过分析瑞星“云安全”截获的病毒样本发现,现在的病毒很少出现对系统可见的显著危害,类似“熊猫烧香”、“橙色八月”之类的能够给电脑带来严重破坏的病毒已经大幅度下降,绝大多数木马病毒全部以经济利益为目的,用户在中毒后,没有明显的异常现象,不会影响电脑上网等正常工作。木马病毒赚钱的两种主要方法:第一类是传统的盗号木马病毒,占木马总数的40%,此类病毒通常在用户访问挂马网站后,感染了病毒下载器,之后由病毒下载器不断更新到用户电脑中进行账号密码盗窃。这类病毒以窃取游戏帐号、通过灰色渠道销赃赚钱。第二类是刷网站流量类木马,占总体的57%,此类病毒通常是用户访问恶意下载站后,因点击凌乱的下载链接,而直接感染。此类病毒不直接对抗杀毒软件,采用绕过主动防御、躲避查杀等灵活的方式,在杀毒软件眼皮下修改浏览器默认首页,在桌面上不断生成恶意网站快捷方式,从而为黑客和恶意网站主带来巨大流量。这些病毒通常与正规商业公司勾结,由正规公司付给他们推广费用。2010年病毒的三种新技术趋势:第一,病毒行为趋于“操作合法化”,利用看似“合法化”的操作实现病毒行为。例如,修改用户IE首页病毒,让电脑不断访问黑客指定页面,为黑客赚取大量金钱。病毒代表:“流氓主页木马”,病毒会采用生成一个与正常IE浏览器图标一摸一样的IE快捷方式,通过修改快捷方式的方法,实现修改用户的默认首页,病毒制作者采用了这种看似是一种“正常操作的方法”躲避杀毒软件,使多数杀毒软件对此无能为力。随着此类病毒的不断变种,互联网上通过修改快捷方式、文件默认关联、软件图标等方式,引导网民到恶意网站的病毒已经越来越多,一些安全软件对如此频繁的变化根本无法有效解决,专家建议用户选择专业的瑞星杀毒软件和卡卡上网安全助手,有效处理以上问题。第二,病毒利用假桌面或假关机等方式,切断杀毒软件与用户之间的交互,从而使杀毒软件失效。通常杀毒软件在拦截或查杀病毒的时候都需要一个与用户交互的平台,而这个平台就是用户电脑桌面,当一个病毒运行后,杀毒软件监控进行拦截,不论是按照默认设置或弹出窗口提示都是基于电脑桌面的,如果这个桌面没有了,所有的这些拦截就无法生效,也就是说杀毒软件没有用了。例如,桌面闪客病毒(Trojan.PSW.Win32.DesktopFlasher.a),该病毒运行后会自己建立一个桌面把用户正常桌面替换,从而使杀毒软件失效。第三,“特种木马”在政府机关等单位的网络中肆虐。这种类型的木马病毒会将U盘中的文档拷贝复制到电脑中,然后通过整个局域网传播,将文档复制到网络中的每一台机器上,并发送给黑客,从而使国家机密或企业内部重要文档遭到泄露。二、挂马网站1、挂马网站概述瑞星“云安全”数据中心的统计表明,2010年上半年截获的挂马网站(网页数量)总数目为2666万个,比去年同期下降了90%。这是因为瑞星软件客户端“防挂马”技术的应用,以及把“云安全概念”成功应用到了数百家互联网主要厂商之中,两者相加取得的结果。2010年上半年,黑客通过挂马网站攻击用户的成功率大幅度下降,挂马网站攻击总次数近1.4亿次,比去年同期下降了85%。同期,尽管微软操作系统及其相关软件被曝了45个漏洞,但并未给总体的挂马网站安全带来负面影响。从数据来看,0Day漏洞是黑客进行网站挂马的主要方式之一,黑客通常利用0day漏洞补丁发布之前的空窗期(*注),大规模入侵用户的电脑系统,从中获取大量有价值的信息内容。微软3月份发布的漏洞“KB”是黑客挂马最常使用的漏洞之一。注:系统漏洞、软件漏洞在网络上被曝光之后,厂商需要一段时间来开发补丁程序,在对其进行测试后发布,而曝光和发布之间的时期,被称为“空窗期”。2、挂马网站及相关数据统计瑞星“云安全”数据中心2010年上半年的监测数据,统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量,截获到的挂马网站(以网页个数统计)数目总计个,拦截次数总计次。2010年上半年,瑞星“云安全”数据中心已拦截到人次访问挂马网站,每天平均访问人次达次。也就是说,平均每天有近77万人次网民访问过恶意网页。挂马网站:指的是被黑客植入恶意代码的正规网站,这些被植入的恶意代码,通常会直接指向“木马网站”的网络地址。木马网站:是一种利用程序漏洞,在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上,当用户访问时,会把许多木马下载到用户机器中运行。4、木马网站域名瑞星“云安全”数据中心截获的数据表明,2010年上半年被拦截的木马网站域名类型排行如下图,排名第一是【.org】,拦截量达次,有81.5%的木马网站使用,前五名中排名紧随其后的域名依次为【.com】、【.cn】、【.info】、【.com.cn】。通过数据分析发现,2009年上半年木马网站域名第一位的是【.cn】域名,拦截量达次,【.org】域名排在第三位,拦截量达次。2009年底国家停止个人用户cn域名注册后,黑客开始利用【.org】域名作为木马网站的地址,这就是【.org】域名快速成为黑客最常用的木马网站域名的原因。5、网页挂马的主要方式网站挂马,是指黑客利用网站程序或者语言脚本解释的漏洞,上传一些可以直接对站点文件进行修改的脚本木马,然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改,通常是frame或者script,也存在一些其它挂马方式比如病毒下载、伪装挂马、CSS挂马等。通过瑞星云安全监测显示,2010上半年的挂马方式主要以“JS挂马”为主,每个月均占60%左右。同时通过图表数据可以看出,框架挂马方式呈上升趋势,这种挂马方式相对比较隐蔽,不容易被察觉。相反,由于杀毒软件主动防御的强大功能,病毒文件下载到本地后会被监控发现并直接清除,因此通过病毒下载的挂马方式正逐渐减少。主要挂马方式所占比例如下图所示:三、网络钓鱼1、网络钓鱼概述网络钓鱼(英文为Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击),传统意义上指的是利用伪造银行网站的方式,窃取用户银行帐号的行为。但随着网络应用越来越复杂,中国互联网上出现了很多对其“发扬光大”的诈骗形式。比如在2008年5月,汶川地震期间,就有黑客仿造“中国红十字会网站”,企图骗取捐款。瑞星认为,凡是企图利用人们对著名品牌、网站和机构的信任,通过网络进行诈骗活动的行为,都可以称为“网络钓鱼”。由于绝大多数钓鱼网站无木马病毒或恶意代码,所以安全厂商通过技术手段很难全面监控并及时去除处理钓鱼网站的威胁。目前,多数钓鱼网站为逃避相关部门对其监控和取证,生命周期很短,通常一个钓鱼网站在网上的生存时间不超过一个月,有的只存活几天甚至几个小时。基于上述原因,现阶段安全厂商无法全面、准确收集钓鱼网站的权威数据。2010年上半年,瑞星“云安全”系统截获的钓鱼网站数累计达86307个,目前存活的钓鱼网站大约有2万多个。钓鱼网站类型排名第一是【假冒中奖信息的钓鱼网站】,有81%的钓鱼网站使用;【假冒购物网站的钓鱼网站】占总数的16%;【假冒银行网站】占3%。但据估计,真实存在的钓鱼网站数量应该是此数量的数十倍。2、网络钓鱼深入解析传统上“钓鱼网站”通常仅指假冒银行、假冒邮箱的网站,但近年来,随着互联网应用的出现,多种发端于互联网的“网络钓鱼骗局”开始出现,而钓鱼网站更成为庞大的互联网诈骗中的重要环节。比如:近年来多次出现的假冒著名网站销售伪劣商品,假冒支付网站骗取钱财,假冒证券网站骗取股民咨询费等等。据不完全统计,目前钓鱼网站主要分为以下三大类:A、仿冒著名网站B、欺诈网站C、中奖骗局(1)六大类仿冒网站分析仿冒著名网站是互联网上最古老、最传统的钓鱼诈骗方式。最早被诈骗者瞄准的目标都是国际著名银行——如花旗银行、汇丰银行早在十几年前就成为互联网上被假冒的对象。目前,国内主要有以下七类网站常被黑客仿冒用来钓鱼:第一、仿冒QQ网站及客户端此类仿冒网站通常用来骗取用户的QQ帐号和密码。黑客会在一些不良网站嵌入代码,模仿QQ弹窗时的声音,并随之在右下角出现一个仿真度很高的QQ消息提醒窗,当用户点击该窗口去登陆QQ、或者领取奖品时就会受骗。用户在假QQ网站填写帐号和密码后,黑客会把这些号码私下出售牟利。如果是“QQ中奖类”的骗局,骗子会要求用户“先交手续费再领奖”。第二、仿冒邮箱黑客会构造仿真度极高的邮箱登陆页面。根据数据统计,目前被仿冒居前三位的是QQ邮箱、163邮箱、Gmail邮箱。尤其因QQ邮箱用户众多,又与QQ帐号密码通用,附加有更多的利益,更是黑客觊觎的重点对象。第三、仿冒银行网站目前所有主流银行网站都是黑客仿冒的对象,尤其以网络支付开展较好的招商银行、工商银行等更为黑客所青睐。黑客一般会通过邮箱、手机短信等方式向用户发送信息,谎称“您的银行账户有异常,请修改密码”,但当用户点击邮件里的地址,打开的就是假冒银行网站,当用户在假网站填写帐号密码后,银行资金就会被窃取。第四、仿冒支付宝类网络支付工具支付工具在网络购物中起到的作用越来越大,目前包括支付宝、腾讯财付通、快钱等,都已经成为黑客仿冒的对象。尤其是支付宝、财付通等,当卖家和用户在交易中使用聊天工具时,双方经常发送各种网址,有的黑客就趁机装作顾客,把假冒卖家网站的钓鱼网址发送给卖家,用来骗得卖家的支付宝帐号,一旦得逞,就会在几分钟内转走所有的钱。第五、假冒淘宝等购物网站淘宝、京东商城、亚马逊卓越等著名购物网站,目前都被黑客频繁仿冒。黑客仿冒淘宝网的目的多是为了骗取用户的淘宝帐号,再伺机通过淘宝帐号去猜测、骗取支付宝帐号,进而达到窃取资金的目的。而假冒京东商城、卓越网的目的,则主要是借助著名BtoC网站品牌的名气,推销劣质商品。第六、仿冒医疗、药品网站此类网站通常冒充著名医院、研究所,借机推销癌症、糖尿病等疑难病症的“新疗法、新药品”。当用户把钱汇到骗子账户之后,有的是石沉大海,有的则寄来一些没有药品批号、没有合格证明的伪劣药品,借以蒙骗用户。(2)七种网络欺诈手段解析第一、借用著名券商名义,建立证券咨询网站黑客建立股票网站,模仿著名券商的网页,以“某某证券研究中心”、“某某证券代客理财”的名义,欺骗股民把血汗钱转向骗子的账户。这些骗子行骗一段时间后就会人间蒸发,然后换个页面和联系方式不断行骗。自2007年以来,这种骗局屡有发生,被骗十几万甚至上百万的股民大有人在。第二、伪劣医药健康网站此类网站通常以“祖传秘方、中医世家、养生保健”等为号召,推出所谓的“神医、神药”,在网站上销售没有许可证的药品和医疗器械。尤其以减肥、治疗近视、高血压、老年人养生器械等为受害最重的区域。尽管卫生部门采取了多种手段进行整饬,但目前此种势头尚未得到有效解决。第三、电视购物类网站“南非钻石只需168元”、“苹果手机仅售499元”、“海关查没笔记本电脑仅售999元”等都是此类网站常用的骗术。这些网站的所有者通常注册虚假的网站地址,有的还会购买电视时段,在电视台反复播出,用户受骗后即使投诉也无法找到骗子的踪迹,只能自认倒霉。第四、虚假创业类网站此类网站通常以“致富门路”、“连锁加盟”为手段,通过在门户网站、搜索引擎做广告,吸引急于致富的中小城市创业者、乡村农民加盟,骗取高额加盟费,高价出售劣质商品。此前某著名笑星就因为给虚假创业网站代言而公开道歉。第五、“二手车诈骗”网站此类诈骗最早起源于我国台湾,通过建立虚假网站,广告号称“宝马5万、奥迪3万、货到付款”。很多人抱着贪便宜的心理,“反正送完车才交钱”。但是在交易过程中,骗子往往会以“验车费”、“配送费”等名义要求先交一部分钱。当用户交完钱之后,骗子就会不见踪影。第六、彩票网站黑客先在网上建立起貌似正规的彩票网站, ISP证等各种证明都做得非常逼真,通过在搜索引擎、中小网站投放广告吸引用户,然后以“会员费”、“保密费”等名义骗取每个网民几十元到数千元不等。还有的彩票网站不直接收钱,而是要求用户拨打12590×××电话来收听预测号码信息。实际上,这些电话的收费往往在一分钟2元以上,有的仅打10分钟就扣费100多元。第七、假机票网站骗子在网上建立仿真度极高的机票网站,模仿东方航空、中国航空等著名公司,以“某某航空公司总代理”的名义出售廉价机票,其价格通常比正规网站低三分之一以上。而且这些网站会在搜索引擎上投放大量广告,欺骗用户购买。等用户到机场后才会发现,拿到的票是假票。(3)三种常见的中奖网站骗局第一、假冒QQ中奖提示第二、假冒网游中奖提示第三、假冒央视“非常6+1”中奖提示这三种中奖骗局虽然表现方式各不相同,但最终获取利益的方式都是要求用户领奖前先交“税款”、“邮寄费”、“消费税”等,等用户交完钱后,网站就会从网上消失。这种网站是目前中国互联网上最为泛滥的一类,大约81%的网络钓鱼属于中奖网站骗局类型。3、钓鱼网站的牟利模式随着传统病毒产业链遭受专业安全软件的有效遏制,导致黑客和不法分子开始逐步将获取经济利益的手段转向网络钓鱼,这是钓鱼网站成为目前互联网上主要危害之一的原因。除黑客以外,一些黑心的虚假广告商、恶意团购网站和色情网站为在短期之内扩大收益,也不惜借助网络钓鱼来欺骗用户牟取暴利。钓鱼网站的六大牟利模式:1、 黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,通过贩卖个人信息或敲诈用户牟利;2、 黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗取用户的网银资金牟利;3、 黑客通过假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户牟利。4、 通过假冒产品和广告宣传获取用户信任,骗取用户金钱牟利。5、 恶意团购网站或购物网站,假借“限时抢购”、“秒杀”等噱头,让用户不假思索的提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。6、骗子通过跟ISP等合作,欺骗用户订购手机彩信套餐,或者拨打高收费的资费电话牟利。4、钓鱼网站是如何传播的?瑞星“云安全”数据中心截获的数据表明,目前互联网上活跃的钓鱼网站传播途径主要有八种。1、 通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;2、 通过在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用。3、 通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;4、 通过微博、Twitter中的短连接散布钓鱼网站链接;5、 通过仿冒的邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站。6、 感染病毒后弹出模仿QQ、淘宝旺旺的窗口,用户点击后进入钓鱼网站;7、 恶意导航网站、恶意下载站中的仿真悬浮窗口,点击进入钓鱼网站;8、 注册用户容易输错的网址,比如有时候用户会错误的输入gogle.com、sinz.com等,这时候用户很容易误入钓鱼网站。5、为什么钓鱼网站屡打不绝?网络钓鱼为何会如此泛滥?瑞星安全专家分析指出:目前杀毒软件通常使用的URL辨别法来处理钓鱼网站,但现在黑客已经采用了频繁更换域名、更换URL的方式来饶过这种传统方式的拦截,这是造成钓鱼网站屡打不绝的技术层面原因。比如,2010年4月,瑞星截获的一个钓鱼网站,该网站会自动记录访问人数,每当有10人访问此网站后,它就会自动关闭并自动生成另一个URL地址。这样等不到杀毒厂商把那个URL加入黑名单,它便已经“原地满血复活”了,这会大大削弱杀毒软件拦截钓鱼网站的效果。瑞星安全专家进一步指出,现在钓鱼网站跟病毒结合逐渐成为一种新的趋势。比如有的病毒会模仿QQ在电脑的右下角做闪烁性的提醒,用户点击之后就会出现假冒的QQ弹窗,再一点击就会进入”QQ中奖”骗局网页。对于此类行为,目前的杀毒软件通常只杀掉病毒,但对于附着于其上的钓鱼行为、钓鱼网页没有进行有针对性的打击,这就削弱了打击钓鱼网站的效果。而且,钓鱼网站与病毒不同,很多钓鱼行为、特征分辨需要人工处理,可能耗费极大的人工审核成本,小一点的安全厂商无法承担先期巨大的投入,因此其技术门槛较高。而就目前的安全行业来讲,现今对于钓鱼网站还主要是通过URL来进行辨别,对于直接带毒、或者带有安全问题的假冒QQ、假冒淘宝等网站进行防范和打击。但这些网站只占钓鱼网站的一小部分,没有最终解决大量网民遭到假购物、假医疗等钓鱼网站威胁的问题。从监管层面上看,对于钓鱼网站的打击和治理同样存在较大的困难。目前,国家和权威部门对于“钓鱼网站”还没有明确的定义,目前行业内也没有对钓鱼网站做出特别明确的公认的辨别办法。另外,目前的“反钓鱼工作”是分散在各个受害厂商中独立进行的,比如工商银行、淘宝、中信证券、腾讯、招商银行等,都设立了自己专门的反钓鱼部门和安全部门,从事打击钓鱼网站的工作。但他们通常只针对危害自己的钓鱼网站进行打击,尚未联合起来共同对“钓鱼网站”进行全面围剿。附录:一、几种常见网络钓鱼的网页截图1、假冒淘宝网站:2、假彩票网站3、证券股票钓鱼网站:4、工商银行钓鱼网站:二、媒体报道过的钓鱼网站案例假冒京东商城网站(新华网7月8日)2010年7月8日,北京西城工商分局发布通告,公布了一个欺诈消费者的钓鱼网站,这个网站使用与知名电子商务网站“京东商城”极其相似的名字进行欺诈,二者名称仅有一字之差。吕先生就是其中的一位受骗者。他使用银行转账方式交了630元的预付款购买手机,商家称将会送两部手机上门,让其自选一部。但由于一直没有收到商家的货品,吕先生打电话给商家被拒接,才意识到自己可能受骗,随即投诉。值得注意的是,这个钓鱼网站造假水平很高,网站页面最底部包括经营性网站备案信息、营业执照等信息,还有工商网盾等在内的第三方认证标识一应俱全,但都是假的,网民很容易上当受骗。http://news.xinhuanet.com/tech/2010-07/08/c_.htm假冒淘宝网站(新华网 6月25日)2010年06月25日,“在淘宝网上看上一款手机,本想节约点钱,但却中了店家钓鱼网站的招,损失了800元。”李女士想着上网购买一款夏普手机,在淘宝上发现一家网店的价格低,李女士与卖家联系之后再次讨价还价,最终以800元的价格成交。因为价格有所变动,卖家随即给李女士发来一个网址链接,称改好的价格已经在上边,直接点击付款就行了。打开网址后,李女士发现网页确实和淘宝一样,随即又点击链接进行付款操作。然而,等她随后到网站“已买到的宝贝”中查询,却发现没有这条交易记录,而网上银行却显示钱已经支付了,再次联系卖家,对方却不予理睬。李女士马上联系淘宝网客服,通过查询,才发现自己已被“钓鱼网站”涮了一把,那个卖家发送的链接根本不是淘宝网的正规链接,而是诱导李女士通过网上银行直接将钱打进对方的账户。http://www.kuaisubeian.org