瑞星互联网安全报告（2011年上半年）

 

报告概要：

　　根据瑞星“云安全”系统提供的数据综合分析，2011年上半年中国互联网安全领域呈现以下特征：

　　1、病毒总量比去年同期上升25.2%。

　　2、挂马网站数量比去年同期下降90%，受害网民数量有明显下降。

　　3、钓鱼网站案例急剧增加，钓鱼网站和线下诈骗广泛结合，使得诈骗者的犯罪成本急剧下降，跨地区、甚至跨国型犯罪增多。

　　4、手机病毒增加，安卓平台成为未来黑客与病毒肆虐的场所。

　　5、“云攻击（Threats to Cloud）”正在变成现实，储存了大量用户资料和行为的“云提供商”，例如微博、社交网站、网络存储，甚至包括传统的电信运营商和酒店业者，正在面临前所未有的安全风险。

安全核心数据简析 ：

　　　　1、报告期内(2011.1.1-2011.6.30)，瑞星“云安全”系统共截获新增病毒样本5286791个，病毒总体数量与去年同期相比上升25.2%。其中木马病毒4024499个，占据总体病毒比例的76.12%，比去年55.54%的比例有大幅提高。

2、报告期内，瑞星截获的挂马网站（网页数量）总数目为236万个，比去年同期下降了91.2%（2010年同期为2666万），约为2009年同期的1%。出现此情况的原因，在于“云安全”技术的成功实施，打破了黑色挂马产业链的运行，使得网站挂马无利可图，迫使黑客逐渐放弃此种攻击手段。

　　3、网络钓鱼的危害达到新的高度，上半年瑞星截获钓鱼网站218万个（以URL计算），共1亿零53万人次网民遭钓鱼网站侵袭，按照此类诈骗的平均金额计算，直接经济损失至少在百亿以上。其中，虚假药品、伪劣保健品、伪劣数码产品，成为钓鱼网站最为热衷出售的“商品”。

　　4、假淘宝网站、假腾讯网站、假工商银行网站、假中国银行网站，占据了钓鱼网站的前四位。“假团购网站”和“假购物网站”在总体数量的比例中虽然不高，但其产生的危害巨大。比如有人在搜索引擎购买广告，出售假冒iPhone 4手机，上当者众多。

　　5、危害安卓系统的手机病毒大量出现，在目前已有的手机病毒样本中，安卓系统病毒约占总量的20%。在可以预见的未来，主要攻击安卓手机和平板电脑的病毒，将对用户产生巨大威胁。

　　6、国内厂商安全服务市场发育程度低，企业用户仅投资于软硬件产品，很少采购安全服务，使得针对大型商家的黑客攻击层出不穷。

免责声明：

　　本报告综合瑞星“云安全”数据中心的统计，仅针对中国安全数据及问题进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构、厂商作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其它机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。

一、病毒和木马

　　1、病毒概述

　　2011年上半年，瑞星“云安全”系统共截获新增病毒样本5286791个，病毒总体数量与去年同期相比上升25.2%。其中木马病毒4024499个，占据总体病毒比例的76.12%，紧随其后的病毒依次为感染型病毒（win32）、后门、病毒释放器（Dropper）和广告程序。

 

　2、十大病毒排行

　　上半年共逾7.4亿人次网民被病毒感染，平均每天411万人次网民中毒,按感染人数、变种数量和代表性进行综合评估，瑞星评选出了2011年上半年的十大病毒。

　　3、病毒技术趋势分析

　　通过对1--6月新增样本的病毒行为分析发现，病毒正在由传统的低级汇编语言编写，逐渐转变为兼并使用低级和高级语言混合撰写的方式，由汇编语言编写的引导部分去加载由高级语言编写的病毒主体。由于使用高级语言编写，成本更低、开发周期更短，使得这种“混合型病毒”在总体病毒中的比例增加极多。

　　报告期内，瑞星共截获感染型病毒（win32）445957个，占据总体病毒比例的8.44%，已经成为继木马之后的第二大类病毒类型。

　　感染型病毒结构趋于简单化 编写更简单功能更强

　　报告期内，瑞星截获了一批后缀为.dll的感染型病毒样本。这种后缀为.dll的文件是Windows下的动态库文件，这些后缀为.dll文件的宿主文件，通常是Windows操作系统的系统动态库。病毒会骗取操作系统或者应用程序的信任。当用户要运行某些需要加载系统动态链接库的正常程序时，，程序会加载“带毒的系统动态库”，从而使得电脑中毒。

　　此类新病毒操作简单，代码短小，所以很容易实现；被修改的宿主程序的变化不大，隐蔽性好；短小的汇编代码又更容易编写，且更容易使用变形引擎做变形躲避杀毒软件的查杀。而病毒的主要功能则转移到另一dll文件，只要使用常规的软件开发工具和高级语言就可以快速实现各种功能，且变种繁多。

　　高级语言编写的病毒开始流行

　　传统的病毒通常使用汇编语言编写，但是由于汇编语言难度很大，普通黑客一般不会去花费时间学习这种“用处不大”的语言，即使能掌握此语言，编写一个病毒也要花费很长时间。而且往往这种精雕细琢的病毒出现后，虽然有着变形引擎的保护，但如果特征上存在着一些共性，就很容易被杀毒软件公司通杀。

　　病毒一旦写好，再做大幅度的修改来躲避查杀的成本又过大。所以在与杀毒厂商抗衡的过程中，病毒的制作者，逐渐地引进了高级语言来协助快速地开发感染型病毒。目前最早发现使用高级语言编写的感染型病毒之一是Kuku，它使用了内嵌C++语言编写病毒主体，外层使用了汇编编写一个PE加载器来自己加载内嵌的病毒体。

　　当宿主程序执行时，病毒会截获到执行权限，将执行流程跳转到事先编写的加载器上，通过加载器来加载高级语言生成的病毒主体，其主要的病毒功能就是在这里实现。由于使用了高级语言来实现主要功能，所以一些曾经不可思议的高级功能都可以由这个病毒主体来实现，同时这些病毒还可以使用正常软件的功能代码，如Win32.Kuku家族的病毒主体中就包含着一套类似常规P2P下载软件的网络传输引擎，用于在不同的主机中实现病毒更新和信息共享。

　　感染型病毒功能趋于多元化

　　传统的感染型病毒，通常的危害性指标是传播途径、传播速度。而现在的新型感染病毒，则加入了更多的功能，以求实现自己的目的。比如，Win32.Crypt.p病毒就拥有盗号木马的特征，它会截取用户的屏幕、记录用户键盘输入的信息，并偷偷把这些用户信息发送给病毒编写者。

　　还有的感染型病毒包含有后门功能，如Virut变种病毒，就含有一个小型的后门客户端，用于获取用户操作系统信息、系统运行情况，同时还具有下载运行指定应用程序等功能。

　　4、手机病毒

　　随着安卓系统的盛行，安卓系统的手机数量从2010年初开始迅速增长，基于安卓系统的病毒也随之迅猛增加。在极短的时间内，安卓病毒数量就占据了整体病毒数量的20%。而且由于安卓系统的应用与原有的塞班系统不同，导致两个平台的手机病毒有极大不同。

　　由上图可以看出，安卓病毒的66.14%是流氓程序，主要通过与其它安卓应用捆绑来侵入用户电脑；而窃取隐私的病毒占据了总体数量的10.61%。而塞班病毒则主要窃取用户隐私，和通过传播、耗费电池来危害用户手机。之所以产生此类不同，是因为安卓系统更加开放，应用在安卓系统上可以实现更多的功能，从而导致泄露隐私的机会增加。[!--empirenews.page--]副标题[/!--empirenews.page--]　2011年6月，10余个含有Rootkit功能的应用被放到了google电子市场中。瑞星公司的研究发现，这些含毒应用到电脑之后，有的会尝试突破系统权限（ROOT安卓系统），有的利用Dalvik类装载能力保持隐身，逃避杀毒软件的追杀。

　　7月初，瑞星截获了一个安卓系统手机病毒——“安卓杀手”，病毒主要影响Android 2.0至2.2三个版本的系统，用户一旦中毒，病毒将拦截10086发送到手机上的任何短信、上传手机设备信息、手机sim卡信息，最终会定制大量短信增值服务，扣取高额话费。

 

二、挂马网站

　　1、挂马网站概述

　　瑞星“云安全”数据中心的统计表明，2011年上半年截获的挂马网站（以URL计算）总数目为236万个，比去年同期下降了91.2%，这是挂马网站连续第二年以90%以上的幅度下降。究其原因，是因为随着“瑞星云安全”、“防挂马”等技术的运用，打破了挂马网站黑色链条的运作，使得通过挂马进行网络攻击越来越无利可图，从而使得这类攻击减少。

　　从数据来看，利用0day漏洞仍然是黑客进行网站挂马的主要方式之一，黑客通常利用0day漏洞补丁发布之前的空窗期(*注)，大规模入侵用户的电脑系统，从中获取大量有价值的信息内容。2011年上半年，被黑客挂马利用最多的两个漏洞分别为CVE-2010-0806和CVE-2010-3962，都是相对较新的漏洞。

 

（注）空窗期：系统漏洞、软件漏洞在网络上被曝光之后，厂商需要一段时间来开发补丁程序，在对其进行测试后发布，而曝光和发布之间的时期，被称为“空窗期”。

　　2、挂马网站及相关数据统计

　　瑞星“云安全”数据中心2011年上半年的监测数据，统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量，截获到的挂马网站（以网页个数统计）数目总计2363966个，拦截次数总计54300484次。

　　与去年同期相比，挂马网站数量下降91.2%，受攻击人数降低60.8%。这说明单个挂马网站的攻击人数有所增加，应该是黑客调整了挂马策略和攻击技术的结果。

　　2011年上半年，瑞星“云安全”数据中心已拦截到54300484人次访问挂马网站，平均每天有近30万人次网民访问过恶意网页。

（注）挂马网站：指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。

木马网站：是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中运行。

三、网络钓鱼

　　1、网络钓鱼概述

　　网络钓鱼（Phishing）是近年来兴起的一种新型网络攻击方式，黑客建立一个网站，通过模仿银行、购物网站、炒股网站、彩票网站等，诱骗用户上当。由于在整个环节中没有任何的病毒、木马和恶意程序参与，传统杀毒软件根本无法阻挡钓鱼网站的攻击。

　　针对此类攻击，瑞星防火墙、瑞星全功能安全软件中嵌入了“智能反钓鱼”模块，通过对钓鱼网站的色块布局频率、引诱用户鼠标点击的行为习惯、域名变化趋势等进行数学统计，总结出了一套应用广泛的“反钓鱼网站”智能辨别模型，可以智能拦截流行钓鱼网站。

　　2、数据分析

　　1至6月，瑞星截获钓鱼网站218万个（以URL计算），是去年同期的25倍；共1亿零53万人次网民遭钓鱼网站侵袭。按照CNNIC数据，我国网民每次网购金额在162元估算，2011年上半年钓鱼网站的直接损失应为百亿元级别。其中，虚假药品、伪劣保健品、伪劣数码产品成为钓鱼网站最为热衷出售的“商品”。

　　目前，多数钓鱼网站为逃避相关部门对其监控和取证，生命周期很短，通常一个钓鱼网站在网上的生存时间不超过一个月，有的只存活几天甚至几个小时。钓鱼网站类型排名依次为假银行占33%；假中奖网站占29%；假购物网站占19%，假游戏网站占7%。

3、网络钓鱼新趋势

　　去年，瑞星曾经在《2010年上半年度安全报告》中，详细描述了“六大类钓鱼网站”、“七种网络欺诈手段分析”等流行钓鱼网站模式和黑客欺诈手段。时间过去了一年，黑客常见的手段并无太大变化，只是随着社会热点和商业模式的改变，有了一些细节上的调整。

　　假冒团购站崭露头角

　　近一段时间，团购网站成为黑客进行“网络钓鱼”的新宠，因为很多网民已经习惯了在团购网站购买价廉物美的商品，同时这些资金都是直接打入“团购网站”账户，缺乏第三方监管，很容易成为窥测的对象。

　　例如，在淘宝上买到了假东西，因为钱在支付宝里，购买者在确认付款之前，商家是拿不到钱的；而在团购网站不同，只要你决定购买了商品，就要先把钱打入到商家账户。于是黑客就利用了这个时间差：

　　先建立一个假冒的团购网站，黑客们通常都是假冒著名网站，如新浪团购、拉手团购、美团团购等（有的甚至会冒充“微软团购”）；然后以非常廉价的商品号召，例如仅需99元的数码摄像机、七天包瘦仅要66元的减肥药等等，吸引人购买；再通过论坛发帖、搜索引擎广告等方式导入用户，当用户付款完毕，黑客早已逃之夭夭。

　　iPhone成钓鱼网站新宠

　　在瑞星截获的钓鱼网站中，iPhone作为新的流行符号，得到了很多诈骗者的偏爱，无论是以山寨机冒充正品的“1668元购买苹果四代”；还是根本就没打算发货的“3300元购买正品iPhone4”；甚至还有企图骗取用户注册信息的“0元抽iPad2”，都已经成为本年度报告期内钓鱼网站的重要组成部分。

　　搜索引擎成为网民遇到钓鱼网站的最大途径

　　根据瑞星公司统计，在2011年上半年截获的钓鱼网站中，用户通过搜索引擎搜到的比例占据了总体访问量的60%以上，搜索引擎已经成为网民遇到钓鱼网站的最大途径。分析其中的原因，可能包含两个方面：

　　第一、钓鱼网站利用专业的SEO（搜索引擎优化）团队，在一些热门关键词上做优化，比如当用户搜素“二手手机”、“iPhone”、“便宜货”等热门词时，排在前面的搜索结果有很大几率是钓鱼网站。

　　第二、有的钓鱼网站利用网络广告审核不严的漏洞，在搜索引擎、论坛、SNS网站投入巨额广告，吸引用户访问。尤其是一些山寨数码产品、减肥丰胸产品类的钓鱼网站，非常善于采用此种手法。

　　2011年6月，瑞星截获了一批通过购买搜索引擎广告进行推广的假网站，他们冒充假的美团网、拉手网等，企图从搜索引擎用户手中骗取钱财。其中一个钓鱼网站的团购结果显示，这个网站上售价3300元的iPhone4，已经售出了256件，诈骗金额在数十万元。根据技术分析和定位，此前该诈骗网站曾经用多个相似域名来仿冒著名团购站，骗取钱财。

　　电器维修、茶叶等传统行业的钓鱼网站崭露头角

　　近期，基于传统行业的一些钓鱼网站开始崭露头角，他们往往是仿冒一些知名公司的冒牌官网，通过提供伪劣的售后服务、配件等获取高额利润。这类假官网上虽然标注有400或者其他服务热线，但是细心的人就会发现其网页上写的400售后服务电话与真官网上公布的400电话略有不同。

（在搜索引擎搜“海尔售后电话”，结果却是真假难辨的400电话）

　　瑞星安全专家指出，一些原来在传统领域骗人的诈骗者，已经开始“电商化”、“网络化”，包括丰胸减肥、高血压、癌症、茶叶、珍珠玉器等领域，也开始大量出现钓鱼假网站。例如，在一些论坛上，大家经常看到的“茶农直销、全国包邮”之类的广告，很多就是收钱不发货，或者发的是劣质茶叶的钓鱼网站。[!--empirenews.page--]副标题[/!--empirenews.page--]四、“云攻击”成为现实

　　1、云攻击（Threats to Cloud）概述

　　随着更多有价值的用户资料转移到云端，针对储存了这些资料的“云”的攻击，也正成为黑客攻击的新对象。例如，原本储存在电脑本机上的Word文档，现在越来越多的被储存在Google Docs上；原来存在硬盘上的音乐、照片，现在也许放在了苹果iCloud里；原来的QQ聊天记录，也被储存在了腾讯的服务器中，这些储存了用户资料的“云”，一旦出现漏洞，就会被黑客咬住不放，遭到“云攻击（Threats to Cloud）”。

　　2、典型的“云攻击”案例

　　在2011年上半年，发生了多起针对“云”的攻击，比较知名的有针对索尼PSN的系列黑客攻击、针对WordPress的黑客攻击、新浪微博蠕虫病毒攻击，以及多家国内网站遭到“拖库（*注）”事件等。

　　“拖库”是安全行业术语，指黑客入侵企业网络、把服务器上的用户数据库、财务数据库等复制下来。

　　第一、索尼PSN遭系列攻击事件。4月21日下午，索尼PSN网络遭黑客攻击，波及包括美国、日本、欧洲等地几乎全球各地的所有PSN用户，PSN几乎陷入了彻底的瘫痪。黑客入侵者窃取了大约7700万份PSN个人信息以及2700万个Qriocity（云音乐服务）账户。

　　被窃的7700万份PSN个人信息当中，包括1000多万个信用卡账户，涉及57个国家和地区。而2700万个Qriocity账户中，也同时包含了用户的姓名、地址和密码。索尼数据遭窃案受影响的用户可能超过1亿人，堪称史上规模最大的用户数据失窃案。

　　第二、Wordpress遭攻击事件。4月，Wordpress.com遭到攻击，其服务器被黑客入侵，并盗走了部分源代码和资料，导致VIP客户的隐私信息外泄。在此次事件中可能泄露的众多网站源代码中，可能包括API密钥和Twitter、Facebook密码等敏感信息。WordPress.com服务于1800万博客和网站，其中包括TED、CBS和TechCrunch博客等，其服务网站占全球网站数量的10%。

　　第三、新浪微博蠕虫攻击。6月28日晚，新浪微博遭遇首次跨站攻击蠕虫（CSRF）侵袭，微博用户中招后会自动向自己的粉丝发送含毒私信和微博，有人点击后会再次中毒，形成恶性循环。据瑞星安全专家分析，这主要是因为新浪的广场页面有几个链接对输入参数过滤不严导致的反射性XSS。

　　此次蠕虫攻击的危害，仅限于滥发含毒私信和链接，未能实现窃取微博帐号、窃取用户信息等功能。7月1日，北京警方将犯罪嫌疑人罗某抓获。经审查，罗某交代其利用新浪微博平台存在的漏洞注册账户，为提高所持微博的关注度，故意发送带有恶意网址链接的信息，致使点击查看该网址的微博用户成为其粉丝，同时自动转发该信息以此实施破坏活动。

　　第四、国内多家网站遭遇“拖库”。2011年上半年，针对企业网络的黑客攻击有增无减，多家大型网站的数据库被黑客复制窃取，并用来出售获益。婚恋网站、电商网站、团购网站、连锁酒店等等均成为黑客攻击的重点对象。由于这些网站储存了大量的用户资料、购买行为信息、银行和信用卡资料等，黑客可以借此获取利益。

　　由于“拖库”攻击本身的特点，只有被攻击者才知道受到了攻击。而这些攻击一旦公开，就会给公司形象带来严重损害。基于市场考虑，国内公司遭遇黑客攻击后，很少主动向用户公布详情，多数情况下选择否认和掩盖。因此，黑客很少因为此类攻击而受到法律惩罚。

　　3、“云攻击”详细解析

　　目前来看，对用户有价值的“云”越来越多，例如：音乐分享、文档分享、通讯录同步、在线购物等等，其服务商的服务器，通常都具有或多或少的“云”的特性。而这些厂商，通常没有自己专业的安全人员，只是依靠一些兼职网管来进行安全方面的工作。

　　即使在一些大型公司中，“产品的可用性”要远高于“安全性”，商业公司通常在用户界面、功能、交互上投入很多精力，而在安全上则要放松的多。以团购网站为例，一个月注册用户数十万，月交易额上千万的公司，通常仅有5-10名程序员负责技术开发，而安全方面的事务则由其中的一人来兼职完成。在这种人员配置下，很难对黑客攻击做出及时反映。

　　（1）“云攻击”的三种攻击方式

　　针对“云”发动的攻击，通常有三种攻击方式：窃取资料；阻断用户对“云”的访问；权限提升攻击。

　　“窃取资料”是最常见的攻击方式，例如黑客对索尼PSN网络的攻击，目的是为了窃取PSN帐号密码，以及与这些帐号绑定的信用卡账号。利用这些资料，黑客可以进行信用卡诈骗、网络钓鱼等犯罪。

　　“阻断用户访问”也是很常见的攻击方式。利用DDoS（分布式阻断攻击）、域名劫持、机房ARP攻击等，都可以达到该目的。

　　“权限提升”攻击虽然比例不大，但造成的损害不容小觑。例如，在一些特定用户的内部网络中，通常会对用户的权限进行分级，利用系统漏洞、应用漏洞、数据库漏洞等，黑客可以把普通用户的权限提升到高级权限，进而获取不正当利益。或者，有的“云”服务商内部员工，本来不具有查看机密资料的权限，但是通过技术手段获取高权限之后，即可窃取、删改存储的用户资料。

　　（2）“云端”的安全问题解析

　　由于“云端”储存了用户的大量机密信息，一旦出问题，则可能整个或者部分数据库泄漏.“云”的安全问题主要有以下几种：

　　*产品安全设计失误。比如网盘类产品、通讯录类产品，理论上应该于用户电脑本地完成加密，不能对服务商及员工明文开放。有些网盘产品在设计之初，就缺乏加密这一环节，使得员工或者其它人可以很容易的偷看服务器上存储的资料。

　　*内部流程存在问题。在涉及用户资料的领域，即使有极小的概率出问题，也不应该掉以轻心。例如某汽车厂商员工，为了很少的钱，向别人出售买车者的个人信息；医院的护士，把产妇的资料出售给奶粉厂商等，均属于内部流程不畅。

　　*操作系统漏洞、应用漏洞、数据库漏洞。利用这些漏洞，黑客可以入侵服务器，取得高级权限，获取服务器的控制权，进行多种危险操作。

　　*机房问题，包括不限于机房ARP攻击、生成树攻击、MAC地址攻击等。

　　（3）“客户端”的安全问题解析

　　首先要明确，此处所说的客户端，仅指用户访问“云服务”期间用到的软件和应用。“客户端”的安全问题主要有以下几种：

　　*浏览器劫持，比如你明明想访问A网站，浏览器插件会强制跳转到B网站；这就是典型的浏览器劫持攻击。除了病毒之外，一些出于商业目的的浏览器插件也会进行这些操作。

　　*host劫持。其表现类似，也是你输入A网址却到了B网址。跟浏览器劫持不同的是，此种攻击是通过修改本机的host表实现的。

　　*钓鱼网站攻击。黑客恶意构造一个仿冒的网站，诱骗用户去访问。　　（4）多平台带来的安全问题

　　对于“云”来讲，通常都会支持多种平台应用，例如，你既可以在PC上访问Gmail，也可以在平板电脑上访问；既可以用安卓手机在Dropbox同步文件，也可以在iPhone上同步。

　　这样，如果用户只在PC端做防护，而在其它平台没有做相应防护的话，就很容易出问题。2011年上半年，瑞星公司已经截获了专门针对手机和移动设备开发的钓鱼网站，如果手机上没有安装相应的安全软件，则用户在访问之后很容易中招。

　　同时，多平台严重依赖的adobe flash软件，近年来频繁爆出0day漏洞，尤其在PC端，随着网页游戏的盛行，flash插件漏洞带来的安全隐患也越来越严重，应该引起大家的注意。

　　五、总结

　　安全问题的产生和发展，是与网络环境、网络应用、人们使用网络的习惯息息相通的。随着微博的日益火爆，针对微博的跨站攻击蠕虫病毒就被开发出来；iPad成为数码达人的宠儿，黑客钓鱼和网络攻击就盯上了它。

　　诚然，人们不能因噎废食，因为一种热门应用容易遭黑客攻击就放弃使用。但在继续使用这些应用的同时，普通用户也应该养成良好的上网习惯，了解一些基本的安全知识来提高自己的防护水平，再加上业内厂商的共同努力，我们一定能使网络生活变得更加安全而美好。