瑞星2011年上半年安全報告
2011-07-20 16:28:39報告概要:
根據瑞星“云安全”系統提供的數據綜合分析,2011年上半年中國互聯網安全領域呈現以下特征:
1、病毒總量比去年同期上升25.2%。
2、掛馬網站數量比去年同期下降90%,受害網民數量有明顯下降。
3、釣魚網站案例急劇增加,釣魚網站和線下詐騙廣泛結合,使得詐騙者的犯罪成本急劇下降,跨地區、甚至跨國型犯罪增多。
4、手機病毒增加,安卓平臺成為未來黑客與病毒肆虐的場所。
5、“云攻擊”(Threats to Cloud)正在變成現實,儲存了大量用戶資料和行為的“云提供商”,例如微博、社交網站、網絡存儲,甚至包括傳統的電信運營商和酒店業者,正在面臨前所未有的安全風險。
安全核心數據簡析 :
1、報告期內(2011.1.1-2011.6.30),瑞星“云安全”系統共截獲新增病毒樣本5286791個,病毒總體數量與去年同期相比上升25.2%。其中木馬病毒4024499個,占據總體病毒比例的76.12%,比去年55.54%的比例有大幅提高。
2、報告期內,瑞星截獲的掛馬網站(網頁數量)總數目為236萬個,比去年同期下降了91.2%(2010年同期為2666萬),約為2009年同期的1%。出現此情況的原因,在于“云安全”技術的成功實施,打破了黑色掛馬產業鏈的運行,使得網站掛馬無利可圖,迫使黑客逐漸放棄此種攻擊手段。
3、網絡釣魚的危害達到新的高度,上半年瑞星截獲釣魚網站218萬個(以URL計算),共1億零53萬人次網民遭釣魚網站侵襲,按照此類詐騙的平均金額計算,直接經濟損失至少在百億以上。其中,虛假藥品、偽劣保健品、偽劣數碼產品,成為釣魚網站最為熱衷出售的“商品”。
4、假淘寶網站、假騰訊網站、假工商銀行網站、假中國銀行網站,占據了釣魚網站的前四位。“假團購網站”和“假購物網站”在總體數量的比例中雖然不高,但其產生的危害巨大。比如有人在搜索引擎購買廣告,出售假冒iPhone 4手機,上當者眾多。
5、危害安卓系統的手機病毒大量出現,在目前已有的手機病毒樣本中,安卓系統病毒約占總量的20%。在可以預見的未來,主要攻擊安卓手機和平板電腦的病毒,將對用戶產生巨大威脅。
6、國內廠商安全服務市場發育程度低,企業用戶僅投資于軟硬件產品,很少采購安全服務,使得針對大型商家的黑客攻擊層出不窮。
?
免責聲明:
本報告綜合瑞星“云安全”數據中心的統計,僅針對中國安全數據及問題進行統計、研究和分析。本報告提供給媒體、公眾和相關政府及行業機構、廠商作為互聯網信息安全狀況的介紹和研究資料,請相關單位酌情使用。如若本報告闡述之狀況、數據與其它機構研究結果有差異,請使用方自行辨別,瑞星公司不承擔與此相關的一切法律責任。
?
一、病毒和木馬
1、病毒概述
2011年上半年,瑞星“云安全”系統共截獲新增病毒樣本5,286,791個,病毒總體數量與去年同期相比上升25.2%。其中木馬病毒4,024,499個,占據總體病毒比例的76.12%,緊隨其后的病毒依次為感染型病毒(win32)、后門、病毒釋放器(Dropper)和廣告程序。
2、十大病毒排行
上半年共逾7.4億人次網民被病毒感染,平均每天411萬人次網民中毒,按感染人數、變種數量和代表性進行綜合評估,瑞星評選出了2011年上半年的十大病毒。
3、病毒技術趨勢分析?
通過對1至6月新增樣本的病毒行為分析發現,病毒正在由傳統的低級匯編語言編寫,逐漸轉變為兼并使用低級和高級語言混合撰寫的方式,由匯編語言編寫的引導部分去加載由高級語言編寫的病毒主體。由于使用高級語言編寫,成本更低、開發周期更短,使得這種“混合型病毒”在總體病毒中的比例增加極多。
報告期內,瑞星共截獲感染型病毒(win32)445,957個,占據總體病毒比例的8.44%,已經成為繼木馬之后的第二大類病毒類型。
感染型病毒結構趨于簡單化 編寫更簡單功能更強
報告期內,瑞星截獲了一批后綴為.dll的感染型病毒樣本。這種后綴為.dll的文件是Windows下的動態庫文件,這些后綴為.dll文件的宿主文件,通常是Windows操作系統的系統動態庫。病毒會騙取操作系統或者應用程序的信任。當用戶要運行某些需要加載系統動態鏈接庫的正常程序時,程序會加載“帶毒的系統動態庫”,從而使得電腦中毒。
此類新病毒操作簡單,代碼短小,所以很容易實現;被修改的宿主程序的變化不大,隱蔽性好;短小的匯編代碼又更容易編寫,且更容易使用變形引擎做變形躲避殺毒軟件的查殺。而病毒的主要功能則轉移到另一dll文件,只要使用常規的軟件開發工具和高級語言就可以快速實現各種功能,且變種繁多。
高級語言編寫的病毒開始流行
傳統的病毒通常使用匯編語言編寫,但是由于匯編語言難度很大,普通黑客一般不會去花費時間學習這種“用處不大”的語言,即使能掌握此語言,編寫一個病毒也要花費很長時間。而且往往這種精雕細琢的病毒出現后,雖然有著變形引擎的保護,但如果特征上存在著一些共性,就很容易被殺毒軟件公司通殺。
病毒一旦寫好,再做大幅度的修改來躲避查殺的成本又過大。所以在與殺毒廠商抗衡的過程中,病毒的制作者,逐漸地引進了高級語言來協助快速地開發感染型病毒。目前最早發現使用高級語言編寫的感染型病毒之一是Kuku,它使用了內嵌C++語言編寫病毒主體,外層使用了匯編編寫一個PE加載器來自己加載內嵌的病毒體。
當宿主程序執行時,病毒會截獲到執行權限,將執行流程跳轉到事先編寫的加載器上,通過加載器來加載高級語言生成的病毒主體,其主要的病毒功能就是在這里實現。由于使用了高級語言來實現主要功能,所以一些曾經不可思議的高級功能都可以由這個病毒主體來實現,同時這些病毒還可以使用正常軟件的功能代碼,如Win32.Kuku家族的病毒主體中就包含著一套類似常規P2P下載軟件的網絡傳輸引擎,用于在不同的主機中實現病毒更新和信息共享。
感染型病毒功能趨于多元化
傳統的感染型病毒,通常的危害性指標是傳播途徑、傳播速度。而現在的新型感染病毒,則加入了更多的功能,以求實現自己的目的。比如,Win32.Crypt.p病毒就擁有盜號木馬的特征,它會截取用戶的屏幕、記錄用戶鍵盤輸入的信息,并偷偷把這些用戶信息發送給病毒編寫者。
還有的感染型病毒包含有后門功能,如Virut變種病毒,就含有一個小型的后門客戶端,用于獲取用戶操作系統信息、系統運行情況,同時還具有下載運行指定應用程序等功能。
4、手機病毒
隨著安卓系統的盛行,安卓系統的手機數量從2010年初開始迅速增長,基于安卓系統的病毒也隨之迅猛增加。在極短的時間內,安卓病毒數量就占據了整體病毒數量的20%。而且由于安卓系統的應用與原有的塞班系統不同,導致兩個平臺的手機病毒有極大不同。
由上圖可以看出,安卓病毒的66.14%是流氓程序,主要通過與其它安卓應用捆綁來侵入用戶電腦;而竊取隱私的病毒占據了總體數量的10.61%。而塞班病毒則主要竊取用戶隱私和通過傳播、耗費電池來危害用戶手機。之所以產生此類不同,是因為安卓系統更加開放,應用在安卓系統上可以實現更多的功能,從而導致泄露隱私的機會增加。
2011年6月,10余個含有Rootkit功能的應用被放到了google電子市場中。瑞星公司的研究發現,這些含毒應用到電腦之后,有的會嘗試突破系統權限(ROOT安卓系統),有的利用Dalvik類裝載能力保持隱身,逃避殺毒軟件的追殺。
7月初,瑞星截獲了一個安卓系統手機病毒——“安卓殺手”,病毒主要影響Android 2.0至2.2三個版本的系統,用戶一旦中毒,病毒將攔截10086發送到手機上的任何短信、上傳手機設備信息、手機sim卡信息,最終會定制大量短信增值服務,扣取高額話費。
