2012年上半年计算机恶意代码综合报告

2012年上半年计算机恶意代码综合报告

安天实验室 CERT

2012年7月12日

摘要

      2012年上半年安天实验室对互联网恶意代码疫情统计表明，安天实验室共拦截恶意代码数量达到585万，病毒新增趋势较为明显。新增的病毒类型最多的仍然为木马，但相对2011上半年幅度有所下降。增长速度最快的是黑客工具，幅度是2011上半年的645%，由于黑客工具的攻击教程在互联网肆虐传播，普通网民即可利用黑客工具进行攻击用户，利益的驱使下更多的人开始使用黑客工具进行攻击。其次广告件的增长也是势不可挡的，互联网飞速发展的今天，广告铺天盖地，广告公司将矛头直指互联网用户，借着中国网民的庞大数量将广告传播的更多更远。

      2012年上半年相对于其他类型病毒，Downloader（下载型）病毒最为流行，下载型病毒行为表现为可以繁殖和衍生更多病毒，成为时代新宠。2012上半年恶意样本家族增长趋势明显，也就意味着病毒将更加复杂多样化。2012年3亿网民隐私信息及财产安全即将面临前所未有的严重危机，信息安全“战争”将愈演愈烈。



第一章  2012年上半年恶意代码疫情统计与分析

1.1  2011上半年与2012上半年安天实验室捕获样本对比

      2012年上半年安天实验室共捕获样本5851261个，与2011年上半年的4898177个同比增长20%，相比2011年上半年恶意代码增长趋势明显。




1.2  2012年上半年每月新增恶意代码统计

      2012年上半年安天实验室每月捕获样本数量表明：2月份恶意代码数量达到峰值（1228218），随后几个月恶意代码数量急剧减少直至5月达到低谷，下降到峰值的一半左右，接着又继续上升，上升趋势明显。




1.3  2012年上半年各类恶意样本排行榜

      2012上半年各类样本的数量来看，同往年一样木马占据首位，是病毒的2.15倍。病毒占据第2位置是蠕虫的3.7倍，蠕虫、后门、间谍件、黑客工具、其他类恶意样本相比情况下差距并不是很大。




1.4  2011与 2012年上半年新截获各类恶意代码对比

      2012上半年安天实验室捕获各类样本与2011上半年样本类别比较表明：黑客工具增长迅猛，增幅是2011上半年的645%，其次是广告件，增幅是2011上半年的213%，随后是病毒，增幅是2011上半年的113%，相对于其他类病毒，木马和蠕虫比2011年上半年同期跌幅5%和18%。




1.5  2012 年上半年各类恶意代码月度统计

      2012各类恶意代码统计图表明：木马仍然是数量最多的样本，而且增长幅度波动较大。病毒位居第2，在2月份达到顶峰（404605个）随后迅速减少至5月份达到低谷（107533个）。后门、蠕虫、黑客工具、广告件、间谍件等增长趋势较为平稳，均在10万以下数量级。




1.6  2012 年上半年各类恶意代码分类统计

      2012年上半年各类恶意代码占比图表明，木马占据恶意样本总数的的一半以上，但相比去年的占据65%的数量，有所减少。蠕虫由2011年上半年的%9下降到6%，病毒的增长趋势由2011年上半年的13%，增加到%24。其他各类样本占据总数的百分比相对较小。




1.7  2012年上半年恶意代码按行为分类统计

      对2012 年上半年恶意代码按行为分类统计中表明，Downloader恶意代码居多，此类恶意代码的增加，意味着用户感染的恶意代码的数量和种类也将有所增加。



1、Downloader
下载型恶意代码，下载并安装新的恶意软件或广告件在受感染的机器上。

2、Dropper
捆绑型恶意代码，将其他恶意代码与正常文件相结合，当用户打开被捆绑恶意代码的正常文件时，同时释放并执行恶意代码。

3、GameThief
网游盗号类恶意代码，用于盗取用户的网络游戏账号、密码等信息。

4、SPY
间谍类恶意代码，监测主机上的活动，并反馈给恶意代码作者，具有在系统内隐藏的能力。

5、NET
侧重于网络操作类的恶意代码，例如创建大量线程扫描，或者连接网络。使网络变慢或不能正常运转。

6、Clicker
重定向受感染的机器访问指定的 WEB 页面或其它互联网资源。常被用于提高指定网站的点击率、对指定的网站进行拒绝服务攻击、访问恶意网站受到其它的恶意代码攻击。

7、P2P
点对点类恶意代码，通常将自身复制到本地共享文件夹下，一旦成功的把自身以一个看似无害的名字安置到共享文件夹下，P2P网络就被接管：通过网络通知另外的用户有新的资源，并且提供下载，从而执行被感染的文件。

8、Rootkit
特指那些具有对抗系统安全特性和安全工具的检测的特性的恶意代码，是攻击者用来隐藏自己的踪迹和保留 root访问权限的工具。

9、Banker
网银盗号类恶意代码，用于盗取网上银行帐号、支付宝帐号等信息。

10、Stealer
偷窃类恶意代码，用于盗取用户的机密信息，如个人隐私、帐号、商业机密等。


1.8  2012 年上半年恶意代码家族统计

1.8.1   2012 年上半年恶意代码家族 TOP10 统计



1、Virus/Win32.Parite
家族特点：该病毒首次发现于2008年末，至今已有多个变种。此类病毒感染本地及共享网络上的exe及scr为后缀名的可执行文件。感染方式是在文件尾增加一个新的区块，将病毒代码写入该区块中，被感染后的文件将先执行病毒代码，再执行原程序的代码。此外该病毒还具有删除反病毒软件注册表；结束反病毒软件进程等功能。

2、Virus/Win32.Virut
家族特点：Virut是感染可执行文件的病毒，并且每次感染的代码都不同；因为这个病毒感染时会破坏被感染程序的数据，所以经常造成反病毒软件无法正常修复被感染的程序。该病毒还将自身放置在系统还原目录中，并在每个磁盘根目录下释放autorun.inf文件，利用可移动存储介质进行传播。

3、Trojan/Win32.Agent
家族特点：此类木马的表现特点较多，不同变种间的变化也较大，一般具有下载其他恶意代码到本地执行、盗取密码与用户信息、远程控制、访问指定网站等功能。

4、Trojan/Win32.OnLineGames
家族特点：此类木马是以盗取在线游戏账号与密码等信息为目的的木马，通过web、邮件等方式回传盗取的信息。

5、Exploit/JS.Pdfka
家族特点：该恶意程序是一种漏洞利用程序，能够利用PDF文件感染用户计算机。该恶意程序是一个包含Java脚本，会被嵌入PDF文件中。一旦用户打开该PDF文件，漏洞利用程序会利用Adobe Reader程序漏洞，造成缓冲区溢出，从而执行恶意代码，从互联网上自动下载和运行一个恶意软件并将其保存在系统临时文件夹中。

6、Trojan/Win32.Patched
家族特点：此类木马假冒微软补丁，感染指定范围的系统文件。具有下载其他恶意代码到本地执行的功能。

7、Trojan/Win32.Jorik
家族特点：此类木马存在大量变种，感染用户计算机后于远程服务器建立连接，并与服务器进行命令交互，以此实现远程控制的目的。其可根据服务器发送的指令，以FTP和HTTP的方式下载其他恶意程序，给被感染用户造成更大的危害。

8、Trojan/Win32.VBKrypt
家族特点：此类木马是Visual Basic编写的木马家族，因该家族是以编写语言为标准进行划分的，所以该家族并没有统一的恶意行为。

9、Trojan/Win32.VB
家族特点：此类木马是Visual Basic编写的木马家族，该家族版本众多，行为各异，一般具有下载其他恶意代码到本地执行、收集用户信息、远程控制、访问指定网站等功能。

10、AdWare/Win32.InstallCore
家族特点：此类恶意程序为广告件，运行后向用户计算机植入广告，强制锁定浏览器主页，随机弹出制定广告页面，严重影响用户上网体验。

1.8.2   2012 年上半年每月新增家族数量统计

      2012上半年一共新增家族10696个，每月新增家族数在1至5月期间相对平稳，每月新增1400-1700之间，在6月份猛增至3118个家族。恶意代码家族数量的不断增加也意味着恶意代码的种类更加复杂与多样化。



1.8.3   2012 年上半年新增恶意代码家族 TOP10 统计





第二章 2012年上半年重大安全事件

2.1  Flame安全事件

事件背景：
      2012年5月下旬，网络上出现了关于flame病毒的大量报道，也有的称其为skyWiper，其感染范围主要是中东地区。它由一个20MB大小的模块包组成，共包含20个模块且每个模块有着不同的作用。flame的体积十分庞大并且结构极为复杂，被卡巴斯基实验室称为“有史以来最复杂的病毒”，因此很难追踪它的感染途径。受害者的范围极其广泛，从个人到国家机构及学术和教育体系等。
      据外界现有分析，该恶意软件已经非常谨慎地运作了至少两年时间[1]，它不但能够窃取文件，对用户台式机进行截屏，通过USB驱动传播，禁用安全厂商的安全产品，并可以在一定条件下传播到其他系统，还有可能利用微软Windows系统的已知或已修补的漏洞发动攻击，进而在某个网络中大肆传播。
      目前业内各厂商对该病毒的评价如下：Mcafee认为此威胁是Stuxnet和Duqu攻击的继续；卡巴斯基实验室则认为Flame攻击是目前发现的最为复杂的攻击之一，它是一种后门木马并具有蠕虫的特征。赛门铁克认为，flame与之前两种威胁Stuxnet和Duqu一样，其代码非一人所为，而是由一个有组织、有资金支持并有明确方向性的网络犯罪团体所编写。

技术细节：
      病毒主模块是一个文件名为mssecmgr.ocx的DLL文件，我们发现该模块的以有多个衍生版本，文件大小为6M，运行后会连接C&C服务器，并试图下载或更新其它模块。其主模块在不同时期被感染的机器上文件名有所不同，但扩展名都为“OCX”。运行后的主模块会将其资源文件中的多个小功能模块解密释放出来，并将多个小功能模块注入到几个进程中，功能模块具有获取进程信息、键盘信息、硬件信息、屏幕信息、麦克风、存储设备、网络、WIFI、蓝牙、USB等多种信息的功能。所记录的信息文件存放在%Windir%\temp\下。
      该病毒会先对被感染系统进行勘察，如果不是其想要的攻击对象，它将会自动从被感染系统卸载掉。病毒最有可能是通过一个USB接入设备或是其他可移动存储介质引入的。病毒还能够发现有关其周边设备的信息。通过蓝牙装置，它会寻找其它设备，比如手机或笔记本电脑等。此病毒和以往病毒有很大程度上的不同，首先主模块体积很大、多个功能模块，内嵌Lua解释器和大量Lua脚本，进行高层的功能扩展。启动方式比较特殊，具有多种压缩和加密方式。
      启动加载顺序：
      该病毒的启动方式有两种，一种是在注册表中添加键值，另一种是利用批处理文件来执行dos命令运行rundll32.exe加载主模块运行。当病毒运行后会将其自身拷贝为Wavsup3.drv。然后对系统进程进行注入如下图，Nteps32.ocx和Advnetcfh.ocx模块被多次注入Winlogon.exe和Services.exe。explorer.exe也被注入了恶意代码多次创建iexplore.exe进程并加载模块Wpgfilter.dat。




2.2  跨平台恶意代码——Exploit/Java .CVE-2012-0507

      2012年5月，安天实验室捕获到这种特殊的恶意代码，该恶意代码利用Java漏洞（CVE-2012-0507）下载远程恶意代码到目标用户的电脑。恶意代码会判断感染的系统平台（如下图），如果是Windows平台，会下载并运行一个使用C++写的后门程序，如果是苹果Mac电脑，则会下载并运行一个使用Python语言写的类似木马，名为update.py的python脚本。



      这两个恶意软件从同一个服务器下载，都属于后门类恶意代码，在用户不知情的状态下，允许远程攻击者远程发送命令，例如：上传/下载文件，截取屏幕，运行命令等。安天工程师建议：不要随意打开陌生人发来的文件，如果需要使用Java、Python等第三方软件，请及时安装最新补丁。此外，最好安装杀毒软件并升级病毒库至最新。


2.3  DNS变色龙事件——DNSChanger恶意代码

      DNS（域名系统）是一种互联网服务，将用户在浏览器输入的域名转换成IP地址，连接远程的服务器。2012年初爆发“DNSChanger”病毒，DNSChanger修改用户的计算机域名系统(DNS)设置，使用户发送的URL请求到攻击者自己的服务器。到目前为止，全球有400万台电脑感染，攻击者净赚1400万。至今有超过2000多个变种，影响100多个国家，给互联网用户带来了空前的困扰。
      安天解读DNS欺骗原理， DNS是域名系统（Domain Name System）的缩写，是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住复杂的IP地址。如下图所示，当一个用户没有中此类病毒的时候，计算机访问www.baidu.com域名时，正常的域名服务器返回相应正确的IP地址。



      当用户电脑里中了此类病毒，则DNS设置被病毒恶意篡改，但用户再去访问www.baidu.com或其他域名时，恶意软件修改了ISP合法的DNS服务器。指向了恶意流氓DNS服务器。如下图所示:



如何检测自己是否“中招”了呢？

      如果您用的windows系统，最好的办法是打开命令行查看，单击“开始”菜单，打开运行窗口。或者使用快捷键“window+R”



      在运行对话框里输入：cmd然后回车
      在CMD窗口中 输入：ipconfig /all



      然后查看DNS服务器一栏，在其后的DNS地址中，查看是否为恶意DNS服务器，来确定是否用户已经中了此病毒。



      DNSChanger病毒影响了广大网民，尤其是对企业的网络造成严重的威胁，企业对互联网的依赖性很大，他们依靠网络来完成日常的工作沟通、邮件往来、电子商务。而“断网”对他们来说是一个巨大的威胁，如果企业在没有专业的IT人员，那么这场“DNSChanger”之战将会成为企业的“浩劫”，安天提醒广大用户，及时采取相应措施，避免“断网”事件的发生 。


第三章 2012年下半年互联网安全趋势

      2012年下半年的互联网安全形势依旧不容乐观，随着互联网地下经济的迅猛发展，地下产业制作恶意代码的速度惊人、通过多种渠道传播恶意代码以谋取暴利，灰色产业的逐年扩张，互联网安全依然面临严峻的考验。

恶意代码方面
      病毒产业追逐经济利益的趋势不会改变，病毒制造者不会罢休，反而会更加猖狂，不断通过各种手段给用户带来新的安全威胁。除此之外，一个新型高级的持续性（APT）的渗透攻击正浮出水面，该攻击不同于常见恶意代码的经济目的，具有极强潜伏性、持续性、明确的目标，侧重于信息资料的收集，APT攻击将是未来互联网信息安全的主要威胁。

网络安全方面
      不法分子将继续挖掘新的漏洞，以加快恶意代码的传播速度。预计下半年可能会发现更多的0day漏洞，会使网页挂马数量急剧增加。网络钓鱼由于低成本、高回报性，依然会被不法分子广泛利用，钓鱼手段欺骗性将会更强，钓鱼方式也将更加多样化。数据泄露事件还会增加。

Android平台安全方面
      2012年下半年，Android智能手机操作系统将会占有更大的手机市场份额，然而Android应用市场仍处于初级阶段，管理方面有待完善，恶意代码在官方市场频频出现，谷歌与相关运营商应完善审查机制、加大审查力度，避免恶意代码在Android应用市场的出现。手机终端的安全将是未来网络安全的另一主战场，手机病毒的传播方式和获利方式将会更加直接，且有针对性。恶意行为的隐蔽技术也会更加成熟，预计下半年Android手机平台的恶意代码数量将会持续走高。