2007年中國電腦病毒疫情及互聯網安全報告(全文)
2007年,互聯網迅猛發展,網絡應用日益廣泛與深入,網絡炒股、網絡游戲、網銀用戶大幅增長;與此同時病毒的“工業化”入侵以及“流程化”攻擊等特點越發明顯,以熊貓燒香、灰鴿子、AV終結者為代表的惡性病毒頻繁出現,廣大用戶對互聯網安全問題的關注日益增強。在2008年開始之初,我們一同來回顧一下2007年中國互聯網的安全情況。
一、 2007年中國互聯網安全情況整體分析
2007年,計算機病毒/木馬仍處于一種高速“出新”的狀態。2007年,金山毒霸共截獲新病毒/木馬283084個,較06年相比增長了17.88%,病毒/木馬增長速度與06年相比有所放緩,但仍處于大幅增長狀態,總數量還是非常龐大的。下圖為近幾年來的新增病毒/木馬數量對比(圖1):
在新增的病毒/木馬中,盜號木馬仍然首當其沖,新增數量多達118895個,黑客/后門病毒、木馬下載器緊隨其后,這三類病毒構成了互聯網黑色產業鏈的中流砥柱。下圖是不同類別病毒/木馬比例圖(圖2):
2007年,據金山毒霸全球反病毒監測中心統計數據,全國共有49,652,557臺計算機感染病毒,與去年同期相比增長了18.15%,互聯網用戶遭受過病毒攻擊的比例占到90.56%。全國各省的計算機病毒感染量如下表(圖3):
2007年十大病毒/木馬
根據病毒危害程度、病毒感染率以及用戶的關注度,計算出綜合指數,最終得出以下十大病毒/木馬為2007年最危險的病毒/木馬。
危害程度:分5級,最高級為5。我們將危害的種類分為:A破壞用戶系統,B盜取用戶信息,C能進行自我傳播 D廣告行為 E下載其它木馬
5級:具有上述四種及以上行為的病毒/木馬
4級:具有述任意三種行為的病毒/木馬
3級:具有C行為加任意一種行為的病毒/木馬
2級:具有A B C任意一種行為的病毒/木馬
1級:具D E任意一種行為的病毒/木馬
病毒感染:對于廣義的病毒定義來講,本文所指感染包括病毒感染或木馬入侵。
病毒感染率:該病毒感染或入侵的計算機臺數占總感染(或入侵)臺數的比率,為方便統計,統稱為感染率,下同。
用戶關注度:我們收集用戶對病毒的關注數據,如:論壇討論熱度的評估,新聞及病毒分析報告的點擊率或關鍵字熱度,將其分為3級,熱門、高度、普通。
1、網游盜號木馬
這是一類盜取網游賬號密碼或裝備的木馬。這些木馬具有高度的代碼相似性,并且變種繁多,盜取各種網絡游戲的帳號密碼,這是木馬產業化的一個產物。這類木馬會在系統目錄下釋放一個exe文件和dll文件,后期的變種會在“%windir%Fonts”目錄下釋放一個dll文件和一個fon文件,同時關閉常用殺毒軟件和windows自動更新。
2、AUTO病毒
該病毒在各磁盤分區根目錄中生成AUTO病毒,分別是一個exe文件和autorun.inf輔助文件,它們都具有隱藏屬性。當用戶鼠標左鍵雙擊打開有AUTO毒的盤符時,病毒隨即觸發。隨后病毒就修改注冊表,創建服務,達到開機自啟動的效果。
當系統重新啟動后,病毒便可自動運行起來,很多這類病毒會修改系統時間,使得某些根據系統時間判斷軟件有效期的殺毒軟件停止工作。導致系統安全防護能力喪失,更容易被其它病毒侵入。
隨后,該病毒會嘗試感染、阻止或干擾已安裝的殺毒軟件正常運行比如用戶使用金山毒霸的反間諜隱蔽軟件掃描時,病毒會突然彈出大量關于偽裝成與金山毒霸相關的網頁。由于這些病毒網頁打開的的速度極快、數量繁多,系統資源將會被嚴重占用,最后甚至會死機。
3、灰鴿子
這個木馬黑客工具大體于2001年出現在互聯網上,當時被判定為高危木馬。2004年的感染統計表現為103483人,而到2005年數字攀升到890321人。該病毒從2004年起連續三年榮登國內10大病毒排行榜,至今已經衍生出超過6萬個變種。
灰鴿子病毒的文件名由攻擊者任意定制,病毒還可以注入正常程序的進程隱藏自己, Windows的任務管理器看不到病毒存在,需要借助第三方工具軟件查看。中灰鴿子病毒后的電腦會被遠程攻擊者完全控制,黑客可以輕易的復制、刪除、上傳、下載保存在你電腦上的文件,還可以記錄每一個點擊鍵盤的操作,用戶的QQ號、網絡游戲帳號、網上銀行帳號,可以被遠程攻擊者輕松獲得。更有甚者,遠程攻擊者可以直接控制攝像頭,遠程攻擊者在竊取資料后,還可以遠程將病毒卸載,達到銷毀證據的目的。灰鴿子自身并不具備傳播性,一般通過捆綁的方式(包括:網頁、郵件、IM聊天工具、非法軟件)進行傳播。
4、熊貓燒香
“熊貓燒香”是由Delphi語言編寫的蠕蟲,終止大量的反病毒軟件和防火墻軟件進程。病毒會刪除擴展名為gho的文件,使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的.exe、.com、.pif、.src、.html、.asp文件,添加病毒網址,導致用戶一打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe,還會通過QQ最新漏洞、網絡文件共享、默認共享、系統弱口令、U盤及移動硬盤等多種途徑傳播。而局域網中只要有一臺機器感染,就可以短時間內傳遍整個網絡,感染嚴重時可以導致網絡癱瘓或系統崩潰。
5、AV終結者
AV終結者集目前最流行的病毒技術于一身,而且破壞過程經過了嚴密的“策劃”,普通用戶一旦感染該病毒,從病毒進入電腦,到實施破壞,四步就可導致用戶電腦喪失安全防護能力。
1)禁用所有殺毒軟件以相關安全工具,讓用戶電腦失去安全保障;
2)破壞安全模式,致使用戶根本無法進入安全模式清除病毒;
3)強行關閉帶有病毒字樣的網頁,只要在網頁中輸入“病毒”相關字樣,網頁遂被強行關閉,即使是一些安全論壇也無法登陸,用戶無法通過網絡尋求解決辦法;
4)在各磁盤根目錄創建可自動運行的exe程序和autorun.inf文件,一般用戶重裝系統后,會習慣性的雙擊訪問其他盤符,病毒將再次被運行。
摧毀用戶電腦的安全防御體系后,“AV終結者”自動連接到指定的網站,大量下載各類木馬病毒,盜號木馬、廣告木馬、風險程序接踵而來,使用戶的網銀、網游、QQ帳號密碼以及機密文件都處于極度危險之中。
6、艾妮
艾妮是一個Win32平臺下的感染型蠕蟲,可感染本地磁盤、可移動磁盤及共享目錄中大小在10K---10M之間的所有.exe文件,感染擴展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件,并可連接網絡下載其他病毒。
“艾妮”病毒集熊貓燒香、維金兩大病毒危害于一身,傳播性與破壞性極強,不但能瘋狂感染用戶電腦中的.exe文件,而且還可導致企業局域網大面積癱瘓。更為嚴重的是,“艾妮”利用微軟最新發現的動畫指針漏洞進行傳播,幾乎就在微軟最新的動畫光標漏洞發現的同時,就開始利用該漏洞進行傳播,而且隱蔽性更強,用戶很難察覺。
7、MSN機器人
這是一個通過MSN傳播的病毒,該病毒有很多變種。該病毒的主要特點是通過MSN發送消息+病毒文件給好友。好友接收運行文件后,就會感染病毒。最新截獲的變種為圣誕節變種,該變種會向msn好友隨機發送“Christmas photo! :D”、“xmas photo!: D”等消息,并同時發送“Chirstmas-2007.zip”文件,解壓后的文件名為img2007-12.JPEG.scr,用戶運行該文件就會中毒。
該病毒會連接IRC聊天室,由IRC聊天室接受黑客指令進行遠程控制,使用戶文件、資料、信息等面臨被盜;并且用戶主機可能成為“肉雞”。
8、維金變種
2006年在互聯網上瘋狂肆虐的“維金”又出現了新的變種,危害更加嚴重。該病毒運行后,會在電腦系統里釋放WebTime.exe病毒文件,并把自身注入到IEXPL0RE.EXE,連接到指定站點并搜尋電腦硬盤中的所有擴展名為.exe的文件,進行感染。某些變種還會在每個磁盤的根目錄下生成病毒文件,使當用戶點擊磁盤盤符時,便可立即激活病毒。
它還會把自身注入到用戶電腦的IE進程里,同時終止多個殺毒軟件的監控進程,并連接到指定的惡意站點,下載盜號木馬或者其他感染型病毒,進一步侵害用戶的電腦系統,不但導致用戶的系統硬盤的資料和數據文件被損壞,而且有可能出現用戶的電腦資料外泄和網絡虛擬財產被盜等現象。
9、瓢蟲病毒
“瓢蟲”病毒與熊貓燒香類似,感染性極強,用戶電腦一旦感染該病毒,除系統盤外,被感染后的exe文件圖標將變成綠色的“小瓢蟲”;同時,用戶電腦內的瀏覽器、任務管理器、文件夾選項、系統時間等項目都將遭受破壞。該病毒還會打開各盤共享,使得計算機資源可以被隨意訪問下載。最主要的是,“瓢蟲”病毒使用覆蓋式感染文件,被感染后的文件將無法被恢復。
10、網絡紅娘
網絡紅娘是一個遠程控制的木馬,網絡紅娘可以輕易盜取被入侵者計算機上的信息。如:網游帳號,銀行帳號等。常被用于網絡游戲中盜取裝備。首先,持有病毒服務端的人會在網絡游戲中以女性角色“色誘”玩家,然后通過及時聊天工具(如QQ等)進行視頻聊天,等玩家的戒備心理降低時,發送“我的照片”給對方,當玩家打開病毒偽裝的“照片”時,病毒開始運行。該木馬運行后會監視鍵盤和鼠標動作,收集客戶端計算機的信息。然后,將這些信息發送給盜號者或黑客。盜號者可以發送命令查看他的桌面、當前運行的窗口的標題、文件的列表、文件的內容以及鍵盤記錄等等。當發現了有用的信息之后,盜號者就趁機盜取。
2007年其他值得特別關注的惡性病毒/木馬
“色戒”病毒
“色戒”病毒并不是特指某個一病毒。而是借助電影《色戒》熱播進行傳播的病毒。病毒在一些網站上以“色戒”或“色戒完整版”的名義供用戶下載。當用戶下載完雙擊運行時,則病毒爆發,并下載執行大量其它病毒,如盜號木馬等。
因此,用戶在下載電影后,如果字節數很小的話,往往只有幾K的大小,則很有可能是病毒。而電影一般都有幾百兆的大小。
8749惡意軟件
2007年7月以來,8749的惡意軟件在互聯網上大肆傳播,大量用戶的IE瀏覽器首頁被篡改為www.8749.com。由于8749采用了今年上半年的“毒王”AV終結者最新的病毒攻擊技術,故普通用戶很難徹底清除。
8749不但具備流氓軟件的一些基本特性,而且采用了刪除系統文件、破壞安全模式等最流行的病毒攻擊手段。與AV終結者相似,用戶一旦中招,不但相關的修復工具、殺毒軟件被禁用,而且只要用戶打開帶有“8749病毒”、“清除8749”字樣的窗口,窗口即刻被關閉。
|
