瑞星XXXX上半年互联网安全报告

瑞星2010上半年互联网安全报告报告概要：根据“瑞星云安全”系统提供的数据综合分析，2010年上半年中国互联网安全领域呈现以下三大特征：1、病毒总量比去年同期相比下降53.7%，给用户造成的威胁程度有所降低；2、挂马网站数量比去年同期下降90%，受害网民数量下降；3、钓鱼网站案例急剧增加，黑客采用了多种手段来直接获取利益，钓鱼网站给网民造成的危害首次超过病毒和木马。安全核心数据简析：1、报告期内(2010.1.1-2010.6.30)，瑞星“云安全”系统共截获新增病毒样本4221366个，病毒总体数量与去年同期相比下降53.7%。其中木马病毒2344637个，占总体比例55.54%，木马和后门仍然是威胁网民利益最为严重的两类病毒。2、上半年共有5.96亿人次网民被病毒感染，平均每天331万网民中毒。去年同期有11.2亿人次网民遭病毒攻击，2010年下降趋势明显，说明网民遭侵袭的趋势有所缓解。3、报告期内，瑞星截获的挂马网站(网页数量)总数目为2666万个，比去年同期下降了90%。这是自2006年以来，挂马网站数量首次下降。出现此情况的原因，在于“云安全”概念的成功实践，瑞星“云安全”系统的数据，已被应用到了搜索、网游等多个领域，从而遏制了挂马网站的猖獗势头。4、得益于国家相关部门对于国内网站、域名的严格管理，使用CN域名的木马网站大幅下降。目前被黑客广泛用来当作木马网站域名的类型为org，报告期内瑞星共拦截此类域名挂马网站14505013次，有81.5%的木马网站使用。5、网络钓鱼的黑色产业链初步形成，以医药、美容、成人用品、证券咨询等传统行业受害最为严重。这给受害者带来极大的经济损失，有的网民甚至会被骗数十万元。整个网络钓鱼行业给社会带来的间接损失可能超过200亿元。6、钓鱼网站主要以：虚假中奖、虚假购物(类似电视购物)和虚假广告等方式存在，而且很多正规商业公司参与到了整个产业链当中，造成了庞大的灰色网络势力。普通网民对于这些网站没有辨识能力，急需通过技术来遏制这种钓鱼网站肆虐的势头。7、报告期内，瑞星“云安全”系统共截获钓鱼网站86307个。但由于目前的技术手段、辨识手段局限，真实存在的钓鱼网站可能数十倍于这个数字。瑞星公司的统计研究表明，病毒、木马这种“单纯的安全问题”已经解决，但随之而来的是更加复杂的互联网安全问题。“病毒”+“诈骗团伙”+“互联网”+“各种商业利益”纠缠在一起，给安全厂商保护用户利益带来了强大的阻力，这些问题的最终解决不但需要通过瑞星这样的安全厂商提供更好的技术防护，还需要相关合作伙伴、政府部门等的共同努力。免责声明：本报告综合瑞星“云安全”数据中心的统计，仅针对中国互联网安全数据及问题进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构、厂商作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用，如若本报告阐述之状况、数据与其它机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。一、病毒和木马1、病毒概述2010年上半年，瑞星“云安全”系统共截获新增病毒样本4221366个，病毒总体数量与去年同期相比下降53.7%。木马病毒2344637个，占总体55.54%，紧随其后的病毒依次为【后门病毒】、【蠕虫病毒】、【Rootkit】和其他病毒。2、十大病毒排行上半年共有5.96亿人次网民被病毒感染，平均每天331万网民中毒,按感染人数、变种数量和代表性进行综合评估，瑞星评选出了2010年上半年的十大病毒。3、病毒技术趋势分析通过分析瑞星“云安全”截获的病毒样本发现，现在的病毒很少出现对系统可见的显著危害，类似“熊猫烧香”、“橙色八月”之类的能够给电脑带来严重破坏的病毒已经大幅度下降，绝大多数木马病毒全部以经济利益为目的，用户在中毒后，没有明显的异常现象，不会影响电脑上网等正常工作。木马病毒赚钱的两种主要方法：第一类是传统的盗号木马病毒，占木马总数的40%，此类病毒通常在用户访问挂马网站后，感染了病毒下载器，之后由病毒下载器不断更新到用户电脑中进行账号密码盗窃。这类病毒以窃取游戏帐号、通过灰色渠道销赃赚钱。第二类是刷网站流量类木马，占总体的57%，此类病毒通常是用户访问恶意下载站后，因点击凌乱的下载链接，而直接感染。此类病毒不直接对抗杀毒软件，采用绕过主动防御、躲避查杀等灵活的方式，在杀毒软件眼皮下修改浏览器默认首页，在桌面上不断生成恶意网站快捷方式，从而为黑客和恶意网站主带来巨大流量。这些病毒通常与正规商业公司勾结，由正规公司付给他们推广费用。2010年病毒的三种新技术趋势：第一，病毒行为趋于“操作合法化”，利用看似“合法化”的操作实现病毒行为。例如，修改用户IE首页病毒，让电脑不断访问黑客指定页面，为黑客赚取大量金钱。病毒代表：“流氓主页木马”，病毒会采用生成一个与正常IE浏览器图标一摸一样的IE快捷方式，通过修改快捷方式的方法，实现修改用户的默认首页，病毒制作者采用了这种看似是一种“正常操作的方法”躲避杀毒软件，使多数杀毒软件对此无能为力。随着此类病毒的不断变种，互联网上通过修改快捷方式、文件默认关联、软件图标等方式,引导网民到恶意网站的病毒已经越来越多，一些安全软件对如此频繁的变化根本无法有效解决，专家建议用户选择专业的瑞星杀毒软件和卡卡上网安全助手，有效处理以上问题。第二，病毒利用假桌面或假关机等方式，切断杀毒软件与用户之间的交互，从而使杀毒软件失效。通常杀毒软件在拦截或查杀病毒的时候都需要一个与用户交互的平台，而这个平台就是用户电脑桌面，当一个病毒运行后，杀毒软件监控进行拦截，不论是按照默认设置或弹出窗口提示都是基于电脑桌面的，如果这个桌面没有了，所有的这些拦截就无法生效，也就是说杀毒软件没有用了。例如，桌面闪客病毒(Trojan.PSW.Win32.DesktopFlasher.a)，该病毒运行后会自己建立一个桌面把用户正常桌面替换，从而使杀毒软件失效。第三，“特种木马”在政府机关等单位的网络中肆虐。这种类型的木马病毒会将U盘中的文档拷贝复制到电脑中，然后通过整个局域网传播，将文档复制到网络中的每一台机器上，并发送给黑客，从而使国家机密或企业内部重要文档遭到泄露。二、挂马网站1、挂马网站概述瑞星“云安全”数据中心的统计表明，2010年上半年截获的挂马网站(网页数量)总数目为2666万个，比去年同期下降了90%。这是因为瑞星软件客户端“防挂马”技术的应用，以及把“云安全概念”成功应用到了数百家互联网主要厂商之中，两者相加取得的结果。2010年上半年，黑客通过挂马网站攻击用户的成功率大幅度下降，挂马网站攻击总次数近1.4亿次，比去年同期下降了85%。同期，尽管微软操作系统及其相关软件被曝了45个漏洞，但并未给总体的挂马网站安全带来负面影响。从数据来看，0Day漏洞是黑客进行网站挂马的主要方式之一，黑客通常利用0day漏洞补丁发布之前的空窗期(*注)，大规模入侵用户的电脑系统，从中获取大量有价值的信息内容。微软3月份发布的漏洞“KB981374”是黑客挂马最常使用的漏洞之一。注：系统漏洞、软件漏洞在网络上被曝光之后，厂商需要一段时间来开发补丁程序，在对其进行测试后发布，而曝光和发布之间的时期，被称为“空窗期”。2、挂马网站及相关数据统计瑞星“云安全”数据中心2010年上半年的监测数据，统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量，截获到的挂马网站(以网页个数统计)数目总计26658919个，拦截次数总计138479564次。2010年上半年，瑞星“云安全”数据中心已拦截到138479564人次访问挂马网站，每天平均访问人次达769331次。也就是说，平均每天有近77万人次网民访问过恶意网页。挂马网站：指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。木马网站：是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中运行。3、木马网站域名瑞星“云安全”数据中心截获的数据表明，2010年上半年被拦截的木马网站域名类型排行如下图，排名第一是【.org】，拦截量达14505013次，有81.5%的木马网站使用，前五名中排名紧随其后的域名依次为【.com】、【.cn】、【.info】、【.com.cn】。通过数据分析发现，2009年上半年木马网站域名第一位的是【.cn】域名，拦截量达10402029次，【.org】域名排在第三位，拦截量达1418128次。2009年底国家停止个人用户cn域名注册后，黑客开始利用【.org】域名作为木马网站的地址，这就是【.org】域名快速成为黑客最常用的木马网站域名的原因。4、网页挂马的主要方式网站挂马，是指黑客利用网站程序或者语言脚本解释的漏洞，上传一些可以直接对站点文件进行修改的脚本木马，然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改，通常是frame或者script，也存在一些其它挂马方式比如病毒下载、伪装挂马、CSS挂马等。通过瑞星云安全监测显示，2010上半年的挂马方式主要以“JS挂马”为主，每个月均占60%左右。同时通过图表数据可以看出，框架挂马方式呈上升趋势，这种挂马方式相对比较隐蔽，不容易被察觉。相反，由于杀毒软件主动防御的强大功能，病毒文件下载到本地后会被监控发现并直接清除，因此通过病毒下载的挂马方式正逐渐减少。主要挂马方式所占比例如下图所示：三、网络钓鱼1、网络钓鱼概述网络钓鱼(英文为Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击)，传统意义上指的是利用伪造银行网站的方式，窃取用户银行帐号的行为。但随着网络应用越来越复杂，中国互联网上出现了很多对其“发扬光大”的诈骗形式。比如在2008年5月，汶川地震期间，就有黑客仿造“中国红十字会网站”，企图骗取捐款。瑞星认为，凡是企图利用人们对著名品牌、网站和机构的信任，通过网络进行诈骗活动的行为，都可以称为“网络钓鱼”。由于绝大多数钓鱼网站无木马病毒或恶意代码，所以安全厂商通过技术手段很难全面监控并及时去除处理钓鱼网站的威胁。目前，多数钓鱼网站为逃避相关部门对其监控和取证，生命周期很短，通常一个钓鱼网站在网上的生存时间不超过一个月，有的只存活几天甚至几个小时。基于上述原因，现阶段安全厂商无法全面、准确收集钓鱼网站的权威数据。2010年上半年，瑞星“云安全”系统截获的钓鱼网站数累计达86307个，目前存活的钓鱼网站大约有2万多个。钓鱼网站类型排名第一是【假冒中奖信息的钓鱼网站】，有81%的钓鱼网站使用;【假冒购物网站的钓鱼网站】占总数的16%;【假冒银行网站】占3%。但据估计，真实存在的钓鱼网站数量应该是此数量的数十倍。2、网络钓鱼深入解析传统上“钓鱼网站”通常仅指假冒银行、假冒邮箱的网站，但近年来，随着互联网应用的出现，多种发端于互联网的“网络钓鱼骗局”开始出现，而钓鱼网站更成为庞大的互联网诈骗中的重要环节。比如：近年来多次出现的假冒著名网站销售伪劣商品，假冒支付网站骗取钱财，假冒证券网站骗取股民咨询费等等。据不完全统计，目前钓鱼网站主要分为以下三大类：A、仿冒著名网站B、欺诈网站C、中奖骗局(1)六大类仿冒网站分析仿冒著名网站是互联网上最古老、最传统的钓鱼诈骗方式。最早被诈骗者瞄准的目标都是国际著名银行——如花旗银行、汇丰银行早在十几年前就成为互联网上被假冒的对象。目前，国内主要有以下七类网站常被黑客仿冒用来钓鱼：第一、仿冒QQ网站及客户端此类仿冒网站通常用来骗取用户的QQ帐号和密码。黑客会在一些不良网站嵌入代码，模仿QQ弹窗时的声音，并随之在右下角出现一个仿真度很高的QQ消息提醒窗，当用户点击该窗口去登陆QQ、或者领取奖品时就会受骗。用户在假QQ网站填写帐号和密码后，黑客会把这些号码私下出售牟利。如果是“QQ中奖类”的骗局，骗子会要求用户“先交手续费再领奖”。第二、仿冒邮箱黑客会构造仿真度极高的邮箱登陆页面。根据数据统计，目前被仿冒居前三位的是QQ邮箱、163邮箱、