2007年中國(guó)電腦病毒疫情及互聯(lián)網(wǎng)安全報(bào)告(全文)
2007年,互聯(lián)網(wǎng)迅猛發(fā)展,網(wǎng)絡(luò)應(yīng)用日益廣泛與深入,網(wǎng)絡(luò)炒股、網(wǎng)絡(luò)游戲、網(wǎng)銀用戶(hù)大幅增長(zhǎng);與此同時(shí)病毒的“工業(yè)化”入侵以及“流程化”攻擊等特點(diǎn)越發(fā)明顯,以熊貓燒香、灰鴿子、AV終結(jié)者為代表的惡性病毒頻繁出現(xiàn),廣大用戶(hù)對(duì)互聯(lián)網(wǎng)安全問(wèn)題的關(guān)注日益增強(qiáng)。在2008年開(kāi)始之初,我們一同來(lái)回顧一下2007年中國(guó)互聯(lián)網(wǎng)的安全情況。
一、 2007年中國(guó)互聯(lián)網(wǎng)安全情況整體分析
2007年,計(jì)算機(jī)病毒/木馬仍處于一種高速“出新”的狀態(tài)。2007年,金山毒霸共截獲新病毒/木馬283084個(gè),較06年相比增長(zhǎng)了17.88%,病毒/木馬增長(zhǎng)速度與06年相比有所放緩,但仍處于大幅增長(zhǎng)狀態(tài),總數(shù)量還是非常龐大的。下圖為近幾年來(lái)的新增病毒/木馬數(shù)量對(duì)比(圖1):
在新增的病毒/木馬中,盜號(hào)木馬仍然首當(dāng)其沖,新增數(shù)量多達(dá)118895個(gè),黑客/后門(mén)病毒、木馬下載器緊隨其后,這三類(lèi)病毒構(gòu)成了互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的中流砥柱。下圖是不同類(lèi)別病毒/木馬比例圖(圖2):
2007年,據(jù)金山毒霸全球反病毒監(jiān)測(cè)中心統(tǒng)計(jì)數(shù)據(jù),全國(guó)共有49,652,557臺(tái)計(jì)算機(jī)感染病毒,與去年同期相比增長(zhǎng)了18.15%,互聯(lián)網(wǎng)用戶(hù)遭受過(guò)病毒攻擊的比例占到90.56%。全國(guó)各省的計(jì)算機(jī)病毒感染量如下表(圖3):
2007年十大病毒/木馬
根據(jù)病毒危害程度、病毒感染率以及用戶(hù)的關(guān)注度,計(jì)算出綜合指數(shù),最終得出以下十大病毒/木馬為2007年最危險(xiǎn)的病毒/木馬。
危害程度:分5級(jí),最高級(jí)為5。我們將危害的種類(lèi)分為:A破壞用戶(hù)系統(tǒng),B盜取用戶(hù)信息,C能進(jìn)行自我傳播 D廣告行為 E下載其它木馬
5級(jí):具有上述四種及以上行為的病毒/木馬
4級(jí):具有述任意三種行為的病毒/木馬
3級(jí):具有C行為加任意一種行為的病毒/木馬
2級(jí):具有A B C任意一種行為的病毒/木馬
1級(jí):具D E任意一種行為的病毒/木馬
病毒感染:對(duì)于廣義的病毒定義來(lái)講,本文所指感染包括病毒感染或木馬入侵。
病毒感染率:該病毒感染或入侵的計(jì)算機(jī)臺(tái)數(shù)占總感染(或入侵)臺(tái)數(shù)的比率,為方便統(tǒng)計(jì),統(tǒng)稱(chēng)為感染率,下同。
用戶(hù)關(guān)注度:我們收集用戶(hù)對(duì)病毒的關(guān)注數(shù)據(jù),如:論壇討論熱度的評(píng)估,新聞及病毒分析報(bào)告的點(diǎn)擊率或關(guān)鍵字熱度,將其分為3級(jí),熱門(mén)、高度、普通。
1、網(wǎng)游盜號(hào)木馬
這是一類(lèi)盜取網(wǎng)游賬號(hào)密碼或裝備的木馬。這些木馬具有高度的代碼相似性,并且變種繁多,盜取各種網(wǎng)絡(luò)游戲的帳號(hào)密碼,這是木馬產(chǎn)業(yè)化的一個(gè)產(chǎn)物。這類(lèi)木馬會(huì)在系統(tǒng)目錄下釋放一個(gè)exe文件和dll文件,后期的變種會(huì)在“%windir%Fonts”目錄下釋放一個(gè)dll文件和一個(gè)fon文件,同時(shí)關(guān)閉常用殺毒軟件和windows自動(dòng)更新。
2、AUTO病毒
該病毒在各磁盤(pán)分區(qū)根目錄中生成AUTO病毒,分別是一個(gè)exe文件和autorun.inf輔助文件,它們都具有隱藏屬性。當(dāng)用戶(hù)鼠標(biāo)左鍵雙擊打開(kāi)有AUTO毒的盤(pán)符時(shí),病毒隨即觸發(fā)。隨后病毒就修改注冊(cè)表,創(chuàng)建服務(wù),達(dá)到開(kāi)機(jī)自啟動(dòng)的效果。
當(dāng)系統(tǒng)重新啟動(dòng)后,病毒便可自動(dòng)運(yùn)行起來(lái),很多這類(lèi)病毒會(huì)修改系統(tǒng)時(shí)間,使得某些根據(jù)系統(tǒng)時(shí)間判斷軟件有效期的殺毒軟件停止工作。導(dǎo)致系統(tǒng)安全防護(hù)能力喪失,更容易被其它病毒侵入。
隨后,該病毒會(huì)嘗試感染、阻止或干擾已安裝的殺毒軟件正常運(yùn)行比如用戶(hù)使用金山毒霸的反間諜隱蔽軟件掃描時(shí),病毒會(huì)突然彈出大量關(guān)于偽裝成與金山毒霸相關(guān)的網(wǎng)頁(yè)。由于這些病毒網(wǎng)頁(yè)打開(kāi)的的速度極快、數(shù)量繁多,系統(tǒng)資源將會(huì)被嚴(yán)重占用,最后甚至?xí)罊C(jī)。
3、灰鴿子
這個(gè)木馬黑客工具大體于2001年出現(xiàn)在互聯(lián)網(wǎng)上,當(dāng)時(shí)被判定為高危木馬。2004年的感染統(tǒng)計(jì)表現(xiàn)為103483人,而到2005年數(shù)字攀升到890321人。該病毒從2004年起連續(xù)三年榮登國(guó)內(nèi)10大病毒排行榜,至今已經(jīng)衍生出超過(guò)6萬(wàn)個(gè)變種。
灰鴿子病毒的文件名由攻擊者任意定制,病毒還可以注入正常程序的進(jìn)程隱藏自己, Windows的任務(wù)管理器看不到病毒存在,需要借助第三方工具軟件查看。中灰鴿子病毒后的電腦會(huì)被遠(yuǎn)程攻擊者完全控制,黑客可以輕易的復(fù)制、刪除、上傳、下載保存在你電腦上的文件,還可以記錄每一個(gè)點(diǎn)擊鍵盤(pán)的操作,用戶(hù)的QQ號(hào)、網(wǎng)絡(luò)游戲帳號(hào)、網(wǎng)上銀行帳號(hào),可以被遠(yuǎn)程攻擊者輕松獲得。更有甚者,遠(yuǎn)程攻擊者可以直接控制攝像頭,遠(yuǎn)程攻擊者在竊取資料后,還可以遠(yuǎn)程將病毒卸載,達(dá)到銷(xiāo)毀證據(jù)的目的。灰鴿子自身并不具備傳播性,一般通過(guò)捆綁的方式(包括:網(wǎng)頁(yè)、郵件、IM聊天工具、非法軟件)進(jìn)行傳播。
4、熊貓燒香
“熊貓燒香”是由Delphi語(yǔ)言編寫(xiě)的蠕蟲(chóng),終止大量的反病毒軟件和防火墻軟件進(jìn)程。病毒會(huì)刪除擴(kuò)展名為gho的文件,使用戶(hù)無(wú)法使用ghost軟件恢復(fù)操作系統(tǒng)?!靶茇垷恪备腥鞠到y(tǒng)的.exe、.com、.pif、.src、.html、.asp文件,添加病毒網(wǎng)址,導(dǎo)致用戶(hù)一打開(kāi)這些網(wǎng)頁(yè)文件,IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤(pán)各個(gè)分區(qū)下生成文件autorun.inf和setup.exe,還會(huì)通過(guò)QQ最新漏洞、網(wǎng)絡(luò)文件共享、默認(rèn)共享、系統(tǒng)弱口令、U盤(pán)及移動(dòng)硬盤(pán)等多種途徑傳播。而局域網(wǎng)中只要有一臺(tái)機(jī)器感染,就可以短時(shí)間內(nèi)傳遍整個(gè)網(wǎng)絡(luò),感染嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓或系統(tǒng)崩潰。
5、AV終結(jié)者
AV終結(jié)者集目前最流行的病毒技術(shù)于一身,而且破壞過(guò)程經(jīng)過(guò)了嚴(yán)密的“策劃”,普通用戶(hù)一旦感染該病毒,從病毒進(jìn)入電腦,到實(shí)施破壞,四步就可導(dǎo)致用戶(hù)電腦喪失安全防護(hù)能力。
1)禁用所有殺毒軟件以相關(guān)安全工具,讓用戶(hù)電腦失去安全保障;
2)破壞安全模式,致使用戶(hù)根本無(wú)法進(jìn)入安全模式清除病毒;
3)強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁(yè),只要在網(wǎng)頁(yè)中輸入“病毒”相關(guān)字樣,網(wǎng)頁(yè)遂被強(qiáng)行關(guān)閉,即使是一些安全論壇也無(wú)法登陸,用戶(hù)無(wú)法通過(guò)網(wǎng)絡(luò)尋求解決辦法;
4)在各磁盤(pán)根目錄創(chuàng)建可自動(dòng)運(yùn)行的exe程序和autorun.inf文件,一般用戶(hù)重裝系統(tǒng)后,會(huì)習(xí)慣性的雙擊訪(fǎng)問(wèn)其他盤(pán)符,病毒將再次被運(yùn)行。
摧毀用戶(hù)電腦的安全防御體系后,“AV終結(jié)者”自動(dòng)連接到指定的網(wǎng)站,大量下載各類(lèi)木馬病毒,盜號(hào)木馬、廣告木馬、風(fēng)險(xiǎn)程序接踵而來(lái),使用戶(hù)的網(wǎng)銀、網(wǎng)游、QQ帳號(hào)密碼以及機(jī)密文件都處于極度危險(xiǎn)之中。
6、艾妮
艾妮是一個(gè)Win32平臺(tái)下的感染型蠕蟲(chóng),可感染本地磁盤(pán)、可移動(dòng)磁盤(pán)及共享目錄中大小在10K---10M之間的所有.exe文件,感染擴(kuò)展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件,并可連接網(wǎng)絡(luò)下載其他病毒。
“艾妮”病毒集熊貓燒香、維金兩大病毒危害于一身,傳播性與破壞性極強(qiáng),不但能瘋狂感染用戶(hù)電腦中的.exe文件,而且還可導(dǎo)致企業(yè)局域網(wǎng)大面積癱瘓。更為嚴(yán)重的是,“艾妮”利用微軟最新發(fā)現(xiàn)的動(dòng)畫(huà)指針漏洞進(jìn)行傳播,幾乎就在微軟最新的動(dòng)畫(huà)光標(biāo)漏洞發(fā)現(xiàn)的同時(shí),就開(kāi)始利用該漏洞進(jìn)行傳播,而且隱蔽性更強(qiáng),用戶(hù)很難察覺(jué)。
7、MSN機(jī)器人
這是一個(gè)通過(guò)MSN傳播的病毒,該病毒有很多變種。該病毒的主要特點(diǎn)是通過(guò)MSN發(fā)送消息+病毒文件給好友。好友接收運(yùn)行文件后,就會(huì)感染病毒。最新截獲的變種為圣誕節(jié)變種,該變種會(huì)向msn好友隨機(jī)發(fā)送“Christmas photo! :D”、“xmas photo!: D”等消息,并同時(shí)發(fā)送“Chirstmas-2007.zip”文件,解壓后的文件名為img2007-12.JPEG.scr,用戶(hù)運(yùn)行該文件就會(huì)中毒。
該病毒會(huì)連接IRC聊天室,由IRC聊天室接受黑客指令進(jìn)行遠(yuǎn)程控制,使用戶(hù)文件、資料、信息等面臨被盜;并且用戶(hù)主機(jī)可能成為“肉雞”。
8、維金變種
2006年在互聯(lián)網(wǎng)上瘋狂肆虐的“維金”又出現(xiàn)了新的變種,危害更加嚴(yán)重。該病毒運(yùn)行后,會(huì)在電腦系統(tǒng)里釋放WebTime.exe病毒文件,并把自身注入到IEXPL0RE.EXE,連接到指定站點(diǎn)并搜尋電腦硬盤(pán)中的所有擴(kuò)展名為.exe的文件,進(jìn)行感染。某些變種還會(huì)在每個(gè)磁盤(pán)的根目錄下生成病毒文件,使當(dāng)用戶(hù)點(diǎn)擊磁盤(pán)盤(pán)符時(shí),便可立即激活病毒。
它還會(huì)把自身注入到用戶(hù)電腦的IE進(jìn)程里,同時(shí)終止多個(gè)殺毒軟件的監(jiān)控進(jìn)程,并連接到指定的惡意站點(diǎn),下載盜號(hào)木馬或者其他感染型病毒,進(jìn)一步侵害用戶(hù)的電腦系統(tǒng),不但導(dǎo)致用戶(hù)的系統(tǒng)硬盤(pán)的資料和數(shù)據(jù)文件被損壞,而且有可能出現(xiàn)用戶(hù)的電腦資料外泄和網(wǎng)絡(luò)虛擬財(cái)產(chǎn)被盜等現(xiàn)象。
9、瓢蟲(chóng)病毒
“瓢蟲(chóng)”病毒與熊貓燒香類(lèi)似,感染性極強(qiáng),用戶(hù)電腦一旦感染該病毒,除系統(tǒng)盤(pán)外,被感染后的exe文件圖標(biāo)將變成綠色的“小瓢蟲(chóng)”;同時(shí),用戶(hù)電腦內(nèi)的瀏覽器、任務(wù)管理器、文件夾選項(xiàng)、系統(tǒng)時(shí)間等項(xiàng)目都將遭受破壞。該病毒還會(huì)打開(kāi)各盤(pán)共享,使得計(jì)算機(jī)資源可以被隨意訪(fǎng)問(wèn)下載。最主要的是,“瓢蟲(chóng)”病毒使用覆蓋式感染文件,被感染后的文件將無(wú)法被恢復(fù)。
10、網(wǎng)絡(luò)紅娘
網(wǎng)絡(luò)紅娘是一個(gè)遠(yuǎn)程控制的木馬,網(wǎng)絡(luò)紅娘可以輕易盜取被入侵者計(jì)算機(jī)上的信息。如:網(wǎng)游帳號(hào),銀行帳號(hào)等。常被用于網(wǎng)絡(luò)游戲中盜取裝備。首先,持有病毒服務(wù)端的人會(huì)在網(wǎng)絡(luò)游戲中以女性角色“色誘”玩家,然后通過(guò)及時(shí)聊天工具(如QQ等)進(jìn)行視頻聊天,等玩家的戒備心理降低時(shí),發(fā)送“我的照片”給對(duì)方,當(dāng)玩家打開(kāi)病毒偽裝的“照片”時(shí),病毒開(kāi)始運(yùn)行。該木馬運(yùn)行后會(huì)監(jiān)視鍵盤(pán)和鼠標(biāo)動(dòng)作,收集客戶(hù)端計(jì)算機(jī)的信息。然后,將這些信息發(fā)送給盜號(hào)者或黑客。盜號(hào)者可以發(fā)送命令查看他的桌面、當(dāng)前運(yùn)行的窗口的標(biāo)題、文件的列表、文件的內(nèi)容以及鍵盤(pán)記錄等等。當(dāng)發(fā)現(xiàn)了有用的信息之后,盜號(hào)者就趁機(jī)盜取。
2007年其他值得特別關(guān)注的惡性病毒/木馬
“色戒”病毒
“色戒”病毒并不是特指某個(gè)一病毒。而是借助電影《色戒》熱播進(jìn)行傳播的病毒。病毒在一些網(wǎng)站上以“色戒”或“色戒完整版”的名義供用戶(hù)下載。當(dāng)用戶(hù)下載完雙擊運(yùn)行時(shí),則病毒爆發(fā),并下載執(zhí)行大量其它病毒,如盜號(hào)木馬等。
因此,用戶(hù)在下載電影后,如果字節(jié)數(shù)很小的話(huà),往往只有幾K的大小,則很有可能是病毒。而電影一般都有幾百兆的大小。
8749惡意軟件
2007年7月以來(lái),8749的惡意軟件在互聯(lián)網(wǎng)上大肆傳播,大量用戶(hù)的IE瀏覽器首頁(yè)被篡改為www.8749.com。由于8749采用了今年上半年的“毒王”AV終結(jié)者最新的病毒攻擊技術(shù),故普通用戶(hù)很難徹底清除。
8749不但具備流氓軟件的一些基本特性,而且采用了刪除系統(tǒng)文件、破壞安全模式等最流行的病毒攻擊手段。與AV終結(jié)者相似,用戶(hù)一旦中招,不但相關(guān)的修復(fù)工具、殺毒軟件被禁用,而且只要用戶(hù)打開(kāi)帶有“8749病毒”、“清除8749”字樣的窗口,窗口即刻被關(guān)閉。
|