2009江民中国大陆地区计算机网络安全报告

admin管理员组

文章数量:1530842

2009年度，***后门病毒在全部计算机病毒总数中仍然高居85.9%的比例，继续高居计算机病毒榜首；而***漏洞的恶意代码则呈现上升趋势，较2008年增长了100%。网页挂马数量激增，2009年度，江民恶意网页监测系统监测到的常见挂马网页病毒源网址（非挂马网页本身）地址已经达到1万余个，按平均每个恶意网站挂马1000个正常网页计算，2009年度整个互联网被挂马的次数达到1000万次以上，较2008年度增长10倍。 据江民反病毒中心、江民客户服务中心、江民全球病毒监测预警系统联合统计的数据，截止到2009年12月31日，共截获新增计算机病毒（样本）数总计（包括***、后门、广告程序、间谍***、脚本病毒、漏洞***代码、蠕虫病毒）12711986个，其中新增***（样本）9665551个，新增后门（样本）1260018个，新增广告程序（样本）389265个，新增漏洞***代码（样本）121398个，其它病毒（样本）1275754个。
2009年度计算机病毒区域特征明显，山东、广东计算机病毒感染电脑数量大幅增加，分列病毒区域排行第一、二名，与四川、河南、江苏、浙江、陕西、北京、湖北等八个省市成为年度病毒疫情区域排行前十名。
2009年度十大计算机病毒点评：
   十大病毒中，“U盘寄生虫”成为2009年度“毒王”，表明目前通过U盘等移动存储利用微软“自动播放”功能已经成为绝大部分病毒最基本的传播方式；而得益于“广告联盟”等网络营销推广组织的平台和点击收费模式，“赛门斯”等恶意广告程序大行其道，2009年度一些小型的广告联盟商通过此类恶意广告程序，骗取了众多用户的点击，从而赚取了厂商不少的钱财。“网游窃贼”等专门盗取网络游戏帐号和虚拟装备的病毒仍然呈高发态势，众多网络游戏玩家进一步遭受此类病毒侵扰；而“刻毒虫”病毒在2009年10月不到一个月的时间就出现了426个变种，感染计算机22200余台， “刻毒虫”变种病毒不但会阻止微软操作系统自动更新，还会对目标电脑中的网上邻居进行口令猜解，一旦猜解成功，便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求，用于下载kido主程序并安装该蠕虫文件。病毒还会屏蔽大量安全公司网站，同时下载大量恶意程序，用户可能因此遭受信息泄露、远程控制等侵害。2009年度，众多企业级用户网络遭受“刻毒虫”侵害，遭受到不同程度的损失。2009年11月， “无极杀手”变种b(Win32/Piloyd.b)在短短20天的时间内就感染了37万余台计算机，更是跃升到江民月度病毒排行榜的第四位。“无极杀手”试图破坏大量安全软件的相关进程，从网上下载大量的盗号***病毒，严重威胁电脑用户的各类重要帐号密码安全。作为远程控制最经典的工具，“灰鸽子”已经被所有骇客所熟知，经过改写后的“灰鸽子二代”在技术上更加隐蔽，从而成为众多入门级的骇客最常用的后门工具，众多未安装杀毒软件和防火墙的用户电脑被远程控制，从而成为骇客操纵的“僵尸网络”中的“肉鸡”。
2009年计算机病毒疫情总体呈现出如下几个特征：

一、微软0day漏洞及第三方应用软件漏洞被广泛利用

    进入2009年以来，频繁爆出的微软0day漏洞与第三方应用软件漏洞已经成为骇客***的主要目标，同时也成为网页挂马的最主要途径。据江民反病毒中心统计，***传播者所利用的微软漏洞与第三方应用软件漏洞，已经基本达到各占一半的比例。
    2009年，微软接连报出了多个“零日”漏洞。5月31日，江民反病毒中心监测发现，微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时，可能导致远程任意代码执行。 7月8日，微软确认视频处理组件DirectShow存在MPEG零日漏洞，江民反病毒中心监测发现大量网站被***攻陷，利用该漏洞进行网页挂马。11月12日，微软Windows 7和Windows Server 2008 R2中再曝零日漏洞，此漏洞为Windows网络文件和打印共享协议Server Message Block(SMB)中存在的拒绝式服务漏洞，可被用来进行远程***系统，并导致系统内核崩溃。
    除了微软最新漏洞之外，网页挂马者最青睐的漏洞还包括RealPlayer 、Flash 暴风影音这些最常用的播放软件漏洞。RealPlayer从2008年起就成为骇客挂马的最常用漏洞之一，暴风影音在今年4月30日被首次发现零日漏洞，该漏洞存在于暴风影音ActiveX控件中，该控件存在远程缓冲区溢出漏洞，利用该漏洞，***可以制作恶意网页，用于完全控制浏览者的计算机或传播恶意软件。江民反病毒中心监测发现数百个恶意网页利用暴风影音零日漏洞挂马，该漏洞还间接导致了一场江苏等六省断网的***内斗事件。
    Flash漏洞由来已久，2008年上半年“Flash蛀虫”病毒曾利用Flash漏洞大肆传播，导致大量未安装杀毒软件或未更新Flash到最新版本的电脑用户受到病毒侵害。而2009年7月23日，ADOBE公司的Flash再次被爆发现零日漏洞，当用户使用浏览器访问受感染网页的时候，这个安全漏洞可能会导致***者控制用户的计算机。Adobe证实，Flash Player 10、Flash Player 9、Reader和Acrobat均存在该严重安全漏洞，很容易遭到******。7月31日ADOBE公司发布了该漏洞补丁，但江民反病毒专家已经监测到利用该漏洞的恶意网页出现，反病毒专家预测，该漏洞很有可能导致类似于去年的“Flash蛀虫”同样严重情况发生。

二、钓鱼网站激增  “网页挂马”***产业链日益成熟

   2009年江民恶意网页监控系统数据显示，网页挂马、钓鱼网站已经成为病毒制造者传播有害程序的最佳途径，同时也成为互联网最为严重的安全威胁。进入2009年以来，病毒制造者的人数大幅上升，也带来了计算机病毒数量的激增。一些道德、法律意识单薄的人意识到，如果涉入灰色产业，付出最少的成本或者零成本、用最少的时间、承担最低的风险，就能获得颇丰的收益。
   据中国互联网络信息中心（CNNIC）日前在2009中国反钓鱼网站联盟年会上公布的最新统计数据显示，截至09年11月22日，经CNNIC认定并处理的钓鱼网站域名已累计达8342个。江民全球病毒监控系统、云安全防毒系统的统计数据中显示，每天都可以监测到大量的新的钓鱼网站，这其中以“福彩”“非常6+1”等模仿央视、腾讯等知名单位的中奖网站最为泛滥。这些钓鱼网站主要以中奖为诱饵，通过发布各种虚假的中奖信息，欺骗用户填写个人的身份信息、银行账户等私密信息，从而来骗取网民的钱财。
   随着灰色产业链的日益成熟，以获取高额的经济利益为目的，集团化的运作，明确的分工，甚至可以按照需求定制，***病毒的制造已经形成了流水线式的生产模式。制造与传播病毒的人群分工明确、技术合作与成果共享频繁。计算机病毒的设计者作为少数具有程序编写能力的人，之间也存在明确的分工：有的负责编写盗号***、有的负责编写***下载器、有的负责编写反杀毒软件的驱动程序、有的负责分析最新的漏洞、有的负责制作网页***等等，所以经常可以看到同一驱动程序在不同病毒中出现共用的现象。而最新漏洞的利用代码也可以在网上轻易地获取，从而使得大量尚未来得及修复漏洞的用户掉入骇客布下的陷阱，而病毒的威力也越发强大，破坏性和传播速度远远的超越从前。

三、病毒创新欺骗方式，伪装成文件夹的病毒增多
    
    进入2009年以来，有越来越多的病毒采用了全新的欺骗方式，伪装成IE快捷方式和文件夹已经成为一种新的趋势。
    在江民反病毒中心监测到的“BHO劫持者”变种aie和“代理***”变种cbnq病毒，就采用了这种欺骗方式。“BHO劫持者”变种ai病毒的主程序为深蓝色IE浏览器水晶效果图标，病毒运行后会在用户当前桌面上创建IE快捷方式，用户一旦启动IE浏览器，就会默认自动打开骇客预先设置好的恶意网页，并在后台获取“恶意程序下载地址列表”，然后在被感染计算机上下载该文件中所指定的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号***、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。
   “代理***”变种cbnq病毒会将系统盘以外的所有盘符下的文件夹属性都设置为系统、只读、隐藏，并在当前目录下生成一个与被隐藏的文件夹同名的“.exe”病毒程序，同时显示为文件夹图标。通过这样的伪装后，用户在打开文件夹时，实际上运行的就是病毒程序，然后病毒再把用户当前要打开的文件夹自动打开，从而达到了欺骗用户的目的。与“BHO劫持者”变种病毒一样，该病毒最终也是指向骇客指定的恶意网址，并下载大量恶意程序。   
    近年来随着用户安全意识的不断提高，病毒为了提高自身的生存几率，也在不断的改变着伪装方式。通常情况下，病毒***到用户的电脑后，想让用户去点击运行病毒是很难的，而这就需要病毒做好自身的伪装工作，来诱骗用户点击。伪装成快捷方式，一般不会被用户怀疑，同时中毒后，病毒文件也不易被察觉，提高了病毒的隐蔽性，使用户更易遭受到病毒的侵害。

四、计算机病毒技术特征变化明显

   2009年度，计算机病毒技术特征较2008年度相比有明显的变化，首先，病毒的传播方式主要以挂马网页和U盘传播为主，通过感染文件或邮件传播的方式目前已经被大部分病毒作者摒弃。由于目前网页技术和网站内容的丰富，脚本ActiveX控件技术被大量的利用，弹出网页，插入广告都需要使用这一技术。病毒作者利用这一机会，在病毒中大量利用恶意脚本，或诱使用户下载带有漏洞的ActiveX控件，从而达到传播大量的病毒、***之目的。
   为了增加反病毒软件的清除难度，2009年大部分病毒通过注入系统进程中运行，由于其注入到系统进程，使得杀毒软件清除起病毒来难以下手，往往会导致清除病毒后系统进程损坏或应用程序损坏的情况发生。
    2009年度，网游盗号病毒仍然为所有***病毒中的主流，今年***盗取游戏帐号的方式多数为通过内存截取技术，与往年通过纪录击键技术相比有了大幅提高；此外，受到目前多数主流反病毒软件已经加入了内核级自我保护技术，驱动技术对付主流反病毒软件已经开始落后，因此今年使用驱动的病毒较去年有所降低，病毒、***开始学会利用漏洞或避开主动防御与杀毒软件在电脑和睦共处，不再是你死我活的斗争方式，这方面在没有安装杀毒软件或安装了未带有内核级主动防御杀毒软件的用户电脑中体现最直接，他们的电脑往往已经成为毒窝，但却并不特别影响正常的电脑操作和应用。
   2009年度，由于各种名目的广告联盟出现，受到广告联盟按点击量计费的利益诱惑，各种恶意广告病毒大量涌现，通过病毒方式骗取大量虚假点击，按照点击量向通过广告联盟发布广告的厂商收取费用，已证实国内有多款业内知名软件成为受害者，遭到恶意广告程序欺骗式点击推广。通过病毒方式恶意推广网站的还包括，用特殊处理过的IE图标替换掉桌面上正常的IE图标或在桌面上新增一个特殊IE图标，锁定用户IE首页，使得用户每次打开IE浏览器，首先进入恶意推广者指向的一个或几个网站。恶意推广者还屏蔽掉鼠标右键“删除”选项，使得用户无法删除恶意IE图标，以此来骗取大量的用户点击和IP流量。
   此外，2009年通过替换系统文件来传播自身的病毒也呈多发态势，病毒通过复制与系统同名的文件，从而逃避用户和杀毒软件清除和查杀，增加自身的存活机率，给电脑用户带来不同程度的损失。

本文标签： 网络安全中国江民大陆地区计算机