瑞星XXXX年中国信息安全综合报告

SecDr.com专注于信息安全&网络安全资讯报道.文章来源:免责声明本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星互联网攻防实验室等部门的统计、研究数据和分析资料，仅针对中国大陆地区2012年1至12月信息安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其它机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。报告概要2012年1至12月，瑞星“云安全”系统共截获新增病毒样本1,181万余个，病毒总体数量比2011年相比上升了28.1%。其中木马病毒886万余个，占总体病毒比例的75.06%，是第一大种类病毒。黑客利用正规公司发布的软件捆绑恶意程序来传播病毒，这种手段俗称为“白+黑”，目前已在网上广泛流行。同时，QQ群蠕虫病毒也在大面积威胁网民的上网安全。据瑞星“云安全”系统监测，2012年全年截获挂马网站516万个（以网页个数统计），比2011年同期增加了48.7%。钓鱼网站截获597万个（以URL计算），拦截钓鱼网站攻击19,909万人次。瑞星安全专家表示，钓鱼攻击已逐步取代网页挂马，成为主流的网页攻击形式。网络欺诈已成为危害网民上网安全的最主要威胁之一。从2012年的互联网欺诈事件来看，网络钓鱼正逐步摆脱传统传播和攻击手段，不再依赖广告及文字链，而趋向于成本更加低廉、效果更加显著的微博平台。同时，钓鱼攻击也不再依赖网页，以低价为诱饵、网站为平台、线下打款为交易手段的巨额钓鱼攻击开始在网上盛行。大规模个人隐私信息泄露事件频发，互联网企业多遭受APT攻击，公共事业网站因第三方外包公司内网信息安全管理不严造成的泄密事件为互联网行业敲响了警钟。国家有关部门也对此高度重视，并于2012年年底颁布了相关法律对互联网隐私信息泄露问题进行治理。瑞星“云安全”系统监测显示，报告期内共截获手机病毒样本6,842个。其中，“功夫系列”以及“给你米系列”家族式病毒非常猖獗。瑞星安全专家表示，在数量和类型上，2012年的SecDr.com专注于信息安全&网络安全资讯报道.手机病毒有了更多的变化，盗取用户隐私信息的病毒开始在总体数量上占据优势。同时，二维码、微信等移动App也成为泄露个人隐私信息、传播钓鱼诈骗的重要源头。企业信息安全环境日益严峻，随着近年来全球政治经济格局不断变化，国家之间的信息对抗也日趋激烈，进口信息安全产品在国内也因此产生种种问题。然而大部分企业内网信息安全建设较为落后，严重影响企业的生存与发展。现代化的企业移动办公及BYOD在大大提高办公效率的同时，也为企业内网机密数据带来了风险。一、病毒和木马（一）病毒概述2012年1至12月，瑞星“云安全”系统共截获新增病毒样本1,181万余个，病毒总体数量与去年相比上升了28.1%。其中木马病毒886万个，占据总体病毒比例的75.06%，是第一大种类病毒。新增病毒样本包括蠕虫病毒（Worm）75万个，占总体数量的6.37%，已经取代感染型病毒（Win32）和后门病毒（Backdoor）成为第二大类。感染型和后门病毒紧随其后，比例分别为5.45%和4.36%，恶意广告程序（Adware）、黑客程序（Hack）和病毒释放器（Dropper）依次排列，比例分别为3.60%、2.18%和0.69%。SecDr.com专注于信息安全&网络安全资讯报道.图1：2012年瑞星截获各类型病毒比例（二）2012年度病毒Top10：木马病毒最猖獗根据感染人数、变种数量和代表性进行综合评价，瑞星评选出了2012年度病毒Top10：SecDr.com专注于信息安全&网络安全资讯报道.图2：2012年度病毒Top10（三）2012年病毒技术趋势分析1.“白+黑”广泛流行，令用户防不胜防所谓“白+黑”，是指黑客利用正规公司发布的软件捆绑恶意程序来传播病毒的手段。众所周知，大多数软件在安装时都需要运行一个exe文件，目前主流exe安装文件都有加载dll文件的流程，但并不对该dll文件的合法性加以验证。而黑客正是利用这个漏洞，将正常的dll文件替换为恶意dll文件。同时，因为加载程序带有正常合法的数字签名，大部分安全软件都会对其一路放行。瑞星“云安全”系统最早监测到使用“白+黑”技术的病毒样本是网银大盗。随着时间的推移，这种技术被病毒作者应用到了各种木马、后门等病毒上。由于被利用的“白程序”大多为装机必备软件，使得用户防不胜防。SecDr.com专注于信息安全&网络安全资讯报道.2.QQ群蠕虫病毒威胁网民上网安全报告期内，一款通过QQ群传播的蠕虫病毒悄然流行。该病毒利用QQ快速登录的漏洞进行大规模的繁殖传播，会利用已登录的QQ号将病毒文件共享到受害用户的所有QQ群中，并且将病毒文件命名为一个非常有诱惑性的名称，吸引其它用户下载。由于QQ的用户量巨大，所以该病毒的传播速度极快、范围极广，因此瑞星安全专家在此提醒广大网民，QQ群共享中的未知文件不要随意打开运行。3.盗取用户隐私文件和商业机密文件的病毒渐趋流行近年来，黑客对用户的隐私和一些机密文件越来越“关心”。报告期内，瑞星“云安全”系统监测到一种病毒，该病毒运行后会搜集用户电脑中的jpg和png格式文件，并在后台偷偷上传到黑客指定的服务器。无独有偶，“云安全”系统在同一时间还监测到一款名为“CAD工程文件大盗”的病毒，该病毒会收集用户电脑中的CAD工程文件，并在后台发送到黑客指定的邮箱中。由于CAD文件大都涉及到一些用户的商业机密，电脑一旦中毒，就有可能导致商业机密泄露。二、恶意网站（一）挂马网站1.2012年挂马网站概述2012年1至12月，瑞星“云安全”系统截获挂马网站516万个（以网页个数统计），比2011年同期增加了48.7%。瑞星安全专家介绍，挂马网站由于形式单一，技术上又无本质突破，所以今年不存在几年前爆发式增长的情况。同时，由于反挂马技术愈加成熟，使来自挂马网站的攻击多数被成功拦截。报告期内，瑞星拦截挂马网站攻击的总数总计5,097万次，其中上半年1,986万次，下半年3,111万次，具体分布情况如下：SecDr.com专注于信息安全&网络安全资讯报道.图3：2012年拦截挂马网站攻击次数2.2012年度挂马漏洞Top10SecDr.com专注于信息安全&网络安全资讯报道.图4：2012年度挂马漏洞Top102012年1至12月，网页挂马仍主要集中利用IE浏览器的漏洞，同时，相较于2011年IE与Flash漏洞各占半壁江山的情况，本年度被挂马网站利用的Flash漏洞呈下降趋势，Java漏洞则成为黑客的新宠。瑞星安全专家介绍，报告期内，挂马网站采用的加密技术与过往相比并没有太大变化，预计今后挂马网站在数量上可能趋于平缓。3.教育类网站成为挂马攻击的主要目标从2012年1至12月被挂马的网站来看，很多教育类网站和公共事业类网站遭到黑客攻击，并被插入恶意代码。究其原因，主要是由于这两类网站的安全性较为薄弱。除此之外，很多非法游戏的宣传页面也会出现嵌入恶意代码的情况，瑞星安全专家分析分析，这种情况很有可能是网站拥有者自行植入的恶意代码。（二）钓鱼网站1.2012年钓鱼网站概述2012年1至12月，瑞星共截获钓鱼网站597万个（以URL计算），比2011年增加了24.38%，帮助用户拦截钓鱼网站攻击19,909万人次，具体分布情况如下：SecDr.com专注于信息安全&网络安全资讯报道.图5：2012年拦截钓鱼网站攻击次数在本年度截获的钓鱼网站中，虚假中奖类网站位居榜首，占钓鱼网站总量的31%，其后依次为仿冒银行类网站，占总比例的26%；虚假在线充值类网站占总比例的15%。除此之外，虚假购物类网站与虚假网络游戏类网站二者总和占总体数量的23%。SecDr.com专注于信息安全&网络安全资讯报道.图6：2012年截获各类钓鱼网站比例2.2012年度钓鱼网站Top10图7：2012年度钓鱼网站Top10SecDr.com专注于信息安全&网络安全资讯报道.从2012年度钓鱼网站Top10排行中可以看出：目前，钓鱼网站的主流方向仍然是盗取网民虚拟财产或钱财，经济利益成为现代黑客关注的重点。除此之外，值得注意的是，今年QQ相关的钓鱼网站及假冒电视节目中奖的网站，都在盗取网民钱财的同时，还会套取用户的个人身份信息。3.2012年钓鱼网站发展趋势1)紧随节假日、社会热点及各类打折促销据瑞星“云安全”系统监测，报告期内，钓鱼网站多以奥运会、欧洲杯、电商大促、选秀节目和社会热点为名，并集中出现在节假日、奥运会、欧洲杯、暑期促销等时段。从2012年拦截钓鱼网站攻击次数图表中可以看出，7、8月份是全年钓鱼攻击最集中的两个月。瑞星安全专家表示，“存活时间短、题材多变是本年度钓鱼网站最突出的特点。”2)高度仿冒，批量生产，大规模投放瑞星“云安全”系统监测显示，今年的钓鱼网站开始采用“批量生产”的方式大规模投放。首先，黑客会去被仿冒的网站上下载该站点的页面素材，并利用这些素材制作出模板。由于模板页面中的图片、文字本来就出自被仿冒的对象，所以内容看起来非常正规，很容易让人放松警惕。其次，黑客会用这个极其逼真的模板进行大量复制，并对复制品的细节进行小幅修改（如商品名称、联系方式等）。同时，黑客还会海量伪造与被仿冒网站近似的域名，最终将这些“批量生产”的钓鱼网站大规模投放到网络上。3)套取隐私信息恐吓网民报告期内，瑞星“云安全”系统截获的钓鱼网站开始出现了敲诈、恐吓等相关内容。例如：2012年10月，假冒“中国好声音”钓鱼网站集中出现，该钓鱼网站会在网民注册领奖的流程中提示，如果网民不遵照他们的要求致电客服，并交纳钱款，就会依照之前注册时提供的居住地址、身份证号码等信息，对网民进行起诉。SecDr.com专注于信息安全&网络安全资讯报道.图8：钓鱼网站假冒“中国好声音”并恐吓网民“诈骗者绝不可能起诉网民，”瑞星安全专家指出，“钓鱼网站上的该类提示都是在恐吓网民。事实上，根据2012年底颁布的网络信息保护相关规定，带有欺瞒性质的收集网民的个人身份信息行为已属于违法行为，诈骗者无论是提起诉讼还是报警，都无异于自投罗网。”4.2012年网络钓鱼新手段1)微博成为钓鱼陷阱的新平台微博作为信息共享、互动交流的新型社交平台深受众多互联网用户青睐，同时，也成为了不法分子用来实施诈骗的工具。业内人士透露，一些微博大号都会承接信息发布业务，几百块钱就可以发一条微博，这些大号多数都拥有数十万甚至上百万粉丝，可以说，这样的宣传价格不仅十分低廉，而且受众面极广。然而，这些大号对所发布的信息多数并无审查，不法分子就是利用这个漏洞将虚假的钓鱼信息以文字、图片或者视频等形式进行大肆传播。一些安全意识薄弱的用户很容易信以为真，误入骗子的圈套。SecDr.com专注于信息安全&网络安全资讯报道.图9：拥有大量粉丝的微博大号散播虚假信息2)低价诱饵线下交易巨额钓鱼网络诈骗行为中，以虚假信息诈骗为多，尤其在网络交易中最为常见。而今年出现的一批专门以假冒豪车作为诱饵的虚假网站在互联网中肆意横行，这类网站通常以类似“8万买宝马，6万买奔驰”的夸张低价引诱用户，还打出“全国送货上门、支持4S店验货、代办过户套牌”等旗号消除网民顾虑。SecDr.com专注于信息安全&网络安全资讯报道.图10：瑞星个人防火墙拦截汽车销售类钓鱼网站不仅如此，这些网站往往采取线下交易的方式，先要求网民致电咨询，而购车流程页面上大都标注了不需要定金，采用现金交易的形式，并承诺“一手交钱，一手交车”。这让不少网民放松了警惕，然而，骗子会以各种名义让网民向其银行账户打款，同时拒绝看车。当网民向其交纳了大量的钱款后，骗子就会彻底消失。3)新型钓鱼颠覆传统篡改购物页面欺骗网民通常，大多数用户在网络购物时都会选择大型正规网购平台来购买商品，以确保购物安全。而今年发现的一种新型钓鱼手法则是专门针对大型正规网购平台而设计的，这种新型钓鱼方式完全颠覆了传