金山发布《中国互联网2006年度信息安全报告》

绅博周幸

2006年度，国内的互联网环境因接踵而至的信息安全事件一再掀起了波澜。作为国内领先的信息安全厂商，金山毒霸同数千万国内用户一起见证了对病毒、对流氓软件发出的各种绝技杀手锏。　　2007年2月8日，金山软件正式发布了《中国互联网2006年度信息安全报告》，该报告中的数据由金山毒霸全球反病毒监测中心、金山毒霸全球病毒应急处理中心、金山毒霸客户服务中心联合监测得出。

十大安全事件 海缆断裂熊猫烧香上榜	2007安全形势预测 病毒呈跨平台扩展
2006年度十大病毒 维金蠕虫首当其冲	06年末最疯狂病毒 熊猫烧香当仁不让

　　据报告显示， 2006年，电脑病毒呈爆炸式增长，金山毒霸共截获新增病毒样本总计240156种，其中木马病毒新增数占总病毒新增数的73％，高达175313种；维金（又称威金）蠕虫因其破坏性最大成功问鼎十毒之最；偷、骗、抢成为信息网络安全的三大特征。

报告显示，2006年安全形势具有如下特点：
　　一、2006年电脑病毒新增数呈爆炸式增长：
　　由于制作工具的泛滥，病毒变种增多。据金山毒霸全球病毒应急处理中心分析：随着计算机技术的普及，病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本；病毒程序的模块化使得病毒制作的门槛降低，很多具备一定计算机知识的用户可以根据自己的需要对其自行组合。
　　以典型的“灰鸽子”木马为例，高峰时期几乎每天增加10余个不同变种，迄今为止共出现了六万余种变种，而且这类木马往往会通过自我升级功能频繁地进行更新以对抗反病毒软件的查杀。

二、偷：网游，网银盗号现象愈演愈烈
　　综合2006年的信息安全形势，“经济利益”毫无疑问已经成为病毒制造者最大的驱动力，病毒制造者已经不再是以炫耀自己的技术为目的，也不再是单打独斗，而是结成了团伙，有的人负责盗取银行或网游帐号，有的人负责销赃，从而形成了一整条的黑色产业链。
　　这类病毒的传播不再是漫无目的，而是具有鲜明的指向性。例如通过游戏网站、网游外挂传播木马病毒、盗取用户的相关信息。
　　在06年截获的各类病毒中，专门盗取网银、网游等网络财产和QQ号的木马占了51％，这类病毒相对去年有明显增长，已经成为众多网民面临的第一大威胁。

　三、骗：利用钓鱼网站等形式诈骗用户资产
　　网络钓鱼今年也是层出不穷，该类病毒占到金山毒霸全球反病毒监测中心截获总数的5.45 ％。诈骗者通常利用伪装的电子邮件和欺骗性网址，专门骗取用户财务数据。据分析，网络钓鱼今后将成为困扰个人用户的安全问题一大热点。
　　目前网络钓鱼出现了一种新的伎俩，他们使用一种动态的JavaScript代码，而不仅是过去所用的静态的假地址栏图像。攻击者通过JAVA程序更改地址栏，修改中毒用户的浏览器，从而可将其诱骗到显示为银行官方站点的假网站，欺骗用户登录达到盗取帐号的目的。
　　四、抢：以劫持等手段敲诈用户
　　今年6月，金山截获国内首个“敲诈（Win32.Hack.SnuHay.a）”木马，该病毒会中止用户系统中常见的杀毒软件进程，并试图隐藏用户文档，让用户误以为文件丢失，病毒乘机以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项，以达到敲诈钱财的目的。该木马已经相继出现了多个变种，这也是国内首次出现这一类病毒。
　　而“新敲诈”木马病毒在未经用户许可的情况偷偷将硬盘上文档文件上传，会造成用户的文件资料泄漏，对用户的商业机密造成极大威胁。
　　五、蠕虫病毒泛滥，企业内网安全面临新的危机
　　06年，蠕虫病毒成为企业内网的噩梦。蠕虫“维金”是一种运行在Windows平台下，集成“可执行文件感染”、“网络感染”、“下载网络木马及其它病毒”的复合型病毒，若用户不幸感染该病毒，将会面临系统瘫痪、要信息泄漏等多重威胁。自6月2日被金山毒霸率先截获以来，截至6月8日16时，受攻击个人用户已由3000多迅速上升到13647人，数十家企业用户网络瘫痪。据金山毒霸全球反病毒监测中心数据显示，2005年被首次发现的“威金”病毒在2006年下半年开始发威，病毒具备了木马和蠕虫的双重特征，并且能够通过网络传播，众多中小企业局域网被该病毒攻击瘫痪。
　　蠕虫“安哥”成为企业内网的另一大杀手。构成“僵尸网络”重要成员的“安哥”（Worm_AgoBot）病毒通过多种系统漏洞进行传播，感染能力很强常驻内存，利用系统多种漏洞和通过远程攻击弱密码系统进行主动传播，蠕虫还会连接IRC服务器，接收并执行黑客命令，使被感染计算机成为“僵尸电脑”。病毒传播过程中，会发送大量网络包，用于扫描局域网内存在漏洞的计算机，可以导致局域网拥堵甚至瘫痪。
　　六、流氓软件与病毒相互捆绑，利益共享
　　06年病毒的传播渠道呈现更加多样化的趋势。在共同的商业利益驱动下，恶意软件和病毒结成联盟，互相捆绑，对用户造成极大困扰，致使99％的互联网用户，都受到过流氓软件的侵扰。
　　恶意软件虽然不具有象病毒一样自动传播和恶意破坏的行为。但它通常通过网页下载、软件捆绑安装等方式悄悄的侵入用户系统。并且具有自动升级、高度隐藏、难以卸载等特点。许多病毒、木马与恶意软件相互捆绑，前者利用后者无孔不入地侵入用户地系统，后者则借助前者极强的传播性在更大地范围内扩散。
　　2006年，流氓软件越来越多地利用底层驱动保护等技术来对抗防病毒软件地查杀，这也说明两者在进一步互相渗透与融合。
　　2006年，金山毒霸客服中心收到的用户关于的投诉情况统计见下图：

　　在9月份，金山毒霸和其它安全厂商在响应互联网对流氓软件的控诉后，发布了最新的反流氓软件产品，对流氓软件进行专项整治，在10月份收到了明显的效果。大量用户慢慢从流氓软件的阴影中脱离出来。经过金山毒霸的监控，大量知名厂商的产品已经摆脱了“流氓软件”的称呼，改为了正大光明的互联网软件，而其它的比如：飘雪一类的流氓软件测改成了真的病毒，它采用病毒的手段时行传播和安装。最终到2006年底流氓软件咨询量的大减少，也充分说明了流氓软件的影响在逐步衰退。
　　此外，根据2006年的安全形式，金山毒霸安全专家对2007年的安全形势作出了预测：
　　一、病毒呈现跨平台扩展
　　从第一个手机病毒Cabir出现，到现在短短两年的时间，已经出现了三百余种手机病毒，PSP、NDS等游戏平台病毒相继出现，Mac平台病毒今年已开始活跃。基于Web2.0的网络蠕虫近年来也开始流行，他们利用网站XSS（跨站）漏洞进行迅速传播。如在MySpace传播的Samy以及利用百度空间自动添加好友链接的蠕虫等等。
　　二、采用新技术对抗反病毒软件
　　将会有越来越多恶意软件、木马程序使用Rootkit技术隐藏自己，如隐藏文件，隐藏连接端口等等，从而达到长期生存的目的。如灰鸽子、恶鹰、PCShare、sdbot等主流病毒都或多或少的采用了Rootkit技术。病毒作者也采用了一些对抗特征识别的技术手段，如加新壳、入口代码混乱、查找修改特征、重编译、频繁升级、加密数据等等。
　　三、感染病毒死灰复燃
　　感染病毒曾经一度销声匿迹，但现在感染型病毒又有活跃的迹象。因为优化过的感染的天然特性，更适合时代的发展。现在新流行的感染型主要分为两类，一类是捆绑感染，如Viking，通过频繁升级样本躲避反病毒软件查杀。另外一类是局部感染，只感染几个系统文件，或随机感染某个启动项文件，这样可以很好的躲过启动项检查工具。
　　四、系统漏洞造成的威胁与日俱增
　　微软最新的操作系统Vista虽然在安全性方面有了较大提升，但我们对利用系统漏洞传播和攻击的病毒仍然不可掉以轻心。06年“WMF帮凶、狙击波、魔鬼波”说的肆虐，说明在微软发布补丁随后几天之内，由于种种原因，存在补丁更新的空白期，这就仍然使得很多用户的计算机处于危险的状态之下。
　　2006年10大安全事件
　　一、维金蠕虫泛滥，引发企业用户网络瘫痪
　　据金山毒霸反病毒监测中心最新数据显示，“维金（Worm.Viking.m，又名：威金）”恶性蠕虫病毒自6月2日被截获以来，截至6月8日16时，受攻击个人用户已由3000多迅速上升到13647人，数十家企业用户网络瘫痪。这是继“狙击波”病毒爆发后，互联网受到的最严重的一次病毒袭击。
　　二、海底光缆断裂，引发病毒威胁
　　2006年末，由于地震引发的海底光缆断裂导致使用国外杀毒软件的用户无法及时升级病毒库，面临重大的安全危机。以金山为代表的国内厂商为用户紧急提供了含37天免费服务时间的最新版本，协助用户度过此次危机。此次断缆事件更加彰显出国内信息安全厂商在服务本土化方面的优势。
　　三、熊猫烧香(武汉男生 Worm.WhBoy)以交叉感染的方式在年末大量传播
　　交叉感染是指病毒能先感染网站上的网页文件，再去感染访问该网页的用户系统，从而实现了网站服务器与互联网用户系统的交叉感染。这一传播方式令众多的普通用户防不胜防，因而造成了大面积感染。而那些将染毒的网页文件上传的网站制作者也在无意之中成了病毒制作者的利用对象。
　　四、首例敲诈型病毒现身，用户面临新威胁
　　“敲诈”木马的主要特点是试图隐藏用户文档，让用户误以为文件丢失，病毒乘机则以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项。这也是国内首次出现此类对用户进行“敲诈勒索”的病毒，此后短时间内该木马已经相继出现了多个变种。
　　五、魔鬼波肆虐互联网，导致用户系统崩溃
　　8月14日，金山毒霸反病毒监测中心及时截获了利用系统高危漏洞进行传播的恶性蠕虫病毒--魔鬼波（Worm.IRC.WargBot.a）。作为IRCBot系列病毒的新变种，该病毒主要利用MS06-040漏洞进行主动传播，强势攻击互联网，可造成系统崩溃，网络瘫痪，并通过IRC聊天频道接受黑客的控制。
　　六、微软发布Vista操作系统，安全性遭受质疑
　　虽然微软声称Windows Vista是历史上最安全的Windows系统，但有关公司进行的测试却表明实际情况并不容乐观。目前已经在Windows Vista中发现了包括存在于其语音识别过程中的等数个安全漏洞，微软用大量新代码和新功能来取代以往的Windows架构，出现Bug的比率自然不容忽视，起码在短期内，Vista并不安全。此前，狙击波、魔鬼波等实例也证明系统漏洞依然是引发大面积爆发病毒的重要原因。
　　七、2006年度的亚洲计算机反病毒大会（AVAR）召开
　　2006年度的亚洲计算机反病毒大会（AVAR）新西兰奥克兰召开。我国公安部、国家计算机病毒应急处理中心的领导，以及国内杀毒厂商等一行参加了本次大会。本次大会的主题是数字安全，重点讨论如何预防网络犯罪。
　　八、互联网协会组织制定恶意软件（俗称“流氓软件”）标准
　　中国互联网协会以行业自律的方式组织30余家互联网从业机构共同研究起草了“恶意软件定义(征求意见稿)”正式对外公布，并向社会公开征求意见。组织成员单位签署并发布《抵制恶意软件自律公约》，设立反恶意软件举报电话，组织会员单位和各省互联网协会会员单位开展抵制恶意软件的自查自纠行动，并根据恶意软件的标准特征组织成员单位开发查杀工具。协会的这一举措，使反流氓软件有标准可循。“
　　九、大量网游帐号被黑，虚拟财产保护刻不容缓
　　2006年截获的病毒中，木马占了近四分之三。虚拟世界财产亦有其实际价值，很多病毒制作者将黑手伸向了网络游戏帐号，尤其是时下比较火爆的《魔兽世界》和《征途》等大型网络游戏。由于大多数年轻的玩家缺乏安全意识，往往容易被不法之徒得手，从而将非法获取的游戏帐号转卖牟取不义之财。尤其《征途》帐号被黑的玩家更是超过了10万。
　　十、垃圾邮件治理任重道远
　　与05年相比，2006年企业用户发现其电子邮件系统中的垃圾邮件有明显增多，这些垃圾邮件主要来自于日益增长的僵尸网络和孜孜不倦的邮件蠕虫。僵尸网络中，黑客的意图可以非常明显的去控制”肉鸡“收集邮件地址，而类似”恶鹰“一样的邮件蠕虫病毒更是把收集地址做为最重要的功能。自动变化的图片、发件人，是垃圾邮件最难根除的重要原因。
　　2006年十大病毒:
　　一、维金
　　英文名称：Worm.Viking
　　病毒类型：蠕虫
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：蠕虫”维金“是一种运行在Windows平台下，集成”可执行文件感染“、”网络感染“、”下载网络木马及其它病毒“的复合型病毒，若用户不幸感染该病毒，将会面临系统瘫痪、网银、网游帐号被盗、重要信息泄漏等多重威胁。据统计，自6月2日被金山毒霸率先截获以来，受攻击个人用户达到到1，740，679人，数十家企业用户网络瘫痪。
　　二、WMF帮凶
　　英文名称：Risk.Exploit.Wmf
　　病毒类型：其他
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：该病毒是利用”WMF漏洞“(MS06-001)制作的恶意图片，主要嵌到各种网页中，当有漏洞的系统访问这种页面时自动下载其它更恶意的木马（如：广告、盗号、后门等）。
　　三、灰鸽子
　　英文名称：Win32.Hack.Huigezi
　　病毒类型：后门
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：这是一个”中国制造“的远程控制后门，使用远程注入、Ring3级Rookit等手段达到隐藏自身的目的。一般它会被人蓄意捆绑到一些所谓的免费软件中，并放到互联网上，诱骗用户下载。因为其具有很强的隐蔽性，所以用户一旦从不知名网站下载并误运行了这些软件，机器就会被控制，而且很难发觉。攻击者可以对感染机器进行多种任务操作，如文件操作、注册表操作、强行视频等等。
　　四、流氓软件--飘雪团伙
　　类别：流氓软件
　　传播方式：软件捆绑或网页传播
　　特征：飘雪系列流氓软件是具有病毒行为的新型流氓软件，主要危害是锁定用户IE浏览器的主页，并且无法修改；使用Rootkits驱动保护技术，使得用户难以清除。
　　团伙主要成员：9991 7255 --51.com、河南 4199、7939、my123等
　　五、魔鬼波
　　英文名称：Worm.IRC.WargBot.a
　　病毒类型：蠕虫
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：
　　这是”IRCBot“黑客后门病毒的新变种，主要利用MS06-040漏洞进行传播，运行后可生成m%\wgareg.exe文件，添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级，
　　而且该病毒可通过IRC聊天频道使系统接受黑客的控制，沦为”肉鸡“，可能导致RPC服务崩溃，用户无法上网。
　　六、QQ大盗
　　英文名称：Win32.Troj.QQRobber
　　病毒类型：木马
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：这是一个盗取QQ密码的木马病毒，该病毒会通过监控QQ和TM的登陆窗口，记录敏感信息，并且通过本身所带的邮件引擎把信息发出去。该病毒会结束大量的安全软件，并且反还原精灵，给用户带极大的不便。
　　七、瓦佐夫
　　英文名称：Worm.Warezov
　　病毒类型：邮件蠕虫
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：“一夜之间，邮箱里莫名的多出80多封垃圾邮件”，这是中毒用户反映的情况。该用户称，一天之内私人邮箱竟然收到了80多封垃圾邮件，更可气的是，一些垃圾邮件中还带有病毒，致使自己的电脑运行起来非常慢，严重影响了他的正常工作。而这些的罪魁祸首就是垃圾邮件制造大鳄-- “瓦佐夫”。“瓦佐夫”是一种通过邮件进行传播的蠕虫病毒，病毒通过搜索被感染机器上的邮件地址把自己的拷贝发送出去， 并且可通过互联网自动升级。
　　八、WOW盗贼
　　英文名称：Win32.Troj.Wow.a
　　病毒类型：木马
　　影响系统：Win9x / WinNT
　　病毒描述：该病毒可偷取魔兽世界网络游戏帐号密码，并发送给木马种植者。木马运行后，将自己改名为与系统程序接近的文件名：ctfmonn.exe（正常文件为ctfmon.exe），以迷惑用户；并且，该病毒会反复设置启动项，以防止用户将其从启动项中移除。
　　九、征途木马
　　英文名称：Win32.Troj.PSWZhengtu.a
　　病毒类型：木马
　　影响系统：影响系统：Win9x / WinNT
　　病毒描述：这是个盗取用户网游《征途》帐号的木马。运行后将自身复制为：%Program Files%\svhost32.exe，释放文件并添加启动项，创建消息钩子，获得用户《征途》帐号信息后发送到指定邮箱。
　　十、敲诈者
　　英文名称：Win32.Hack.SnuHay.a
　　病毒类型：黑客程序
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：“敲诈者”木马的主要特点是试图隐藏用户文档，让用户误以为文件丢失，病毒乘机则以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项。用户一旦中招，该病毒会中止用户系统中常见的杀毒软件进程，使得杀毒软件、防火墙基本失效。并在C:Documents and Settings [当前用户名] 开始 菜单 程序 启动 建一个指向拯救硬盘.txt的快捷方式，使每次系统启动都能看到下列信息：
　　1)你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写；
　　2)你必须使用磁盘修复工具拯救找回丢失的资料文件；
　　3)但是，你正在使用的不是正版软件，是盗版；
　　4)你必须拯救修复丢失的资料，并且尽快购买正版的软件；
　　5)点击左下角 [ 开始 ]， 点击 [ 所有程序 ]， 点击 [ 附件 ]， 点击 [修复硬盘资料]；
　　6)为了确保你能尽快修复全部资料，必须在两小时内迅速办理；
　　7)按以上方法做的，一定能修复的资料包括:*****(被移动了的文件)。
　　2006年年末最疯狂的两大病毒
　　熊猫烧香（武汉男生）
　　英文名称：Worm.WhBoy.h
　　病毒类型：蠕虫
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。
　　由于该病毒能感染系统中的网页文件(Html、Htm、Asp等)，在这些文件中添加病毒的下载链接，如果网页制作者感染了该病毒，就会将其制作的网页全部感染。当作者将制作完成的网页上传到服务器后，未感染病毒的用户在访问这些网页时就有非常大的可能感染上“熊猫烧香”。
　　科多兽（别名：“Epower”）
　　英文名称：worm.kodo.aa
　　病毒类型：蠕虫
　　影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003
　　病毒描述：
　　“科多兽”为一感染型蠕虫病毒，可感染扩展名为.exe、.htm以及.html的文件，并通过修改注册表项实现随机自启动。作为一混合型病毒，科多兽可通过局域网和邮件等多种方式进行传播，传播能力极强，而且伴随着病毒的不断传播，可从互联网上任意下载可执行程序，能为其它病毒或流氓软件的安装提供了方便之门。用户一旦感染了该病毒，就可能出现网络运行缓慢、死机、系统崩溃等现象。值得一提的是，由于“科多兽”病毒可从互联网上下载任意可执行程序，感染的用户非常容易遭遇流氓软件的攻击，所以受感染用户可能出现弹出广告窗口、蓝屏、个人信息丢失等问题。