本帖最后由 开开 于 2010-7-6 14:34 编辑
2010年上半年综合分析 | 2010年下半年趋势预测 | ( PDF报告下载 ) {PDF文档阅读软件下载} | 1、2010年上半年计算机病毒疫情统计与分析·2006-2010年上半年同期新增病毒数量对比 2010年上半年安天实验室捕获样本4447713个,与2009年同期相比增长率为167.2%。以往病毒数量增长趋势明显,但未达到去年同期的2倍。 ·2009与2010年上半年新截获各类病毒对比
2010年上半年木马、蠕虫、后门及其他类恶意代码增长量较大,病毒类数量略有回落。主要原因是今年上半年网络病毒的传播方式以网站挂马为主,而挂马样本主要为木马、后门类恶意代码。可以看出病毒类样本数量有所回落,恶意代码作者对感染式病毒的青睐有所下降。·2010年上半年新截获各类病毒比例 木马类恶意代码继续占据大量的比例,但相比去年同期下降了10%;蠕虫类恶意代码数量次之,相比去年同期上升了3个百分点;病毒类恶意代码相比去年同期下降了2个百分点;后门类恶意代码所占比例有所上升,相比去年同期上升了3个百分点;其他类型的恶意代码则上升了7个百分点,为上升比例最大的类别,说明恶意代码形式增长明显。
·2010年上半年每月新增病毒统计
2010年2月份新增病毒数量明示下降,主要是春节原因。可以看出除2月份新增病毒数量下降外,在之后的月份中新增病毒数量逐渐上升,3月末新增病毒数量已经超过1月份新增病毒数量;之后新增病毒以10万数量级增加,与去年同期相比,今年上半年,自3月份后病毒增长趋势明显。·2010年上半年每月新增家族数量统计
2010年上半年新增恶意代码家族较为平稳,在1550~1750之间。与2009年上半年相比翻了2~3倍。新恶意代码家族的增加也直接增加了恶意代码的种类,使病毒的恶意行为更加复杂化和多样化。·2010年上半年每月各类病毒数目统计
2010年上半年木马类病毒无论是数量还是增长速度都远远超过其他类恶意代码。木马类病毒具有明确的目的,以下载、盗取密码与用户信息为主,说明现在的恶意代码中以利益驱动较多。其他类别的恶意代码与往年同期相比较为均衡。·2010年上半年Top10恶意代码排名 排名 |
病毒名 | 1 | Trojan/Win32.OnLineGames[Stealer] | 2 | Trojan/Win32.Lipler[Downloader] | 3 | Trojan/Win32.Nilage[Stealer] | 4 | Trojan/Win32.Patched | 5 | Worm/Win32.Allaple[Net] | 6 | Trojan/Win32.Cosmu | 7 | Trojan/Win32.WOW[Stealer] | 8 | Porn-Dialer/Win32.InstantAccess[:not-virus] | 9 | Virus/Win32.Virut | 10 | Trojan/Win32.Agent |
十大病毒的特点及传播方式:
1)Trojan/Win32.OnLineGames[Stealer]
病毒特点:以盗取在线游戏账号与密码等信息为目的的木马,通过web、邮件等方式回传盗取的信息。
传播方式:通过网站挂马、下载类木马下载、下载器下载、文件捆绑等方式传播。
详细分析报告地址:http://www.antiy.com/cn/security/2010/r100621_001.htm
2)Trojan/Win32.Lipler[Downloader]
病毒特点:以下载其他恶意代码到本地执行为目的的木马。部分变种具有修改IE主页的功能。
传播方式:通过网站挂马、即时聊天工具、电子邮件附件等方式进行传播。
3)Trojan/Win32.Nilage[Stealer]
病毒特点:此类病毒劫持杀毒软件、防火墙、病毒查杀工具,衍生随机8位数字与字母组合的DLL文件,并注入到内存中,该木马可以下载其它病毒、进行信息窃取,部分变种具有ARP欺骗及远程控制等功能。
传播方式:通过可移动存储介质、网站挂马、其它病毒/木马下载等方式进行传播。
详细分析报告地址:http://www.antiy.com/cn/security/2007/r070612_001.htm
4)Trojan/Win32.Patched
病毒特点:此类病毒假冒微软补丁,感染指定范围的系统文件。具有下载其他恶意代码到本地执行的功能。
传播方式:通过电子邮件附件、网站挂马等方式进行传播。
详细分析报告地址:http://www.antiy.com/cn/security/2010/r100409_001.htm
5)Worm/Win32.Allaple[Net]
病毒特点:此类蠕虫病毒利用系统漏洞进行传播,试图连接多个网站以下载其他恶意代码。感染html文件,伪装成ActiveX组件;尝试使用弱口令登陆目标计算机。
传播方式:通过系统漏洞、可移动存储介质、局域网弱口令猜测、感染html文件安装ActiveX等方式进行传播。
详细分析报告地址:http://www.antiy.com/cn/security/2010/r100511_001.htm
6)Trojan/Win32.Cosmu
病毒特点:该类木马替换指定防火墙程序,并修改指定的安全软件,阻止反病毒软件对病毒的查杀,降低系统的安全性能。通过COM对象调用IE访问指定地址。
传播方式:通过网站挂马、电子邮件附件等方式进行传播。
7)Trojan/Win32.WOW[Stealer]
病毒特点:盗取在线游戏账号与密码等信息的木马,主要盗取在线游戏魔兽世界的账号与密码。利用web、邮件等方式回传盗取的信息。
传播方式:通过网站挂马、下载类木马下载、下载器下载、文件捆绑等方式传播。
详细分析报告地址:http://www.antiy.com/cn/security/2010/r100513_001.htm
8)Porn-Dialer/Win32.InstantAccess[:not-virus]
病毒特点:这个恶意代码是色情广告件,通过网络即时访问具有色情性质的网站,其中大量网站是收费浏览的。
传播方式:通过网站挂马、下载类木马下载、下载器下载、文件捆绑等方式传播。
9)Virus/Win32.Virut
病毒特点:Virut是感染可执行文件的病毒,并且每次感染的代码都不同;因为这个病毒感染时会破坏被感染程序的数据,所以经常造成反病毒软件无法正常修复被感染的程序。该病毒还将自身放置在系统还原目录中,并在每个磁盘根目录下释放autorun.inf文件,利用可移动存储介质进行传播。
传播方式:通过可移动存储介质、感染文件、网站挂马等方式进行传播。
10)Trojan/Win32.Agent
病毒特点:此类病毒的表现特点较多,不同变种间的变化也较大,一般具有下载其他恶意代码到本地执行、盗取密码与用户信息、远程控制、访问指定网站等功能。
传播方式:通过网站挂马、下载类木马下载、电子邮件附件、文件捆绑等方式传播。详细分析报告地址:http://www.antiy.com/cn/security/2010/r100613_001.htm
2、2010年上半年网络安全统计与分析
据安天实验室网络安全中心数据统计显示,2010年上半年共拦截恶意网站4,613,000个,相比2009年同期有较大提升;网马服务器主要集中在中国的广东、江苏等地;恶意域名方面,利用最多的当属“.org”;通过访问挂马网站下载的病毒文件,主要以网络游戏盗号类木马为主。
挂马网站是传播木马的主要途径,在黑色产业链经济利益的驱动下,为提高挂马命中率,黑客不断挖掘新的漏洞,例如:2010年上半年出现的比较流行的网马漏洞有“极光”漏洞(MS10-002)、MS10-018 漏洞(CVE-2010-0806)、FLASH漏洞(CVE-2010-1297)等,已经广泛应用于挂马中。
每一次热点事件爆发时,黑客便趁机利用,有针对性的进行挂马,以增加网马的受众面,典型的如高考期间,全国各大院校纷纷被黑客挂马。为了加快网马的传播速度,黑客盯住了那些高流量的网站,如猫扑、58同城等大型网站均有挂马事件的发生。 杀毒软件在与网马不断地斗争中逐渐成熟,黑客也从未停歇前进的脚步,不断采取新的防检测手段,用来防止杀毒软件对网马的检测。 2010年上半年网站挂马分析·挂马网站统计
2010年上半年共拦截恶意网站4,613,000个,以4月拦截最多784,000个。因为挂马网站访问量的大小会直接导致中木马机率的高低,所以选择流量大的网站挂马已成为新的趋势。在统计中可以看出,2月份挂马数量增长明显,在4月高峰期后,渐渐表现出回落趋势。 ·恶意网站的地域分布
2010年上半年,纵观中国大陆地区恶意网站的地域分布,经统计大部分来自于广东省,占总比例的11%;其次是江苏、湖南等地,也占了不少份额;北京,由于特殊的地位,紧随其后,占了总比例的6%;其他省、直辖市共占了总比例的21%。 ·恶意网站统计
下表为2009年网站挂马利用域名系统的Top10,其中以e6t.3322.org为首,其次是vvk2.cn;从大量的域名中统计得出,被挂马利用的域名位置多是中国南方部分城市。 ·2009年最具有影响力的十大挂马网站
2010年上半年,对截获的恶意网站统计来看,顶级域名以“.org”为主。在统计恶意域名Top10时,发现40%的恶意网站集中在我国的广东地区。 排名 | 恶意域名 | 1 | annil.8866.org | 2 | a.ppmmoo.cn | 3 | vod123.8866.org | 4 | cptiandi.com | 5 | web.nba1001.net | 6 | ferrari10.7766.org | 7 | ada.bij.pl | 8 | aa44.qq66.in | 9 | rezervzv.ru | 10 | aan.osa.pl |
恶意域名有着时效性,挂马者会经常更换恶意域名,为了防止安全厂商将其收录为黑名单后,减少网马的传播范围,或是有关机关将其封杀,阻断它的传播。 ·域名利用情况 根据2010年上半年来对挂马网站域名类型统计来看,“.org”域名被黑客利用最多,居其首位,“.cn”其次。恶意网站的存活时间是有限的,黑客为了降低成本,会有选择性的选择价格低廉的域名。
·挂马利用漏洞总结 纵观2010年上半年网马漏洞利用方面,与2009年相比有较大变化,由集成网马转向了利用单一漏洞挂马,为了增加挂马的成功率,老漏洞很少出现在挂马利用上,而且更新迭代较快。“极光”漏洞(MS10-002)的出现,受到挂马者的青睐,不过也只是风靡一时,当MS10-018(CVE-2010-0806)出现时,又使挂马者的目光转向了它,也是当前挂马者主要利用的漏洞。 ·利用网马传播的木马
木马传播的途径有很多,可以利用U盘,电子邮件、通讯软件等途径进行传播,然而利用最多而且最有效的就是利用挂马网站进行传播; 2010年上半年通过挂马网站传播的木马统计,主要以网游盗号类木马居多,其次是木马下载器、后门类病毒程序。据此可见挂马者目的性很强,纯粹为了金钱利益。 排名 |
病毒名 |
1 |
Trojan/Win32.OnLineGames.uszg[GameThief] |
2 |
Trojan/Win32.OnLineGames.bkzl[GameThief] |
3 |
Trojan/Win32.OnLineGames.bkxt[GameThief] |
4 |
Trojan/Win32.OnLineGames.bnkb[GameThief] |
5 |
Trojan/Win32.WOW.ipf[GameThief] |
6 |
Trojan/Win32.OnLineGames.bnjy[GameThief] |
7 |
Trojan/Win32.Geral.hwx[Downloader] |
8 |
Trojan/Win32.QQPass.ufz[Stealer] |
9 |
Trojan/Win32.VB.efc[Clicker] |
10 |
Backdoor/Win32.Agent.tnr |
·挂马网站分类对比
挂马在不同类的网站占比也是不同的,在2010年上半年被挂马网站分类对比图中列出了各个不同类别网站的占比。其中以娱乐网站占比最多为25%,游戏网站占比,排在第二位。这两类网站人们关注范围大,点击次数多,直接促使网马的占比提升。·2010年上半年大站挂马
下面是2010年上半年最具有影响力的挂马网站,知名网站的流量大,正是挂马者最看重的原因。一旦对知名网站挂马成功,那么木马的传播量与传播速度则会相当惊人。以下是上半年大站挂马排名TOP10。·2010年上半年高校挂马
芸芸学子在准备着每年一次高考的同时,也会光顾各大高校网站了解更多的信息从而选择报考,经统计,每年的高考前后也是一年中高校挂马最多的时候,下面是上半年高校挂马排名TOP10。2010年上半年出现的网马及事件追踪MS10-002漏洞 2010年1月14日,微软官方发布安全通报979352(CVE-2010-0249),代号为“Aurora”,此漏洞涉及到IE6、IE7、IE8,21日微软在安全公告上发布MS10-002,并为此漏洞提供了升级补丁程序;网马溢出代码曝光之后,MS10-002漏洞被挂马者广泛应用于挂马中。
典型案例:2010年1月20日,搜捕论坛(http://bbs.51sobu.com/)被挂马,被黑客利用的便是MS10-002漏洞。
MS10-018漏洞 2010年3月9日,微软官方发布安全通报981374(CVE-2010-0806),此漏洞涉及到IE6、IE7、IE8,30日微软在安全公告上发布MS10-002,并为此漏洞提供了升级补丁程序;网马溢出代码曝光之后,MS10-018漏洞被挂马者广泛应用于挂马中,也基本取代了MS10-002的在网马中地位。
典型案例:2010年3月24日,沈阳公安交警信息网(http://www.sygajj.gov.cn/)被挂马,黑客利用的便是MS10-018漏洞。
Adobe Flash Player、Adobe Reader 、Acrobat漏洞
2010年6月4日,Adobe公司的Adobe Flash Player、Adobe Reader 、Acrobat爆出0day漏洞,CVE编号为CVE-2010-1297,Adobe已经确定Adobe Flash Player 10.0.45.2或更早的版本存在漏洞,安装Adobe Reader and Acrobat 9.x版本的Windows,Macintosh 和UNIX操作系统中的authplay.dll组件存在问题。此漏洞可能引起崩溃并且允许远程攻击者控制受影响的系统。
典型案例:2010年6月10日,长安大学(http://roadtunnel.chd.edu.cn/dede/coimg/100.html)被挂马,黑客利用的便是Adobe Flash Player漏洞(CVE-2010-1297)。 2010年下半年恶意网站趋势预测
“挂马网站”为黑色产业链带来巨大的利润,面对这个网络公敌,虽然不乏有好的安全产品出现,但仍旧不能有效阻止它们的传播。在2010年下半年,预计在挂马数量上只增不减。
挂马团伙依旧会不断挖掘新的漏洞,利用新的防检测手段逃避杀软的查杀;会继续跟踪热点事件,并选择流量大的网站进行挂马,以促使网马广泛的传播。 每一次热点事件出现时,也是网马趁机传播的时候。例如,全世界关注的“2010年南非足球世界杯”,在网上找相关评论信息的时候,尽量不要去那些不可信任的小网站,多去一些可信任的大网站。 3. 2010年下半年信息安全威胁\趋势预测
1、随着0Day漏洞的增加,网站挂马依然是黑客入侵的主要方式,可以预见2010年下半年网站挂马的数量将会大量增加。
2、第三方软件漏洞将成为黑客利用的主要途径,近年来频频发生的第三方软件安全漏洞多为黑客所利用,也造成了具大的影响,
3、无线攻击将会成为黑客攻击的新目标,目前已经出现的无线破解技术,可以让攻击者免费蹭网。今后无线攻击将会给用户带来更大的威胁。
4、病毒将越来越顽固,2010年上半年出现了大量的恶意IE图标病毒,因其为注册键值,所以传统的杀毒软件将病毒清除后并不能删除恶意的IE图标。
5、修改主引导记录的病毒将增多,病毒利用此技术可以先加载病毒文件再启动操作系统,使反病毒软件难以查杀。4. 2010年度反病毒技术发展趋势分析
1、反病毒厂商将根据计算机病毒整体的变化来修改云计算的算法,用以更快的发现小范围内传播的计算机病毒,使云计算更加合理。
2、反病毒产品将加强自身及用户系统的保护,防止主引导记录被修改等,以弱化恶意代码取得系统控制权的能力。
3、反病毒产品将提升综合处理能力,尽量全面的清除病毒并将系统恢复到正常工作状态。 |
|
|