瑞星2012年上半年中國信息安全報告
2012-07-10 13:34:38免責聲明
本報告綜合瑞星“云安全”系統、瑞星客戶服務中心、瑞星互聯網攻防實驗室等部門的統計、研究數據和分析資料,僅針對中國大陸地區2012年1至6月網絡安全現狀與趨勢進行統計、研究和分析。本報告提供給媒體、公眾和相關政府及行業機構作為互聯網信息安全狀況的介紹和研究資料,請相關單位酌情使用。如若本報告闡述之狀況、數據與其他機構研究結果有差異,請使用方自行辨別,瑞星公司不承擔與此相關的一切法律責任。
報告概要
2012年1至6月,瑞星“云安全”系統共截獲新增病毒樣本3,349,373個,其中木馬病毒2,808,723個,占據總體病毒比例的83.86%。 從表面上看,病毒疫情似乎處于“風平浪靜”的狀態,但實際上病毒將其破壞行為轉變為“地下操作”,用戶傳統觀念中的中毒后“電腦死機”、“無法上網”等現象不再是主流病毒采用的方式。64位操作系統、蘋果Mac操作系統均不斷遭受病毒攻擊,以往用戶心目中相對安全的系統的概念不復存在。
2012年1至6月,據瑞星“云安全”數據中心監測,截獲到掛馬網站(以網頁個數統計)237萬個,與去年同期的236萬個相比基本持平。2010年、2011年兩年掛馬網站連續下降90%以上的態勢到今年戛然而止,主要原因是掛馬網站形式單一,且技術上無本質突破,安全廠商現階段的防護技術可對其進行有效打擊。
2012年1至6月,瑞星截獲釣魚網站314萬個(以URL計算),是去年同期的1.3倍;共 9,903萬人次網民遭釣魚網站侵襲。假冒銀行、假冒中獎信息、假冒購物網站仍然占據著釣魚網站“頭三把交椅”,金融行業成為黑客攻擊的重災區。上半年數據顯示,彩票類釣魚網站成為黑客新寵,同時節假日及熱點事件成為黑客們關注的焦點。
隨著移動互聯網的迅速發展和智能手機的大面積應用,在給廣大用戶帶來方便的同時也帶來了巨大的安全隱患,在移動互聯網的三大平臺Android、IOS、Symbian中,Android系統由于其開放性較高,業已成為黑客攻擊的主要目標。據瑞星“云安全”數據監測顯示,僅今年上半年就截獲Android病毒樣本4,252個,其中功夫熊貓系列病毒最為猖獗。
上半年國內企業信息安全事故的頻發,企業網站、電子商務網站及政府信息網絡均曾遭到不同程度的攻擊,部分知名網站甚至出現大規模的數據泄露,導致用戶和企業的利益嚴重受損,企業級、國家級信息對抗已升級至“核戰”等級,近期爆發的“超級火焰”病毒就是最典型的代表。
瑞星預計,下半年中國信息安全狀況仍將動蕩不安,掛馬、網絡釣魚等威脅凸顯。報告分析認為,這些惡意行為幾乎全部是受經濟利益的驅使。而個人隱私安全仍然堪憂,不法分子千方百計竊取用戶的隱私信息。另外,瑞星專家預計,規模更大、技術更先進的大型網絡攻擊,在今后有可能愈演愈烈。
一、病毒與木馬
1. 病毒概述
2012年1至6月,瑞星“云安全”系統共截獲新增病毒樣本3,349,373個,病毒總體數量與去年同期相比有所下降。其中木馬病毒2,808,723個,占據總體病毒比例的83.86%,緊隨其后的病毒依次為感染型病毒(Win32)、蠕蟲病毒(Worm)、惡意廣告程序(Adware)、病毒釋放器(Dropper)和黑客后門(Backdoor)。
圖1:2012年1-6月病毒構成分析圖
2. 十大病毒排行:木馬病毒猖獗
2012年1至6月,共計7.4億人次網民被病毒感染,平均每天411萬人次網民中毒,按感染人數、變種數量和代表性進行綜合評估,瑞星評選出了2012年上半年的十大病毒。
圖2:2012年上半年十大病毒
3. 病毒技術趨勢分析:從“破壞”到“謀財”
通過對2012年1至6月新增樣本的病毒行為分析發現,今年的病毒數量與去年同期相比有所下降,從表面上看,似乎處于“風平浪靜”的狀態,但實際上病毒將其破壞行為轉變為“地下操作”,用戶傳統觀念中的中毒后“電腦死機”、“無法上網”等現象不再是主流病毒采用的方式。目前,最為流行的病毒均以篡改IE首頁、盜取用戶隱私信息等方式,實現為黑客帶來巨大經濟利益的目的。
1)病毒、殺軟“戰爭”進入白熱化
隨著殺毒軟件對病毒的強力圍剿,病毒作者對抗殺毒軟件的方法也不斷升級。以往,病毒通過增加垃圾數據將病毒文件不斷增大來規避“云查殺”,今年已升級為通過病毒守護進程,定時更新病毒MD5值的方式,使殺毒軟件無法進行有效識別。瑞星安全專家介紹:“這種方式就好比汽車的自動翻牌器一樣,在遇到檢查時,自動換上另一套號牌。”
此外,某些病毒竟然能夠做到使殺毒軟件“選擇性失明”。傳統病毒在進入系統后,為躲避殺毒軟件查殺,往往會利用各種手段,嘗試將其破壞,這種方式容易引起用戶和安全廠商的注意,從而察覺電腦中毒。因此,病毒作者進行了策略調整,借助一些正常軟件的數字簽名,“合法化”的繞過殺毒軟件的檢測機制,使殺毒軟件不將其視為病毒,而是當作“正常軟件”放行。
例如,瑞星“云安全”系統近期監測到一款名為Trojan.Win32.FakeIME的病毒,該病毒將自身偽裝成為某知名輸入法圖標,并盜用其數字簽名,從而逃避殺毒軟件的監控和查殺。瑞星安全專家介紹,病毒采用的技術在進步,殺毒軟件的查殺技術也在不斷提高。預計今年下半年,病毒和殺毒軟件的對抗將會向白熱化升級。
2)網銀盜號愈演愈烈,病毒趨于智能化
隨著網上購物、網銀交易的不斷普及,大批黑客開始專注劫持網銀進行獲利。2012年上半年,瑞星“云安全”系統智能分析處理中心經過對流行病毒行為方式自動提取規則后發現,針對網銀類的木馬病毒使用的技術發生了明顯變化。
以最為知名的“網銀超級木馬”為例,最初的樣本往往采用惡意DLL文件實現篡改支付信息的方式,如今發展到通過解密并將惡意代碼注入到傀儡進程中,由傀儡進程去實行惡意行為,這樣做的目的是能夠繞開一些殺毒軟件的主動防御規則,從而逃避查殺。
如圖所示,最初“網銀超級木馬”和近期最新變種行為流程對比圖:
圖3:“網銀超級木馬” 最新變種行為流程對比圖
3)感染型病毒蔓延,64位操作系統不再安全
通過對1至6月的數據分析發現,感染型病毒*依舊是繼木馬之后的第二大病毒類型。另外,隨著64位操作系統的逐漸普及,感染64位PE文件的病毒呈明顯上升趨勢,這意味著64位操作系統已不再安全,尤其是企業級用戶應采取相應的安全保障措施,才能預防此類信息安全威脅。
上半年,一種可感染64位操作系統的“Xpaj”病毒悄然流傳,“Xpaj”比以往所有感染型病毒都要復雜,不僅使用了傳統的入口點模糊、多態等技術,最為復雜的地方是它將病毒代碼替換掉原程序中子函數的代碼,從而與原程序代碼很好的融為一體,給傳統殺毒軟件在清除該病毒時造成了巨大的困難,“不是殺不了,就是殺后被感染文件無法使用”。
*注釋:感染型病毒具有易傳播,不易清除等特點,同時會給用戶造成巨大的危害。傳統的普通感染型病毒如:在文件末尾增加節、增加最后一個節大小、修改PE文件入口點。針對這種普通感染型病毒,傳統殺毒軟件比較容易清除干凈,但是新型的復雜的感染型病毒業已出現。
4)Mac OS X安全優勢不在,蘋果用戶安全意識需加強
蘋果曾經自豪的宣稱其開發的Mac OS X操作系統不易受病毒攻擊。然而近期,蘋果在網站上移除了“Mac不會感染PC病毒”和“保障你的數據安全,什么也不用做”的說法,其原因是蘋果Mac電腦近期遭到Flashback僵尸網絡的攻擊。這使蘋果意識到,自己的系統也并不像預想的那樣百毒不侵。
瑞星安全專家指出,世界上沒有絕對安全,只有相對安全。用戶之所以認為Mac系統安全性高,是由于此前的用戶數較Windows相差甚遠。隨著近年來,蘋果產品在中國用戶中的迅速普及,黑客針對該系統的入侵價值大大提升,因此,Mac安全問題才顯露出來。未來這種情況還可能繼續升溫,廣大用戶需要提高安全意識。
