《中国2007年上半年电脑病毒疫情及互联网安全报告》中的数据由金山毒霸全球反病毒监测中心、金山毒霸全球病毒应急处理中心、金山毒霸客户服务中心联合监测得出。本报告的所有结论和所持观点均由金山独家发布,与其它合作公司、部门无关。
2007年上半年,电脑病毒异常活跃,木马、蠕虫、黑客后门等轮番攻击互联网,从熊猫烧香、灰鸽子到艾妮、AV终结者,重大恶性病毒频率发作,危害程度也在逐步加强,互联网安全面临的威胁更加严峻。
一、2007年上半年中国电脑病毒疫情及互联网安全总体状况分析
2007年上半年,电脑病毒延续了06年以来的高速增长势头,金山毒霸共截获新增病毒样本总计111,474种,与去年同期增加了23%。其中木马病毒新增数占总病毒新增数的68.71%,高达76593种;AV终结者病毒因其危害程度以及感染率均名列榜首,所以成为名副其实的2007年上半年“毒” 王。
在上半年新增的木马病毒中,盗号木马是最严重的一类病毒,占到木马病毒总数的76.04%,高达58245种。而蠕虫、下载木马、脚本漏洞病毒几乎都是为盗号木马来服务的,其目的就是通过自身传播能力、攻击能力,将自身做为载体将盗号木马安装到用户系统中。
此外,恶意软件在近年来严打中和各大厂商的正规化动作后,已经开始慢慢萎缩,因此只占到3.51%,市面上常见的广告主要是服务于色情网站和投票网站。黑客后门病毒仍是互联网最大的隐患之一,也是黑客们互相争夺的资源之一,谁用黑客后门病毒控制的“肉鸡”越多,能获得的经济利益也越大,更有些作者将此类病毒在互联网中公开叫卖,这也是黑客后门病毒大量新增的原因之一。
二、2007年上半年计算机病毒/木马特点分析
1、 互联网进入木马/病毒经济时代
自2006年起,偷、骗、抢就已成为信息网络安全的三大威胁。而盗号木马、黑客后门病毒已经成为大多数职业病毒作者生财工具。木马/病毒背后的巨大的灰色产业链给整个互联网带来了更加严峻的考验。不管是网银中真实的钱,还是虚拟财产,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,分工明确,形成了一个非常完善的流水性作业的程序。
以“灰鸽子”木马为例,据不完全统计,仅仅“灰鸽子”一种后门所带来的直接售卖价值就达 2000万以上。木马的制造者本身并不参与“赚钱”,病毒编写完毕后,大量的“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线(也就是其代理商或分销商),以辅助完成其他牟利活动。“灰色产业链”可能将病毒制作引领为一种产业。下图为木马产业链的示意图,可充分说明“灰色产业链”的运作过程:
2、网页挂马与ARP欺骗危害加剧
网页挂马问题在2007年上半年已经出现了爆炸式的增长。据中国工程院院士、信息网络与信息安全专家方滨兴在《网络与信息安全》专题讲座中介绍,国家信息安全中心对今年前5个月大陆网站统计,黑客成功攻击次数有34331次,为历年最高,而湖南省一个地区被黑客攻击的网站就多达30余家。网站的防护能力不足是网页挂马频频出现的重要原因之一。
ARP欺骗技术在今年得到进一步成熟。早期的ARP欺骗用于恶作剧,在局域网中控制某台电脑不能上网等现象,发展到嗅探局域网中流传的机密信息,到今天的辅助网页挂马,可以让一个城域网受到网页挂马的攻击。其现象是,如果某个城域网的网关受到了 ARP欺骗的攻击,那么在此城域网中所有的用户在访问任何网页,都会发现这些网页都被插入了挂马的脚本。下图是受到攻击后访问正常页面时的图示:
请注意Google的主页并没有被黑或被挂马,出现的原因主要是城域网中的网关受到了ARP欺骗的攻击。此种技术的要点就是感染一台系统就可导致所用用户受到网页挂马的攻击。
面对网页挂马的危害极巨加重,金山毒霸研发部潜心研究,已经获得阶段性成果,将在七月中发布一个专门针对网页挂马的网页防挂马工具,以期减少挂马攻击对用户的侵害。
3、“0Day漏洞”让微软防不胜防
上半年利用“0Day漏洞”进行传播的病毒频繁出现,以“艾妮”为例,利用微软漏洞进行传播,对包括Vista在内的Windows 所有用户造成严重威胁,成为首个造成了大面积感染的利用“0Day漏洞”传播的病毒。
“0Day漏洞”是指微软官方未发现或未发布修补补丁的漏洞。早在去年就出现过多起针对微软office 的“0Day漏洞”的病毒。由于这些漏洞的自身限制未能造成大面积的用户受害,直到“ANI漏洞”的出现。“0Day漏洞”所带来的危害远远超过普通系统漏洞。用户没有办法在第一时间寻找最有效的解决方法,一般只能采取避让或禁用系统功能的方法来减少漏洞带来的危害。“0Day漏洞”对安全界提出了更高的安全需求,更是软件开发者必须重视的软件质量问题。
2007年,金山毒霸结合流行蠕虫的传播特点,在反病毒工程师的集体努力下,成功找到了一个抵御蠕虫病毒的最佳解决方案——流行蠕虫免疫功能。面对熊猫烧香等恶性蠕虫的猛烈攻击,金山毒霸以实用性的技术赢得了用户的好评。
并针对利用微软“0Day”漏洞传播的“艾妮”病毒,金山毒霸抢先推出“ANI漏洞免疫”功能,及时有效的在毒霸用户群中截止了病毒的流行。“ANI漏洞”与网页挂马配合,直到补丁发布以后,仍然在互联网中肆虐。利用没有补丁的漏洞,将是高级病毒发展的重要趋势。
4、病毒/木马疯狂反扑,病毒/木马商业化运作出现团队化协同方式。
伴随着安全厂商对病毒的剿杀,病毒制作者开始想方设法逃避杀毒软件的追杀,甚至从技术的角度对杀毒软件进行攻击。
以“AV终结者”为例,该病毒最大的特点就是采用多种方式对抗最流行的安全软件,对反病毒软件发起了疯狂的反扑,同时也充分体现了病毒/木马商业化、团队协作的迹象。
首先,传播病毒,使用黑客技术攻击网站、网关服务器,致使大量用户遭遇网页挂马的攻击;或是利用U盘去感染一些企业的局域网、网吧或小区宽带;或是利用现有的病毒技术——蠕虫传播、文件感染作为载体来安装“AV终结者”,以达到最终目的——提高病毒的感染量。
然后,利用“AV终结者”终止所有反病毒软件。致使用户电脑的安全系统遭遇彻底破坏,而后开始大规模的下载盗号木马,并能不断的更新升级自己。这个团队的另一部份人采用当今最流行的互联网技术,只需在服务端做一些配置的改动,就可让病毒自动下载任意的程序(病毒/木马)。
最后,通过盗号木马盗取用户的网络财产,获得经济利益。如:在“魔兽世界”中的一个货币单位G,就价值人民币0.07元。多数高级玩家已经获得几十万G的成果,一旦被盗可能就是上千元的经济损失。
5、病毒的变种数量已经成为衡量其危害性的新标准。
单一病毒感染的计算机数量不再是衡量其危害性的标准值,频繁生成的变种已成为加速病毒传播的有效手段。
正如2006年末所预计的那样,2007年出现了大量新(变种)病毒。现在的流行病毒制作者不再寄期望于某一种或某一类病毒进行大面积传播和感染,而是依靠其变种数量,通过更多的传播手段,更多的参与者,采取“广撒网多捕鱼”的战术,将数量众多的病毒感染到用户系统中。每个病毒变种能有上百位用户感染,它就已经获得了成功。连续两年来的大面积病毒数量充分的说明了这一点。
金山毒霸应对高数量的病毒新增现象,率先在去年就开展了一日多次升级,重大病毒1小时内应急升级的策略,并应用到产品的主动升级功能中,得到用户们的广泛好评。而金山毒霸所采用的“数据流杀毒”技术,对病毒代码的执行特征进行动态实时分析,极大提高杀毒数量和精确度,尤其对于变种病毒、变种木马和未知漏洞攻击具有超强的防治能力。此外,金山毒霸研发部更是在后台服务中,研制出多种自动手段,对新增病毒进自动分析、自动提取病毒特、自动制作病毒库、自动误报检测的一套完全自动流程,充分应对新增病毒的速度。
三、2007年上半年计算机病毒/木马感染情况分析
据金山毒霸计算机病毒疫情监测网监测,2007年上半年,全国计算机感染台数75,967,19台,与去年同期相比增长了12.2%。其中被感染的计算机中遭受过木马病毒攻击的比例占到91.35%。全国各省的计算机病毒感染量如下表:
排名 |
地区 |
感染机器台数 |
排名 |
地区 |
感染机器台数 |
1 |
广东 |
807854 |
18 |
黑龙江 |
84522 |
2 |
浙江 |
645014 |
19 |
重庆 |
80256 |
3 |
江苏 |
631545 |
20 |
山西 |
79224 |
4 |
上海 |
612545 |
21 |
天津 |
75841 |
5 |
山东 |
552541 |
22 |
云南 |
69024 |
6 |
四川 |
512354 |
23 |
吉林 |
67028 |
7 |
北京 |
442545 |
24 |
贵州 |
64712 |
8 |
河南 |
412378 |
25 |
新疆 |
55245 |
9 |
河北 |
407534 |
26 |
内蒙 |
54478 |
10 |
湖南 |
326987 |
27 |
甘肃 |
50745 |
11 |
湖北 |
278778 |
28 |
宁夏 |
48147 |
12 |
辽宁 |
249753 |
29 |
海南 |
41587 |
13 |
江西 |
225874 |
30 |
青海 |
37541 |
14 |
陕西 |
201456 |
31 |
香港 |
21041 |
15 |
广西 |
170587 |
32 |
西藏 |
17241 |
16 |
福建 |
167802 |
33 |
台湾 |
5451 |
17 |
安徽 |
97825 |
34 |
澳门 |
1264 |
其中被病毒感染的计算机最多的地区主要分布为广州(11%)、浙江(8%)、江苏(8%)、上海(8%)、山东(7%)、四川(7%)、北京(6%)。
四、2007年上半年十大计算机病毒/木马
金山毒霸根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出以下十大病毒/木马为2007年上半年最危险的病毒/木马。
排名 |
中文名 |
病毒名 |
危害程度 |
感染率 |
用户关注度 |
1 |
AV终结者 |
Win32.Troj.Poseidon |
5 |
7.13% |
热门 |
2 |
熊猫烧香 |
Worm.WhBoy |
5 |
5.84% |
热门 |
3 |
灰鸽子 |
Win32.Hack.Huigezi |
4 |
6.98% |
热门 |
4 |
艾妮 |
Worm.MyInfect |
4 |
5.15% |
热门 |
5 |
QQ尾巴 |
Win32.Troj.QQTail |
3 |
2.13% |
高度 |
6 |
魔兽木马 |
Win32.Troj.WOW |
3 |
3.45% |
高度 |
7 |
征途木马 |
Win32.Troj.ZhengTu |
3 |
2.07% |
高度 |
8 |
维金变种GM |
Womr.Viking.gm |
4 |
1.98% |
普通 |
9 |
网游盗号木马 |
Win32.Troj.Onlinegames |
3 |
5.45% |
普通 |
10 |
罗姆 |
Troj.Romdrivers |
4 |
1.02% |
普通 |
危害程度:分5级,最高级为5。我们将危害的种类分为:A破坏用户系统,B盗取用户信息,C能进行自我传播 D广告行为 E下载其它木马
5级:具有上述四种及以上行为的病毒/木马
4级:具有述任意三种行为的病毒/木马
3级:具有C行为加任意一种行为的病毒/木马
2级:具有A B C任意一种行为的病毒/木马
1级:具D E任意一种行为的病毒/木马
病毒感染率:该病毒在感染的计算机台数点总感染台数的比率。
用户关注度:我们收集用户对病毒的关注数据,如:论坛讨论热度的评估,新闻及病毒分析报告的点击率或关键字热度,将其分为3级,热门、高度、普通。
附十大病毒简介
1、AV终结者
一个专门与杀毒软件对抗,破坏用户电脑的安全防护系统,并在用户电脑毫无抵抗力的情况下,大量下载盗号木马的病毒。
病毒特征:杀毒软件不能正常运行,IE搜索与“杀毒”相关的关键字,浏览器窗口会被关闭。病毒还采用映像劫持、破坏系统安全模式、阻止显示隐藏文件、关闭 windows安全中心和Windows防火墙、删除杀毒软件注册表记录等技术手段对抗安全软件。病毒最终目的是下载大量盗号木马和后门程序。AV终结者病毒指的是一批具备这些特征的病毒、木马和蠕虫的集合。
2、熊猫烧香
一个让网民身受其害,极为嚣张的恶性蠕虫病毒。伴随着病毒作者的落网,又引发了网民对病毒背后黑色产业链的讨论。
病毒特征:"熊猫烧香"蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
3、灰鸽子
这是一个"中国制造"的隐蔽性极强的木马,连续数年被反病毒厂商列为年度十大病毒。用户一旦被入侵,电脑将沦为肉鸡,任人宰割。
病毒特征:使用远程注入、Ring3级Rookit等手段达到隐藏自身的目的。一般它会被人蓄意捆绑到一些所谓的免费软件中,并放到互联网上,诱骗用户下载。因为其具有很强的隐蔽性,所以用户一旦从不知名网站下载并误运行了这些软件,机器就会被控制,而且很难发觉。攻击者可以对感染机器进行多种任务操作,如文件操作、注册表操作、强行视频等等。
4、艾妮
"艾妮"病毒集熊猫烧香、维金两大病毒危害于一身,传播性与破坏性极强,而且利用微软Oday漏洞传播,大量用户身受其害。
病毒特征:艾妮是一个Win32平台下的感染型蠕虫,可感染本地磁盘、可移动磁盘及共享目录中大小在10K---10M之间的所有.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件,并可连接网络下载其他病毒。
5、QQ尾巴
QQ尾巴自诞生以来衍生出大量的变种,某些变种会添加到起始项,修改文件关联,禁用进程管理器,关闭大量的安全软件,对用户系统安全性能带来极大威胁。
病毒特征:该病毒是一个利用了IE漏洞在一些知名度不甚高的网站首页上嵌入了一段恶意代码,在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,诱骗用户点击,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。该病毒每隔几分钟就会发送一次欺骗消息,严重干扰了用户正常的信息传递。而该信息是隐藏的,发送方并不知道。
6、魔兽木马
一类盗取"魔兽世界"游戏帐号和密码的木马。
病毒特征:运行后,会把自己拷贝到windows下并添加注册表启动项。病毒会不断的寻找WOW的游戏登录,一但发现,通过钩子读取用户输入的游戏帐号与密码,并把它们发送到木马种植者的邮箱中去;此外,它还会记录并发送用户在游戏中的活动情况。
7、征途木马
一类盗取"征途"游戏帐号和密码的木马。
病毒特征:病毒运行时会监控征途游戏登陆窗口,并且记录键盘信息,把所窃取的信息通过其自身所带的邮件引擎发送到黑客指定邮箱中。
8、维金变种
一个让企业用户头疼的蠕虫病毒,集成"可执行文件感染"、"网络感染"、"下载网络木马及其它病毒"的复合型病毒,若用户不幸感染该病毒,将会面临系统瘫痪、网银、网游帐号被盗、重要信息泄漏等多重威胁。
病毒特征:病毒将自身注入到用户电脑的IE进程里,同时终止多个杀毒软件的监控进程,并连接到指定的恶意站点,下载盗号木马或者其他感染型病毒,进一步侵害用户的电脑系统,不但导致用户的系统硬盘的资料和数据文件被损坏,而且有可能出现用户的电脑资料外泄和网络虚拟财产被盗等现象。
9、网游盗号木马
一个盗取网络游戏的游戏帐号的木马病毒。该病毒跟一般游戏盗号木马相似,它会潜伏在受感染的电脑系统中,伺机搜寻并注入游戏进程,窃取有效信息,并将其发送给木马种植者,造成用户的虚拟财产的损失。此外,它还能终止特定的安全软件的监控进程和服务,导致电脑的安全性能下降。
病毒特征:该病毒运行后,会自动释放upxdnd.exe和upxdnd.dll病毒文件,修改注册表,实现随开机自动启动。终止Twister.exe,FilMsg.exe和RavMon.exe等安全软件的监控进程。
10、罗姆
一个导致大量安全软件运行失败,即便是将病毒解决掉以后,还是会发现杀毒软件不能运行,下载大量盗号木马到用户计算机来盗取用户的帐号信息的病毒。
病毒特征:释放病毒文件并创建注册表项来使病毒文件随系统而启动;尝试删除以下注册表项来防止其它病毒的干扰;将病毒文件romdrivers.dll 注入到explorer进程中,然后通过explorer来连接网络进行病毒自更新,下载大量盗号木马到用户计算机来盗取用户的帐号信息;发送大量的 ARP欺骗数据包,严重影响局域网,造成局域网网络阻塞并导致企业网络中断。