江民科技发布2010年度病毒与网络安全信息报告

lindeng1988

免责声明：

    本报告系江民反病毒中心根据江民病毒疫情监测预警中心、江民恶意网站预警监测中心、江民客户服务中心所提供的数据，基于江民杀毒软件系列产品用户群客户端监测及上报的病毒样本，综合统计得出的报告数据。本报告仅供内部及相关部门参考、了解互联网安全状况使用，统计数据局限于江民用户数量以及所分布区域，难免与其它厂商以及安全研究机构数据有出入之处，请相关部门酌情使用相关数据，江民科技对此不承担任何法律责任。

    一、传统病毒威胁

    1．全国疫情发展趋势
据江民科技反病毒中心统计数据显示，2010年全年共截获计算机病毒（样本）数1080余万个，同比2009年下降了约15%。就单月的统计数据来看，2010年被感染计算机数量较多的月份分别为3月、5月和8月份。自9月份开始，感染病毒的计算机数量开始呈下降趋势，且降幅较为明显，最终于12月份跌至年度最低点。各月疫情变化趋势参见下图：

                                    
                                                    图一
                                      
                                      
                                                    图二

    从去年各月所拦截的病毒数量来看，高峰出现在5月至8月期间，9月份开始活跃的病毒数量有所降低。2010年新病毒数量的高峰点分别出现在5月、7月与8月份，9月份也开始呈现出持续的下降趋势。两者所表现出的走势与被感染计算机数量基本相同，由此可见三者之间存在着较强的关联性，即“此长彼长、此消彼消”。

    3月份之所以成为2010年首个病毒与被感染计算机数量的高点，是因为年初两大IE 0day漏洞起到了推波助澜的关键作用。1月月末的时候，IE浏览器由于错误地引用了已被删除对象的指针，从而导致“极光”漏洞（CVE-2010-0249）的出现。仅在微软向社会发出通告后的几天，其利用代码便在网上公开并随之大面积地流行。据江民科技当月的监测数据显示，2010年1月份感染病毒的机器数量较2009年12月份相比增长了32%，涨幅十分明显。

    而3月份被感染机器数量一举攀至全年的最高点，仍旧是因为IE浏览器0day漏洞所导致。1月份“极光”漏洞的大面积利用给病毒的传播制造了绝好的条件，因此微软不得不临时发布计划外的安全更新以限制这一势头的增长。不料好景不长，3月初IE再曝0day漏洞“CVE-2010-0806”，将刚刚平息一些的信息安全形势再度推至风口浪尖。似乎在一夜之间，“CVE-2010-0806”便成为挂马的首选，一举替代了之前的“极光”漏洞。随之，利用该漏洞的挂马站点或被黑站点便大量涌现。据江民科技的统计数据显示，2010年3月份被感染的计算机数量较2月份环比增长了40%，较“极光”漏洞被大肆利用的1月份增长了7%。新病毒数量的增加也由此月进入了2010年的第一个上升阶段，由此可见诸如“CVE-2010-0806”等容易被大肆利用的漏洞对于病毒特别是新病毒的制作和传播都具有相当的促进作用，其所造成的影响力可见一斑。

    导致7月份成为全年被感染机器数量第三个高点的原因同样是由于微软产品的漏洞。7月中旬时，微软向江民等MAPP成员以及社会发布安全通告称，其在Windows Shell中发现了一个可以导致任意代码执行的漏洞“CVE-2010-2568”，而该漏洞只需要浏览包含一个经过特殊构造的恶意快捷方式即可触发，十分容易被不法分子所利用。自此开始，病毒传播进入了2010年的第三个高峰，同时新病毒数量也再次呈现增加的态势。

    就全年的统计数据来看，活跃的病毒类型主要为木马病毒、蠕虫病毒、漏洞病毒以及脚本病毒。在木马病毒中，主要以木马下载器、释放器以及伪装成正常软件的恶意程序为主。蠕虫病毒则主要以通过自动播放功能进行激活和传播的蠕虫、寄生虫病毒，以及通过MS08-067等多种途径进行传播的“刻毒虫”变种家族为主。漏洞病毒则主要以利用年初两大IE 0 day漏洞的病毒为主。脚本病毒则以利用AutoCAD自动运行特性进行激活的“CAD杀手”变种家族以及采用VBS语言编写的恶作剧脚本病毒为主。

                                 
                                                     图三


    姑且不论这些病毒在具体行为上的差异，它们的传播和激活途径无外乎系统漏洞（或缺陷）、不安全设置或不良使用习惯这三个方面。例如“刻毒虫”变种家族，其首次出现的时间为2008年年底，但时至今日其家族成员仍以20%左右的比例活跃在周、月甚至年的统计数据中。其传播势头保持如此之持久不衰的根本原因即在于未能及时修复的系统漏洞，以及用户未养成良好、正确的电脑使用习惯，从而为其传播敞开了大门。

                                      

                                             2010年度10大病毒  

   2．2010年病毒流行趋势

    盗号木马的蜕变
    2010年年初延续了2009年下半年的流行趋势，主要以盗号木马病毒为主。2009年下半年流行的盗号木马多以“玛格尼亚”（Trojan/PSW.Magania）变种家族为主，巅峰时期曾一天新增上百个变种。“玛格尼亚”家族大多数变种均是由其它恶意程序释放的DLL功能组件，其会通过HOOK和内存截取技术来截获指定游戏的账号信息。
到了2010年，盗号木马又开始采用一种更加隐蔽也更加保全的做法：篡改一些游戏运行时必须加载的系统DLL文件来实现自身的启动。这一做法源于Windows程序加载文件的机制不合理问题，即不去验证加载的程序是否合法，而仅仅按照一定的路径优先级顺序寻找、加载文件名匹配的文件。盗号木马的母程序通常会篡改系统DLL中的指定函数，或直接在DLL中加入新的节，之后修改入口代码，从而实现指定恶意代码的运行。如此一来，即实现了隐秘的自启动，又不会影响正常的系统功能，可谓“一举多得”。受此类盗号木马青睐的系统DLL文件包括“imm32.dll”、“d3d8.dll”、“dsound.dll”、“ksuser.dll”、“comres.dll”等。

 “刻毒虫”变种久盛不衰
   “刻毒虫”变种家族在今年也一直保持着流行状态。该蠕虫自2008年底开始流行，至今仍旧活跃在各个阶段的统计数据当中，甚至其个别变种的传播势头丝毫不逊于新病毒。至今为止，该家族已产生近千个变种，是2003年以来感染面积最大的蠕虫病毒。“刻毒虫”变种会通过MS08-067漏洞在局域网内进行主动传播，如果网内存在未安装相关系统补丁的联网计算机则会立即中招。另外，其还可以通过U盘等移动存储设备进行传播，如果用户在使用此类设备前没有经过查毒操作或习惯于通过双击方式打开的话，便会增加感染的风险。正是由于“刻毒虫”充分地利用了多种传播方式，从而为其大面积、持久的流行带来了可能。

  IE桌面快捷方式遭遇真假李逵
    IE浏览器是上网冲浪不可或缺的组成部分，它是用户进入互联网的接口，是丰富内容得以展现的平台。首页是用户开启IE之后最先获取到的内容，其可能对用户后续的上网行为产生不同程度的影响。在互联网经济越发火热的今天，其更是成为了相关利益群体的必争之地。特别是对于那些依靠流量、推广而生存的小型站点而言，如何牢牢地控制住IE首页更是事关自身存亡的头等大事。于是，IE首页绑架便出现在了网民的生活中。

    早先绑架IE首页多是通过修改系统相关注册表项来实现。这一方法最早可以追溯到上个世纪，其实现方法已经不再是个秘密。大多数具有注册表监控的软件可以很好的对其进行监控和防御，因此不法之徒也便不再利用。

    后来不法分子们开始隐藏桌面上的IE浏览器图标，并且释放假冒的IE浏览器快捷方式。由于两者看上去极为相似，最开始不容易引起用户的怀疑。不过由于其打开IE后会自动访问某些站点，而用户又没有发现注册表相关键值被篡改，因此很容易联想到是IE快捷方式存在问题。这类伪造的IE快捷方式具有“.lnk”扩展名，同时其右键菜单内容也不同于正常快捷方式，因此很快便露出了马脚。随之，这种方式的有效性也便失去了。

    之后，又一种更加顽固的伪造IE快捷方式的方法出现。不法分子会在注册表Namespace项下添加相关键值，以此仿冒出不可通过右键菜单进行删除的IE快捷方式。由于其不具有扩展名，同时右键菜单内容也可以仿冒正常的IE快捷方式，从而更加具有迷惑性。这类快捷方式由于不便删除，因此表现得较为顽固。但是众多安全软件厂商都推出了自己的清理工具，从而再次切断了不法分子的生财之道。

    脚本病毒强大多变
    Windows系统强大的功能，使得脚本多样的应用成为可能。同时，由于脚本语言灵活的表述方式，使得加密变形也显得十分容易。不法分子正是看到了这些，才不断疯狂地利用脚本病毒进行经济利益的牟取，方法也可谓无所不用其极。

    6月份江民科技曾捕获到一个脚本病毒。该病毒会将“开始”菜单下所有应用程序、系统功能的快捷方式篡改为随机扩展名的恶意脚本文件，由于其图标仍旧保持原来的样式，因此十分具有迷惑性。这些伪装成快捷方式的恶意脚本在运行后，会首先判断所运行的进程是否为几款常见的网页浏览器。如果是，则会在进程名之后添加骇客指定的URL并且调用运行，从而以此种方式实现首页的绑架。由于该病毒会在注册表中生成大量随机名称的项目，因此会给手动清除工作造成很大的不便。另外，由于桌面和开始菜单下的所有快捷方式都无一例外的被篡改，病毒清除后需要进行的恢复工作也较为繁杂，否则仍会对用户的电脑操作造成干扰。该类病毒由于变种繁多，导致一些清理软件并不能完全的将被篡改的快捷方式彻底恢复。如果用户不慎点击了残留的恶意快捷方式，仍旧会激活藏身于系统文件夹中的母病毒，致使不断的被重复感染，令用户难以摆脱侵害。
                                       

                                        图六：伪装成快捷方式的脚本文件

                                       
                                        图七：将其复制到未被感染的系统中，原形毕露

    恶意快捷方式成为病毒启动之匙
    2010年7月中旬，微软发布安全公告称其在Windows Shell中发现了一个可以导致远程代码执行的漏洞。利用此漏洞十分容易，只需要精心构造一个指向恶意程序的快捷方式，并且将其与恶意程序放置在同一目录下即可。当被感染系统用户使用Windows资源管理器浏览包含该快捷方式的目录时，便会自动触发该漏洞并导致恶意程序的运行。微软对这个漏洞发布预警的时间是7月16日，仅仅过了一周的时间，利用该漏洞的恶意程序便被应用在实际的攻击当中。

    2010年9月，一个名为“超级工厂”的蠕虫病毒借用包括此漏洞在内的多个系统漏洞秘密潜入我国，并迅速引起国家相关部门以及各大反病毒厂商的警惕。该病毒之所以会造成如此大的反响，是因为其会对指定的工业控制软件进行感染，以此实现对工业生产过程的控制和破坏，从而造成严重的干扰和影响。据说该病毒曾成功地破坏某国的铀浓缩设备。在相关部门的努力以及各大厂商的配合之下，该病毒并未在我国大面积的流行。但由此可见各种系统漏洞足以成为病毒在世界各地恣意漫游的“通行证”，足以成为唤醒病毒的“还魂草”。

 网购木马初露端倪
    网络购物的兴起，为广大网民带来便捷和实惠的同时，也让无孔不入的不法分子嗅到了其中的机会。相比较之前依靠盗取游戏、即时通讯软件账号等以“量”取胜，且日渐颓靡的牟利方式而言，网络购物这块更为诱人的蛋糕显然更能吸引他们的注意力。据江民反病毒中心的统计数据显示，2010年全年新增网银木马近400个，较2009年上升了约6%。仍处于活跃状态的网银木马近600个，较2009年增长了约一倍。

  病毒以“胖”为“美”
    通常情况下，病毒文件的体积都比较小巧，这样不仅体现了病毒作者在编程方面的功力，同时也利于病毒的传播和隐藏。但是2010年病毒的“增肥”风却渐渐的兴起，越来越多的病毒不再一味的追求“骨感”，而是将体积扩大至原先的成百或上千倍之巨。数十兆甚至上百兆的病毒文件听起来甚是令人感到惊愕，这般体积似乎已经和一些视频文件相当。当然，病毒作者如此而为之并非无聊之举或一时兴起，他们最主要的目的即是为了对抗越发流行的“云查杀”。

    通常情况下，云查杀会利用MD5或类似技术对文件进行安全检测。如果一个文件被标识为恶意或可疑，那么它只要改变自身的MD5值即可绕过“云查杀”的检测。而在程序中填入一些无用的指令或者代码即可实现MD5的改变。同时，由于填充后的文件体积过于庞大，一些“云查杀”会自动略过这些文件，致使这些恶意程序不被扫描或收集到，从而增强了其生存几率。可见，一些针对“云查杀”性能的优化设计在改善了用户体验的同时，也给了病毒以苟且偷生的机会。

    据江民反病毒中心的监测显示，此种体积庞大的病毒在“云查杀”广泛流行之前也曾经出现过，但在2010年则表现出增长的势头。因此我们可以看出，病毒作者也在时刻关注着反病毒技术的发展，并妄图求得在夹缝中生存的机会。我们也不难看出，“云查杀”作为一种新兴的技术形式，其尚未达到完全成熟或可以绝对信任的程度，传统的基于本地的反病毒产品仍然具有不可替代的作用，同时也是一切“云查杀”的基础。不过作为信息技术越发强大的体现，以及未来信息安全技术发展趋势之所在，“云安全”及其相关应用必定具有广阔的发展空间，让我们共同汇积出一片信息安全的“云”，也让我们在这片“云”的保护下畅享精彩的互联网世界。

                                     

                              图八：巨大的病毒文件示例，第一个体积有123M之巨，第二个也有60M之大
     
    二、恶意网站威胁

  0day漏洞与网页挂马
    0day漏洞以其极高的命中率倍受骇客青睐，其常常通过网页木马的方式被骇客所利用。据“江民恶意网站预警监测中心”统计显示，2010年共拦截用户对恶意网站的访问达3900余万次，较2009年相比上升了165%。通过这些恶意站点传播的病毒达400余万个，较2009年相比下降了12%，传播的病毒趋向少而精。这可能是由于木马下载器、释放器等类型病毒的所占比例逐渐增加所致。

    2010年初，攻击谷歌的0day漏洞“极光”的利用代码被公开，随后该漏洞便被用来进行大面积的挂马。在“极光”余辉尚未消褪的同时，3月份IE浏览器再爆0day漏洞，又给刚刚平静了些许的信息安全态势注入了一针猛药。年初的IE 0day事件导致了2010年两次月度挂马高潮的出现，同期所传播的病毒数量也较月度平均数量高出176%，可见此类漏洞一旦被网页木马大肆利用，最终将对病毒的传播造成极大的推动作用。虽然2010年年末IE浏览器又接连曝出两次严重级别的漏洞，但所幸的是这两次0day漏洞的利用条件较为苛刻，因此没有起到之前两次漏洞的效果。

    2011年，面对层出不穷的第三方应用以及险情不断的Windows操作系统，0day漏洞以及网页挂马势必还将是广大网民信息安全的主要威胁之一，因此仍需引起我们足够的重视。及时留意漏洞信息、及时应用漏洞补丁，这些都可对遏制网页挂马起到至关重要的作用。

                                      

                                          2010年度十大活跃挂马漏洞

  钓鱼网站盛行依旧
    钓鱼网站在2010年继续保持着活跃的态势。就权威部门的统计结果表明，2010年处理的钓鱼站点数量较2009年相比增长了136%，其中数量最多的钓鱼站点类型分别为网络交易类、中奖类以及金融类网站。

    钓鱼站点大多会伪装成某些知名电视节目的官方网站，或者伪装成银行、航空公司的官方站点，并以幸运观众或以其它经济利益作为诱饵诱骗网民进行登录、转帐或汇款操作。其实这类骗局在日常生活中并不鲜见，许多人都曾收到“经XX公证处公证，您在XX公司X周年的庆典中幸运获得X等奖”的信件，末尾便要求“中奖者”往指定账户中汇入手续费等。还有通过电话方式进行的诈骗等等，此类骗局可谓层出不穷。而网络钓鱼只是将这类骗局更换了传播介质而已，其利用受骗者防范意识不强以及最终以敛财为目的是不变的。

    另外，利用网站XSS漏洞将用户重定向至钓鱼或诈骗站点的方式较为盛行。存在这种漏洞的站点大多是一些社交、互动类网站，因为这些站点具有较多的用户数量，一旦出现此类漏洞其所造成的影响也将是十分巨大的。

  网购威胁与日俱增
    据权威统计结果显示，2010年中国网络购物市场继续保持高速的发展态势，无论是用户规模还是交易规模均呈现出强劲的增长势头。其中，2010年全年网络交易的成交金额近5000亿元，较2009年相比增幅十分巨大。同时，使用网络购物的网民数量较2009年也有所上升，占全部网民数量的四分之一强。并且，这一发展趋势在未来还将继续保持。越是聚拢人气以及财气的地方，不法之徒越是不会轻易错过，因此针对网络交易的攻击事件也逐渐的频繁起来。

    2010年8月份，一个不同于以往的网银类木马“尖峰洞”变种hza（“Packed.PePatch.hza”）被江民科技所截获。该木马与传统网银木马的区别在于，其不是通过窃取账号、密码的方式进行牟利，而是利用了相关在线交易站点的设计缺陷，以一种极为隐秘的方式进行资金的转移。
该木马会利用某安全防护产品（具有合法的数字签名）的文件加载漏洞实现自启动，因此其可以逃过大多数安全软件的监控。其会在被感染系统的后台秘密监视用户开启的IE浏览器窗口，如果发现用户正在访问某在线交易网站的支付页面，便会通过篡改页面代码的方式将本应支付给可信任第三方的钱款隐秘地转移到骇客的账户中，从而给用户造成了不同程度的经济损失。

    另外，此类木马的传播方式较往常也有所不同。众所周知，病毒大多通过系统漏洞、网页挂马等常规方式进行自动传播，如果利用了较为严重的漏洞，很有可能在短时间内便造成大面积的蔓延。虽然“广撒网”可以为病毒增加感染几率，从而为不法分子牟取更多的经济利益，但如果因此而造成恶劣的社会影响，那么不法分子也终将难逃法律的严惩。而且在当今各种安全软件功能越加丰富、强大的情况下，病毒的传播更是难上加难，如果连最基础的“量”都无从谈起，那么最终的收入也势必成为幻象。一方面达不到预定的收入目标，另一方面还要承担巨大的法律风险，不法分子的确需要调整病毒的传播方式，由过去的大面积覆盖转为定点精确打击。

    后来出现的网银木马的确使用了这种方式。当网购者和不法分子冒充的“商家”在进行购买前的交谈时，“商家”会将经过伪装的木马程序当作“报价单”、“实物图”等发送给网购者并诱骗执行。用户一旦轻信并执行便落入了不法分子精心设置的陷阱，从而在网上交易过程中遭受高额转帐或账号失窃等威胁。
                                       
                                       
                                        图九：伪装成图片文件的木马程序，实则是EXE文件

  政府网站安全现状一窥
    政府站点主要面临的安全问题之一即是被骇客入侵。而遭到入侵后则面临两大问题：一为站点内容被篡改，二为服务器被骇客所控制。在站点内容被篡改的情况中，又分为被用来挂马、被放置钓鱼站点以及被用来进行SEO，我们先来谈谈最后的一种情况。

    SEO意为“搜索引擎优化”，根据互联网上的定义，其是一种“利用特定搜索引擎的搜索规则，提高指定网站在特定搜索引擎搜索结果中排名的方法”。这本应是广大商业网站所关心的问题，与政府站点之间不存在任何关系。但如果不法分子在政府网站的页面中为指定站点加入了链接，那么政府网站便算是为这些站点进行了“搜索引擎优化”。
    为什么“搜索引擎优化”会与政府站点产生联系呢？因为搜索引擎认为政府站点具有较高的权重，因此在搜索结果中排名会比较靠前，相较于一般站点而言在政府网站进行推广和优化会产生更好的效果。被用来进行搜索引擎优化的代码通常不会在页面中显示出来，因此这种既高效又隐蔽的推广优化方式倍受不法分子的青睐。

    另外，还有一些骇客会将钓鱼站点或以增加流量为目的的页面放置在政府网站的服务器中，从而充分地利用政府网站较好的硬件资源，从事着牟取非法经济利益的勾当。这也是在当前被黑政府站点中较为常见的一种情况。对于这些问题，最好的办法就是加强日常的管理。相关单位应该聘请专业的公司、人员对网站进行专职或定期的维护，从而增强网站抵御攻击和入侵的能力，也可以在出现问题时及早发现和修复。

                                    

                                     图十：政府站点服务器中被放置假冒购物网站
                                    
                                    
                                     图十一：政府站点源代码中被加入SEO代码

    三、漏洞威胁
    据国家权威部门的统计结果显示，2010年出现的高危级别漏洞共占据全年漏洞数量的约53%，中危级别漏洞共占据全年漏洞数量的约29%，低危级别漏洞共占据全年漏洞数量的约19%。高危类型漏洞的数量过半，成为了信息安全的主要威胁。其中，可被远程利用的漏洞占2010年全部漏洞数量的约85%，这一数字的高低表明极大多数漏洞的利用并不需要骇客具有被攻击计算机的本地权限即可进行。在2010年新增的漏洞中，有接近62%的漏洞源自第三方应用程序，约16%的漏洞出自各种操作系统，约9%的漏洞源自Web应用程序，这一比例关系反映出了漏洞出现的三大主要源头。现实情况也是如此，在常被骇客用来进行网页挂马的漏洞中，以各种第三方程序ActiveX控件中的漏洞最为常见。操作系统漏洞，例如IE 0day漏洞以及之前所提到的“快捷方式”漏洞、“MS08-067”等也均被各种病毒尤其是蠕虫病毒所大肆利用。而Web应用程序漏洞则会导致注入、信息泄露、恶意程序传播等危害产生，从而威胁到网站及用户的信息安全。

    另据统计数据显示，微软在2010年共发布了安全公告106个，涉及全部处于生命周期中的Windows操作系统。其中，“严重”级别的公告项38个，“重要”级别的公告项60个，两者共占2010年全部公告数量的92%。

    除此之外，Adobe公司在2010年中也为旗下的诸多产品发布了30个安全公告。在Adobe应用最为广泛的几大产品中，Adobe Reader涉及其中的8个公告项，Adobe Acrobat涉及其中的7个公告项，Flash Player涉及其中6个公告项，Shockwave Player涉及4个公告项。由于产品用户数量巨大，Adobe也逐渐成为继微软之后被骇客所密切关注的对象，近些年在其产品中发现的漏洞以及针对其漏洞的攻击事件也是层出不穷。

    上述列举的漏洞只是2010年众多漏洞中的凤毛麟角，但是上述厂家均具有较为完善的漏洞应对处理机制，对待漏洞的态度也是严肃、认真的，对于漏洞信息以及临时解决措施的发布也是较为透明和及时的，因此可以在很大程度上减轻用户所面临的威胁。但是基于多方面因素的限制，并不是所有厂家在面对自身产品漏洞时都可以做到上述这般，漏洞从发现直至化解的过程也因为不透明、不及时而变得越发复杂和不可控，这才是造成威胁、破坏不断加深的主要原因。因此，各个软件厂商应该及时建立并逐渐完善漏洞的发现、收集与处理机制，从而在根源上对利用漏洞进行的攻击予以阻断。

    四、发展趋势预测
        2010年已经过去，一些曾经的信息安全事件也犹如昨日黄花永远的成为了历史。随着2011年的到来，瞬息万变的信息安全态势又将趋向何方？我们预测：
 0day漏洞将继续盛行，并继续成为病毒传播的主要途径
 网上交易将继续成为不法分子觊觎的对象，且盗与防盗之间的技术对抗还将继续升级
  “云技术”将不断成熟，并且被进一步地应用在信息安全领域，消费者也将越来越多的感受到基于“云技术”所带来的安全保障
 以网站、软件恶意推广为目的的木马病毒还将继续保持活跃
 针对移动智能平台的病毒将逐渐展露头角，移动安全需未雨绸缪
 ••••••

士兵许三多

感谢lz分享信息

流年春去

感谢分享，很长没看完，但我相信江民

wsn110

很不错，什么时候软件能有这个报告写的好，就满足了

超现实主义

多谢兔子分享！

Beatit

谢啦 来看看

雨之神

帮楼主顶起，江民雄起！！！

若来

明天新本子到手后，终于可以再入手一套江民了

广外

很专业的啊，支持一下。

ma870840503

希望江民崛起，即使沉默是金！