安天实验室2009年上半年信息安全威胁综合报告

2009年上半年综合分析

2009年度趋势预测

摘要

    安天实验室对2005~2009年上半年同期计算机病毒疫情进行了全方位的分析与统计，病毒的发展态式呈稳定上升的趋势，在原有病毒种类基础上，不断的出现新的分类。盗号木马、web木马、利用漏洞病毒等，给个人用户、大型企业、学校、政府部门等都带来了不同程度的经济损失。地下经济体系成长已经成熟，向传统的安全防御发出了挑战，由黑客单独行动提升为黑客团队协同作战。
    安天实验室分别对09年上半年的挂马形式、挂马疫情进行进一步的统计与分析，其中以知名高校和gov.cn域名的挂马尤为严重，因为该类网站具有很高的访问量，并且存在有些网站连续多天一直被挂马，使得挂马者的目的能轻而易举的实现。
    而且对09年上半年出现的病毒破坏手段进行了总结，以及对黑色产业链中的QQ木马箱子进行了详细的分析和阐述，并总结了近两年以来最受人们关注的blog蠕虫的利用手段并进行了进一步的分析，blog蠕虫之所以可以迅速的传播，这与网络系统管理、网站站点的管理疏忽未能及时的发现漏洞、修补漏洞是分不开的， 经过分析发现此类蠕虫是通过网站本身就存在一定的漏洞，并结合XSS技术进行自动判断、自动传播。并对网络钓鱼新的花招进行了通报。
    最后对2009年下半年的趋势进行了预测，总体上多项病毒技术将会趋于稳定发展，部分欺骗手段会随着生活方式的改变不断的出现，用以迷惑用户骗取用户的信任达到不可告人的目的；并对09年下半年反病毒技术的发展提出一个更严格的要求，查杀技术需要引进更加行之有效的技术，以配合传统的技术达到更好的效果。
一、 2009年上半年度计算机病毒疫情统计与分析
1.1. 2005~2009年上半年同期病毒数量对比
    自2005上半年至2009上半年病毒数量分别为12万个、15万个、23万个、132万个、265万个。从中可以看出自2005年上半年到2009年上半年，病毒数量增长趋势呈倍数增长，由2005年上半年12万个迅速的增长到了2009年上半年的265万个，这与我国的计算机事业发展迅速有一定的关系。

1.2. 2008~2009年上半年同期新截获的各类病毒对比图
    可以看出09年上半年的木马、后门类数量较08年上半年有所增长，病毒类和蠕虫类数量有所回落，主要是由于今年网络病毒的传播以网站挂马方式为主，而挂马后传播的病毒以木马、后门类为主。致使木马类和后门类自2007年下半年至2009年上半年一直都比上一年同期增长幅度大。

1.3. 2009年上半年新截获各类病毒占比
    木马类别一直占据着主要的比例；病毒类、蠕虫类可以说是平分秋色；后门类有所减少。木马类之所以占据的比例较大，是由中国黑客的转型所导致的，据有关消息透漏：一个制作木马类的技术人员年利润可在千万，这已经不是一个秘密。正因为如此，致使部分传统的黑客经受不住利益的诱惑，纷纷投入到“造毒”大军。

1.4. 2009年上半年各月新增病毒统计
    09年新年后迎来了首个病毒低谷时期，在4月以后病毒数量有所回升，6月呈现持平状态。在1月、2月正值各大高校寒假时间，也正是网络游戏最火爆的时间，使木马传播者也会日夜不停的赶工，来获得一顿丰盛早餐。相信在未来的7月、8月暑期期间病毒将会再度出现高峰期可与年初匹敌。

1.5. 2009年上半年每月各类病毒数目统计
    木马类的走势高高在上，一直处于领先的地位；其中后门类呈现平稳趋势，病毒类、蠕虫类并驾齐驱。Xfile类有下降趋势。总的来说2009年上半年各类病毒总体上升趋势可以用一个词形容——一波三折，形成该现象主要与微软系统频报漏洞以及第三方软件漏洞不断被公布有关。

下图为去掉木马后的微观走势图：

1.6. 2009年上半年典型病毒排名

排名	病毒名称
1	Virus/Win32.Sality
2	Trojan/Win32.OnLineGames[GameThief]
3	Net-Worm/Win32.Kido
4	Trojan/Win32.Agent[Downloader]
5	Trojan/Win32.Generic
6	Trojan/Win32.Patched
7	Virus/Win32.Virut
8	Trojan/Win32.Hmir[Downloader]
9	Trojan/VBS.Agent
10	Packed/Win32.Krap

以上十大病毒的特点及传播方式：
1) Virus/Win32.Sality
病毒特点: 一种多形态病毒，感染Win32 PE可运行程序。它还包含特洛伊 的成分。
传播方式：通过pe文件感染、通过网络共享传播，其中一些变体不感染大小在4K以下或者在20M以上的文件。
2) Trojan/Win32.OnLineGames[GameThief]
病毒特点：专门盗取网络游戏玩家的游戏账号与密码等信息。通过WEB、邮件方式回传信息。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
3) Net-Worm/Win32.Kido
病毒特点：创建特定系统服务，部分变种并伴有下载其他病毒文件能力，文件感染。
传播方式：利用系统漏洞，文件共享，web挂马。
4) Trojan/Win32.Agent[Downloader]
病毒特点：通过后台连接网络并在指定URL下载其它病毒文件。
传播方式：通过网页恶意脚本、即时聊天工具、电子邮件附件方式传播。
5) Trojan/Win32.Generic
病毒特点：pe文件感染，会破坏系统正常运行。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
6) Trojan/Win32.Patched
病毒特点：盗取用户信息，部分变种带有感染系统pe文件能力。
传播方式：通过pe文件感染、网站挂马、下载器下载。
7) Virus/Win32.Virut
病毒特点：pe文件感染、部分变种具有下载能力。
传播方式：通过pe文件感染、U盘传播，网站下载。
8) Trojan/Win32.Hmir[Downloader]
病毒特点：创建系统驱动、部分变种反制杀软，下载病毒文件。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
9) Trojan/VBS.Agent
病毒特点：采用VBS脚本语言编写，并经过加密处理，反制杀软，下载其他病毒。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
10) Packed/Win32.Krap
病毒特点：病毒为木马行为、安装键盘/鼠标钩子监视用户操作，为辅助型木马。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
二、 2009年上半年网站挂马统计与疫情分析2.1. 2009年上半年挂马统计

    从图中可以看出五月为挂马的一个相对高峰期，从而导致在09年上半年的各月病毒排行榜中表现为相应的增长，致使木马类和后门类病毒的数量会比其他病毒的数量上升的要快。六月后会有所上升，会达到一年内的最高峰，届时也是新增病毒数增长最快的时期。

    该图中罗列了网马经常利用第三方软件漏洞和微软漏洞的占比，其中包括比较新的ms09-002、暴风影音、RealPlayer、Adobe Reader PDF漏洞，以及比较早的经典漏洞。

    上图为09年上半年挂马者利用的域名系统，其中以美国的3b3.org、3bomb.com为首，其次是广东的ccj7.cn最为挂马者的青睐。其中3b3.org、3bomb.com各占20%，ccj7.cn占据了13%，从而可以看出国外的域名系统是挂马者最常用来挂马的。因此，应该加大对此类网站的管理和防范工作。
2.2 2009年上半年挂马疫情分析
1) 判断域名
    该类别的挂马是有选择性的，并不是网站具有挂马漏洞就把这个网站挂上木马，相反他们是选择具有高流量、高信誉度的网站进行挂马。挂马者会通过判断域名，避重就轻，从而选择是否在某网站挂马。
下面是一个判断域名的例子：

    黑客通过向该网站注入恶意链接（http://3b3.org/c.js），来判断调用恶意链接的页面是否包含域名“.gov.cn”与“.edu.cn”。如果包含两者其中任意一个域名，便不会跳转到网马链接。下面是对恶意链接（http://3b3.org/c.js）的分析：

    很显然，数组成员“.gov.cn”在字符串“www.lnkd.gov.cn”里，则tmpdomain = 1，进而也就不会打开恶意网站链接（http://4y553r7.8866.org/a/a100.htm）。
2) 高校网站挂马
    根据安天实验室的一份高校网站黑客入侵统计显示，在国内121个重点大学和487个普通大学中，86%的高校网站曾因为存在漏洞而遭到黑客入侵。他们并不会因为自己是名牌大学而幸免。下面是09年上半年各大高校网站挂马统计：

3) gov.cn类域名挂马

    该类域名为政府类型的域名系统。挂马者找这种域名进行挂马，是由于浏览者会相信这类网站为政府网站会很安全。从而就会降低浏览者的防御能力，使得用户单方面认为只要是这类域名的就一定安全，用以欺骗用户不做防范的浏览访问。下面是近期发现的gov.cn域名挂马列表：

三、2009年恶意行为盘点3.1 09年上半年病毒常用的破坏手段
1） 感染文件
病毒程序通过查找特定文件（例如：PE文件，HTML文件等）中的空余空间，将自身代码插入到该空间；由于系统在运行程序时首先加载文件首部，病毒通过修改文件首部使其在加载过程中执行自身代码，当病毒代码被完全执行后再去执行正常程序。由于该类病毒存在于文件中，可以通过文件共享等传播，同时具有了一个长期稳固的生存环境。
2） 破坏注册表
注册表是为Windows中所有32位硬件/驱动和32位应用程序设计的数据文件。在没有注册表的情况下，操作系统不会获得必需的信息来运行和控制附属的设备和应用程序及正确地响应用户的输入。病毒通过修改注册表添加恶意启动项、映像劫持某些反病毒程序和系统监控程序，使得无法对已中毒系统进行检测。修改隐藏文件显示，使得该项无法启动，以达到隐藏病毒自身的目的；恶意篡改IE首页。
3） 破坏系统安全性
关闭系统防火墙、关闭系统自动更新、恶意修改系统时间以及劫持任务管理器等进程类工具，屏蔽注册表运行，屏蔽系统cmd命令，破坏系统安全模式、磁盘格式化等一系列降低系统安全性和损坏系统的操作，从而使得病毒或者入侵者能够顺利的达到不可告人的目的。
4） 劫持第三方安全软件
凡中毒的用户都会碰到这样的一个问题，自己所使用的安全软件已经无法运行，系统即使重新启动也不能自动运行了，手动启动也没有反应，甚至情况好点的只是一闪即逝的状况，那么出现这种情况就是病毒所为了。他们会通过查找窗口标题、系统进程、修改注册表创建错误的文件关联等使得本应运行的安全软件无法运行。
5） 窃取信息得到控制权
如果病毒一旦入侵成功就会执行由病毒作者事先预设的指令，可以获取账号密码信息，例如QQ、网络银行、系统管理员、网络游戏等；也会自动连接恶意网址、后台打开IE程序下载恶意程序，该类的典型病毒为疯狂下载者病毒；破坏文件、感染文件达到长留系统目的。 3.2 QQ信封经济体系
    如果我们经常浏览一些有关黑客的bbs或者blog的话就会看到一些术语，其中就包括QQ类别的，例如洗信、死保号、散币等； QQ信封就是黑客通过非法手段（例如放木马、入侵别人电脑、窃取局域网信息）非法获取的QQ号码和密码，以万为单位保存的信息文本。信封又分为一手信封、二手信封以及N手信封。一手信封就是原始的，黑客将盗来的QQ号码和密码不经过任何工具，随机储存的。二手信封就是已经被黑客工具将里面有价值的号码取出，所剩下的号码。洗信就是通过一些黑客工具，将一手信里面有价值的号码筛选出来的过程。例如号码里面有QB的（QB是腾讯公司所发行的用来购买公司旗下产品的虚拟货币，这些可以用来支付QQ增值服务，例如会员，三种钻等，代买虚拟网络物品，例如QQ秀，QQ棋牌游戏里面的物品，所以QB也是黑市上最受欢迎的物品，一般黑市上以2-5折的价格出售。也就是正规渠道需要10元RMB的QB，在黑市上2-5元钱就能购得），无保护的靓号（靓号就是5，6，7位都属于靓号之列，因为位数越少，所发行量也就越少，市场上除去腾讯公司内部人员所拥有的就更少了，这类号码也就格外有价值，一个5位的死保号码，就可以卖到400多元RMB，如果是没有密码保护的价值应该就在千元左右。6位号码价值大概在30元以上，也是看有没有密码保护来定。7位号码价值大概是在30以下。还有一些靓号就是AB号、ABA号或者ABC号码，也就是号码里面只有2个或者3个数字的，这类号码价值也不菲），5，6位的靓号等。死保号从字面也可以理解就是有密码保护，但是因为时间过长而忘记密码保护答案的号码。散币是指不成整数的QB数量，例如0.5这种，不过也有将10QB以下的称为散币。
下面是QQ信封体系流程图：

3.3 网页挂马
    挂马在黑客地下经济产业链中起着传播木马与其它恶意程序的作用。在黑客地下经济产业中擅长网络攻击的黑客传播木马的主要手段之一就是挂马。通过挂马广泛传播木马后，专职盗号者就可以获得用户的敏感信息，之后将这些信息出售。根据2009年上半年的所有挂马网站数量的总体分析，每当有大规模的漏洞爆发前就有新的挂马技术出现，预计在2009年下半年网站挂马在中国会更加疯狂。挂马技术的普及使得木马的传播更加的广泛。
3.4 网络钓鱼
    网络钓鱼是一个很早的欺骗技术，每年都会发生这种使用虚假的信息欺骗用户得到用户的信任以达到他们不可告人的目的。而如今网络钓鱼又出新招，那就是利用微软Outlook进行欺骗：在Microsoft Outlook中提示用户有新邮件，用户表面看上去像是一封来自微软的邮件。但是只有在重新配置Outlook后用户才能查看新邮件，这看上去是很合情合理并没有什么可疑，其实可疑邮件只是使用了简单的网络链接，不明真相的用户就会点击该链接进行设置。而该链接指向一个窃取账户名称和密码以及邮件服务器信息的网站。该方法并未使用什么复杂的技术手段，只是利用用户自认为安全而疏于防范的心理。此种钓鱼方式发现于国外。

3.5 blog蠕虫
    据 Forrester 在去年公布的数据，到 2010 年将有 64% 的美国广告商利用博客刊登广告；57% 将会刊登 RSS 广告；在线营销将占有整体营销支出 8% 的比例。此外，Google 也已经推出 RSS 专用的 AdSense，这个程序能在它的网站信息汇集服务中插入针对特定对象的广告。相较于具备 RSS 功能的蠕虫，由于受到利益的驱使，RSS 广告程序与间谍程序将构成更大的威胁。 你的博客会随着人气攀升，而成为网络垃圾场、广告免费空间或蠕虫快递。
如今已经出现利用blog蠕虫进行人气提升的事件。下面是传播的流程图：

下面为blog蠕虫的部分代码，创建新的ActiveXObject：

感染blog用户：

四、2009年下半年病毒技术趋势预测
1. 网络钓鱼将会使用人们信任的品牌、名人或者熟悉的操作等方式进行新一轮的钓鱼欺骗攻击。
2. 黑色产业经济将会继续进行病毒传播、盗取信息、破坏反病毒软件行为，届时木马、后门类数量将再现高峰。
3. 利用社会工程学通过IM(即时聊天工具)进行攻击或者欺骗的行为将会出现新的景象。
4. 由于各大杀软已经具备一定的查杀具有Rootkit技术的病毒的能力，使得其发展受到一定的冲击。该类病毒将会保持现状趋于平稳发展。
5. 网站挂马将会在09年下半年再掀高峰，继续作为病毒的主要传播途径。
6. 由于网站漏洞不断出现及blog蠕虫传播技术的普及，blog蠕虫行为将会持续上升。
五、2009年下半年反病毒技术应用与发展趋势
1. 知名厂商将继续完善智能客户端、集群式服务器、开放安全服务平台等技术，逐步实现真正的云安全。
2. 反病毒软件将会继续使用沙盘技术，并改进其应用范围使其成为一个真正的沙盘。
3. 网游、即时聊天工具、影音播放、下载工具等各大厂商已经开始逐步引入病毒查杀技术进入到产品功能环节内，使得账号被盗或者丢失的可能性降到最低；并会逐步完善功能。