一、2010年度上半年全国病毒疫情汇总及趋势分析
2010年上半年,据江民反病毒中心、江民全球病毒监测预警系统、江民客户服务中心联合统计的数据,截止到2010年6月31日,共截获新增计算机病毒(样本)数总计(包括木马、后门、广告程序、间谍木马、脚本病毒、漏洞病毒、蠕虫病毒)7584737个,其中新增木马(样本)4454277个,新增后门(样本)623791个,新增广告程序(样本)223639个,新增漏洞病毒(样本)166359个,其它病毒(样本)1063255个。
(2010年上半年计算机病毒类型所占比例图 数据来源:江民科技)
1. 2010年上半年病毒疫情变化趋势
(2010年上半年计算机病毒疫情变化曲线图 数据来源:江民科技)
2010年上半年,江民反病毒中心截获的计算机病毒数量呈逐月上升趋势。病毒感染的计算机数量3月份达到峰值,2月份最低。这说明,2010年上半年的计算机病毒疫情发作特征,是与当月的安全事件密切相关的。上图数据说明,虽然每月截获的计算机病毒数量在增长,然而病毒感染的计算机台数走势却并不同步。3月份微软最新漏洞被骇客大规模利用,导致了病毒疫情的集中发作。而4月份虽然截获的计算机病毒在上升,但病毒疫情却呈现下降趋势。
江民反病毒中心对每月前20位新病毒感染计算机进行了监测,虽然病毒一直在增长,然而前20位新病毒感染的计算机台数却在逐步下降。这说明,新病毒造成的危害开始逐步趋缓,越来越多的用户电脑感染的是一些已经出现的老病毒或是老病毒的变种。
2.全国月度病毒感染计算机台数变化趋势
(2010年上半年被感染计算机数量趋势图 数据来源:江民科技)
从病毒感染计算机台数看,3月份为上半年病毒疫情最为严重的月份。1、5、6月份基本持平,比3月份感染计算机台数略低。导致3月份疫情剧增的原因,是由于IE浏览器被曝存在零日漏洞“CVE-2010-0806”,由此导致大量的骇客利用该漏洞进行挂马,从而刷新了感染病毒的计算机数量。江民反病毒中心每日监测漏洞活动情况,从3月9日开始,短短三周的时间里,该漏洞已经被大范围利用,超过80%的恶意网站利用该漏洞进行网页挂马。江民反病毒专家分析,3月9日恰好是微软发布3月份安全更新的日子,大多数0-day漏洞都在“微软补丁日”后开始频繁活动,骇客这样做是为了赢得更长的“无补丁期”,所有这些,都直接导致了三月成为2010年上半年病毒活动最活跃的月份。
随着3月底该漏洞补丁程序的正式推出,4月份由该漏洞导致的网络攻击事件开始减少,进而感染病毒的计算机数量也呈现出下降的趋势。然而,进入5月份,由于 “刻毒虫”变种病毒的发作,导致5月份病毒疫情较4月份上升20%。“刻毒虫”病毒利用U盘和系统漏洞在局域网和不同系统之间进行传播,其具有下载其它恶意程序、干扰被感染系统访问指定站点(通常为安全软件厂商或微软官方站点)、反安全软件以及自我升级更新的功能,可以说是集现代病毒主要危害和传播方式于一身的“大成者”。
3. 全国区域感染机器数变化趋势
(2010年上半年全国病毒疫情感染总数前十地区 数据来源:江民科技)
2010年计算机病毒疫情区域前十名分别为:山东、广东、四川、河北、河南、江苏、陕西、北京、辽宁 、台湾。与去年同期相比,山东省取代了去年的区域疫情之最广东省,成为2010年上半年区域疫情最严重的地区,广东省次之,而去年排在第五的四川省,今年上半年跃居第三位,说明四川2010年上半年计算机病毒疫情与去年同期相比增长迅猛。值得关注的是,中国台湾地区今年首次挤进了前十大病毒高发地区的统计数据中,这一情况是之前未曾出现过的。由此不难看出,台湾地区在今年上半年的病毒传播形势较为严峻。
二、上半年病毒传播趋势
盗号木马的疯狂以及“与时俱进”
09年下半年,“玛格尼亚”(Trojan/PSW.Magania)盗号木马家族曾进行了一轮疯狂地传播,这场声势浩大的“玛格尼亚”盗号木马疫情直到今年2月底3月初才彻底的走向绝迹。当时该家族木马每天成百乃至上千的变种数量,江民科技针对其提取了启发式检测特征,以此提高了江民杀毒软件对于该病毒新变种的查杀能力,最大程度上遏制其对游戏玩家所构成的威胁。
虽然“玛格尼亚”家族逐渐从人们的视野中淡出,但不法分子却丝毫没有放松对于游戏玩家账号的觊觎。他们摩拳擦掌,又一种采用新技术的盗号木马正在悄悄向用户伸出魔爪。
这种盗号木马不同于传统木马篡改注册表等自启动方法,其采用了更为隐蔽的病毒激活方式。这种盗号木马会篡改系统中一些常用的尤其是游戏正常运行所必需的DLL 组件。当这些DLL被正常程序调用运行的时候,会首先加载盗号木马的相关组件,之后再去执行正常的文件功能。或者,直接将正常DLL文件重新命名,然后释放一个假冒的同名DLL去掩人耳目。这样,不仅实现了盗号木马的隐蔽启动,同时也不会影响系统的正常运行,可谓“一举两得”。这种方式算得上是一种颇为符合时势的做法。所谓久病成医,当前在杀毒软件的用户群体中有相当一部分属于“技术型用户” ,他们通常都较为熟稔地掌握着一些系统和反病毒工具,对于系统中出现的陌生进程、服务项等都具有较高的敏感度。如果盗号木马依旧保守于传统的做法,无疑于自寻死路。就是在这样的现实环境下,迫使病毒作者不得不去寻找一些非常规的方式,才能更好地实现自身的隐藏,从而提高病毒文件的生存周期。
Kido“刻毒虫”变种的爆发和盛行
自去年年底,互联网就开始被一种名为“Kido”的蠕虫所侵扰。这个病毒是继03年冲击波、震荡波之后,近些年来少有的央及范围达全世界的蠕虫病毒。该病毒可通过CVE-2008-4250“服务器服务远程代码执行漏洞”进行自身的传播,因此对于那些没有为系统及时安装MS08-067所对应补丁的用户而言具有很大的威胁。之前曾经见过一台感染了Kido蠕虫的机器,该系统的用户具有一定的安全意识,在刚刚安装完操作系统便准备通过windows update进行补丁更新,但发现微软的站点无法正常访问。同时,一些安全软件厂商的站点也出现了此种情况,但是可以正常访问其它的网站。后来用户安装了杀毒软件并且进行了全盘查杀,才发现原来是系统感染了Kido蠕虫病毒。
后来经用户回忆,在安装系统的整个过程中,他的电脑始终与公司的局域网处于连接状态。由于这段时间其所在公司网内正在流行这种病毒,因此其在安装系统后尚未修复漏洞和安装杀毒软件这一安全真空阶段内,便成了蠕虫病毒的受害者。
从这个事例中我们不难看出,往往一个疏忽或者麻痹大意,都有可能为病毒入侵系统提供了大开之门。因此建议网民在重新安装系统之前,要将一些容易被病毒利用的漏洞的补丁事先准备好,例如IE的积累更新、MS08-067、最新版本的Flash Player插件等。安装系统时要拔掉网线,系统安装后应立即安装事先准备的常见漏洞补丁,同时进行一些简单的系统安全配置,例如关闭自动运行特性、关闭不必要的系统服务、删除默认共享、为管理员账户设置强壮的密码、禁用无用账户等,之后再联网进行其它补丁和软件的安装。
IE漏洞两度掀起波澜
2010年上半年对于IE浏览器来说可谓不甚平静。1月14日,微软发布安全警告称,在当时的IE全系列版本中发现了一个由于访问被删除对象而导致任意代码执行的0day漏洞。这个漏洞分别有一个很好听的中英文名称:“Aurora” (极光)。不过,这个漏洞恰似南美热带雨林中的箭毒蛙一样,在看似美丽的修饰下面却蕴含着极大的威胁。果不其然,1月16日,利用该漏洞的恶意代码便在互联网上初露端倪。恶意代码的公布好比是打开了潘多拉的魔盒,随之变得一发而不可收拾。
1月19日,江民科技首次监测到了利用“极光”漏洞进行的挂马事件。而随后几天的监测数据表明,利用该漏洞进行恶意程序传播的站点开始出现猛增的态势,由此导致每天监控到的恶意网站数量较漏洞出现之前增加了数倍。原本显得疲态毕露,甚至依赖于多年前老旧漏洞的网页挂马再次找到了兴奋点,不法分子们如同“久旱逢甘露” 一般趋之若鹜地投身到了新一轮的挂马大潮之中。
鉴于事态紧急,微软打破了每月推出安全更新的惯例,破例于北京时间1月22日凌晨推出了MS10-002号安全公告及相应补丁以对此漏洞进行修复。补丁的推出可谓将处于水深火热之中的广大网民及时地解救了出来,这从根本上降低了利用该漏洞进行挂马的成功率,势必也会严重地影响挂马者的积极性。不过据江民科技的监控数据显示,利用该漏洞进行的挂马行为依旧密集,这种情况一直持续到了3月18日,之后利用该漏洞的挂马便进入了消沉的阶段,仅偶有零星的挂马页面会再度利用这个已然大势已去的0day漏洞。
补丁的推出对于终结“极光” 漏洞起到了至关重要的作用,不过这还不是导致“极光”消褪的全部原因。致使“极光”失色的另一重要因素,是挂马者们又觅到了“新欢”――“CVE-2010-0806”。这个漏洞不像“极光”有着一个美丽的名字,其标准的国际化漏洞编号命名仿佛直接警示着每个人,这势必又是一个将在全世界范围内掀起惊天波澜的0day漏洞。
这个漏洞与“极光”一样,同样是由错误地引用被删除对象而导致,微软于3月9日向江民等MAPP成员通告了该漏洞的相关信息。仅仅在3天之后,江民科技便监测到了利用“CVE-2010-0806”漏洞进行的挂马事件。上次漏洞的迅速修复,如同给刚刚热闹起来的挂马泼了冷水一般,令不法分子心有不甘。不难想象,挂马者必定会借助这次漏洞事件来继续之前未能实现的非分之想。恶意站点的数量再次猛增,新漏洞迅速成为了挂马者们争相追捧的对象。这一次挂马者们从许多方面都下了功夫,比如,加密最终的恶意程序,并且在下载后通过shellcode进行解密。利用一些管理不严格的动态域名服务商频繁地更换二级域名,以此躲避杀软厂商的围剿等等。显然,挂马者们通过各种手段和方式,妄图增加漏洞利用的成功率和相关恶意程序的生存几率,从而在最大程度上谋取非法的经济利益。
由于种种原因,微软原计划于4月份的例行安全更新中修复这一漏洞。但或许是考虑到IE6、7用户量众多,由此造成的社会影响较为广泛,微软再次打破惯例,于3月31日发布了MS10-018号安全公告及对应补丁,从而彻底帮助用户免遭漏洞的侵害。虽然从补丁发布至今已经过去了3个多月,但时至今日该漏洞依旧是挂马者的首选,相应的挂马页面也是屡见不鲜。这点从利用该漏洞的“CVE-2010-0806”攻击者脚本病毒一直稳定在周、月疫情统计中前5名甚至前三甲上便可见一斑。不过,自6月末至今,“CVE-2010-0806”攻击者脚本病毒便表现出了持续的下跌,逐渐的淡出了流行病毒的排行。
IE桌面快捷方式遭遇真假李逵
IE浏览器是上网冲浪不可或缺的组成部分,它是用户进入互联网的接口,是丰富内容得以展现的平台。首页是用户开启IE之后最先获取到的内容,其可能对用户后续的上网行为产生不同程度的影响。在互联网经济越发火热的今天,其更是成为了相关利益群体的必争之地。特别是对于那些依靠流量、推广而生存的小型站点而言,如何设定并牢牢守住用户的IE首页,更是事关自身存亡的头等大事。于是,IE首页绑架便出现在了网民的生活中。
早先绑架IE首页多是通过修改系统相关注册表项来实现。这一方法最早可以追溯到上个世纪,其实现方法已经不再是个秘密。大多数具有注册表监控的软件可以很好的对其进行监控和防御,因此不法之徒也便不再对其加以利用。
后来不法分子们开始隐藏桌面上的IE浏览器图标,并且释放假冒的IE浏览器快捷方式。由于两者看上去极为相似,最开始不容易引起用户的怀疑。不过由于其打开IE后会自动访问某些站点,而用户又没有发现注册表相关键值被篡改,因此很容易联想到是IE快捷方式存在问题。这类伪造的IE快捷方式具有“.lnk”扩展名,同时其右键菜单内容也不同于正常快捷方式,由此便露出了马脚。很快,这种方式的有效性也便失去了。
随之,又一种更加顽固的伪造IE快捷方式的方法出现。不法分子会在注册表Namespace项下添加相关键值,以此仿冒出不可通过右键菜单进行删除的IE快捷方式。由于其不具有扩展名,同时右键菜单内容也可以仿冒正常的IE快捷方式,从而更加具有迷惑性。这类快捷方式由于不便删除,因此表现得较为顽固。但是众多安全软件厂商都推出了自己的清理工具,从而再次切断了不法分子的生财之道。
恶意推广变本加厉,脚本病毒凸显灵活多变
不法分子不曾放弃对非法利益的追逐,因此没有停下技术创新的脚步。Windows系统强大的功能,使得脚本的应用也随之丰富多样。同时,由于脚本语言灵活的表述方式,使得加密变形也显得十分容易,因此对于变种的查杀而言也造成了不小的难度。
5月份江民科技曾捕获到一个名为“JS毒器”变种gzn的脚本病毒。该病毒运行后会在正常程序文件夹下生成经过加密的恶意脚本并调用运行。恶意脚本运行后,首先会在注册表中创建自定义的扩展名,并且获取桌面上快捷方式的名称等信息,之后会在桌面上创建同名、同图标的假冒快捷方式。以后每当用户通过这种恶意快捷方式启动应用程序时,便会在后台首先执行指定的脚本。指定的脚本在运行后,会在IE收藏夹和桌面上创建大量的Internet快捷方式,以此诱导用户对指定的站点进行访问。这些快捷方式即使被用户删除,也依然会在用户点击假冒快捷方式之后被重复创建,从而令用户难以摆脱。不过对于一些有经验的用户而言,只要在发现桌面假冒快捷方式的奥秘之后,还算是不难处理。
越是容易处理的病毒,其生命周期和实际效果就越会受到限制,因此病毒作者会不断对技术加以变革和创新,从而增强病毒的生存能力和使用效果。仅仅过了不到一个月,这种JS脚本病毒便出现了最新的变种。其变种可谓是无所不用其极,已然大大的超越了前辈的作为。
该病毒的最新变种经过多重加密处理,运行后会将“开始”菜单下所有应用程序、系统程序的快捷方式篡改为随机扩展名的恶意脚本文件(不同于之前变种仅有的单一扩展名),由于其图标仍旧保持原来的样式,因此十分具有迷惑性。这些伪装成快捷方式的恶意脚本在运行后,会首先判断所运行的进程是否为几款常见的网页浏览器。如果是,则会在进程名之后添加骇客指定的URL并且调用运行,从而以此种方式实现首页的绑架。由于该病毒会在注册表中生成大量随机的注册表项目,因此会给手动清除工作造成很大的不便。另外,由于桌面和开始菜单下的所有快捷方式都无一例外的被篡改,病毒清除后需进行的恢复工作也较为繁杂,否则仍会对用户的电脑操作造成干扰。该类病毒由于变种繁多,导致一些清理软件并不能完全的将被篡改的快捷方式彻底恢复。如果用户不慎点击了残留的恶意快捷方式,仍旧会激活藏身于系统文件夹中的母病毒,致使不断被重复感染,令用户难以摆脱侵害。
三、上半年恶意站点、被挂马站点相关汇总和分析
网页挂马和恶意网站常用漏洞
据江民科技的监测数据统计,2010年上半年经常被恶意站点和被挂马站点利用的漏洞如下:
(2010年上半年网页挂马和恶意网站常用漏洞 数据来源:江民科技)
在这些漏洞中,约有60%出自微软旗下的相关产品,其余出自第三方软件。可见,微软的相关漏洞仍旧是用户面临的主要威胁。
在上述13个漏洞中,仅有两个是今年新发的漏洞,其余漏洞多是在2009年甚至是更早时间之前出现的。至今为止,这些漏洞都已通过相应的补丁或者程序的更新得以修复,可以说如果用户及时对操作系统、Office以及常用第三方软件进行更新,完全可以免遭这些网页木马的侵害,从而在很大的程度上增强了系统的安全性。
恶意站点的相关特点
国内某动态域名服务商旗下的动态域名常被不法分子用来传播网页木马和恶意程序。这类域名或许大家已经耳熟能详,例如3322.org、2288.org、9966.org、8866.org等。以2288.org为例,不法分子每天都要更换若干个域名来进行恶意程序的传播。下表所列是江民科技近期在2288.org监测到的部分用来挂马的恶意二级域名:
这些域名的二级域名通常为3位英文字母,按照每位至少存在26种可能计算下来,不法分子至少可以创造出17576个二级域名,从而可以轻易实现“打一枪换一个域名”,以此躲避对于其域名的封堵。不法分子每天都在同安全软件厂商乐此不疲地玩着这种更换域名的游戏,不过这种情况自6月底已开始大幅的减少。这或许说明,相关的域名服务商可能加大了自身的管理力度,如果是这样那必将在源头上对挂马行为起到遏制。
不仅仅是动态域名,挂马者们还利用了国外一些域名注册商的审核不严格,注册了大量的.info的域名进行恶意程序的传播。下表所列是江民科技近期监测到的部分.info域名:
从上表中不难看出,虽然不法分子有了独立的一级域名,但仍然会通过注册二级域名的方式来躲避封堵。不过这种利用.info域名进行疯狂挂马的行为在进入6月份以后也基本上处于销声匿迹的态势。
恶意站点地区分布
据江民科技的监测数据表明,挂马站点的服务器大多位于国内。其中,1月份和2月份时广东省占据的比例位居各省市之首。同时,服务器位于上海市的恶意站点数量在2月份时也有所增加。3月份,上海市已位于各地区排名之首,浙江省则紧随其后。4、5月份,河南省的恶意网站数量有明显增加,上海市和广东省则处于较为明显的回落,不过浙江省依然占据着较大的比例。进入6月份以来,贵州省和浙江省则成为了恶意站点的主要聚集地。
就整体而言,浙江省的恶意站点数量在2010年上半年各月间均保持着较为平稳的数量和发展态势,由此可见该地区已然形成了一种稳定的挂马环境或者灰色产业生态链,因此尤为值得引起有关部门的重视。
上半年监测到的被挂马站点
据江民科技的监测数据显示,2010年上半年一些地方政府网站以及一些具有较大知名度或者影响力的站点纷纷被挂马。其中,一些技术实力较强的站点在
当天就会恢复正常,而一些技术实力较弱的站点则可能屡遭篡改,或者出现长达数月的持续性挂马,从而给这些站点的用户造成了长期的安全隐患。
被黑的政府类站点也是如此,虽然现在的政府站点挂马现象较2008年而言已有所减少,但整体形势依旧不容乐观,被挂马和被篡改的事件仍旧屡见不鲜。以“黄山区政府网”为例,该站点自6月4日被江民科技监测到存在挂马事件以来,时至今日其挂马页面仍旧可以访问。由此可见,一些地方政府虽然在电子政务方面进行着积极的尝试,但在后续的技术支持与维护方面并未齐头并进,由此便给不法分子们带来了许多可乘之机。不法分子在入侵政府站点之后,可利用政府站点较为优势的硬件资源进行搜索引擎优化、文件下载服务器甚至是充当攻击跳板等,不仅影响了政府站点发挥正常的社会功能,还可能对网络安全产生更大的威胁和破坏。
附:江民科技2010上半年监测到的被挂马站点和被黑政府网站(部分):
四、下半年病毒疫情发展趋势的预测
2010年下半年,国内的病毒形势依旧不容乐观。从劫持IE首页的脚本病毒上我们就不难感受到,不法分子似乎已经到了一种穷凶极恶的地步。是什么让他们如此疯狂?可能还是应验了那句“人为财死,鸟为食亡”。对于非法经济利益的谋取,他们不曾停下脚步。纵观这些年来病毒的发展以及技术走向,我们不难看出,传统病毒所追求的技术炫耀已经越加淡化,取而代之则是越加明显的铜臭味。不法分子们无孔不入、无所不用,目的就是让更多的电脑用户成为受害者,进而为自己带来更多的经济收入。因此,我们有理由相信,不法分子们依旧会对技术加以持续的、深入的探索和应用,我们即将面临的也将是一个更加棘手和更加具有挑战性的局面。或许,不法分子越是疯狂,我们就越是能将信息安全做到极致,做到更好。
用户评论